Acuerdo relativo al procesamiento de datos.
Actualización 11/2023
Este acuerdo hace referencia al Contrato de Servicio cerrado entre las Partes (en adelante, "Contrato de Servicio").
Se trata del procesamiento de datos personales por parte del Encargado del Tratamiento en nombre del Responsable del Tratamiento, de acuerdo con el Artículo 28 del Reglamento General de Protección de Datos (en adelante, "Contrato").
Este acuerdo se aplicará a todas las actividades relacionadas con el Contrato de Servicio, durante las cuales los empleados o personas encargadas por el Encargado del Tratamiento puedan o no entrar en contacto con los datos personales del responsable del tratamiento.
§1 Objeto y duración del Contrato
- El objeto del presente Contrato se deriva del Contrato de Servicios. Esencialmente, se refiere al funcionamiento y mantenimiento del Sistema de Gestión del Transporte "Alcance".
- La duración del Contrato (plazo) es igual al plazo del Acuerdo de Servicio. Además, el presente Acuerdo también se aplicará a las actividades de tratamiento de datos relacionadas con el contrato que se lleven a cabo antes del inicio o tras la expiración del Acuerdo de Servicio.
§2 Detalles de la sustancia del contrato
- El tipo de datos personales utilizados, así como la naturaleza y el propósito del procesamiento de datos personales por parte del Procesador en nombre del Responsable del Tratamiento, se describen detalladamente a continuación.
- En el contexto del desarrollo de software, el procesador utiliza datos de prueba anonimizados para la puesta en marcha segura del software, así como para la prevención y corrección de errores en el entorno de producción. En algunos casos, puede ser necesario utilizar datos reales para estos fines porque los datos de prueba no pueden representar completamente las operaciones. En ese sentido, al Procesador se le permite utilizar datos reales durante períodos limitados en casos justificados. Estos casos se documentarán en consecuencia. El contratista garantizará el cumplimiento de las medidas acordadas en este Contrato.
- El objeto del Contrato generalmente comprende los siguientes tipos de datos personales y categorías de sujetos de datos.
- Clientes (nombres, direcciones, datos de contacto, incluidos números de teléfono, fax y correo electrónico, información contractual, información general, detalles bancarios, datos de facturación y pagos)
- Clientes potenciales / no clientes (nombres, direcciones, datos de contacto, incluidos números de teléfono, fax y correo electrónico, áreas de interés, datos de cotización)
- Empleados, aprendices, pasantes, ex empleados (principalmente datos personales, como nombres, direcciones, datos de contacto, incluidos números de teléfono, fax y correo electrónico, áreas de trabajo)
- Proveedores / prestadores de servicios / agentes comerciales (nombres, direcciones, datos de contacto, incluidos números de teléfono, fax y correo electrónico, detalles bancarios, relaciones contractuales, datos de gestión del tiempo, datos de facturación y rendimiento)
- Derechos de acceso de los empleados activos/configurados dentro de la aplicación; así como la firma en forma de un archivo de imagen (si es necesario)
- Los datos se almacenarán dentro del territorio de un Estado miembro de la Unión Europea o de otro signatario del Acuerdo sobre el Espacio Económico Europeo. La transferencia de datos a un tercer país solo es posible cuando se cumplen los requisitos especiales establecidos en el Artículo 44 y siguientes del RGPD.
§3 Medidas técnicas y organizacionales
- Antes de que se otorgara el contrato, el Procesador ha proporcionado garantías suficientes de que las medidas técnicas y organizativas se implementan de manera que el procesamiento cumpla con los requisitos del RGPD. Estas están debidamente documentadas por el Procesador y presentadas al Responsable del Tratamiento para su inspección. Si son aceptadas por el Responsable del Tratamiento, estas medidas documentadas serán la base del Contrato. Estas medidas técnicas y organizativas acordadas están disponibles en el siguiente enlace: https://legal.riege.com/es-mx/medidas-tecnicas-y-organizacionales-2023-01 (en adelante: Apéndice TOM). En la medida en que una revisión o auditoría por parte del Responsable del Tratamiento plantee la necesidad de modificaciones, estas deben aplicarse de manera amistosa, siempre que no sean contrarias a las necesidades operativas o económicas del Procesador. En caso de que el cumplimiento de las disposiciones legales de protección de datos se haya garantizado previamente en principio, el Responsable del Tratamiento reembolsará al Procesador los costos incurridos como resultado de este apoyo.
- Las medidas técnicas y organizativas están sujetas al progreso y desarrollo técnico y organizativo. En este sentido, al Procesador se le permite implementar medidas alternativas adecuadas. Sin embargo, estas no deben ser menos seguras que el nivel de seguridad proporcionado por las medidas especificadas. Los cambios importantes deben ser documentados.
- En general, las medidas establecidas en el Apéndice TOM tienen como objetivo asegurar un nivel de seguridad adecuado al riesgo en lo que respecta a la confidencialidad, integridad, disponibilidad y resistencia de los sistemas de procesamiento. Estas medidas tienen en cuenta el estado del arte, los costos de implementación, la naturaleza, alcance, contexto y fines del procesamiento, así como el riesgo de probabilidad y gravedad variables para los derechos y libertades de las personas naturales de acuerdo con el Artículo 32, párrafo 1 del RGPD.
§4 Corrección, bloqueo y supresión de datos
- El Procesador solo procesará datos personales si el Responsable del Tratamiento lo solicita en el Contrato de Servicio o en cualquier otra instrucción documentada.
- Si un sujeto de datos se dirigiera directamente al Procesador con una solicitud para corregir o eliminar sus datos, el Procesador debe transmitir esta solicitud al Responsable del Tratamiento sin demora.
- En caso de que el Responsable del Tratamiento esté obligado a proporcionar cierta información a individuos sobre el procesamiento de datos, el Procesador apoyará al Responsable del Tratamiento para hacer esta información disponible. Esto excluye que el Responsable del Tratamiento haya solicitado por escrito o en forma textual que el Procesador cumpla con esta solicitud y que cualquier costo incurrido al proporcionar este soporte sea reembolsado al Procesador en consecuencia. El Procesador no responderá a ninguna solicitud de información sin el consentimiento previo por escrito del Responsable del Tratamiento y en su lugar remitirá al sujeto de datos al Responsable del Tratamiento.
- El Procesador garantizará que el borrado (Derecho al olvido) según el Artículo 17 del RGPD, la rectificación según el Artículo 16 del RGPD y el acceso según el Artículo 15 del RGPD solo se llevarán a cabo siguiendo las instrucciones del Responsable del Tratamiento, las cuales serán documentadas debidamente.
§5 Responsabilidad y control del procesador
- El Procesador declara que al procesar datos personales en el contexto del procesamiento de datos por encargo, se implementarán todas las medidas acordadas de acuerdo con el Contrato. El Procesador declara estar familiarizado con las leyes y disposiciones de protección de datos aplicables al Procesador, en particular con el RGPD y la Ley de Adaptación e Implementación de Protección de Datos de la UE. Sin embargo, entre las Partes, el Responsable del Tratamiento es responsable de la legalidad del procesamiento de datos personales.
- El Procesador no está autorizado a transferir datos a terceros. No se pueden realizar copias sin el conocimiento del Responsable del Tratamiento. Esto no incluye copias de respaldo, en la medida en que sean necesarias para garantizar un procesamiento de datos correcto y adecuado, ni incluye datos que sean necesarios para cumplir con los periodos de retención legal.
- Además del cumplimiento de los términos de este Contrato, el Procesador también tiene una serie de compromisos legales de acuerdo con los Artículos 28 a 33 del RGPD. El Procesador garantizará que se cumplan los siguientes requisitos:
- Designación por escrito de un delegado de protección de datos de acuerdo con el Artículo 37 del RGPD, que realizará sus tareas de acuerdo con los Artículos 38 y 39 del RGPD. Sus datos de contacto están disponibles en el siguiente enlace: https://legal.riege.com/es-mx/responsable-de-proteccion-de-datos .
- El Procesador garantizará la confidencialidad de acuerdo con el Artículo 28, párrafo 3, s.2 (b) del RGPD. El Procesador solo asignará tareas a empleados que se hayan comprometido por escrito a mantener la confidencialidad y que hayan sido previamente familiarizados con las disposiciones de protección de datos relevantes para ellos.
- De acuerdo con el Artículo 28, párrafo 3, s.2 (a) del RGPD, el Procesador y cualquier subordinado suyo que tenga acceso a datos personales solo podrán procesar dichos datos al recibir instrucciones documentadas del Responsable del Tratamiento, que incluyan los poderes contenidos en este Contrato, a menos que el Procesador esté legalmente obligado a llevar a cabo dicho procesamiento. Estas instrucciones pueden ser por escrito o en forma electrónica (Artículo 28, párrafo 9 del RGPD). El compromiso de mantener la confidencialidad continuará más allá del fin de este Contrato.
- El Procesador implementará y mantendrá todas las medidas técnicas y organizativas acordadas para este Contrato de acuerdo con el Artículo 28, párrafo 3, s.2 (c) en conjunto con el Artículo 32 del RGPD (consultar el siguiente sitio web para obtener detalles: https://legal.riege.com/es-mx/responsable-de-proteccion-de-datos).
- El Procesador informará sin demora al Responsable del Tratamiento sobre cualquier actividad de supervisión o medidas por parte de la autoridad de supervisión en la medida en que estén relacionadas con este Contrato. Esto también se aplica en caso de que una autoridad responsable investigue al Procesador con respecto a una infracción o procedimientos penales relacionados con el procesamiento de datos personales en el contexto del procesamiento de datos por encargo.
- El Procesador examinará regularmente sus procesos internos, así como las medidas técnicas y organizativas respectivas para garantizar que todo el procesamiento llevado a cabo en su área de responsabilidad cumpla con los requisitos de este contrato y que se protejan adecuadamente los derechos de los sujetos de datos.
- El Procesador está obligado a proporcionar pruebas al Responsable del Tratamiento de las medidas técnicas y organizativas tomadas. Estas pruebas pueden presentarse mediante el cumplimiento de códigos de conducta aprobados de acuerdo con el Artículo 40 del RGPD, mediante la presentación de un informe de auditoría o extractos de informes proporcionados por organismos independientes (por ejemplo, el delegado de protección de datos) o una certificación adecuada de acuerdo con un procedimiento de certificación de protección de datos aprobado, así como a través de un sello de protección de datos de acuerdo con el Artículo 42 del RGPD, una auditoría de seguridad informática o de protección de datos (por ejemplo, "seguridad informática básica" definida por la Oficina Federal de Seguridad de la Información o ISO 27001) y los informes resultantes de estas auditorías, en la medida en que se refieran a las medidas acordadas efectivamente.
- El Responsable del Tratamiento y el Procesador cooperarán, a solicitud, con la autoridad de supervisión de acuerdo con el Artículo 31 del RGPD. La parte responsable compensará al procesador por los gastos incurridos.
- El Procesador ayudará al Responsable del Tratamiento a cumplir con las obligaciones de seguridad de los datos personales, notificaciones de violaciones de datos, evaluaciones de impacto de la protección de datos y consultas previas mencionadas en los Artículos 32 a 36 del RGPD. El Responsable del tratamiento reembolsará al Encargado del tratamiento los gastos en que incurra en el desempeño de esta tarea.
- El Responsable del Tratamiento mantendrá un registro de todas las actividades de tratamiento de conformidad con el art. 30, párrafo 2 GDPR. El responsable del tratamiento pondrá este registro de tratamiento a disposición de la autoridad de control, previa solicitud, de conformidad con el art. 30, para. 4 DEL RGPD. El responsable del tratamiento facilitará al responsable del tratamiento la información necesaria para crear un registro de las actividades de tratamiento.
§6 Relación de subcontratación / Subcontratistas
- Se permite el procesamiento de datos a través de estaciones de trabajo remoto.
- El Responsable del Tratamiento acepta que, con el fin de proporcionar los servicios acordados contractualmente, el Procesador pueda involucrar a subprocesadores para la prestación de dichos servicios o subcontratar a otras empresas para proporcionar estos servicios en consecuencia. Si el Procesador tiene la intención de utilizar nuevos subprocesadores, el Responsable del Tratamiento tendrá la oportunidad de oponerse a la adición o reemplazo de un subprocesador por motivos objetivos dentro de un período de 30 días después de la notificación por parte del Procesador de un cambio previsto. Si el Responsable del Tratamiento no se opone al subprocesador dentro de este período, el subprocesador puede ser contratado para procesar datos personales.
- El Procesador estructurará los acuerdos contractuales con el subcontratista de manera que cumplan con las disposiciones de protección de datos en la relación contractual entre el Responsable del Tratamiento y el Procesador.
- El Procesador seleccionará cuidadosamente al subprocesador de acuerdo con su idoneidad, teniendo en cuenta especialmente las medidas técnicas y organizativas adoptadas por él.
- Las auditorías e inspecciones de subprocesadores serán llevadas a cabo únicamente por el procesador y sus auditores externos; si el Responsable del Tratamiento o sus auditores tienen la intención de llevar a cabo una auditoría o inspección directa del subprocesador, emitirá una instrucción individual correspondiente de acuerdo con la Sección 9 (1).
- Los subprocesadores contratados por el Procesador en el momento de la celebración de este Contrato están disponibles en el siguiente sitio web: https://legal.riege.com/en/subprocessors. El Responsable del Tratamiento confirma haber guardado una copia permanente de los subprocesadores contratados en el momento de la celebración del Contrato. La notificación de nuevos subprocesadores se realizará actualizando el sitio web y por correo electrónico a la dirección proporcionada por el Responsable del Tratamiento.
- Se entiende que una relación de subprocesador consiste en servicios directamente relacionados con la prestación del servicio principal. Las subcontrataciones en el sentido de esta disposición no incluyen servicios auxiliares solicitados por el Procesador a terceros para ayudar en la ejecución del Contrato. Estos pueden incluir, por ejemplo, servicios de telecomunicaciones, servicios postales y de envío, servicios externos de personal, personal de limpieza o auditores. Sin embargo, para salvaguardar la protección y seguridad de los datos pertenecientes al Responsable del Tratamiento, incluso cuando se otorgan servicios auxiliares a terceros, el Procesador tiene la obligación de celebrar acuerdos contractuales adecuados y legales y llevar a cabo actividades de supervisión respectivas.
§7 Derechos y obligaciones del Responsable del Tratamiento de Datos
- De acuerdo con el Artículo 28, párrafo 1 del RGPD, el Responsable del Tratamiento tiene la obligación de cooperar únicamente con procesadores que ofrezcan garantías suficientes para implementar medidas técnicas y organizativas apropiadas. Por la presente, el Responsable del Tratamiento se compromete a observar los requisitos legales contenidos en las leyes de protección de datos, en particular, para garantizar que la transferencia de datos al Procesador sea legal.
- El Responsable del Tratamiento tiene el derecho de verificar, antes del inicio del procesamiento de datos, que el Procesador cumple con las disposiciones de protección de datos y contractuales, y realizar auditorías periódicas y de tamaño adecuado, en consulta con el Procesador, o en casos individuales, nombrar auditores/terceros que estén sujetos a un deber profesional de confidencialidad para hacerlo, en la medida en que no estén en una relación competitiva con el Procesador. El Procesador tiene derecho a facturar al Responsable del Tratamiento los costos incurridos como resultado de estas auditorías.
- Esto incluye, en particular, la recopilación de información por parte del Procesador, la revisión de los datos registrados y los programas de procesamiento de datos, así como cualquier otra auditoría en el lugar. El Responsable del Tratamiento tiene derecho a realizar controles de muestra, generalmente anunciados con al menos 21 días laborables de anticipación, en las instalaciones comerciales del Procesador durante el horario laboral normal, sin obstaculizar las operaciones comerciales, para verificar el cumplimiento de este Acuerdo por parte del Procesador. El Procesador está obligado a ser tolerante y cooperar con respecto a la auditoría y, en particular, proporcionar al Responsable del Tratamiento toda la información y evidencia requerida para poder llevar a cabo la auditoría tras recibir una solicitud por escrito para hacerlo. Esto incluye, por ejemplo, proporcionar evidencia de que las medidas técnicas y organizativas (consultar aquí el § 5 (3) 10 de este Contrato) se están implementando adecuadamente, así como pruebas de que se están observando los códigos de conducta aprobados de acuerdo con el Artículo 40 del RGPD.
- El Responsable del Tratamiento informará al Procesador de inmediato sobre cualquier error o irregularidad determinada durante el monitoreo de los resultados del Contrato.
- La obligación de mantener un registro de las actividades de procesamiento de acuerdo con el Artículo 30, párrafo 1 del RGPD, es responsabilidad del Responsable del Tratamiento, respectivamente de su representante. A solicitud, el Responsable del Tratamiento pondrá a disposición de la autoridad de control este registro de procesamiento (Artículo 30, párrafo 4 del RGPD).
§8 Notificaciones en caso de brechas de seguridad
En caso de violaciones de datos personales (por ejemplo, la pérdida o transferencia ilícita o divulgación de datos personales), el Procesador informará al Responsable del Tratamiento sin demora indebida, independientemente de la causa. El Procesador deberá consultar al Responsable del Tratamiento y tomar medidas apropiadas para asegurar los datos y limitar cualquier posible efecto perjudicial sobre los sujetos de datos.
§9 Autoridad del controlador
- El alcance de las instrucciones del Responsable del Tratamiento está definido por este Contrato y el Contrato de Servicio. Según los términos del Contrato descritos en este Acuerdo, el Responsable del Tratamiento retendrá además un derecho general de instrucción individual sobre la naturaleza, alcance y método de procesamiento de datos. En la medida en que una instrucción individual exceda los servicios acordados del Contrato de Servicio, el Procesador puede reclamar una remuneración razonable por la implementación de dichas instrucciones individuales. En caso de que el Procesador notifique al Responsable del Tratamiento que una instrucción individual no puede ser cumplida, incluso a cambio de una remuneración separada, el Responsable del Tratamiento podrá terminar el Contrato de Servicio y este Acuerdo con un aviso de siete días laborables hasta el final del mes.
- Todas las instrucciones deben comunicarse por escrito. El Responsable del Tratamiento debe confirmar cualquier instrucción oral por escrito o por correo electrónico (en forma textual) sin demora. El Responsable del Tratamiento notificará al Procesador en forma de texto qué personas están autorizadas para dar instrucciones; si no se realiza ninguna notificación, se considerará que todas las personas del Responsable del Tratamiento están autorizadas para dar instrucciones. Los destinatarios de instrucciones en el Procesador se pueden encontrar en el siguiente sitio web: https://legal.riege.com/es-mx/responsable-de-proteccion-de-datos .
- El Procesador debe informar al Responsable del Tratamiento si considera que una instrucción específica representa una violación de las disposiciones legales de protección de datos. El Procesador puede entonces posponer la ejecución de la instrucción relevante hasta que sea confirmada o modificada por el Responsable del Tratamiento. Si dicho aplazamiento afecta a los Niveles de Servicio o a los plazos acordados entre las Partes, estos se suspenderán en consecuencia durante el período de aplazamiento.
§10 Responsabilidad
- El Procesador solo será responsable por los daños causados a través del procesamiento si no cumple con los deberes impuestos por el RGPD, o si no cumple con las instrucciones administradas legalmente por el Responsable del Tratamiento responsable de este procesamiento de datos o actúa en contra de dichas instrucciones.
- El Responsable del Tratamiento, o varios responsables, y el Procesador, o varios procesadores, serán solidariamente responsables por cualquier daño causado por el procesamiento en el caso de procesamiento de datos por encargo de acuerdo con el Artículo 82, párrafo 4 del RGPD.
- En todos los demás aspectos, se aplicarán las disposiciones de responsabilidad y limitaciones del Contrato de Servicio.
§11 Supresión de datos
- A menos que se especifique lo contrario en el Contrato de Servicio, el Procesador, al recibir una comisión individual facturable por separado del Responsable del Tratamiento, devolverá al Responsable del Tratamiento todos los documentos en posesión del Procesador y todos los resultados recopilados a través del procesamiento y uso, así como todos los datos producidos en relación con el Contrato al Responsable del Tratamiento, o los eliminará de conformidad con la ley de protección de datos previa instrucción por escrito del Responsable del Tratamiento; los medios de respaldo están exentos de la obligación de entrega y eliminación de datos. Lo mismo se aplica a los datos de prueba y los materiales desechados. Se debe emitir una confirmación de la eliminación o destrucción por escrito al Responsable del Tratamiento y especificar la fecha respectiva.
- El Procesador tiene derecho y está obligado a eliminar todos los datos personales que ya no sean necesarios para cumplir con el Contrato, a más tardar al momento de la terminación del Contrato de Servicio.
- Toda la documentación que sirva como prueba de que los datos han sido procesados correctamente y según lo acordado contractualmente debe ser conservada por el Procesador más allá de la terminación de este Contrato cumpliendo con los respectivos periodos de retención. El Procesador puede liberarse de sus obligaciones con respecto a dicha documentación entregándola al Responsable del Tratamiento al vencimiento del Contrato.
- Se deben tomar medidas para garantizar que los medios de datos específicos destinados al procesamiento/eliminación estén protegidos contra el acceso no autorizado y la pérdida durante el transporte.
§12 Provisiones finales
- En todos los demás aspectos, se aplicarán las disposiciones del Contrato de Servicio (incluidos los Términos y Condiciones Generales del Procesador). En caso de conflicto, las disposiciones de este Acuerdo prevalecerán sobre las disposiciones establecidas en el Contrato de Servicio.