Recrea Systems, S.L. (empresa del Grupo Visma) es el encargado del tratamiento y el Cliente es el responsable del tratamiento, denominados respectivamente "Encargado del tratamiento", "Responsable del tratamiento" o "Parte" y colectivamente las "Partes".
1. Introducción
1.1. Ambas Partes confirman que los abajo firmantes tienen poder para suscribir el presente acuerdo de tratamiento de datos ("Acuerdo").
1.2. El presente Acuerdo formará parte y regulará el tratamiento de datos personales vinculado a las Condiciones de uso de Quaderno ("Acuerdo de Servicio") entre las Partes.
2. Definiciones
2.1. La definición de datos personales, categorías especiales de datos personales (datos personales sensibles), tratamiento de datos personales, titular de los datos, responsable del tratamiento y encargado del tratamiento es equivalente a cómo se utilizan e interpretan dichos términos en la legislación de privacidad aplicable, incluido el Reglamento General de Protección de Datos de la UE 2016/679 ("RGPD").
3. Ámbito de aplicación
3.1. El Acuerdo regula el procesamiento de datos personales por parte del Encargado del tratamiento en nombre del Responsable del tratamiento, y describe cómo el Encargado del tratamiento contribuirá a garantizar la privacidad en nombre del Responsable del tratamiento y sus titulares de datos registrados, a través de medidas técnicas y organizativas de acuerdo con la legislación de privacidad aplicable, incluido el RGPD.
3.2. El propósito detrás del procesamiento de datos personales por parte del Encargado del tratamiento en nombre del Responsable del tratamiento es cumplir con el Acuerdo de Servicio.
3.3. El presente Acuerdo prevalece sobre cualquier disposición contradictoria relativa al tratamiento de datos personales en el Acuerdo de Servicio o en otros acuerdos anteriores o comunicaciones escritas entre las Partes.
3.4. El presente Acuerdo es válido durante el tiempo acordado en el Apéndice A.
4. Derechos y obligaciones del Encargado del tratamiento
4.1. El Encargado del tratamiento sólo tratará datos personales por cuenta del Responsable del tratamiento y de conformidad con sus instrucciones por escrito. Al suscribir el presente Acuerdo, el Responsable del tratamiento da instrucciones al Encargado del tratamiento para que trate los datos personales de la siguiente manera: i) únicamente de conformidad con la legislación aplicable, ii) para que cumpla todas las obligaciones con arreglo al Acuerdo de Servicio, iii) según se especifique en el uso ordinario de los servicios del Encargado del tratamiento por parte del Responsable del tratamiento y iv) según se especifica en el presente Acuerdo.
4.2. El Encargado del tratamiento no tiene motivos para creer que la legislación que le es aplicable le impida cumplir las instrucciones mencionadas anteriormente. El Encargado del tratamiento, en cuanto tenga conocimiento de ello, notificará al Responsable del tratamiento las instrucciones u otras actividades de tratamiento por parte del Responsable del tratamiento que, en opinión del Encargado del tratamiento, infrinjan la legislación aplicable en materia de privacidad.
4.3. Las categorías de titulares de los datos y de datos personales sujetos a tratamiento en virtud del presente Acuerdo se describen en el Apéndice A.
4.4. El Encargado del tratamiento garantizará la confidencialidad, integridad y disponibilidad de los Datos Personales de conformidad con la legislación sobre privacidad aplicable al Encargado del tratamiento. El Encargado del tratamiento aplicará medidas sistemáticas, organizativas y técnicas que garanticen un nivel de seguridad adecuado, teniendo en cuenta el estado de la técnica y el coste de aplicación en relación con el riesgo que represente el tratamiento, y la naturaleza de los datos personales que deban protegerse.
4.5. El Encargado del tratamiento asistirá al Responsable del tratamiento mediante las medidas técnicas y organizativas adecuadas, en la medida de lo posible y teniendo en cuenta la naturaleza del tratamiento y la información de que disponga el Encargado del tratamiento, en el cumplimiento de las obligaciones del Responsable del tratamiento en virtud de la legislación aplicable en materia de privacidad con respecto a la solicitud de los titulares de los datos, y el cumplimiento general en materia de privacidad en virtud de los artículos 32 a 36 del RGPD.
4.6. Si el Responsable del tratamiento requiere información o asistencia con respecto a las medidas de seguridad, documentación u otras formas de información sobre cómo el Encargado del tratamiento procesa los datos personales, y dichas solicitudes exceden la información estándar proporcionada por el Encargado del tratamiento para cumplir con la legislación de privacidad aplicable como Encargado del tratamiento, el Encargado del tratamiento puede cobrar al Responsable del tratamiento por dicha solicitud de servicios adicionales.
4.7. El Encargado del tratamiento y su personal garantizarán la confidencialidad de los datos personales objeto de tratamiento de conformidad con el Acuerdo. Esta disposición también se aplica tras la rescisión del Acuerdo.
4.8. El Encargado del tratamiento permitirá, mediante la notificación sin retrasos indebidos, al Responsable del tratamiento cumplir los requisitos legales relativos a la notificación a las autoridades de datos o a los interesados sobre incidentes relacionados con la privacidad.
Además, el Encargado del tratamiento notificará al Responsable del tratamiento, en la medida en que sea adecuado y lícito:
i) las solicitudes de divulgación de datos personales recibidas de un interesado,
ii) solicitudes de divulgación de datos personales por parte de autoridades gubernamentales, como la policía.
4.9. El Encargado del tratamiento se asegurará de que las personas que tengan derecho a tratar datos personales se hayan comprometido a mantener la confidencialidad o estén sujetas a una obligación legal adecuada de confidencialidad.
4.10. El Encargado del tratamiento no revelará información vinculada al presente Acuerdo a las autoridades gubernamentales, como la policía, en relación con los datos personales, salvo que esté obligado por ley, por ejemplo, mediante una orden judicial o una orden similar.
4.11. El Encargado del tratamiento no controla si el Responsable del tratamiento utiliza integraciones de terceros a través de la API del Encargado del tratamiento o similares, ni la forma en que lo hace, por lo que el Responsable del tratamiento no asume ningún riesgo a este respecto. El Responsable del tratamiento es el único responsable de las integraciones de terceros.
4.12. El Encargado del tratamiento podrá tratar datos personales sobre los usuarios y el uso del servicio por parte del Responsable del tratamiento cuando sea necesario para obtener comentarios y mejorar el servicio. El Responsable del tratamiento concede al Encargado del tratamiento el derecho a utilizar y analizar los datos agregados de actividad del sistema asociados a su uso de los servicios con el fin de optimizar, mejorar o perfeccionar la forma en que el encargado del tratamiento presta los servicios y permitirle crear nuevas características y funcionalidades en relación con los servicios. Visma se considerará el Responsable del tratamiento para dicho tratamiento y, por lo tanto, el tratamiento no está sujeto al presente Acuerdo.
4.13. Al utilizar el servicio, el Responsable añadirá datos al Software ("Datos del cliente"). El Responsable del tratamiento reconoce y no se opone a que el Encargado del tratamiento utilice los datos del cliente en un formato agregado y anonimizado para mejorar los servicios prestados a los clientes, con fines de investigación, formación, educativos y/o estadísticos.
5. Derechos y obligaciones del interventor
5.1. El Responsable del tratamiento confirma mediante la firma del presente Acuerdo que:
- El Responsable del tratamiento tiene autoridad legal para procesar y revelar al Encargado del tratamiento (incluido cualquier subencargado del tratamiento utilizado por el Encargado del tratamiento) los datos personales en cuestión.
- El Responsable del tratamiento es responsable de la exactitud, integridad, contenido, fiabilidad y licitud de los datos personales comunicados al Encargado del tratamiento.
- El Responsable del tratamiento ha cumplido sus obligaciones de proporcionar información pertinente a los interesados y a las autoridades en relación con el tratamiento de los datos personales de conformidad con la legislación obligatoria en materia de protección de datos.
- El Responsable del tratamiento, al utilizar los servicios prestados por el Encargado del tratamiento en virtud del Acuerdo de Servicio, no comunicará ningún dato personal sensible al Encargado del tratamiento, a menos que así se acuerde explícitamente en el Apéndice A del presente Acuerdo.
6. Uso de subencargados del tratamiento y transferencia de datos
6.1. Como parte de la prestación de servicios al Responsable del tratamiento de conformidad con el Acuerdo de Servicio y el presente Acuerdo, el Encargado del tratamiento hará uso de subencargados y el Responsable del tratamiento da su consentimiento general al uso de subencargados. Dichos subencargados pueden ser otras empresas del grupo Visma o terceros subencargados externos. El Responsable del tratamiento se asegurará de que los subencargados del tratamiento acepten asumir las responsabilidades correspondientes a las obligaciones establecidas en el presente Acuerdo.
6.2. En el Trust Center de Visma puede consultarse una relación de los actuales subencargados del tratamiento con acceso a datos personales: https://www.visma.com/trust-centre-products/quaderno. El Encargado del tratamiento podrá contratar como subencargados del tratamiento a otras empresas del Grupo Visma ubicadas en la UE / EEE sin que la empresa Visma figure en el Centro de Confianza y sin necesidad de aprobación o notificación previa al Responsable del tratamiento. Por lo general, esto se hace con fines de desarrollo, asistencia, operaciones, etc. El Responsable del tratamiento podrá solicitar información más detallada sobre los subencargados del tratamiento.
6.3. Si los subencargados del tratamiento están situados fuera de la UE o del EEE, el Responsable del tratamiento autoriza al Encargado del tratamiento a garantizar la existencia de fundamentos jurídicos adecuados para la transferencia de datos personales fuera de la UE / EEE en nombre del Responsable del tratamiento, mediante la suscripción de Cláusulas Contractuales Tipo (CCC) de la UE.
6.4. El Responsable del tratamiento será notificado con antelación de cualquier cambio de los subencargados del tratamiento de datos personales. Si el Responsable del tratamiento se opone a un nuevo subencargado del tratamiento en un plazo de 30 días a partir de la notificación, el Encargado del tratamiento y el Responsable del tratamiento revisarán la documentación de los esfuerzos de cumplimiento del subencargado del tratamiento para garantizar el cumplimiento de la legislación aplicable en materia de privacidad. Si el Responsable del tratamiento sigue oponiéndose y tiene motivos razonables para ello, el Responsable del tratamiento no podrá reservarse el uso de dicho subencargado del tratamiento (debido, en particular, a la naturaleza del software estándar en línea), pero el Responsable del tratamiento podrá rescindir el Acuerdo de Servicio para el que se esté utilizando el subencargado del tratamiento en litigio.
7. Seguridad
7.1. El Encargado del tratamiento se compromete a proporcionar un alto nivel de seguridad en sus productos y servicios. El Encargado del tratamiento proporciona su nivel de seguridad a través de medidas de seguridad organizativas, técnicas y físicas, de acuerdo con los requisitos sobre medidas de seguridad de la información descritos en el artículo 32 del RGPD.
7.2. El Responsable del tratamiento será responsable de la seguridad apropiada y adecuada de los equipos y del entorno informático bajo su responsabilidad.
8. Derechos de auditoría
8.1. El Responsable del tratamiento podrá auditar el cumplimiento del presente Acuerdo por parte del Encargado del tratamiento hasta una vez al año. Si así lo exige la legislación aplicable al Responsable del tratamiento, éste podrá solicitar auditorías con mayor frecuencia. Para solicitar una auditoría, el Responsable del tratamiento deberá presentar al encargado un plan de auditoría detallado al menos cuatro semanas antes de la fecha propuesta para la auditoría, en el que se describa el alcance, la duración y la fecha de inicio de la auditoría propuestos. Si la auditoría va a ser realizada por un tercero, por regla general deberá ser acordada por las partes. No obstante, si el entorno de tratamiento es un entorno multiusuario o similar, el responsable del tratamiento autoriza al encargado del tratamiento a decidir, por motivos de seguridad, que las auditorías sean realizadas por un auditor tercero neutral elegido por el encargado del tratamiento.
8.2. Si el alcance de la auditoría solicitada se aborda en un informe de garantía ISAE, ISO o similar realizado por un auditor externo cualificado en los doce meses anteriores, y el Encargado del tratamiento confirma que no hay cambios materiales conocidos en las medidas auditadas, el Responsable del tratamiento acuerda aceptar dichas conclusiones en lugar de solicitar una nueva auditoría de las medidas cubiertas por el informe.
8.3. En cualquier caso, las auditorías deberán realizarse durante el horario laboral habitual en las instalaciones correspondientes, con sujeción a las políticas del Encargado del tratamiento, y no podrán interferir de forma injustificada en las actividades comerciales del Encargado del tratamiento.
8.4. El Responsable del tratamiento correrá con los gastos derivados de las auditorías solicitadas por el Responsable del tratamiento. Las solicitudes de asistencia del Encargado del tratamiento podrán estar sujetas al pago de tasas.
9. Duración y rescisión
9.1. El presente Acuerdo será válido mientras el Encargado del tratamiento trate datos personales por cuenta del Responsable del tratamiento tras el Acuerdo de Servicio o según se acuerde de otro modo en el Apéndice A.
9.2. El presente Acuerdo quedará resuelto automáticamente tras la resolución del Acuerdo de Servicio. Tras la rescisión del presente Acuerdo, el Responsable del tratamiento eliminará o devolverá los datos personales tratados por cuenta del Responsable del tratamiento, de conformidad con las cláusulas aplicables del Acuerdo de Servicio. Dicha supresión tendrá lugar tan pronto como sea razonablemente posible, a menos que la legislación local o de la UE exija un almacenamiento posterior. A menos que se acuerde lo contrario por escrito, el coste de dichas acciones se basará en: i) las tarifas horarias por el tiempo empleado por el Responsable del tratamiento y ii) la complejidad del proceso solicitado.
10. Cambios y modificaciones
10.1. Las modificaciones del presente Acuerdo se regirán por la(s) cláusula(s) de modificaciones del Acuerdo de Servicio.
10.2. En caso de que alguna de las disposiciones del presente Acuerdo quedará sin efecto, ello no afectará al resto de las disposiciones. Las Partes sustituirán la disposición nula por una disposición legal que refleje el propósito de la disposición nula.
11. Responsabilidad
11.1. Para evitar cualquier duda, las Partes acuerdan y reconocen que cada una de ellas será responsable del pago de multas administrativas y daños y perjuicios directamente a los titulares de los datos que la Parte haya sido obligada a pagar por las autoridades de protección de datos o los tribunales autorizados de conformidad con la legislación aplicable en materia de privacidad. Las cuestiones de responsabilidad entre las Partes se regirán por las cláusulas de responsabilidad del Acuerdo de Servicio entre las Partes.
12. Ley aplicable y jurisdicción
12.1. El presente Acuerdo está sujeto a la legislación aplicable y al fuero legal establecido en el Acuerdo de Servicio entre las partes.
Apéndice A - Titulares de los datos, tipos de datos personales, finalidad, naturaleza y duración
A.1 Categorías de interesados
- Clientes y proveedores del Responsable del tratamiento.
A.2 Categorías de datos personales
- Información de contacto, como nombre, teléfono, dirección, correo electrónico, etc.
- dirección IP del dispositivo
- datos de identificación financiera como número de cuenta bancaria, facturas y facturas rectificativas.
A.3 Categorías especiales de datos personales (datos personales sensibles)
Para que el Encargado del tratamiento pueda tratar dichos datos por cuenta del Responsable del tratamiento, los tipos de datos personales sensibles en cuestión deben ser especificados a continuación por el Responsable del tratamiento.
El Responsable del tratamiento también es responsable de informar al Encargado del tratamiento de cualquier tipo adicional de datos personales sensibles, y de especificarlo a continuación, de conformidad con la legislación aplicable en materia de protección de la intimidad.
| El encargado del tratamiento tratará, por cuenta del responsable del tratamiento, la información relativa a: | Sí | No |
| origen racial o étnico, o convicciones políticas, filosóficas o religiosas, | x | |
| información sanitaria, | x | |
| orientación sexual, | x | |
| afiliación sindical | x | |
| datos genéticos o biométricos | x |
A.4 Finalidad del tratamiento
La finalidad del tratamiento de datos personales por parte del Encargado del tratamiento por cuenta del Responsable del tratamiento es la prestación de servicios de conformidad con el Acuerdo de Servicio.
A.5 Naturaleza del tratamiento
El tratamiento de datos personales por parte del Encargado del tratamiento por cuenta del Responsable del tratamiento se refiere principalmente a la prestación de los servicios de Quaderno al Responsable del tratamiento.
A.6 Duración del tratamiento
La duración del tratamiento de los datos de carácter personal será mientras se aplique el Acuerdo de Servicio.