Acuerdo de protección de datos
1. Objeto
El presente Acuerdo de Protección de Datos (en adelante, «APD») regula las condiciones en las que los datos personales del cliente, en calidad de responsable del tratamiento (en adelante, «el Cliente») , son tratados por el proveedor Nemorius, en calidad de encargado del tratamiento (en adelante, «el Encargado»), en el marco del contrato de prestación de servicios (en adelante, el «Contrato»).
El presente APD forma parte integrante del Contrato. En caso de contradicción entre los documentos, prevalecerán las estipulaciones del presente APD para todas las cuestiones relativas a la protección de datos.
Los términos relativos a la protección de datos utilizados en este documento se entienden en el sentido del Reglamento (UE) 2016/679 («RGPD»).
2. Compromisos del Subcontratista
El Subcontratista se compromete a cumplir todas las disposiciones legales y reglamentarias aplicables en materia de protección de datos, en particular el RGPD y la Ley de Protección de Datos.
Garantiza que dispone de medidas adecuadas para garantizar la seguridad, la integridad y la confidencialidad de los datos tratados por cuenta del cliente.
El Subcontratista velará por que las personas autorizadas a acceder a los datos estén sujetas a una obligación de confidencialidad, ya sea contractual o legal.
Además, lleva a cabo acciones periódicas de sensibilización y formación de sus equipos sobre los requisitos relativos a la protección de datos.
3. Instrucciones del Cliente
El Subcontratista trata los datos personales únicamente sobre la base de instrucciones documentadas procedentes del Cliente.
El Cliente se compromete a notificar cualquier cambio en dichas instrucciones lo antes posible.
Si una instrucción dada parece contraria a la normativa aplicable, el Subcontratista informará de ello sin demora al Cliente. El Cliente debe determinar los datos personales recopilados y su finalidad para cumplir con los requisitos legales del RGPD.
4. Protección de datos desde el diseño
El servicio prestado se ha diseñado de acuerdo con los principios de protección de datos desde el diseño y por defecto.
El Subcontratista pone a disposición del Cliente funcionalidades que le permiten cumplir con sus obligaciones como responsable del tratamiento.
El Cliente es el único responsable del uso que haga del servicio y de su conformidad con la normativa aplicable.
5. Medidas de seguridad
El Subcontratista aplica medidas técnicas y organizativas adecuadas para proteger los datos personales contra cualquier acceso no autorizado, alteración, pérdida o divulgación.
6. Gestión de las violaciones de datos
En caso de violación de datos personales, el Subcontratista informará al Cliente lo antes posible y, en cualquier caso, en un plazo máximo de 72 horas laborables tras tener conocimiento de la misma.
Proporcionará al Cliente la información necesaria para que este pueda cumplir con sus obligaciones reglamentarias.
El Subcontratista tomará asimismo todas las medidas necesarias para limitar las consecuencias del incidente.
Salvo acuerdo previo del Cliente, el Subcontratista no está autorizado a notificar a la autoridad de control (CNIL) ni a informar a los interesados en nombre del Cliente.
7. Asistencia en materia de seguridad y análisis de impacto
Previa solicitud por escrito, el Subcontratista pondrá a disposición del Cliente la información necesaria relativa a las medidas de seguridad aplicadas, así como las certificaciones de la solución.
No obstante, no está obligado a realizar dichos análisis ni a garantizar la seguridad del sistema del Cliente. En su caso, se podrán proponer servicios complementarios.
8. Asistencia en materia de derechos de las personas
El Subcontratista prestará asistencia al Cliente facilitándole la información necesaria para responder a las solicitudes de los interesados.
Asimismo, previa instrucción por escrito, podrá llevar a cabo las acciones técnicas necesarias.
La gestión directa de las solicitudes sigue siendo responsabilidad del Cliente, salvo que se acuerde un servicio específico entre las partes.
9. Recurso a subcontratistas posteriores
El Cliente autoriza al Subcontratista a recurrir a terceros proveedores en el marco de la ejecución del Contrato, siempre que se le informe de ello.
El Cliente podrá formular una objeción motivada en determinados casos (competencia, litigio, condena reciente en materia de datos).
En caso de objeción admisible, el Subcontratista dispondrá de un plazo de seis meses para proponer una solución conforme. En su defecto, el Cliente podrá rescindir el Contrato en las condiciones previstas.
El Subcontratista se asegurará de que sus propios subcontratistas cumplan obligaciones equivalentes a las del presente APD y seguirá siendo responsable de sus acciones.
10. Destino de los datos al término del contrato
Al término del Contrato, el Cliente indicará su elección entre las siguientes posibilidades:
- devolución y posterior supresión de los datos,
- supresión inmediata,
- transferencia a otro proveedor y posterior supresión.
A falta de instrucciones, el Subcontratista procederá a la supresión de los datos 48 horas después de la rescisión del contrato.
Se invita al Cliente a realizar cualquier recuperación necesaria antes de que finalice el servicio. Dado que la supresión es irreversible, el Cliente asume las consecuencias.
Previa solicitud, el Subcontratista podrá proporcionar un certificado de supresión.
11. Transferencias fuera de la Unión Europea
El Subcontratista se esforzará por no transferir los datos fuera de la Unión Europea.
Si fuera necesaria dicha transferencia, se compromete a establecer las garantías adecuadas (cláusulas contractuales tipo, BCR, etc.).
12. Cooperación con las autoridades
El Subcontratista facilitará al Cliente la información necesaria para responder a las solicitudes de las autoridades de control competentes.
13. Punto de contacto
Cada parte designará a una persona de contacto encargada de las cuestiones relacionadas con el presente APD.
El Subcontratista comunicará los datos de contacto de su delegado de protección de datos o de su responsable del RGPD.
El Subcontratista informa al Cliente de que el delegado de protección de datos es el Sr. Esteban MATHIEU, cuyos datos de contacto son: gdpr@nemorius.com
14. Modificación del acuerdo
El presente APD podrá modificarse para tener en cuenta los cambios legales o reglamentarios aplicables. Se informará al cliente en caso de que se produzca alguna modificación del mismo.
15. Derecho aplicable y jurisdicción
El presente acuerdo se rige por la legislación francesa.
Cualquier controversia relativa a su ejecución será competencia de los tribunales competentes del ámbito jurisdiccional de la sede del Subcontratista.