El Acuerdo de Procesamiento de Datos de ASESORES Y GESTION COCUY, S.L., en adelante LA EMPRESA, proporciona información detallada sobre cómo y por qué se recopilan sus datos. También describe cómo se procesan los datos y las medidas de seguridad establecidas para garantizar la protección de los datos personales. Este documento incluye las medidas de LA EMPRESA para cumplir con el tratamiento de datos personales según el RGPD.
Acuerdo de Procesamiento de Datos
entre:
Nombre del cliente (“el cliente” o “controlador de datos”, en adelante)
y
ASESORES Y GESTION COCUY, S.L., NIF B88188420, calle Cocuy 1, 28033 Madrid, España, (“LA EMPRESA” o “procesador de datos”, en adelante)
cada uno una "parte"; juntos "las partes",
HAN ACORDADO los términos de este Acuerdo de Procesamiento de Datos (en adelante "APD" o "Acuerdo") sobre protección de datos personales con respecto al procesamiento de datos personales cuando el cliente actúa como controlador de datos y LA EMPRESA como procesador de datos para cumplir con las obligaciones de servicio descritas en el acuerdo de servicios (detallado más abajo). Como parte del cumplimiento de estas obligaciones de servicio, LA EMPRESA procesará ciertos datos personales en nombre del controlador de datos, de conformidad con los términos de este contrato. Cada parte acuerda y se asegurará de que los términos de este contrato también sean plenamente aplicables a sus filiales, las cuales puedan estar involucradas en las operaciones de procesamiento de datos personales para el proyecto definido en el acuerdo de servicios. Específicamente, LA EMPRESA se asegurará de que todos los subprocesadores operen dentro de los mismos términos que este Acuerdo al procesar los datos personales del cliente.
Introducción y definiciones:
Los datos personales se definen como cualquier información relacionada con un interesado por la que se puede identificar en particular, directa o indirectamente, por referencia a un identificador como un nombre, un número de identificación, datos de ubicación, un identificador en línea o uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de esa persona física o jurídica (cuando corresponda).
Controlador de datos es “la persona física o jurídica, autoridad pública, agencia u otro organismo que, solo o conjuntamente con otros, determina los propósitos y los medios del procesamiento de los datos personales”.
Procesador de datos se refiere a “una persona física o jurídica, autoridad pública, agencia u otro organismo que procesa datos personales en nombre del controlador”.
Todas las demás definiciones mencionadas en este documento, están determinadas por las leyes de protección de datos correspondientes, incluido el Reglamento General de Protección de Datos de la UE 2016/679 de 27 de abril de 2016 (en adelante, "RGPD").
Los datos personales confidenciales no se consideran procesados bajo el servicio de aplicación ofrecido por el procesador de datos y, por lo tanto, están excluidos de los términos de este Acuerdo.
Al suscribirse para utilizar el programa o los ficheros de captura de datos de LA EMPRESA y aceptar los Términos y Condiciones, incluida la Política de Privacidad y este APD, las partes acuerdan bajo todas las leyes nacionales de protección de datos y bajo el RGPD que este Acuerdo rige la relación entre el controlador de datos y el procesador de datos, determinando el procesamiento de los datos personales por parte de LA EMPRESA de los datos del cliente. Este Acuerdo tiene prioridad, a menos que haya sido reemplazado por otro APD firmado que comunica su primacía sobre este Acuerdo.
El propósito del procesamiento de LA EMPRESA de datos personales para el cliente es garantizar el pleno uso del servicio por parte del cliente y permitir que este Acuerdo se cumpla. LA EMPRESA garantizará que se mantenga la seguridad suficiente de los datos personales en todo momento.
Ambas partes confirman su autoridad para firmar el Acuerdo al hacerlo.
Responsabilidades del procesador de datos:
El procesador de datos debe tratar todos los datos personales en nombre del controlador de datos y seguir sus instrucciones. Al celebrar este Acuerdo, LA EMPRESA (y cualquier subprocesador con el que el procesador de datos tenga un acuerdo legal para ofrecer los servicios) tiene instrucciones de procesar los datos personales del cliente de la siguiente manera:
- de acuerdo con todas las leyes nacionales y europeas;
- cumplir con sus obligaciones bajo los términos de la aplicación de servicio;
- según instrucciones del controlador de datos;
- cómo se describe en este Acuerdo.
Teniendo en cuenta la tecnología disponible y el coste de implementación, así como el alcance, el contexto y el propósito del procesamiento, se requiere que el procesador de datos tome todas las medidas razonables, incluidas medidas técnicas y organizativas, para garantizar un nivel suficiente de seguridad en relación con el riesgo y la categoría de datos personales a proteger. El procesador de datos deberá ayudar al controlador de datos con las medidas técnicas y organizativas apropiadas según sea necesario y teniendo en cuenta la naturaleza del tratamiento y la categoría de información disponible para el procesador de datos para garantizar el cumplimiento de las obligaciones del controlador de datos bajo las leyes de protección de datos aplicables.
El procesador de datos notificará al controlador de datos sin demora indebida si el procesador de datos tiene conocimiento de una violación de la seguridad.
Además, el procesador de datos debe, en la medida de lo posible y de forma legal, informar al controlador de datos si se eleva una solicitud de datos (solicitud de acceso a datos) por parte de los organismos que deben proporcionarla. El procesador de datos responderá a tales solicitudes una vez que el controlador de datos lo autorice a hacerlo. El procesador de datos tampoco divulgará información sobre este Acuerdo a menos que el procesador de datos esté obligado por ley a hacerlo, como por orden judicial.
Si el controlador de datos requiere información o ayuda con respecto a la seguridad de los datos, la documentación o la información sobre cómo el procesador de datos procesa los datos personales en general, puede solicitar esta información del procesador.
El procesador de datos, sus empleados y cualquier afiliado o socio garantizará la confidencialidad en relación con los datos personales procesados en virtud del Acuerdo. Esta disposición continúa aplicándose después de la terminación del Acuerdo, independientemente de la causa de su terminación.
Responsabilidades del controlador de datos:
El controlador de datos confirma, al firmar este Acuerdo, que, podrá procesar libremente sus datos según todos los requisitos legales de protección de datos, incluido el RGPD. El controlador da su consentimiento explícito para el procesamiento de sus datos personales en todo momento al contratar el servicio.
El controlador de datos puede revocar este consentimiento en cualquier momento, pero al hacerlo termina el Acuerdo vigente y el procesador de datos ya no podrá ofrecer el servicio.
El cliente tiene una base legal para procesar los datos personales con el procesador de datos (incluidos los subprocesadores) con el uso de los servicios de LA EMPRESA.
El controlador de datos es responsable en todo momento de la precisión, integridad, contenido y fiabilidad de los datos personales procesados por el procesador de datos. Ambos han cumplido todos los requisitos obligatorios en relación con la notificación u obtención de permiso de las autoridades públicas pertinentes con respecto al procesamiento de datos personales. Además, ambos han cumplido sus obligaciones de divulgación con las autoridades pertinentes con respecto al procesamiento de datos personales de acuerdo con toda la legislación de protección de datos aplicable.
El controlador de datos debe tener una lista precisa de las categorías de datos personales que procesa, particularmente si dicho procesamiento difiere de las categorías enumeradas por el procesador de datos en el Anexo A.
Acuerdo para la transferencia de datos y el uso de subcontratistas:
Para proporcionar el servicio al controlador de datos, el procesador de datos puede usar subcontratistas. Estos subcontratistas pueden ser proveedores externos tanto dentro como fuera de la UE / EEE. El procesador de datos garantiza que todos los subcontratistas cumplan con las obligaciones y los requisitos de este Acuerdo; específicamente, que su nivel de protección de datos cumple con el estándar requerido por las leyes de protección de datos relevantes. Si una jurisdicción queda fuera de la UE / EEE y no está en la lista aprobada por la Comisión Europea de niveles de protección de datos satisfactorios bajo el RGPD, entonces se establece un acuerdo específico entre LA EMPRESA y dicho subcontratista para asegurar que mantendrá todos los datos personales según los requisitos de las leyes vigentes de protección de datos de la UE.
Los subcontratistas del procesador de datos se enumeran en la
lista adjunta
de subcontratistas.
Este Acuerdo constituye el consentimiento previo específico y explícito del controlador de datos para el uso por parte del procesador de datos de subcontratistas de procesadores de datos, que a veces pueden estar fuera de la UE / EEE o de territorios aprobados por la Comisión Europea.
El controlador de datos puede revocar este consentimiento en cualquier momento, pero al hacerlo termina la vigencia del Acuerdo y el procesador de datos ya no podrá ofrecer el servicio.
Si se establece un subdirector o almacena datos personales fuera de los territorios aprobados por la UE / EEE o la Comisión Europea, el procesador de datos tiene la responsabilidad de garantizar una base satisfactoria para transferir datos personales a un tercer país en nombre del controlador de datos, incluido el uso de los contratos estándar de la Comisión Europea o medidas específicas que hayan sido aprobadas previamente por la Comisión Europea.
El controlador de datos debe ser informado antes de que el procesador de datos reemplace a sus subcontratistas. El controlador de datos puede oponerse a un nuevo subprocesador que procesa sus datos personales en nombre del procesador de datos, pero solo si el subprocesador no procesa los datos de acuerdo con la legislación de protección de datos vigente. El procesador de datos puede demostrar el cumplimiento proporcionando al controlador de datos dando acceso a la evaluación de protección de datos realizada por el procesador de datos.
Si el controlador de datos aún se opone al uso del subcontratista, puede finalizar su suscripción al servicio, sin el período de notificación habitual requerido, y luego asegurarse de que el subcontratista no deseado no procese sus datos personales.
Duración del Acuerdo:
El Acuerdo sigue siendo válido siempre que el procesador de datos procese datos personales con la autorización del controlador de datos y a menos que sea reemplazado por otro APD firmado que comunique su primacía sobre este Acuerdo.
Terminación del Acuerdo:
Tras la finalización de cualquier suscripción, cuando el Acuerdo finalice, o tras la cancelación del contrato, el procesador de datos eliminará todos los datos personales, excepto aquellos que se requiera que conserve según los requisitos legales aplicables y en tal caso se guardarán de acuerdo con las garantías técnicas y organizativas dentro de LA EMPRESA.
El controlador de datos tiene capacidad completa para recuperar todos sus datos personales. Si el controlador de datos solicita asistencia para la recuperación de datos, los costes asociados se determinarán de común acuerdo entre las partes y se basarán en la complejidad del proceso solicitado y el tiempo para cumplirlo en el formato elegido.
Cambios en el Acuerdo:
Los cambios en el Acuerdo deben adjuntarse en un anexo separado del Acuerdo. Si alguna de las disposiciones del Acuerdo se considera inválida, esto no afecta las disposiciones restantes. Las partes reemplazarán las disposiciones inválidas con una disposición legal que refleje el propósito de la disposición inválida.
Auditorías:
El controlador de datos tiene derecho a iniciar una revisión de las obligaciones del procesador de datos bajo el acuerdo una vez al año. Si se requiere que el procesador de datos lo haga conforme a la legislación aplicable, las auditorías pueden repetirse una vez al año. Se debe proporcionar un plan de auditoría detallado que describa el alcance, la duración y la fecha de inicio al menos cuatro semanas antes de la fecha de inicio propuesta. Las partes deciden juntas si un tercero debe realizar la auditoría. Sin embargo, el controlador de datos puede permitir que el procesador de datos tenga la revisión de seguridad realizada por un tercero neutral a elección del procesador de datos, si se trata de un entorno de procesamiento donde se procesan datos de múltiples controladores de datos.
Si el alcance propuesto de la auditoría sigue un informe de certificación ISAE, ISO o similar realizado, dentro de los doce meses anteriores, por un auditor tercero calificado y el procesador de datos confirma que no ha habido cambios importantes en las medidas bajo revisión, esto satisfará cualquier solicitud recibida dentro de dicho plazo. Las auditorías no pueden interferir irracionalmente con las actividades habituales del procesador de datos. El controlador de datos es responsable de todos los costes asociados con su solicitud de revisión de auditoría.
Responsabilidades y jurisdicciones:
La responsabilidad por acciones derivadas del incumplimiento de las disposiciones de este Acuerdo se rige por las disposiciones de responsabilidad e indemnización en los siguientes términos. Esto también se aplica a cualquier violación por parte de los subprocesadores del procesador de datos.
Límite de responsabilidad
- Las reclamaciones de daños por incumplimiento del contrato y acción ilegal solo se pueden efectuar si hay prueba de negligencia grave intencional por parte de LA EMPRESA y/o sus agentes. El descargo de responsabilidad antes mencionado no se aplica a la violación de las obligaciones contractuales esenciales.
- Adicionalmente, la responsabilidad de LA EMPRESA tampoco se ve afectada en caso de lesiones personales y disposiciones legales obligatorias.
- En el caso de servicios gratuitos, el proveedor del servicio no tendrá ninguna responsabilidad que exceda de lo especificado en los párrafos 1 y 2.
- LA EMPRESA no es responsable de las interrupciones del servicio debido a fuerza mayor, en particular durante una caída o sobrecarga de las redes de comunicaciones mundiales. Por esta razón, el cliente no puede reclamar una reducción de su obligación de servicio.
- LA EMPRESA no es responsable de la información publicada sobre sus servicios. El emisor es responsable de su precisión, integridad e intemporalidad.
- LA EMPRESA no es responsable de la pérdida de datos en la medida en que el daño se deba al hecho de que el controlador de datos ha incumplido sus obligaciones legales de conservación o custodia y, por lo tanto, los datos perdidos no se puedan restaurar sin un esfuerzo razonable.
- LA EMPRESA no será responsable de los daños que el cliente pueda sufrir debido a la falta de medidas de seguridad en la transmisión de los datos.
- Cualquier responsabilidad por daños está limitada al importe de la cuota mensual. La responsabilidad por daños y perjuicios, debido a la pérdida de datos, se limita a la cantidad que habría resultado con la protección de datos adecuada, sin embargo, esto no puede exceder la cuota mensual.
- Cualquier reclamo de compensación por parte del cliente vence un año después de que ocurra. Esta limitación no se aplica si LA EMPRESA actuó con negligencia grave o con intención.
- La responsabilidad recogida por la directiva de responsabilidad por daños causados no se ve afectada.
Jurisdicción:
Este Acuerdo se rige por la actual legislación española vigente y en caso de discrepancia, las partes se someten a los juzgados y tribunales de Madrid, que tendrán jurisdicción exclusiva para determinar cualquier disputa sobre el mismo, y a los superiores que les corresponda.
Anexo A. Categorías de información personal y categorías de procesamiento habitual
A. Categorías de información personal (la lista no es exhaustiva):
- Nombre.
- Dirección.
- Número(s) de teléfono.
- Dirección(es) de correo electrónico.
- Dirección(es).
- Cualquier número de cuenta y/o detalles bancarios.
B. Categorías de procesamiento habituales (la lista no es exhaustiva):
- Los empleados del controlador de datos.
- Contactos del controlador de datos (teléfono / correo electrónico / direcciones / etc.).
- Los clientes del controlador de datos.
- Los proveedores del controlador de datos.
- La información bancaria del controlador de datos.
- Los empleados de sus clientes.
- Contactos de sus clientes (teléfono / correo electrónico / direcciones / etc.).
- Los clientes de sus clientes.
- Información bancaria de los clientes de sus clientes.