Dpa

DATA PROCESSING AGREEMENT (DPA)

Este acuerdo de tratamiento de datos, (DPA) aplica a los servicios de intercambio electrónico de documentos al Cliente por medio de la plataforma tecnológica de intercambio electrónico de datos de la que Intercambio Electrónico de Documentos, S.L. (de ahora en adelante, Ediversa Group) es titular (en adelante la Plataforma) conforme a lo previsto en las Condiciones Particulares y las Condiciones Generales del contrato de servicio (en adelante, los Servicios).
Las condiciones del DPA aplicable son las vigentes en el momento de realizar la contratación de los servicios. Ediversa Group se reserva el derecho de hacer cambios en estas condiciones, que serán comunicadas con antelación suficiente a los interesados. Los cambios se harán efectivos automáticamente a partir de las fechas de entrada en vigor que se indiquen. En el caso que no desee aceptarlas, podrá notificarlo antes de la entrada en vigor para cancelar los servicios contratados.

Ambas partes manifiestan:

  • Que el cliente identificado en el contrato de servicio (el CLIENTE) es el RESPONSABLE DE LOS TRATAMIENTOS de datos personales que pone a disposición de Ediversa Group como ENCARGADO DE TRATAMIENTO en virtud del contrato de servicio que les vincula. Este acceso no es considerado comunicación de datos.
  • Que mediante las presentes cláusulas el CLIENTE encarga y delega las funciones necesarias para que eDiversa pueda tratar los datos de carácter personal necesarios para prestar los servicios contratados.
  • Que Ediversa Group ha informado en los Términos y Condiciones de la política de privacidad que aplica al tratamiento de los datos personales bajo su responsabilidad.
  • Que, para la ejecución de las prestaciones derivadas del cumplimiento del objeto de este encargo, el CLIENTE, como responsable del tratamiento, pone a disposición de Ediversa Group los datos personales determinados en la Política de Privacidad y que incluye:
    • Datos de identificación y acceso de los usuarios de la plataforma
    • Datos personales incluidos en los documentos electrónicos del cliente que son objeto de intercambio electrónico
  • Que los datos personales que puedan estar incluidos en los documentos electrónicos del CLIENTE no se consideran datos de categoría especial en los términos establecidos por el Reglamento Europeo de Protección de Datos (RGPD).
  • Que para llevar a cabo estos tratamientos el CLIENTE requiere por parte del Ediversa Group, como encargado de tratamiento, que realice los servicios contratados la realización de actividades relativas a la conservación, consulta y acceso, modificación, supresión o destrucción y limitación de tratamiento de los datos.
  • Que el tratamiento, y debido a la naturaleza de los datos tratados, está sujeto a las disposiciones contenidas en la legislación vigente de Protección de datos Personales.
1. Objeto del tratamiento:
  • Ediversa Group se compromete a tratar los datos personales requeridos con la finalidad de prestar el servicio contratado y en virtud de la relación contractual de prestación de servicios que vincula a ambas partes, en todos aquellos aspectos en los que se requiera su intervención y de acuerdo con las actividades especificadas en este DPA.
  • El presente acuerdo es vigente mientras exista la relación contractual de prestación de servicios entre las partes, salvo decisión en contra por alguna de las partes.
  • Una vez finalice la relación contractual de prestación de servicios entre las partes, Ediversa Group debe cancelar, devolver al responsable o transmitir a otro encargado de tratamiento que el CLIENTE designe los datos personales, y suprimir cualquier copia que esté en su poder. No obstante, podrá mantener bajo limitación de tratamiento los datos que sean necesarios para atender posibles responsabilidades administrativas o jurisdiccionales.
2. Confidencialidad:
La información facilitada por el CLIENTE al encargado de tratamiento es estrictamente confidencial. El encargado de tratamiento es responsable de no divulgar ni facilitar el acceso a terceros a la información obtenida como consecuencia de la prestación del servicio contratado.

3. Obligaciones y responsabilidades del CLIENTE (responsable del tratamiento):
El CLIENTE, como responsable del tratamiento, manifiesta que cumple y se compromete a cumplir con todas las medidas técnicas y organizativas necesarias para garantizar la seguridad del tratamiento, en lo que respecta a centros de tratamiento, locales, equipos, sistemas, programas y las personas que intervengan en el tratamiento de los datos de carácter personal referidos.
Corresponde al CLIENTE, como responsable del tratamiento:
  • Garantizar que los mencionados tratamientos están debidamente legitimados y legalizados, manifestando haber cumplido todos los requisitos exigidos legalmente para la recogida y tratamiento de los datos de carácter personal.
  • Proporcionar el acceso y los medios adecuados para que Ediversa Group pueda prestar el servicio contratado.
  • Responder de las garantías de los afectados, como son los derechos de acceso, rectificación, cancelación de los datos, y oposición y limitación de su tratamiento.
  • Facilitar el derecho de información a los interesados en el momento de la recogida de datos.
  • Realizar una evaluación del impacto en la protección de datos personales de las operaciones de tratamiento a realizar por el encargado de tratamiento si las características y riesgos del tratamiento así lo requieren.
  • Realizar las consultas previas que corresponda.
  • Comunicar al encargado de tratamiento cualquier variación que se produzca de los datos personales facilitados para que ésta proceda a su actualización.
  • Velar, de forma previa y durante la vigencia del contrato, por el cumplimiento de la legislación vigente por parte del encargado de tratamiento.
  • Verificar que el encargado de tratamiento ofrece las garantías suficientes respecto a la implantación y el mantenimiento de las medidas técnicas y organizativas apropiadas.
  • Supervisar los tratamientos, incluida la realización de inspecciones y auditorias.
4. Obligaciones y responsabilidades de Ediversa Group (encargado de tratamiento):
Ediversa Group, como encargado del tratamiento, y todo su personal se obliga a:
  • Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios
  • Tratar los datos de acuerdo con las instrucciones del responsable del tratamiento y las necesidades específicas del servicio contratado.
  • Tratar los datos tratados con la diligencia debida y con arreglo a su mejor criterio y dedicación profesional.
  • Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable del tratamiento, que contenga:
    • El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado y, en su caso, del representante del responsable o del encargado y del delegado de protección de datos.
    • Las categorías de tratamientos efectuados por cuenta de los responsables de los tratamientos.
    • Una descripción general de las medidas técnicas y organizativas de seguridad apropiadas que esté aplicando.
  • No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del responsable del tratamiento, o en los supuestos legalmente admisibles.
El encargado puede comunicar los datos a otros encargados del tratamiento del responsable, de acuerdo con las instrucciones del responsable.
  • Si debe transferir datos personales a un tercer país fuera de la UE, deberá garantizar al responsable del tratamiento que se realizan a un país sobre el que la Comisión Europea reconoce que ofrece un nivel de protección adecuado o que existen garantías sobre la protección que recibirán los datos en su destino.
  • Únicamente subcontratar aquellas prestaciones que formen parte del objeto de este contrato y que comporten el tratamiento de datos personales para aquellos servicios necesarios para el funcionamiento ordinario del encargado del tratamiento.
Estos servicios incluyen los relacionados con la provisión de servicios de alojamiento y administración de servidores y sistemas informáticos.
Dado el caso, el subencargado del tratamiento estará sujeto a las mismas condiciones y en la misma forma que el encargado del tratamiento en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas.
En caso de incumplimiento de sus obligaciones por parte del subencargado, el encargado del tratamiento seguirá siendo plenamente responsable ante el CLIENTE en lo referente al cumplimiento de las obligaciones por parte del subencargado.
  • Mantener el deber de secreto respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice el contrato.
  • Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente.
  • Mantener a disposición del responsable del tratamiento la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior.
  • Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.
5. Colaboración en el ejercicio de los derechos de los interesados:
Cuando las personas afectadas ejerzan los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento y portabilidad de datos ante el encargado del tratamiento, éste debe comunicarlo por correo electrónico a la dirección que indique el responsable del tratamiento.
La comunicación debe hacerse de forma inmediata y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud.
Como caso particular del ejercicio del derecho a la oposición al tratamiento, en el caso de solicitudes de baja de la suscripción a las listas de envío, la petición será atendida inmediatamente y de forma automática mediante los medios propios de la plataforma de Ediversa Group.

6. Notificación de brechas de seguridad:
Ediversa Group notificará al responsable del tratamiento, sin dilación indebida y a través de los medios que ésta le indique, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia.
Se facilitará, como mínimo, la información siguiente:
  • Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
  • Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.
  • Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.
Ediversa Group, y siempre a petición del CLIENTE, comunicará las brechas de la seguridad de los datos a los interesados cuando sea probable que la violación suponga un alto riesgo para los derechos y las libertades de las personas físicas. La comunicación será realizada en el menor tiempo posible desde que se registre la petición, en un lenguaje claro y sencillo, y deberá incluir los elementos que en cada caso señale el responsable del tratamiento.

7. Colaboración en revisiones de cumplimiento de obligaciones:
Ediversa Group pone a disposición del responsable del tratamiento toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el responsable u otro auditor autorizado por él.

8. Medidas de seguridad técnicas y organizativas:
Ediversa Group ha implantado las medidas de seguridad técnicas y organizativas necesarias para:
  • Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
  • Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
  • Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento.
Para ello, Ediversa Group, le informa que ha implantado medidas de seguridad tales como:
  • El control físico del acceso y la protección de los equipos, personas e instalaciones donde realiza los tratamientos de datos del responsable del tratamiento.
  • Que el acceso a sus sistemas informáticos se realiza por medio de usuarios y contraseñas individuales, limitando el acceso a los datos a aquellos empleados que estrictamente lo requieren para el desempeño de su puesto de trabajo.
  • Que realiza copias de seguridad, en su caso, de los datos personales tratados del responsable del tratamiento.
  • En el supuesto de gestionar soportes o documentos con datos personales del responsable del tratamiento, éstos están debidamente custodiados bajo llave o con dispositivos de cierre equivalentes.
  • Que dispone de sistemas de protección perimetral en la red para evitar intrusiones, y sistemas de protección frente a código malicioso (malware) que pueda afectar a sus sistemas informáticos.
  • Que se dispone de un registro de incidencias de seguridad y se han establecido mecanismos y procedimientos de notificación de brechas de seguridad.
Para ello, Ediversa Group, ha implantado un Sistema de Gestión de la Seguridad de la Información y pone a disposición del CLIENTE la documentación en la que se proporciona mayor detalle de los controles y medidas de seguridad implantadas.
Mediante estas medidas, Ediversa Group no se obliga a disponer medidas de seguridad específicas adecuadas a los riesgos derivados de un tratamiento de datos de categoría especial.
Dado el caso, Ediversa Group declina cualquier responsabilidad derivada del hecho que las medidas aplicadas sean insuficientes con respecto al almacenamiento de datos de categorías especiales en los documentos electrónicos del CLIENTE como usuario del servicio y, por tanto, responsable del tratamiento.

9. Rescisión del servicio:
La rescisión, resolución o extinción de la relación contractual de prestación de servicios entre el CLIENTE y Ediversa Group obligará a este último al borrado total de los datos existentes en los equipos informáticos utilizados por Ediversa Group y la destrucción de cualquier soporte y archivo no automatizado que los contenga.
No obstante, Ediversa Group puede conservar una copia de los datos, incluyendo registros de uso, mientras puedan derivarse responsabilidades derivadas de la prestación del servicio y aplicando las medidas adecuadas de limitación de tratamiento.

10. Incumplimiento:
En el caso de incumplimiento por parte de Ediversa Group de cualquiera de las obligaciones como encargado del tratamiento, será considerado responsable del tratamiento, debiendo responder de las infracciones en que hubiese incurrido personalmente.