Dpa

DATA PROCESSING AGREEMENT (DPA)

Aquest acord de tractament de dades, (DPA) aplica als serveis d'intercanvi electrònic de documents al Client per mitjà de la plataforma tecnològica d'intercanvi electrònic de dades de la qual EDIVERSA TECH, S.L. (d'ara endavant, Ediversa Group) és titular (d'ara endavant la Plataforma) conforme al que es preveu en les Condicions Particulars i les Condicions Generals del contracte de servei (d'ara endavant, els Serveis).

Les condicions del DPA aplicable són les vigents en el moment de realitzar la contractació dels serveis. Ediversa Group es reserva el dret de fer canvis en aquestes condicions, que seran comunicades amb antelació suficient als interessats. Els canvis es faran efectius automàticament a partir de les dates d'entrada en vigor que s'indiquin. En el cas que no desitgi acceptar-les, podrà notificar-ho abans de l'entrada en vigor per cancel·lar els serveis contractats.

Totes dues parts manifesten:

  • Que el client identificat al contracte de servei (el CLIENT) és el RESPONSABLE DELS TRACTAMENTS de dades personals que posa a la disposició d’Ediversa Group com a ENCARREGAT DE TRACTAMENT en virtut del contracte de servei que els vincula. Aquest accés no és considerat comunicació de dades.
  • Que mitjançant les presents clàusules el CLIENT encarrega i delega les funcions necessàries perquè Ediversa Group pugui tractar les dades de caràcter personal necessaris per a prestar els serveis contractats.
  • Que Ediversa Group ha informat als Termes i Condicions de la política de privacitat que aplica al tractament de les dades personals sota la seva responsabilitat.
  • Que, per a l'execució de les prestacions derivades del compliment de l'objecte d'aquest encàrrec, el CLIENT, com a responsable del tractament, posa a la disposició d’Ediversa Group les dades personals determinades en la Política de Privacitat i que inclou:
    • Dades d'identificació i accés dels usuaris de la plataforma
    • Dades personals incloses als documents electrònics del client que són objecte d'intercanvi electrònic
  • Que les dades personals que puguin estar incloses als documents electrònics del CLIENT no es consideren dades de categoria especial als termes establerts pel Reglament Europeu de Protecció de Dades (RGPD).
  • Que per a dur a terme aquests tractaments el CLIENT requereix per part d’Ediversa Group, com a encarregat de tractament, que realitzi els serveis contractats la realització d'activitats relatives a la conservació, consulta i accés, modificació, supressió o destrucció i limitació del tractament de les dades.
  • Que el tractament, i a causa de la naturalesa de les dades tractades, està subjecte a les disposicions contingudes en la legislació vigent de Protecció de dades Personals.
1. Objecte del tractament:
  • Ediversa Group es compromet a tractar les dades personals requerides amb la finalitat de prestar el servei contractat i en virtut de la relació contractual de prestació de serveis que vincula a totes dues parts, en tots aquells aspectes als quals es requereixi la seva intervenció i d'acord amb les activitats especificades en aquest DPA.
  • El present acord és vigent mentre existeixi la relació contractual de prestació de serveis entre les parts, excepte decisió en contra per alguna de les parts.
  • Una vegada finalitzi la relació contractual de prestació de serveis entre les parts, Ediversa Group ha de cancel·lar, retornar al responsable o transmetre a un altre encarregat de tractament que el CLIENT designi les dades personals, i suprimir qualsevol còpia que estigui en el seu poder. No obstant això, podrà mantenir sota limitació de tractament les dades que siguin necessàries per atendre possibles responsabilitats administratives o jurisdiccionals.
2. Confidencialitat:
La informació facilitada pel CLIENT a l'encarregat de tractament és estrictament confidencial. L'encarregat de tractament és responsable de no divulgar ni facilitar l'accés a tercers a la informació obtinguda com a conseqüència de la prestació del servei contractat.

3. Obligacions i responsabilitats del CLIENT (responsable del tractament):
El CLIENT, com a responsable del tractament, manifesta que compleix i es compromet a complir amb totes les mesures tècniques i organitzatives necessàries per a garantir la seguretat del tractament, pel que fa a centres de tractament, locals, equips, sistemes, programes i les persones que intervinguin en el tractament de les dades de caràcter personal referits.
Correspon al CLIENT, com a responsable del tractament:
  • Garantir que els esmentats tractaments estan degudament legitimats i legalitzats, manifestant haver complert tots els requisits exigits legalment per a la recollida i tractament de les dades de caràcter personal.
  • Proporcionar l'accés i els mitjans adequats perquè Ediversa Group pugui prestar el servei contractat.
  • Respondre de les garanties dels afectats, com són els drets d'accés, rectificació, cancel·lació de les dades, i oposició i limitació del seu tractament.
  • Facilitar el dret d'informació als interessats en el moment de la recollida de dades.
  • Realitzar una avaluació de l'impacte en la protecció de dades personals de les operacions de tractament a realitzar per l'encarregat de tractament si les característiques i riscos del tractament així ho requereixen.
  • Realitzar les consultes prèvies que correspongui.
  • Comunicar a l'encarregat del tractament qualsevol variació que es produeixi de les dades personals facilitades perquè aquesta procedeixi a la seva actualització.
  • Vetllar, de manera prèvia i durant la vigència del contracte, pel compliment de la legislació vigent per part de l'encarregat de tractament.
  • Verificar que l'encarregat de tractament ofereix les garanties suficients respecte a la implantació i el manteniment de les mesures tècniques i organitzatives apropiades.
  • Supervisar els tractaments, inclosa la realització d'inspeccions i auditories.
4. Obligacions i responsabilitats d’Ediversa Group (encarregat de tractament):
Ediversa Group, com a encarregat del tractament, i tot el seu personal s'obliga a:
  • Utilitzar les dades personals objecte de tractament, o les que reculli per a la seva inclusió, només per a la finalitat objecte d'aquest encàrrec. En cap cas podrà utilitzar les dades per a finalitats pròpies
  • Tractar les dades d'acord amb les instruccions del responsable del tractament i les necessitats específiques del servei contractat.
  • Tractar les dades tractades amb la diligència deguda i conformement al seu millor criteri i dedicació professional.
  • Portar, per escrit, un registre de totes les categories d'activitats de tractament efectuades per compte del responsable del tractament, que contingui:
    • El nom i les dades de contacte de l'encarregat o encarregats i de cada responsable per compte del qual actuï l'encarregat i, en el seu cas, del representant del responsable o de l'encarregat i del delegat de protecció de dades.
    • Les categories de tractaments efectuats per compte dels responsables dels tractaments.
    • Una descripció general de les mesures tècniques i organitzatives de seguretat apropiades que estigui aplicant.
  • No comunicar les dades a terceres persones, tret que compti amb l'autorització expressa del responsable del tractament, o en els supòsits legalment admissibles.
L'encarregat pot comunicar les dades a altres encarregats del tractament del responsable, d'acord amb les instruccions del responsable.
  • Si ha de transferir dades personals a un tercer país fora de la UE, haurà de garantir al responsable del tractament que es realitzen a un país sobre el qual la Comissió Europea reconeix que ofereix un nivell de protecció adequat o que existeixen garanties sobre la protecció que rebran les dades en la seva destinació.
  • Únicament subcontractar aquelles prestacions que formin part de l'objecte d'aquest contracte i que comportin el tractament de dades personals per a aquells serveis necessaris per al funcionament ordinari de l'encarregat del tractament.
Aquests serveis inclouen els relacionats amb la provisió de serveis d'allotjament i administració de servidors i sistemes informàtics.
Donat el cas, el subencargado del tractament estarà subjecte a les mateixes condicions i en la mateixa forma que l'encarregat del tractament referent a l'adequat tractament de les dades personals i a la garantia dels drets de les persones afectades.
En cas d'incompliment de les seves obligacions per part del subencargado, l'encarregat del tractament continuarà sent plenament responsable davant el CLIENT referent al compliment de les obligacions per part del subencargado.
  • Mantenir el deure de secret respecte a les dades de caràcter personal als quals hagi tingut accés en virtut del present encàrrec, fins i tot després que finalitzi el contracte.
  • Garantir que les persones autoritzades per a tractar dades personals es comprometin, de manera expressa i per escrit, a respectar la confidencialitat i a complir les mesures de seguretat corresponents, de les quals cal informar-los convenientment.
  • Mantenir a la disposició del responsable del tractament la documentació acreditativa del compliment de l'obligació establerta en l'apartat anterior.
  • Garantir la formació necessària en matèria de protecció de dades personals de les persones autoritzades per a tractar dades personals.
5. Col·laboració en l'exercici dels drets dels interessats:
Quan les persones afectades exerceixin els drets d'accés, rectificació, supressió i oposició, limitació del tractament i portabilitat de dades davant l'encarregat del tractament, aquest ha de comunicar-lo per correu electrònic a l'adreça que indiqui el responsable del tractament.
La comunicació ha de fer-se de manera immediata i en cap cas més enllà del dia laborable següent al de la recepció de la sol·licitud, juntament, en el seu cas, amb altres informacions que puguin ser rellevants per a resoldre la sol·licitud.
Com a cas particular de l'exercici del dret a l'oposició al tractament, en el cas de sol·licituds de baixa de la subscripció a les llistes d'enviament, la petició serà atesa immediatament i de manera automàtica mitjançant els mitjans propis de la plataforma d’Ediversa Group.

6. Notificació de bretxes de seguretat:
Ediversa Group notificarà al responsable del tractament, sense dilació indeguda i a través dels mitjans que aquesta li indiqui, les violacions de la seguretat de les dades personals al seu càrrec de les quals tingui coneixement, juntament amb tota la informació rellevant per a la documentació i comunicació de la incidència.
Es facilitarà, com a mínim, la informació següent:
  • Descripció de la naturalesa de la violació de la seguretat de les dades personals, inclusivament, quan sigui possible, les categories i el nombre aproximat d'interessats afectats, i les categories i el nombre aproximat de registres de dades personals afectats.
  • Descripció de les possibles conseqüències de la violació de la seguretat de les dades personals.
  • Descripció de les mesures adoptades o propostes per a posar remei a la violació de la seguretat de les dades personals, incloent, si escau, les mesures adoptades per a mitigar els possibles efectes negatius.
Si no és possible facilitar la informació simultàniament, i en la mesura en què no ho sigui, la informació es facilitarà de manera gradual sense dilació indeguda.
Ediversa Group, i sempre a petició del CLIENT, comunicarà les bretxes de la seguretat de les dades als interessats quan sigui probable que la violació suposi un alt risc per als drets i les llibertats de les persones físiques. La comunicació serà realitzada en el menor temps possible des que es registri la petició, en un llenguatge clar i senzill, i haurà d'incloure els elements que en cada cas assenyali el responsable del tractament.

7. Col·laboració en revisions de compliment d'obligacions:
Ediversa Group posa a la disposició del responsable del tractament tota la informació necessària per a demostrar el compliment de les seves obligacions, així com per a la realització de les auditories o les inspeccions que realitzin el responsable o un altre auditor autoritzat per ell.

8. Mesures de seguretat tècniques i organitzatives:
Ediversa Group ha implantat les mesures de seguretat tècniques i organitzatives necessàries per a:
  • Garantir la confidencialitat, integritat, disponibilitat i resiliència permanents dels sistemes i serveis de tractament.
  • Restaurar la disponibilitat i l'accés a les dades personals de manera ràpida, en cas d'incident físic o tècnic.
  • Verificar, avaluar i valorar, de manera regular, l'eficàcia de les mesures tècniques i organitzatives implantades per a garantir la seguretat del tractament.
Per a això, Ediversa Group, l'informa que ha implantat mesures de seguretat com ara:
  • El control físic de l'accés i la protecció dels equips, persones i instal·lacions on realitza els tractaments de dades del responsable del tractament.
  • Que l'accés als seus sistemes informàtics es realitza per mitjà d'usuaris i contrasenyes individuals, limitant l'accés a les dades a aquells empleats que estrictament el requereixen per a l'acompliment del seu lloc de treball.
  • Que realitza còpies de seguretat, en el seu cas, de les dades personals tractats del responsable del tractament.
  • En el supòsit de gestionar suports o documents amb dades personals del responsable del tractament, aquests estan degudament custodiats baix clau o amb dispositius de tancament equivalents.
  • Que disposa de sistemes de protecció perimetral en la xarxa per a evitar intrusions, i sistemes de protecció enfront de codi maliciós (malware) que pugui afectar els seus sistemes informàtics.
  • Que es disposa d'un registre d'incidències de seguretat i s'han establert mecanismes i procediments de notificació de bretxes de seguretat.
Per a això, eDiversa, ha implantat un Sistema de Gestió de la Seguretat de la Informació i posa a la disposició del CLIENT la documentació en la qual es proporciona major detall dels controls i mesures de seguretat implantades.
Mitjançant aquestes mesures, Ediversa Group no s'obliga a disposar mesures de seguretat específiques adequades als riscos derivats d'un tractament de dades de categoria especial.
Donat el cas, Ediversa Group declina qualsevol responsabilitat derivada del fet que les mesures aplicades siguin insuficients respecte a l'emmagatzematge de dades de categories especials en els documents electrònics del CLIENT com a usuari del servei i, per tant, responsable del tractament.

9. Rescissió del servei:
La rescissió, resolució o extinció de la relació contractual de prestació de serveis entre el CLIENT i Ediversa Group obligarà a aquest últim a l'esborrat total de les dades existents en els equips informàtics utilitzats per Ediversa Group i la destrucció de qualsevol suport i arxiu no automatitzat que els contingui.
No obstant això, Ediversa Group pot conservar una còpia de les dades, incloent registres d'ús, mentre puguin derivar-se responsabilitats derivades de la prestació del servei i aplicant les mesures adequades de limitació de tractament.

10. Incompliment:
En el cas d'incompliment per part d’Ediversa Group de qualsevol de les obligacions com a encarregat del tractament, serà considerat responsable del tractament, havent de respondre de les infraccions en què hagués incorregut personalment.