Acuerdo de procesamiento de datos Cliente › download › www...acuerdo con el procesamiento de los...
13
Acuerdo de procesamiento de datos entre Cliente (en adelante, "el Controlador") y Synology (en adelante, el "Procesador"). Esta traducción tiene fines meramente informativos. En caso de desviación, prevalece la versión en inglés. 1. Definiciones Acuerdo hace referencia a este Acuerdo de procesamiento de datos. Consentimiento del sujeto de los datos hace referencia a cualquier indicación proporcionada libremente, específica, informada e inequívoca de los deseos del sujeto de los datos por la que él o ella, mediante una afirmación o mediante una acción afirmativa clara, significa el acuerdo con el procesamiento de los Datos personales relacionados con él o ella. Controlador hace referencia a la persona física o jurídica, autoridad pública, agencia u otro organismo que, de forma independiente o conjunta con otros, determina los fines y medios de procesamiento de los Datos personales. Si los fines y medios de dicho procesamiento están determinados por la legislación de la Unión o del Estado Miembro, el controlador o los criterios específicos para su nominación pueden proporcionarlos la legislación de la Unión o del Estado Miembro. Procesamiento transfronterizo hace referencia a: 1. el procesamiento de Datos personales que se realiza en el contexto de las actividades de establecimientos en más de un Estado Miembro de un controlador o procesador en la Unión si el controlador o procesador está establecido en más de un Estado Miembro; o 2. el procesamiento de Datos personales que tiene lugar en el contexto de las actividades de un único establecimiento de un controlador o procesador en la Unión, pero que afecta o probablemente afecte sustancialmente a los sujetos de los datos de más de un Estado Miembro.
Transcript of Acuerdo de procesamiento de datos Cliente › download › www...acuerdo con el procesamiento de los...
Acuerdo de procesamiento de datos
entre
Cliente
(en adelante, "el Controlador")
y
Synology
(en adelante, el "Procesador").
Esta traducción tiene fines meramente informativos. En caso de desviación, prevalece la
versión en inglés.
1. Definiciones
Acuerdo hace referencia a este Acuerdo de procesamiento de datos.
Consentimiento del sujeto de los datos hace referencia a cualquier indicación proporcionada
libremente, específica, informada e inequívoca de los deseos del sujeto de los datos por la
que él o ella, mediante una afirmación o mediante una acción afirmativa clara, significa el
acuerdo con el procesamiento de los Datos personales relacionados con él o ella.
Controlador hace referencia a la persona física o jurídica, autoridad pública, agencia u otro
organismo que, de forma independiente o conjunta con otros, determina los fines y medios
de procesamiento de los Datos personales. Si los fines y medios de dicho procesamiento
están determinados por la legislación de la Unión o del Estado Miembro, el controlador o los
criterios específicos para su nominación pueden proporcionarlos la legislación de la Unión o
del Estado Miembro.
Procesamiento transfronterizo hace referencia a:
1. el procesamiento de Datos personales que se realiza en el contexto de las actividades de establecimientos en más de un Estado Miembro de un controlador o procesador en la Unión si el controlador o procesador está establecido en más de un Estado Miembro; o
2. el procesamiento de Datos personales que tiene lugar en el contexto de las actividades de un único establecimiento de un controlador o procesador en la Unión, pero que afecta o probablemente afecte sustancialmente a los sujetos de los datos de más de un Estado Miembro.
Responsable de protección de datos hace referencia a un experto en privacidad de datos
que trabaja de forma independiente para garantizar que una entidad cumple las políticas y
los procedimientos establecidos en el RGPD.
Sujeto de los datos hace referencia a una persona física cuyos Datos personales son
procesados por un controlador o procesador.
Datos cifrados hace referencia a los Datos personales protegidos mediante medidas
tecnológicas para garantizar que los datos solo sean accesibles o legibles para los usuarios
con acceso especificado.
RGPD hace referencia al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo
del 27 de abril de 2016 sobre la protección de personas físicas en relación con el
procesamiento de los Datos personales y el libre movimiento de dichos datos, y a la
revocación de la Directiva 95/46/CE.
Datos personales hace referencia a cualquier información relacionada con una persona física identificada o identificable ("sujeto de los datos"). Una persona física identificable es aquella que se puede identificar, directa o indirectamente, en particular mediante una referencia a un identificador, como un nombre, un número de identificación, datos de ubicación, un identificador en línea o uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de esa persona física.
Filtración de datos personales hace referencia a una infracción de la seguridad que conduce a la destrucción accidental o ilegal, la pérdida, la alteración, la divulgación no autorizada de o el acceso a los Datos personales transmitidos, almacenados o procesados de otro modo.
Privacidad por diseño hace referencia a un principio que exige la inclusión de la protección de datos desde el inicio del diseño de sistemas, en lugar de su adición. Evaluación del impacto en la privacidad hace referencia a una herramienta que se utiliza para identificar y reducir los riesgos para la privacidad de las entidades mediante el análisis de los Datos personales procesados y las políticas vigentes para proteger los datos.
Procesamiento hace referencia a cualquier operación o conjunto de operaciones que se realicen en los Datos personales o en conjuntos de Datos personales, ya sea mediante medios automatizados o no, como la recopilación, el registro, la organización, la estructuración, el almacenamiento, la adaptación o la alteración, la recuperación, la consulta, el uso, la divulgación por transmisión, la difusión o la puesta a disposición de cualquier otra forma, la alineación o la combinación, la restricción, el borrado o la destrucción.
Procesador hace referencia a una persona física o jurídica, autoridad pública, agencia u otro
organismo que procesa los Datos personales en nombre del controlador.
Evaluación por perfil hace referencia a cualquier procesamiento automatizado de los Datos personales destinado a evaluar, analizar o predecir el comportamiento de los sujetos de datos.
Seudonimización hace referencia al procesamiento de los Datos personales de tal forma que estos ya no se pueden atribuir a un sujeto de los datos específico sin el uso de información adicional, siempre que dicha información adicional se conserve por separado y esté sujeta a
medidas técnicas y organizativas para garantizar que los Datos personales no se atribuyan a una persona física identificada o identificable.
Destinatario hace referencia a una persona física o jurídica, autoridad pública, agencia u otro
organismo al que se revelen los Datos personales, ya sea un tercero o no. No obstante, las
autoridades públicas que puedan recibir los Datos personales en el marco de una consulta
concreta de acuerdo con la legislación de la Unión o del Estado Miembro no se considerarán
destinatarios. El procesamiento de dichos datos por parte de las autoridades públicas deberá
cumplir las normas de protección de datos aplicables a los fines del procesamiento.
Representante hace referencia a una persona física o jurídica establecida en la Unión que,
designada por escrito por el controlador o procesador de conformidad con el Artículo 27,
representa al controlador o procesador en relación con sus respectivas obligaciones en virtud
del RGPD.
Distribuidor hace referencia a un proveedor de servicios de terceros que suscribe el servicio
Synology C2 y paga la remuneración de dicho servicio directamente al Procesador en nombre
del Controlador.
Normativas hace referencia al RGPD y otras normativas legales generalmente vinculantes
relacionadas con el área de protección de los Datos personales.
Tercero hace referencia a una persona física o jurídica, una autoridad pública, una agencia o
un organismo distinto del sujeto de los datos, el controlador, el procesador y las personas
que, bajo la autoridad directa del controlador o el procesador, están autorizadas a procesar
los Datos personales.
Autoridad de supervisión hace referencia a una autoridad pública independiente establecida
por un Estado Miembro de conformidad con el Artículo 51 del RGPD.
2. Asunto y duración del Acuerdo
(1) Asunto
El asunto de este Acuerdo se deriva del Acuerdo de servicio de Synology C2 disponible en
https://c2.synology.com/en-global/legal/terms_conditions (en adelante, el "Acuerdo de
servicio").
(2) Duración
La duración de este Acuerdo se corresponde con la duración del Acuerdo de servicio.
3. Naturaleza y propósito del Acuerdo
(1) Naturaleza y propósito del procesamiento previsto de los datos
La naturaleza y el propósito del procesamiento de los Datos personales por parte del Procesador para el Controlador se definen de forma precisa en el Acuerdo de servicio.
(2) Tipo de datos
El Asunto del procesamiento de los Datos personales comprende los siguientes tipos de datos
o categorías:
o Datos principales personales: El controlador puede almacenar datos de cualquier tipo en
el servidor alquilado a su discreción. Synology no tiene influencia ni acceso en este caso.
o Datos de pagos y facturación de contratos: Dentro del marco de ejecución del Acuerdo
de servicio de Synology C2, Synology recopilará los datos contractuales personales,
incluida la dirección de contacto, la información sobre el método de pago y la persona
de contacto.
(3) Categorías de sujetos de los datos
Las Categorías de sujetos de los datos constan de Clientes y Personas de contacto de los Distribuidores.
4. Obligaciones del Procesador
(1) El Procesador procesa los Datos personales únicamente de conformidad con las Normativas e
instrucciones del Controlador o según se requiera de otro modo en este Acuerdo. Esta obligación
también se aplica a las transferencias por parte del Procesador de los Datos personales a un tercer
país o a una organización internacional, a menos que las Normativas o las leyes a las que está
sujeto el Procesador lo exijan. En tal caso, el Procesador informará al Controlador de dichos
requisitos legales antes del procesamiento, a menos que la ley prohíba dicha información por
causa de intereses públicos.
(2) El Procesador y el Controlador acuerdan que este Acuerdo y el Acuerdo de servicio de Synology C2
representan las instrucciones completas y finales del Controlador para el Procesador. El
procesamiento fuera del ámbito de este Acuerdo (si lo hubiera) requerirá un acuerdo previo por
escrito entre ambas partes sobre instrucciones adicionales para el procesamiento. El Controlador
puede rescindir este Acuerdo si el Procesador rechaza seguir las instrucciones solicitadas por el
Controlador que estén fuera del ámbito de este Acuerdo.
(3) En la ejecución de este Acuerdo, el Controlador confirmará inmediatamente cualquier instrucción
oral por escrito.
(4) Nunca se crearán copias o duplicados de los datos procesados en nombre del Controlador sin el
conocimiento del Controlador, con la excepción de las copias de seguridad en la medida en que
sean necesarias para garantizar un procesamiento de datos ordenado, así como los datos
necesarios para cumplir los requisitos normativos con el fin de conservar los datos conforme a las
Normativas.
(5) El Procesador no puede, por su propia autoridad, rectificar, borrar o restringir el procesamiento
de los datos que se están procesando en nombre del Controlador o trasladar o transferir dichos
datos a terceros, sino únicamente según las instrucciones documentadas del Controlador. Cuando
un Sujeto de los datos se ponga en contacto directamente con el Procesador en relación con una
rectificación, borrado o restricción del procesamiento o para ejercer el derecho de portabilidad, el
Procesador reenviará inmediatamente la solicitud del Sujeto de los datos al Controlador. En la
medida en que se incluya en el ámbito de los servicios, el Procesador deberá Garantizar la política
de borrado, el "derecho a olvidar", la rectificación, la portabilidad de los datos y el acceso de
acuerdo con las instrucciones documentadas del Controlador sin demora injustificada.
(6) El Procesador informará al Controlador inmediatamente si el Procesador considera que una
instrucción del Controlador infringe el RGPD (en relación con el Artículo 28, Párrafo 3, Apartado 3)
o las Normativas. En ese caso, el Procesador tendrá derecho a suspender la ejecución de las
instrucciones pertinentes hasta que el Controlador las confirme o cambie.
(7) Además de cumplir las normas establecidas en este Acuerdo, el Procesador deberá cumplir los
requisitos legales mencionados en los Artículos 28 a 33 del RGPD. En consecuencia, el Procesador
garantiza el cumplimiento de los siguientes requisitos:
a) El Procesador solo confiará en los empleados en el procesamiento de datos descrito en
este Acuerdo que estén sujetos a confidencialidad y que se hayan familiarizado
previamente con las disposiciones de protección de datos relevantes para su trabajo. El
Procesador y cualquier persona que actúe bajo su autoridad y tenga acceso a los Datos
personales no procesarán dichos datos a menos que se indique lo contrario en las
instrucciones del Controlador, lo que incluye los poderes otorgados en este Acuerdo, a
menos que así lo exija la ley (Artículo 28, Párrafo 3, Apartado 2, Punto b, Artículos 29 y 32,
Párrafo 4, del RGPD).
b) El Procesador debe ayudar al Controlador a cumplir las solicitudes de las personas que
ejerzan sus derechos de acceso, rectificación, traslado y borrado o que se nieguen al
procesamiento de sus Datos personales.
c) El Procesador debe ayudar al Controlador a cumplir las solicitudes de la autoridad de
supervisión. El Controlador y el Procesador cooperarán, previa solicitud, con la autoridad
de supervisión en la realización de sus tareas.
d) Designación del Responsable de protección de datos, la Persona de contacto o el
Representante
Puede ponerse en contacto con el equipo de protección de datos de Synology en
https://www.synology.com/form/privacy_issue. Se informará al Controlador
inmediatamente de cualquier cambio del Responsable de protección de datos..
e) Se informará al Controlador inmediatamente de cualquier inspección y medida realizadas
por la autoridad de supervisión pertinente, tal y como se describe en el Punto 9 de este
Acuerdo, en la medida en que estén relacionadas con el procesamiento de este Acuerdo.
f) En la medida en que el Controlador esté sujeto a una inspección por parte de una
autoridad de supervisión, un delito administrativo o leve o un procedimiento criminal, una
reclamación de responsabilidad por un Sujeto de los datos o por parte de un tercero o
cualquier otra reclamación relacionada con el procesamiento de datos del Acuerdo por
parte del Procesador, el Procesador hará todo lo posible por ayudar al Controlador. En el
Punto 8 de este Acuerdo se describen otras responsabilidades de asistencia.
g) El Procesador ayudará al Controlador a garantizar el cumplimiento de las obligaciones
establecidas en los Artículos 32 a 36, tal y como se describe en el Punto 9 de este Acuerdo.
h) Implementación y cumplimiento de todas las Medidas técnicas y organizativas necesarias
para este Acuerdo de conformidad con el Artículo 28, Párrafo 3, Apartado 2, Punto c y el
Artículo 32 del RGPD, según se detalla en el Apéndice.
5. Responsabilidades de notificación
(1) El Procesador notificará inmediatamente al Controlador cualquier infracción de los Datos
personales. También se debe informar de cualquier sospecha justificada de incidencia. Cualquier
notificación debe contener, como mínimo, la información establecida en el Artículo 33, Apartado
3 del RGPD.
(2) El Controlador también debe ser notificado inmediatamente de cualquier interrupción significativa
al realizar la tarea, así como de infracciones de las disposiciones legales de protección de datos o
de las estipulaciones de este Acuerdo realizadas por el Procesador o por cualquier persona que
este emplee.
(3) El Procesador informará inmediatamente al Controlador de cualquier inspección o medida
realizada por las autoridades de supervisión u otros terceros si están relacionadas con el
procesamiento de datos en cuestión.
(4) El Procesador se asegurará de que el Controlador reciba ayuda en estas obligaciones, de acuerdo
con el Artículo 33 y el Artículo 34 del RGPD, en la medida que se requiera.
6. Medidas técnicas y organizativas y seguridad de los datos
(1) Antes del comienzo del procesamiento y antes de la finalización del Acuerdo, el Procesador
implementará y cumplirá las medidas técnicas y organizativas ("Medidas técnicas y organizativas")
de conformidad con el Artículo 28, Párrafo 3, Punto c y el Artículo 32 del RGPD, en particular, junto
con el Artículo 5, Párrafo 1 y Párrafo 2 del RGPD. Las medidas a tomar son medidas de seguridad
de los datos y medidas que garanticen un nivel adecuado de protección alcanzado mediante las
Medidas técnicas y organizativas. Las medidas tienen en cuenta las circunstancias y los fines del
procesamiento, así como la probabilidad y gravedad previstas de una posible infracción de la ley
como resultado de vulnerabilidades de seguridad, y permiten la detección inmediata de los
eventos de infracción relevantes. Las medidas a tomar garantizarán un nivel de protección
adecuado al riesgo relativo a la confidencialidad, integridad, disponibilidad y resistencia de los
sistemas. Se deben tener en cuenta los costes de implementación, la naturaleza, el ámbito y los
fines del procesamiento, así como la probabilidad y la gravedad del riesgo para los derechos y
libertades de personas físicas según lo estipulado en el Artículo 32, Párrafo 1 del RGPD.
(2) Las Medidas técnicas y organizativas están sujetas a avances técnicos y desarrollos adicionales. Por
lo tanto, el Procesador supervisará periódicamente los procesos internos y las Medidas técnicas y
organizativas para garantizar que el procesamiento dentro de su área de responsabilidad se realice
de acuerdo con los requisitos de las Normativas y la protección de los derechos del sujeto de los
datos. A este respecto, el Procesador está obligado a implementar las últimas tecnologías o a
sustituir las medidas adecuadas. Deben documentarse los cambios sustanciales.
(3) Las Medidas técnicas y organizativas se describen en detalle en el Apéndice 1 de este Acuerdo.
7. Subcontratación
(1) La subcontratación a efectos de este Acuerdo se entiende como los servicios relacionados
directamente con la prestación del servicio principal. Esto no incluye los servicios subsidiarios,
como servicios de telecomunicaciones, servicios postales/de transporte, servicios de
mantenimiento y asistencia al usuario, ni la eliminación de portadores de datos, así como otras
medidas para garantizar la confidencialidad, disponibilidad, integridad y resistencia del hardware
y el software del equipo de procesamiento de datos. Sin embargo, el Procesador estará obligado
a realizar acuerdos contractuales apropiados y legalmente vinculantes y a tomar las medidas de
inspección adecuadas para garantizar la protección de los datos y la seguridad de los datos del
Controlador, incluso en el caso de servicios subsidiarios externalizados.
(2) El Procesador puede autorizar a los subcontratistas únicamente después de haber obtenido
previamente el consentimiento explícito por escrito o documentado del Controlador. Sin perjuicio
de lo anterior, el Controlador no rehusará su consentimiento sin motivos justificados
objetivamente.
(3) La externalización a subcontratistas o el cambio del subcontratista existente están permitidos si:
o El Procesador envía dicha externalización a un subcontratista al Controlador por escrito o
en forma de texto con la notificación anticipada correspondiente; y
o el Controlador no ha presentado objeciones a la externalización planificada por escrito o
en forma de texto antes de la fecha de entrega de los datos al Procesador; y
o las mismas obligaciones de protección de datos que se establecen en este Acuerdo se
imponen al otro procesador (subcontratista) mediante un contrato/acuerdo o la
subcontratación se basan en un acuerdo contractual de acuerdo con el Artículo 28,
Párrafos 2-4 del RGPD.
(4) El Procesador impondrá por escrito obligaciones contractuales adecuadas al subcontratista que no
ofrezcan menos protección que este Acuerdo o los requisitos legales establecidos por el RGPD,
incluidas las obligaciones contractuales relevantes en lo que respecta a confidencialidad,
protección de los datos, seguridad de los datos y derechos de auditoría.
(5) La transferencia de Datos personales del Controlador al subcontratista y el comienzo del
procesamiento de los datos por parte de los subcontratistas solo se realizarán una vez satisfechos
todos los requisitos de cumplimiento.
(6) El Procesador restringirá el acceso del subcontratista únicamente a los datos necesarios para
mantener el servicio del subcontratista y prohibirá al subcontratista el acceso a los datos para
cualquier otro fin.
(7) El Procesador seguirá siendo responsable del cumplimiento de las obligaciones de este Acuerdo y
de cualquier acto u omisión del subcontratista que haga que el Procesador incumpla cualquiera de
las obligaciones del Procesador en virtud de este Acuerdo.
(8) Si el subcontratista presta el servicio acordado fuera de la UE/EEE, el procesador debe garantizar
el cumplimiento de las Normativas mediante las medidas adecuadas. Lo mismo se aplica si los
proveedores de servicios se van a utilizar según se establece en el Párrafo 1, apartado 2 del RGPD.
(9) La externalización adicional por parte del subcontratista requiere el consentimiento expreso del
Procesador (como mínimo en formato de texto); todas las disposiciones contractuales de este
Acuerdo se comunicarán y acordarán con cada subcontratista adicional.
8. Obligaciones, derechos y supervisión del Controlador
(1) El Controlador será el único responsable de evaluar la admisibilidad del procesamiento solicitado
y de los derechos de las partes afectadas.
(2) El Controlador tiene derecho a realizar inspecciones al Procesador o a que un auditor las lleve a
cabo en cada caso individual. El Controlador tiene derecho a comprobar el cumplimiento de este
Acuerdo por parte del Procesador en sus tiempos de actividad comercial mediante
comprobaciones aleatorias, que normalmente se anunciarán con un tiempo razonable.
(3) Las inspecciones en las instalaciones del Procesador deben llevarse a cabo sin que se produzcan alteraciones evitables en la actividad comercial del Procesador. A menos que se indique lo contrario por motivos urgentes, algo que debe documentar el Controlador, las inspecciones se realizarán después del aviso previo adecuado y durante el horario laboral del Procesador, y no con una frecuencia superior a cada 12 meses. Si el Procesador proporciona pruebas de las obligaciones de protección de datos acordadas que se están implementando correctamente, tal como se estipula en el capítulo 8 (5) de este Acuerdo, cualquier inspección se limitará a muestras.
(4) El Procesador se asegurará de que el Controlador pueda verificar el cumplimiento de las
obligaciones del Procesador de acuerdo con el Artículo 28 del RGPD. El Procesador se compromete
a proporcionar al Controlador la información necesaria previa solicitud para demostrar la ejecución
de las Medidas técnicas y organizativas.
(5) Las pruebas de dichas medidas, que no solo afectan a este Acuerdo, pueden ser proporcionadas
mediante certificados del auditor actual, informes o extractos de los informes proporcionados por
organismos independientes (por ejemplo, auditor, Responsable de protección de datos,
departamento de seguridad de TI, auditor de privacidad de los datos o auditor de calidad).
(6) El Procesador puede reclamar una remuneración por las inspecciones del Controlador.
9. Responsabilidades de asistencia e información del Procesador
(1) El Procesador ayudará al Controlador a cumplir con las obligaciones relativas a la seguridad de los
Datos personales, a informar de los requisitos de filtraciones de datos, a evaluar el impacto en la
protección de datos y a las consultas previas, a las que se hace referencia en los Artículos 32 a 36
del RGPD. Se incluyen las siguientes:
a. Garantizar un nivel adecuado de protección mediante Medidas técnicas y organizativas
que tengan en cuenta las circunstancias y los fines del procesamiento, así como la
probabilidad y gravedad previstas de una posible infracción de la ley como resultado de
vulnerabilidades de seguridad, y permitan la detección inmediata de los eventos de
infracción relevantes.
b. Obligación de informar inmediatamente al Controlador de una infracción de los Datos
personales.
c. Obligación de ayudar al Controlador en relación con la obligación del Controlador de
proporcionar información al Sujeto de los datos en cuestión y proporcionar
inmediatamente al Controlador toda la información relevante en este aspecto.
d. Obligación de ayudar al Controlador en relación con la obligación del Controlador de
proporcionar información a la autoridad de supervisión. El Controlador cooperará, previa
solicitud, con la autoridad de supervisión en la realización de sus tareas.
e. Ayudar al Controlador con su evaluación del impacto de la protección de datos.
f. Ayudar al Controlador en relación con la consulta previa de la autoridad de supervisión.
(2) Se informará al Controlador inmediatamente de cualquier inspección y medida realizadas por una
autoridad de supervisión, siempre que esté relacionada con el procesamiento de datos
relacionados de este Acuerdo. Esto también se aplica en la medida en que el Procesador esté
siendo investigado o sea objeto de una investigación por parte de una autoridad competente en
relación con infracciones de cualquier ley o norma administrativa, o de las Normativas en relación
con el procesamiento de datos según este Acuerdo. En la medida en que el Controlador esté sujeto
a una inspección por parte de la autoridad de supervisión, un delito administrativo o leve o un
procedimiento criminal, una reclamación de responsabilidad por un Sujeto de los datos o por parte
de un tercero o cualquier otra reclamación relacionada con el procesamiento de datos del Acuerdo
por parte del Procesador, el Procesador hará todo lo posible por ayudar al Controlador y
proporcionar toda la documentación, los recursos y la ayuda que pueda requerir el Controlador.
Cuando los datos relativos a este Acuerdo se sometan a confiscación durante procedimientos de
quiebra o insolvencia, o medidas similares de terceros mientras el Procesador los procesa, el
Procesador informará al Controlador sin demora indebida. El Procesador notificará y actualizará al
Controlador sin demora indebida de todos los desarrollos y actualizaciones de dichas acciones, y
tomará todas las medidas en respuesta a dichas acciones, según lo requiera el Controlador.
(3) El Procesador podrá reclamar una compensación por los servicios de ayuda que no estén incluidos
en la descripción de los servicios del presente documento y que no sean atribuibles a fallos del
Procesador, siempre y cuando el Controlador apruebe dicha compensación por escrito.
10. Remuneración
La remuneración del Procesador por sus servicios prestados en virtud de este Acuerdo se estipula
de forma concluyente en el Acuerdo de servicio. Este Acuerdo no ofrece remuneración ni
reembolso por separado.
11. Responsabilidad e indemnización
(1) El Controlador y el Procesador serán responsables, respectivamente, de los daños causados por
cualquier parte no autorizada o por un procesamiento incorrecto de los datos dentro del ámbito
de este Acuerdo, de conformidad con las leyes aplicables.
(2) El Procesador asumirá la carga de demostrar que cualquier daño no es el resultado de
circunstancias por las que el Procesador es responsable en la medida en que los datos relevantes
se hayan procesado en virtud de este Acuerdo. Si no se ha proporcionado esta prueba, el
Procesador deberá, cuando se le solicite inicialmente, liberar al Controlador de todas las
reclamaciones que se impongan a este último en relación con el procesamiento de los datos en
virtud de este Acuerdo.
(3) El Procesador será responsable ante el Controlador, deberá indemnizar íntegramente al
Controlador por todos los daños directos que sufra el Controlador y eximirá al Controlador de
cualquier daño directo causado por el Procesador, los empleados del Procesador o los
subcontratistas designados, en relación con la prestación de servicios por el Procesador en virtud
de este Acuerdo.
(4) Ninguna de las partes será responsable ante la otra por ningún daño indirecto, punitivo, especial,
fortuito o consecuente relacionado con este Acuerdo (incluida la pérdida de beneficios, uso, datos
u otra ventaja económica) que pueda surgir, ya sea por incumplimiento de este Acuerdo, incluido
el incumplimiento de la garantía o por agravio, incluso si se ha informado previamente a esa parte
de la posibilidad de dicho daño.
(5) Las secciones 11 (2) y 11 (3) no se aplicarán en la medida en que los daños se hayan producido
como resultado de la correcta implementación de los servicios por parte del Procesador de la
forma solicitada o indicada por el Controlador.
12. Derecho a una rescisión extraordinaria
(1) El Controlador puede, en cualquier momento, rescindir el Acuerdo de servicio o este Acuerdo sin
previo aviso ("rescisión extraordinaria") si existe una infracción grave de las Normativas o las
disposiciones de este Acuerdo por parte del Procesador, si el Procesador no puede ejecutar o no
ejecuta las instrucciones legales del Controlador o si el Procesador se niega aceptar los derechos
de supervisión del Controlador, infringiendo este Acuerdo.
(2) En concreto, se considerará que se ha producido un incumplimiento grave si el Procesador no ha
cumplido sustancialmente las obligaciones establecidas en este Acuerdo, en particular las Medidas
técnicas y organizativas.
(3) En caso de incumplimiento insignificante, el Controlador proporcionará al Procesador un periodo
de tiempo razonable, sin superar los treinta (30) días, para solucionar la situación. Si la situación
no se soluciona en dicho periodo de tiempo, el Controlador tendrá derecho a una rescisión
extraordinaria, tal como se estipula aquí.
13. Rescisión, devolución y eliminación de los datos
(1) Tras la rescisión de este Acuerdo o la rescisión del Acuerdo de servicio subyacente o previa solicitud
del Controlador, el Procesador deberá entregar al Controlador o, sujeto al consentimiento previo
del Controlador, destruir todos los datos, el procesamiento y la utilización de los resultados y
conjuntos de datos relacionados con este Acuerdo o Acuerdo de servicio que hayan entrado en
posesión del Procesador, de forma que se cumpla con la protección de datos de conformidad con
las Normativas. Lo mismo se aplica a todas las pruebas, los residuos, el material redundante y
descartado relacionados. El registro de destrucción o eliminación se proporcionará al Controlador
una vez finalizada la destrucción o eliminación, o en cualquier momento, según lo solicite el
Controlador.
(2) La documentación utilizada para demostrar el procesamiento ordenado de los datos de acuerdo
con este Acuerdo la almacenará el Procesador más allá de la duración de este Acuerdo, de
conformidad con los periodos de retención respectivos en virtud de las Normativas. El Procesador
puede entregar dicha documentación al Controlador al final de la duración de este Acuerdo o en
cualquier momento, según lo solicite el Controlador.
(3) El Procesador está obligado a garantizar inmediatamente la devolución o eliminación de los datos de subcontratistas.
(4) El Procesador debe proporcionar una prueba de destrucción correcta de los datos por parte del Procesador o los subcontratistas y enviar inmediatamente esta prueba al Controlador.
14. Varios
(1) Ambas Partes están obligadas a tratar todos los conocimientos sobre secretos comerciales y
medidas de seguridad de los datos, obtenidos de la otra parte dentro del ámbito de la relación
contractual, de forma confidencial, incluso después de que este Acuerdo haya expirado. En caso
de duda sobre si la información está sujeta a confidencialidad, se tratará de forma confidencial
hasta que se haya recibido la aprobación por escrito de la otra parte. Ningún interés de propiedad
en los derechos de propiedad intelectual pasará del Controlador al Procesador en virtud de este
Acuerdo.
(2) Cualquier modificación de este Acuerdo se realizará por escrito y será acordada por ambas Partes.
(3) Por la presente, se descarta cualquier exención del derecho de retención en virtud de las leyes
aplicables con respecto a los datos procesados y a los portadores de los datos asociados.
(4) Si alguna parte de este Acuerdo no fuera válida, esto no afectará a la validez del resto del Acuerdo.
(5) Este Acuerdo se regirá e interpretará de acuerdo con las leyes del [país donde se encuentra el
Procesador], sin tener en cuenta el cuerpo de la ley que controla los conflictos de leyes.
(6) Todas las disputas derivadas de o en relación con este Acuerdo estarán sujetas a la jurisdicción de
la República Federal de Alemania de acuerdo con las obligaciones del derecho internacional
privado, a excepción de la Convención de las Naciones Unidas sobre los Contratos de Compraventa
Internacional de Mercaderías.
Si el cliente figura como comerciante conforme al § 1 párrafo 1 del Código de Comercio Alemán
(HGB), como persona jurídica del derecho público o como fondo especial del derecho público, los
tribunales de Düsseldorf ejercerán su competencia en las disputas que surjan a partir de esta
relación contractual o en relación con la misma.
Apéndice: Medidas técnicas y organizativas
1. Confidencialidad (Artículo 32, Párrafo 1, Punto b del RGPD)
Control de acceso físico Sin acceso no autorizado a las instalaciones de procesamiento de datos, por ejemplo: tarjetas magnéticas o con chip, llaves, sistemas electrónicos de apertura de puertas, servicios de seguridad de las instalaciones o personal de seguridad de la entrada, sistemas de alarma y sistemas de vídeo/CCTV
Control de acceso electrónico Sin acceso no autorizado a los sistemas de procesamiento de datos y almacenamiento de datos, por ejemplo: contraseñas (seguras), mecanismos automáticos de desbloqueo/bloqueo, autenticación de dos factores, cifrado de portadores de datos/soportes de almacenamiento
Control de acceso interno (permisos para que los usuarios tengan derecho a acceder a los datos y modificarlos) Sin lectura, copia, cambios o eliminaciones de datos no autorizados dentro del sistema, por ejemplo: derechos de acceso basados en necesidades y registro de eventos de acceso al sistema
Control de aislamiento El procesamiento aislado de datos, que se recopilan para diferentes fines, por ejemplo: zona de pruebas (sandboxing)
Seudonimización (Artículo 32, Párrafo 1, Punto a del RGPD; Artículo 25, Párrafo 1 del RGPD) El procesamiento de los datos personales de tal forma que los datos no se puedan asociar a un Sujeto de los datos específico sin la ayuda de información adicional, siempre que esta información adicional se almacene por separado y esté sujeta a las Medidas técnicas y organizativas adecuadas.
2. Integridad (Artículo 32, Párrafo 1, Punto b del RGPD)
Control de transferencia de datos Sin lectura, copia, cambios o eliminaciones de datos no autorizados dentro del sistema, por ejemplo: cifrado, redes privadas virtuales (VPN), firma electrónica
Control de entrada de datos Verificación, introducción o no y quién introduce los Datos personales en un sistema de procesamiento de datos, los cambia o los elimina, por ejemplo: registro, administración de documentos
3. Disponibilidad y resistencia (Artículo 32, Párrafo 1, Punto b del RGPD)
Control de disponibilidad Prevención de la destrucción o pérdida accidentales o intencionadas, por ejemplo: estrategia de copia de seguridad (en línea/fuera de línea, in situ/fuera de las instalaciones), sistema de alimentación ininterrumpida (SAI), protección frente a virus, cortafuegos, procedimientos de elaboración de informes y planificación de contingencias
Recuperación rápida (Artículo 32, Párrafo 1, Punto c del RGPD)
4. Procedimientos de pruebas y evaluaciones regulares (Artículo 32, Párrafo 1, Punto d del
RGPD; Artículo 25, Párrafo 1 del RGPD)
Administración de la protección de datos
Administración de la respuesta a incidentes
Protección de datos por diseño y por defecto (Artículo 25, Párrafo 2 del RGPD)
Control de pedidos y contratos
Ningún procesamiento de datos de terceros según el Artículo 28 del RGPD sin las instrucciones correspondientes del Controlador, por ejemplo: acuerdos contractuales claros e inequívocos, administración de pedidos formalizada, controles estrictos de la selección del Proveedor de servicios, obligación de evaluación previa, comprobaciones de seguimiento de supervisión.
