Acuerdo de Protección de Datos – Data Protection Agreement

Bienvenidos a esta sección, relativa al tratamiento de datos personales efectuado por Serenissima Informática España S.L. en el marco de las actividades realizadas por cuenta de sus clientes. A continuación encontraréis información útil en formato de preguntas frecuentes (FAQ) y los documentos de designación que hemos preparado para regular la relación contractual relativa al tratamiento de datos personales en los servicios de suscripción ofrecidos por Serenissima Informatica.

¿Los productos o servicios proporcionados por Serenissima Informática España cumplen con la normativa de privacidad?
Serenissima Informática España aplica medidas de seguridad adecuadas, en cumplimiento de la normativa de privacidad (en particular del RGPD y de la normativa nacional), para proteger los datos personales frente a violaciones que puedan implicar la pérdida de confidencialidad, integridad o disponibilidad de los datos. Cualquier extensión de los productos debe evaluarse caso por caso bajo la perspectiva de privacy by design y by default.

¿Cuál es el papel de Serenissima Informática España en el tratamiento de los datos personales?
Serenissima Informática España trata datos personales de personas físicas que forman parte de la estructura organizativa de sus clientes en calidad de responsable del tratamiento, tal como se describe en la política de privacidad para clientes disponible en el enlace https://www.serinf.it/es/politica-privacidad/. En las actividades realizadas por cuenta del cliente, Serenissima Informática España trata los datos en calidad de encargado del tratamiento, conforme a lo previsto en el correspondiente acto de designación según el art. 28 del RGPD (Reglamento UE 2016/679), eventualmente suscrito junto con el Contrato de Servicios y disponible en el enlace https://www.serinf.it/es/DPA.

¿Por qué debe suscribirse una designación como encargado del tratamiento?
Cuando Serenissima Informática España presta sus servicios tratando datos personales por cuenta del cliente, este debe designar a Serenissima Informática España como encargado del tratamiento, tal como establece el art. 28 del RGPD (Reglamento UE 2016/679).
En tal caso, las condiciones de designación como encargado del tratamiento (Acuerdo de Protección de Datos Personales o Data Protection Agreement, también “DPA”), se publican en el enlace https://www.serinf.it/es/DPA y se integran en el Contrato de Servicios.

¿Por qué existen varios documentos relativos al DPA?
La normativa establece que el contrato de designación como encargado del tratamiento “debe estipular la materia regulada y la duración del tratamiento, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y las categorías de interesados, así como las obligaciones y derechos del responsable del tratamiento”.
En la parte general del DPA se describen las obligaciones y los derechos del responsable del tratamiento, mientras que en la parte especial del DPA se detallan los demás contenidos relativos a los distintos servicios ofrecidos. Esto permite a Serenissima Informática España gestionar sus obligaciones de forma clara y orientada a la protección de los datos personales tratados.

¿Qué otros documentos altri documenti sobre privacidad son necesarios?

En el enlace https://www.serinf.it/es/politica-privacidad/ Serenissima Informática España  proporciona información útil acerca de cómo trata los datos personales y los datos de contacto. En los documentos allí referenciados se describen todos los contenidos previstos por la normativa, a fin de que los interesados (por ejemplo, los clientes) sepan cómo y por qué Serenissima Informática España tratará sus datos personales.

La entidad que utilice los productos o servicios de Serenissima Informática España, en caso de calificarse a su vez como responsable del tratamiento, está igualmente obligada a facilitar dicha información (véanse los arts. 13 y 14 del RGPD) a los sujetos cuyos datos personales trate (por ejemplo, los usuarios finales de los servicios).

¿Cómo obtener más información sobre la gestión de los datos personales por parte de Serenissima Informática España?
Para cualquier información adicional sobre la gestión de los datos personales, consultad la página https://www.serinf.it/es/politica-privacidad/ o enviad un correo electrónico a la dirección privacy@serinf.es.
dpo@serinf.it

[/vc_column_text][/vc_column][/vc_row]

CONTRATO PARA SERVICIOS DE SUSCRIPCIÓN – DPA – PARTE GENERAL

ACUERDO PARA LA PROTECCIÓN DE DATOS PERSONALES o DATA PROTECTION AGREEMENT (también “DPA”)
(conforme al art. 28 del Reglamento UE 2016/679)

Entre

La entidad identificada como Cliente (en adelante el “Cliente”) en el contrato de servicios del que la presente designación constituye parte integrante (en adelante el “Contrato”)

y

Serenissima Informática España S.L., con sede en Carrer de les Corts, 10 – 08028 Barcelona, NIF: B64856578 (“Proveedor” o “Encargado”) (ambas conjuntamente, “las Partes”)

Considerando que

A. El Cliente ha suscrito uno o varios contratos de servicios de suscripción con el Proveedor (en adelante, el “Contrato”);
B. La ejecución del Contrato implica que el Proveedor realice, por cuenta del Cliente, operaciones de tratamiento de datos personales, tal y como se definen en el art. 4 del Reglamento UE 2016/679 (en adelante también “RGPD”), relativos a personas físicas identificadas o identificables (en adelante también el “interesado” o los “interesados”);
C. Conforme al art. 28, apartado 1 del RGPD, cuando un tratamiento deba realizarse por cuenta del responsable del tratamiento, este podrá encomendar actividades de tratamiento a una entidad, denominada Encargado del tratamiento, siempre que ofrezca garantías suficientes, en particular en cuanto a conocimientos especializados, fiabilidad y recursos, para aplicar medidas técnicas y organizativas que cumplan los requisitos del RGPD y garanticen la protección de los derechos del interesado;
D. Conforme al art. 28, apartado 3 del RGPD, el tratamiento de datos personales realizado por el encargado del tratamiento debe estar regulado “por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado del tratamiento con el responsable del tratamiento y que estipule la materia regulada y la duración del tratamiento, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y las categorías de interesados, así como las obligaciones y los derechos del responsable del tratamiento”;
E. El Cliente, considerando la existencia de los requisitos de experiencia, capacidad y fiabilidad en la persona del Proveedor, desea designar a este último, conforme al art. 28 del RGPD, como encargado del tratamiento de los datos personales tratados para la ejecución del Contrato;

En virtud de lo anterior, las Partes acuerdan y estipulan lo siguiente:

1. OBJETO

1.1 El Cliente designa al Proveedor, que acepta expresamente, como Encargado del tratamiento, de conformidad con el art. 28 del RGPD, para los tratamientos de datos personales descritos en la parte especial del presente DPA, disponible en el enlace https://www.serinf.it/es/DPA, aplicable conforme al Anexo A del Contrato.

1.2 El presente Acuerdo, así como los eventuales acuerdos posteriores formalizados por escrito entre las Partes, definen íntegramente las condiciones en virtud de las cuales el Encargado se compromete a realizar, por cuenta del Cliente, las operaciones de tratamiento de datos personales a los que tenga acceso o de los que entre en posesión, necesarias para el cumplimiento de las obligaciones derivadas del Contrato, así como para la prestación de posibles servicios accesorios al mismo.

2. DURACIÓN DEL CONTRATO

2.1 La duración del presente Acuerdo está funcionalmente vinculada a la duración del Contrato suscrito entre las Partes y mencionado en los considerandos; la finalización de sus efectos producirá automáticamente también la finalización de los efectos del presente Acuerdo, salvo en aquellos casos en los que obligaciones adicionales –incluidas las de carácter legal– impongan la prolongación de la actividad de tratamiento de datos personales por parte del Encargado.

2.2 Una vez extinguidos, por cualquier causa, los efectos del presente Acuerdo, el Encargado procederá, según lo previsto en el art. 11 del Contrato, a la supresión o devolución de los datos personales tratados, salvo en aquellos casos en los que la conservación de los datos sea exigida por disposiciones legales y/o por otras finalidades (contables, fiscales, etc.).

3. OBLIGACIONES DEL ENCARGADO FRENTE AL RESPONSABLE

3.1 Obligaciones generales
3.1.1 El Encargado se compromete a:

a. tratar los datos personales únicamente para las finalidades vinculadas a la ejecución del Contrato;
b. designar a las personas autorizadas para realizar operaciones de tratamiento sobre los datos facilitados por el Cliente, conforme al art. 29 del RGPD, identificando el ámbito de autorización permitido, y garantizar que dichas personas se hayan comprometido a la confidencialidad;
c. permitir la realización de inspecciones, por parte del Cliente o de otra entidad designada por este, durante el horario laboral y previo acuerdo técnico, económico y organizativo;
d. colaborar con el Cliente, a petición de este, en caso de que se realicen inspecciones o investigaciones por parte de las Autoridades de control competentes, tanto en las instalaciones del Cliente como en las del Encargado, con el fin de demostrar la conformidad de todas las actividades relacionadas con el tratamiento de los datos personales.

3.2 Designación de subencargados
3.2.1 El Cliente autoriza de forma general al Encargado a la designación de subencargados.

3.2.2 La relación jurídica establecida entre el Encargado y los subencargados, aunque totalmente distinta de la existente entre el Cliente y el Encargado, deberá respetar obligatoriamente el contenido del presente Acuerdo. En consecuencia, el Encargado se compromete a que en el acuerdo celebrado con los subencargados no existan disposiciones que se opongan o puedan eventualmente oponerse a lo previsto en este documento. En todo caso, el Encargado se compromete a acordar con los subencargados un contrato que garantice niveles adecuados de protección de los datos personales y de seguridad de la información relacionada.

3.2.3 El Encargado está, en cualquier caso, obligado a garantizar que sus propias obligaciones en materia de protección de datos derivadas del presente Acuerdo sean válidas y vinculantes también para los subencargados.

3.3 Ejercicio de los derechos del interesado
3.3.1 En caso de que el interesado desee ejercer sus derechos y presente la correspondiente solicitud al Encargado, este deberá remitir dicha solicitud al Cliente sin demora injustificada. En cualquier caso, el Encargado está obligado a asistir al Cliente con medidas técnicas y organizativas adecuadas, dentro de lo razonablemente posible, a fin de permitir al responsable del tratamiento dar cumplimiento a las solicitudes de ejercicio de derechos por parte del interesado. En particular, en caso de que el Encargado trate datos objeto de una solicitud de portabilidad, se compromete a asistir al responsable del tratamiento con medidas técnicas y organizativas adecuadas para responder a dicha solicitud, pudiendo posteriormente repercutir al responsable los costes incurridos por dicha actividad.

3.4 Notificación y comunicación de violaciones de datos personales
3.4.1 En caso de que el Encargado tenga conocimiento de la ocurrencia de una violación de datos personales, se compromete a notificar al Cliente dicha violación sin demora injustificada y, en cualquier caso, en un plazo no superior a 36 horas desde el momento en que haya tenido conocimiento de la misma. Esta notificación irá acompañada de toda la documentación útil que permita al responsable, en su caso, notificar la violación a la Autoridad de control competente y, eventualmente, a los interesados, de conformidad con lo dispuesto en los arts. 33 y 34 del RGPD.

3.5 Apoyo al Cliente en el tratamiento
3.5.1 El Encargado, a solicitud del Cliente y previo acuerdo técnico, económico y organizativo, se compromete en particular a:

a. colaborar con el Cliente en la realización de la evaluación de impacto relativa a la protección de datos personales prevista en el art. 35 RGPD;

b. colaborar con el Cliente en la eventual consulta previa a la Autoridad de control, prevista en el art. 36 RGPD.

3.6 Medidas de seguridad
3.6.1 El Encargado se compromete a adoptar, durante toda la vigencia del encargo, las medidas de seguridad adecuadas conforme al art. 32 RGPD. En particular, dichas medidas de seguridad estarán dirigidas a proteger los datos y/o minimizar los riesgos relacionados con:
a. la destrucción o pérdida intencional y/o accidental de datos;
b. el tratamiento no autorizado o, en cualquier caso, no conforme con las finalidades de tratamiento acordadas;
c. el acceso no autorizado.

3.6.2 El Encargado está obligado a actualizar, revisar o modificar las medidas de seguridad ya adoptadas cuando lo exijan necesidades específicas de carácter técnico o de protección, previa comunicación de dicha necesidad al Cliente.

3.7 Transferencia de datos personales fuera de la UE
3.7.1 El Encargado se compromete a limitar los ámbitos de circulación y tratamiento de los datos personales (p. ej., almacenamiento, archivo y conservación de los datos en sus propios servidores o en la nube) a los países que formen parte de la Unión Europea, o bien a proceder a la transferencia fuera del territorio de la Unión Europea o del Espacio Económico Europeo únicamente en presencia de los instrumentos previstos en los arts. 45-49 del RGPD (a título ejemplificativo y no exhaustivo, la transferencia a países considerados adecuados por la Comisión Europea, cuando se hayan aprobado normas corporativas vinculantes o se hayan adoptado cláusulas contractuales tipo), salvo que dicha transferencia:

a. Haya sido acordada con el Responsable o solicitada por este en el marco de la ejecución del Contrato (a título ejemplificativo y no exhaustivo, la utilización de un servicio cloud específico); o bien sea exigida conforme al derecho de la Unión Europea o a la legislación del Estado miembro al que esté sujeto el Encargado. En tal caso, el Encargado se compromete a informar al Responsable de dicha obligación legal antes del correspondiente tratamiento, salvo que las leyes aplicables prohíban dicha comunicación por razones de interés público relevantes.

4. OBLIGACIONES DEL RESPONSABLE DEL TRATAMIENTO
4.1 El Responsable está obligado a informar de inmediato y de manera completa al Encargado en cuanto detecte errores y/o irregularidades en el tratamiento de los datos efectuado por este último.
4.2 El Responsable está obligado a facilitar al Encargado un punto de contacto al que pueda dirigirse para cualquier cuestión relativa a la protección de datos que se derive o esté en cualquier modo vinculada al presente Acuerdo.

5. DERECHO DE INFORMACIÓN DE LOS INTERESADOS
5.1 Corresponde al Responsable, en el momento de la recogida de los datos, la obligación de facilitar a los interesados la información relativa a los tratamientos de datos personales que realice, conforme a lo establecido en los arts. 13-14 RGPD.

6. RESPONSABILIDAD Y RESARCIMIENTO DE DAÑOS
6.1 De conformidad con el art. 82 RGPD, el Encargado responderá de los daños causados por el tratamiento cuando se demuestre que ha actuado de manera distinta o contraria a las instrucciones legítimas impartidas por escrito por el Responsable, o bien que no ha cumplido con las obligaciones contractuales.

7. MISCELÁNEA
7.1 Cualquier modificación del presente Acuerdo será válida y vinculante únicamente si consta por escrito o mediante comunicación realizada por escrito, incluso en formato electrónico.
7.2 El presente Acuerdo anula y sustituye cualquier otro nombramiento como Encargado del Tratamiento del Proveedor previamente suscrito entre las Partes respecto a las mismas actividades de tratamiento derivadas del Contrato.
7.3 Si alguna disposición del presente Acuerdo resultara inválida o inaplicable, la validez y aplicabilidad de las demás disposiciones contenidas en el mismo no se verán afectadas.
7.4 Para todo lo no previsto en el presente Acuerdo, se remite a las disposiciones generales vigentes y aplicables en materia de protección de datos personales.