injixo Spain S.L. acuerdo de procesamiento de datos

Fecha: Junio 2024

§1 Definiciones

1. «Contrato» significa el contrato formalizado entre el Cliente e injixo Spain S.L. (en adelante, el «Contratista») en el que se hace referencia a este Contrato de Tratamiento de Datos (en adelante, «CTD»).

2. «Legislación de Protección de Datos Aplicable» significa la legislación que protege el derecho a la privacidad con respecto al Tratamiento de Datos Personales (por ejemplo, el RGPD).

3. «Cliente» significa el Cliente, que determina los fines y medios del Tratamiento de Datos Personales.

4. «RGPD» significa el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.

5. «Datos Personales» tiene el significado que se le atribuye en el artículo 4, apartado 1, del RGPD y, a los efectos de este CTD, incluye exclusivamente los Datos Personales del Cliente tratados por el Contratista en calidad de Encargado del Tratamiento del Cliente.

6. «Violación de la Seguridad de los Datos Personales» significa una violación de la seguridad que dé lugar a la destrucción, pérdida, alteración, comunicación o acceso accidentales o ilícitos de los Datos Personales Tratados con arreglo a lo dispuesto en este CTD.

7. «Encargado del Tratamiento» significa una persona física o jurídica que Trata Datos Personales por cuenta de un Cliente.

8. «Tratamiento» tiene el significado que se le atribuye en el artículo 4, apartado 2, del RGPD.

9. «Servicio» significará los servicios prestados en el marco del Contrato que implican el Tratamiento de Datos Personales por parte del Contratista en calidad de Encargado del Tratamiento por cuenta del Cliente. En el Anexo 1 se describen los Servicios con mayor detalle.

10. «Subencargado» significará cualquier otro Encargado del Tratamiento contratado por el Contratista para la prestación de los Servicios con arreglo a lo dispuesto en este CTD. Subencargado del Tratamiento significará únicamente un subcontratista que tenga acceso a Datos Personales.

§2 Objeto y alcance

1. Este CTD es un contrato de tratamiento de datos por escrito entre el Cliente y el Contratista y se aplica a los servicios prestados en el marco del Contrato que implican el Tratamiento de Datos Personales por parte del Contratista como Encargado del Tratamiento por cuenta del Cliente. En caso de conflicto entre la versión en español y la versión en inglés, prevalecerá la versión en inglés.

2. Define los derechos y obligaciones relacionados con la protección de datos del Cliente y del Contratista en relación con los Servicios objeto de este CTD; todos los demás derechos y obligaciones se regirán exclusivamente por las demás disposiciones del Contrato.

3. El Contratista Tratará Datos Personales únicamente de conformidad con lo dispuesto en el Contrato (incluidas las disposiciones de este CTD).

4. En la prestación de los Servicios, el Contratista observará todas las leyes y reglamentos de protección de datos a los que están sujetos los Encargados del Tratamiento. El Cliente será responsable del cumplimiento de las leyes y reglamentos a los que está sujeto el Cliente.

5. En caso de discrepancia entre las disposiciones de este CTD y las demás disposiciones del Contrato, prevalecerán las disposiciones de este CTD por lo que respecta a las obligaciones de protección de datos de las partes. En caso de duda sobre si las cláusulas de esos otros contratos se refieren a obligaciones en materia de protección de datos de las partes, prevalecerá este CTD.

§3 Detalles de las operaciones de tratamiento

1. Los detalles de las operaciones de Tratamiento llevadas a cabo por el Contratista, en particular los tipos de Datos Personales Tratados y las categorías de interesados, se especifican en el Anexo 1 de este CTD.

2. Los Datos Personales se tratan exclusivamente dentro de la UE o en otro Estado parte del Tratado del Espacio Económico Europeo o en Suiza, lo que está cubierto por una decisión de adecuación de la Comisión Europea (véase el artículo 45, apartado 9, del RGPD). Todo traslado a un tercer país (artículo 44 del RGPD) está sujeto al consentimiento previo del Cliente y solo podrá producirse si se cumplen los requisitos del artículo 44 del RGPD.

§4 Derechos de instrucción

1. El Contratista, como Encargado del Tratamiento, solo actuará siguiendo las instrucciones del Cliente. Las partes convienen en que el Contrato y este CTD constituyen instrucciones completas y finales del Cliente para el Tratamiento de Datos Personales.

2. El Contratista hará cuanto razonablemente esté en su mano desde el punto de vista comercial para seguir y cumplir las instrucciones adicionales que imparta el Cliente, siempre que sean técnicamente viables y no requieran modificaciones sustanciales de los Servicios (o del software subyacente). El Contratista y el Cliente deberán acordar por escrito instrucciones adicionales que podrán estar sujetas a costes adicionales. El Contratista notificará inmediatamente al Cliente si, en su opinión, una instrucción infringe la Legislación de Protección de Datos Aplicable.

3. En caso de que sean necesarias instrucciones adicionales impuestas por la Legislación de Protección de Datos Aplicable y el Contratista y el Cliente no lleguen a un acuerdo de conformidad con lo dispuesto en la cláusula 4.2 anterior, el Cliente podrá resolver el Contrato.

§5 Medidas técnicas y organizativas

1. El Contratista aplicará las medidas técnicas y organizativas que se describen en el Anexo 2. El Cliente confirma en este acto que el nivel de seguridad proporcionado es adecuado al riesgo inherente al Tratamiento que realiza el Contratista por cuenta del Cliente.

2. El Cliente entiende y acepta que las medidas técnicas y organizativas están sujetas al progreso y el desarrollo técnicos. A este respecto, el Contratista podrá aplicar medidas alternativas adecuadas siempre que se mantenga el nivel de seguridad de las medidas.

§6 Compromiso de respeto de la confidencialidad de los datos

1. El Contratista impondrá a todo el personal dedicado a la prestación de los Servicios la obligación de mantener la confidencialidad de los Datos Personales.

§7 Subencargados del Tratamiento

1. El Contratista solo podrá contratar a Subencargados del Tratamiento con la aprobación previa del Cliente, aprobación que no se denegará injustificadamente. El Cliente aprueba en este acto la contratación de los Subencargados que figuran en el sitio web del Contratista. El Contratista celebrará con cada Subencargado del Tratamiento un contrato en el que se impongan al Subencargado del Tratamiento obligaciones contractuales adecuadas que no sean menos garantistas que este CTD y, previa solicitud por escrito del Cliente, facilitará una copia del contrato correspondiente a menos que el contrato contenga información comercial o confidencial, en cuyo caso el Contratista podrá eliminar dicha información comercial o confidencial.

2. El Contratista podrá retirar o añadir nuevos Subencargados del Tratamiento. Los nuevos Subencargados del Tratamiento deberán contar con la aprobación del Cliente con arreglo al siguiente proceso:

2.1. Antes de autorizar que un nuevo Subencargado del Tratamiento acceda a los Datos Personales del Cliente, el Contratista deberá notificárselo al Cliente con al menos treinta (30) días de antelación.

2.2. Si el Cliente no plantea objeciones razonables por escrito al Contratista en dicho plazo de treinta (30) días, se considerará que ha aprobado al nuevo Subencargado, siempre que el Contratista haya informado al Cliente en la notificación sobre dicha consecuencia.

2.3. Si el Cliente plantea objeciones al Contratista, el Contratista podrá resolver el Contrato con un preaviso de diez (10) días, a menos que el Contratista decida, a su entera discreción, (a) seguir prestando el Servicio sin la contratación del Subencargado al que el Cliente se hubiera opuesto, (b) adoptar medidas suficientes para abordar las dudas planteadas en la objeción del Cliente o (c), de acuerdo con el Cliente, dejar de prestar el aspecto en concreto del Servicio que implicaría la intervención de ese Subencargado.

3. Si el Subencargado del Tratamiento no cumpliera sus obligaciones, el Contratista seguirá siendo plenamente responsable ante el Cliente del cumplimiento de las obligaciones del Subencargado del Tratamiento.

§8 Contacto para asuntos de privacidad de datos

1. Cada una de las partes comunicará a la otra parte el nombre y los datos de contacto de la persona de contacto para asuntos de privacidad de datos mediante la inclusión de esta información en el Anexo 1.

2. A menos que se acuerde expresamente lo contrario, el Contratista enviará toda la información y las notificaciones que deban cursarse al cliente en el marco de este CTD por escrito (para lo cual será suficiente un correo electrónico).

§9 Rectificación, supresión y limitación del Tratamiento

1. El Contratista rectificará, suprimirá o limitará el Tratamiento de Datos Personales siguiendo las instrucciones del Cliente.

§10 Obligaciones de notificación y apoyo del Contratista

1. En caso de Violación de la Seguridad de los Datos Personales, el Contratista se lo notificará al Cliente sin dilación indebida (y en todo caso, a más tardar 48 horas después de tener conocimiento de ello). El Contratista (i) cooperará razonablemente con el Cliente en la investigación de dicha Violación de la Seguridad de los Datos Personales, (ii) prestará asistencia razonable para que el Cliente cumpla sus obligaciones de notificación de violaciones de la seguridad de los datos en virtud de la Legislación de Protección de Datos Aplicable (si procede) y (iii) aplicará las medidas de corrección razonables que corresponda.

2. El Contratista notificará sin dilación indebida al Cliente (i) las reclamaciones o solicitudes de los interesados cuyos Datos Personales son objeto de Tratamiento de conformidad con este CTD (por ejemplo, en relación con la rectificación, la supresión y las limitaciones del Tratamiento de Datos Personales) o (ii) las órdenes o requerimientos de una autoridad de control o de un órgano jurisdiccional competente.

3. A petición del Cliente, el Contratista prestará asistencia razonable al Cliente para

3.1. que este trámite las reclamaciones, requerimientos u órdenes contempladas en la Cláusula 10.2; y

3.2. cumpla sus obligaciones derivadas de la Legislación de Protección de Datos Aplicable.

Dicha asistencia se prestará a expensas del Cliente y se compensará en función del tiempo y materiales dedicados, a menos que la responsabilidad sea imputable al Contratista.

§11 Auditorías

1. De conformidad con lo dispuesto en las Cláusulas 11.2 y 11.3 siguientes, El Cliente podrá verificar, por los medios apropiados, el cumplimiento por parte del Contratista y de los Subencargados del Tratamiento de las obligaciones de protección de datos contempladas en el presente Contrato de Tratamiento de Datos (en particular en relación con las medidas técnicas y organizativas), anualmente y cuando se produzca un incidente; dicha verificación se limitará a la información relativa a los sistemas de tratamiento de datos pertinentes para la prestación de los Servicios.

2. El Contratista y los Subencargados del Tratamiento podrán mantener certificaciones o informes de auditoría que recojan los Servicios de Tratamiento. El Cliente acepta que estas certificaciones e informes de auditoría se utilizarán para abordar los derechos de auditoría del Cliente en virtud de este CTD. A petición del Cliente, el Contratista facilitará los (i) extractos pertinentes de los informes de auditoría e (ii) información y documentación relativas a las certificaciones disponibles referidas a los Servicios en cuestión. Los informes de auditoría, la información y la documentación facilitados constituirán información confidencial del Contratista.

3. Únicamente en caso de que las certificaciones y los informes de auditoría facilitados no sean suficientes para que el Cliente cumpla los requisitos y obligaciones de auditoría aplicables en virtud de la Legislación de Protección de Datos Aplicable, el Cliente podrá, a sus expensas (i) solicitar información y documentación adicionales o (ii) previa notificación con una antelación razonable, auditar el entorno de control y las prácticas de seguridad pertinentes del Contratista en relación con los Datos Personales Tratados en el marco de este Contrato de Tratamiento de Datos sin perturbar las operaciones comerciales del Contratista y de conformidad con las políticas de seguridad del Contratista y la Legislación de Protección de Datos Aplicable.

§12 Vigencia y resolución

1. Este CTD tendrá la misma vigencia que el Contrato. Tras la resolución del CTD, a menos que las Partes acuerden otra cosa, el Contratista, dentro del plazo establecido en el Contrato, suprimirá todos los Datos Personales puestos a disposición del Contratista u obtenidos o generados por este en nombre del Cliente en relación con los Servicios. El Contratista confirmará la supresión por escrito previa solicitud.

 

ANEXO 1. Detalles de las operaciones de tratamiento y contactos para asuntos de Privacidad de Datos

1. Operaciones de tratamiento

Interesados:

Empleados y colaboradores autónomos del Cliente

Datos personales:

Datos utilizados en el proceso de programación de turnos, es decir, nombre del empleado, sus competencias, datos de contacto (por ejemplo, número de teléfono, dirección de correo electrónico), estado de la capacitación y asuntos similares

Categorías especiales de Datos Personales:

-/-

Fines del Tratamiento:

Según se define con mayor detalle en el Contrato. Incluye servicios en línea para Workforce Management o E-Learnings.

Duración:

La misma que el Contrato.

2. Personas de contacto

Persona de contacto del Contratista:

• Frank Trautmann, Delegado de Protección de Datos
• Correo electrónico: privacy@invision.de

Persona de contacto del Cliente:

• Nombre y cargo:
• Correo electrónico:

ANEXO 2: Medidas técnicas y organizativas con arreglo a lo dispuesto en el artículo 32 del RGPD

En este apartado se describen las medidas técnicas y organizativas para la protección de los Datos Personales («Medidas») que el Contratista adopta como mínimo en relación con el tratamiento que realiza el Contratista, teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas.

Si en el Contrato se acuerdan otras medidas o medidas especiales, se aplicarán dichas medidas especiales en lugar de o las medidas que se describen en este documento o además de estas.

I. Medidas básicas

Las Medidas básicas garantizan la protección de la confidencialidad y la integridad de los sistemas con los que el Contratista trata datos personales, especialmente mediante acceso remoto.  Estas Medidas se aplican a todos los tratamientos que realiza el Contratista a menos que se acuerde otra cosa en el contrato subyacente.

1. Organización interna de las operaciones

El Contratista ha designado a un delegado de protección de datos de la empresa.  Todos los empleados y subcontratistas del Contratista que tengan acceso a Datos Personales tienen la obligación de tratar los datos únicamente siguiendo instrucciones y exclusivamente para la prestación de los servicios acordados contractualmente.

Se conciencia a los empleados del Contratista respecto de las cuestiones relacionadas con la protección de datos y la seguridad informática mediante cursos de formación específicos.

2. Protección contra el acceso no autorizado

El Contratista no tiene un edificio de oficinas y todos los empleados del Contratista trabajan desde casa. Las siguientes disposiciones se aplican a la empresa matriz del Contratista, InVision AG, ubicada en Speditionstrasse 5, 40221 Düsseldorf, Alemania.

El edificio de oficinas de InVision AG está asegurado por un sistema electrónico de alarma de acceso/intrusión. Solo las personas que tienen un token debidamente autorizado tienen acceso al edificio y a áreas individuales. Fuera del horario de oficina, el edificio de oficinas también está asegurado por un sistema de alarma contra robos y es controlado por un guardia de seguridad.

Las áreas con mayores requisitos de seguridad, como la sede de TI, están adicionalmente monitoreadas por video y están cerradas de manera estándar. Existe un sistema de gestión de llaves dedicado.

Las autorizaciones de acceso se basan en las áreas de responsabilidad de los empleados. Se asignan de manera dedicada y se ajustan o retiran inmediatamente en caso de cambios en estas áreas de responsabilidad.

3. Protección de ordenadores

Cada empleado del Contratista utiliza un ordenador que tiene asignado. Para acceder a su ordenador, el empleado debe autenticarse en el dispositivo introduciendo su nombre de usuario y contraseña. Para reforzar aún más el nivel de protección de los ordenadores de los empleados, los discos duros de los ordenadores están cifrados por defecto, de manera que en caso de pérdida o robo ninguna persona no autorizada puede acceder a los datos locales.  La red interna del Contratista está protegida contra ataques externos mediante el uso de cortafuegos. El acceso a la WLAN interna está protegido por métodos de autenticación de última generación. La WLAN invitada está separada lógicamente de la WLAN interna. 

4. Protección de datos durante la transmisión, el transporte y el acceso remoto

Debe garantizarse que los Datos Personales no puedan leerse, copiarse, alterarse o suprimirse durante la transmisión electrónica o durante el transporte de los datos o el almacenamiento en soportes de datos.

Son de aplicación las siguientes medidas:

Los canales de comunicación electrónica están protegidos mediante el uso de redes cerradas y métodos de cifrado de datos. En caso del transporte físico de los soportes de datos, se utilizan procedimientos de transporte existentes y verificables para proteger frente a acceso no autorizado o pérdida de datos. Los soportes de datos se eliminan de una manera apropiada para la protección de los datos. Las conexiones de mantenimiento remoto están protegidas mediante procedimientos de cifrado adecuados.

II. Medidas específicas para los servicios en los que el Contratista conserva datos del Cliente en sistemas informáticos

Estas Medidas específicas garantizan la protección de la confidencialidad, la integridad, la disponibilidad y la resiliencia de los sistemas informáticos en los que el Contratista conserva Datos Personales. Estas Medidas se aplican cuando la conservación de datos representa un aspecto sustancial de los servicios contractuales por parte del Contratista y no es solo temporal.

1. Protección contra el Tratamiento no autorizado

El acceso a los Datos Personales en los sistemas informáticos se concede sobre la base de un concepto de autorización basado en la función que se realiza («necesidad de conocer»). Asimismo, se impide el acceso no autorizado a los Datos Personales cuando sea necesario mediante el cifrado de datos.

2. Garantía de trazabilidad

El acceso a los Datos Personales se registra en archivos que conservan el identificador y la marca horaria del usuario correspondiente.

3. Garantía de integridad, disponibilidad y estabilidad

El Contratista conserva Datos Personales utilizando sistemas redundantes, que están además protegidos contra pérdidas mediante medidas de seguridad adecuadas y aplicadas regularmente. La disponibilidad de los servicios de TI internos está garantizada por un concepto adecuado de respaldo. Periódicamente se llevan a cabo procesos de restauración para verificar la validez de las copias de seguridad disponibles. La empresa matriz del Contratista utiliza fuentes de alimentación ininterrumpida (SAI) para garantizar el suministro eléctrico en su sede informática.