Apéndice del procesamiento de datos

 

Este apéndice forma una parte integral del contrato del que forman parte:

 

  1. (i) El cliente ("Exportador de Datos")
  2. (ii) IQUALIF ("Importador de Datos")

 

Cada uno de ellos se considera "Parte" y comúnmente "Partes".

 

Preámbulo

DONDE el Importador de Datos proporcina servicios de software, ordenadores y otros relacionados (tales como navegadores con funciones de búsqueda avanzadas);

DONDE en virtud del Contrato, el Importador de Datos ha acordado proporcionar los Exportador de Datos los servicios especificados en el Contrato (los "Servicios");

DONDE, proporcionando los Servicios, el Importador de Datos recibe o se beneficia del acceso de la información del Exportador de Datos o de la información de otras personas teniendo una (potencial) relación con el Exportador de Datos, tal información podría ser calificada como datos personales de acuerdo con la Regulación (EU) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 sobre la protección y protección de los datos personales y sobre la libre distribución de tales datos ("GDPR") y otra legislación aplicable sobre protección de datos.

DONDE este Apéndice contiene los términos y condiciones aplicables para la recolección, procesamiento, y el uso de esos datos personales por el Importador de Datos y su capacidad como agente autorizado para el procesamiento fe datos del Exportador de Datos y asegurar que las partes cumplen con la legislación aplicable acerca de la ley de protección.

POR TANTO, y para permitir a las Partes continuar su relación de manera legal, las Partes concluyen este Apéndice como sigue:

Parte 1

1. Estructura del documento y definiciones 

1.1 Estructura

Este Apéndice comprende las siguientes partes:

 

Parte 1: 

contiene las disposiciones generales, p. ej. respecto a las definiciones usadas en este Apéndice, cumplimiento de las leyes locales, plazos y rescisión

 

Parte 2:

contiene el cuerpo del documento de las Cláusulas Contractuales Estándar sin modificaciones

Apéndice 1.1 de la Parte 2:

contiene los detalles de las operaciones del procesamiento proporcionado por el Importador de Datos y el Exportador de Datos como agente autorizado del procesamiento de datos (incluyendo el procesamiento, naturaleza, y propósito del procesamiento, el tipo de datos personales, y las categorías de las personas a las que se refieren los datos) bajo este Apéndice

Apéndice 2 de la Parte 2:

contiene una descripción de las medidas de seguridad organizacional y técnicas del Importador de Datos las cuales se aplican en conexión con toda las actividades de procesamiento descritas en el Apéndice 1.1. de la Parte 2

Parte 3:

contiene las firmas de las Partes vinculadas en este Apéndice e identifica a cada Importador de Datos

 

1.2 Terminología y Definiciones

Para los propósitos de este Apéndice, la terminología y las definiciones usdas por la GDPR son aplicables (en el cuerpo del documento de Cláusula Contractual Estándar en la Parte 2, donde los términos definidos no están en mayúscula).

"Estado del Miembro"

means a country belonging to the European Union or the European Economic Area

 

"Categorías especiales de datos (personales)"

se refiere a datos personales que revelen origen étnico o racial, opiniones políticas, creencias religiosas o filosóficas, o afiliciación sindical, y datos genéticos, biométricos, si se procesan para el propósito único de identificar a la persona, datos referentes a la salud, datos referentes a la orientación o vida sexual de una persona.

"Cláusulas contractuales estándar"

significa las Cláusulas Contractuales Tipo para la transferencia de datos personales de los agentes de procesamiento establecidos en terceros países, bajo la Decisión de la Comisión2010/87/EU el 5 de febrero de 2010, que fue modificada por la Decisión de Ejecución (UE) 2016/2297 de la Comisión el 16 de diciembre de 2016.

“Procesador de Datos”

significa cualquier agente de procesamiento, ubicado dentro o fuera de la UE/EEE, que acepta recibir del Importador de Datos o cualquier otro procesador del Importador de datos, datos personales con el propósito exclusivo de las actividades de procesamiento que debe llevar a cabo el Exportador de Datos después del transferir de acuerdo con las instrucciones del Exportador de datos, los términos de este Apéndice y el Contrato con el Importador de Datos

2. Obligaciones del Exportador de Datos

2.1 El Exportador de Datos tiene la obligación de asegurarse del cumplimiento de todas las obligaciones aplicables bajo la GDPR y cualquier otra ley de protección de datos que aplica al Exportador de Datos y mostrar el cumplimiento como se requiere por el Artículo 5 (2) de la GDPR. El Exportador de Datos garantiza que el Importador de Datos ha obtenido anteriormente el consentimiento previo de los interesados ​​según el artículo 6 (a) del GDPR y ha cumplido con su obligación de informar a los interesados ​​de acuerdo con los artículos 13 y 14 del GDPR.

2.2 El Exportador de Datos debe proporcionar al Inportador de Datos con los respectivos archivos de las actividades de procesamiento de acuerdo con el artículo 30 (1) del GDPR relacionado a los Servicios bajo este Apéndice, en la medida necesaria para que el Importador de Datos cumpla con la obligación bajo el Artículo 30 (2) del GDPR.

2.3 El Exportador de Datos debe designar a un delegado o representante de protección de datos en la medida en que lo requiera la ley de protección de datos aplicable. El Exportador de Datos está obligado a proporcionar los datos de contacto del agente o representante de protección de datos, si lo hubiera, al Importador de Datos.

2.4. El Exportador de Datos confirma antes de la finalización del procesamiento, mediante la aceptación de este Apéndice, que las medidas de seguridad técnicas y organizativas del Importador de Datos, como se establece en el Apéndice 2 de la Parte 2, son apropiadas y suficientes para proteger los derechos del interesado. y confirma que el Importador de Datos proporciona suficientes garantías a este respecto.

 

3. Cumplimiento de la legislación local 

Para cumplir con los requisitos de implementación de los agentes de procesamiento según el artículo 28 del GDPR, son aplicables las siguientes modificaciones:

3.1 Instrucciones

  1. (i) El Exportador de Datos le da instrucciones al Importador de Datos para procesar los datos se proporcionan este Apéndice y en el Contrator. El Exportador de Datos tiene la obligación de asegurar que todas las instrucciones que se le den al Importador de Datos cumplen con las leyes de protección de datos que sean aplicables. El Importador de Datos debe procesar los datos personales solo de acuerdo con las instrucciones proporcionadas por el Exportador de datos, a menos que la Unión Europea o la ley del Estado miembro exijan lo contrario (en este último caso, se aplica la Cláusula 3.2 (iv) (c) de la Parte 1).
  2. (ii) El resto de instrucciones van más allá de las instrucciones de este Apéndice o en el Contrator deben incluirse en el asuton de este Apéndice y el Contrato. Si implementar esta instrucción adicional tiene algún coste adicional para el Importador de Datos, éste deberá informar al Exportador de Datos de esta situación y proporcionar una explicación antes de implementar la instrucción. Solo tras que el Exportador de Datos haya confirmado la aceptación de estos costes para implentar la instrucción, el Importador de Datos podrá implementar esta instrucción. El Exportador de Datos debe dar instrucciones adicionales escritas a menos que la urgencia de otras circunstancias requieran otra forma (por ejemplo: de forma oral, electrónica). Las instrucciones en otra forma que no sea la escrita, deben confirmarse de manera escrita y sin ningún retraso por parte del Exportador de Datos.
  3. 1. A menos que el Exportador de Datos no pueda llevar a cabo la rectificación, supresión, y/o la restricción de datos por sí mismo, las instrucciones también tienen que relacionarse con la rectificación, eliminación y/o restricción de los datos personales como se establece en la Cláusula 3.3. de la Parte 1.
  4. 2. El Ïmportador de Datos debe informar inmediatamente al Exportador de Datos si, en su opinión, una Intrucción viola la GDRP u otra protección de datos proporcionada por la Unión Europea o Estado Miembro ("Instrucción en Disputa"). Si el Importador de Datos cree que una instrucción infringe la GDPR o la protección de datos aplicables prorporcionadas por la Unión Europea o Estado Miembro, el Importador de Datos no está obligado a seguir la Instrucción en Disputa. Si el Exportador de Datos confirma que la Instrucción Impugnada una vez recibida la información del Importador de Datos y reconoce su responsabilidad por la Instrucción Impugnada, el Importador de Datos implementará la Instrucción Impugnada, a menos que la Instrucción Impugnada se relacione con (i) la implementación de medidas técnicas y organizativas, (ii) los derechos de los interesados ​​o (iii) la contratación de los Procesadores de Datos. En los casos (i) a (iii), el Importador de Datos puede contactar a una autoridad de control competente para que la Instrucción Impugnada sea evaluada legalmente por dicha autoridad. Si la autoridad supervisora ​​declara que la Instrucción Impugnada es legal, el Importador de Datos deberá implementar la Instrucción impugnada. La Cláusula 3.1 (ii) de la Parte 1 seguirá siendo aplicable.

3.2 Obligaciones de los Importadores de Datos

  1. (i) El Importador de Datos debe asegurarse que las personas autorizadas por el Importador de Datos para procesar datos personales en el nombre del Exportador de Datos, en particular, los empleados del Importador de Datos y empleados de cualquier subcontratista que se haya comprometido a respetar la confidencialidad, y que tales personas que ha tenido acceso a los datos personales para procesarlos según las instrucciones del Exportador de Datos.
  2. (ii) El Importador de Datos debe implementar las medidas de seguridad técnicas y organizacionales según lo que se indica en la Parte 2 del Apéndice 2, antes de procesar los datos personales en nombre del Exportador de Datos. El Importador de Datos, debería cambiar las medidas de seguridad técnicas y organizacionales de tiempo en tiempo si no proporcionan menos protección que las indicadas en el Apéndice 2 Parte 2.
  3. (iii) El Importador de Datos pondrá a disposición del Exportador de Datos, a solicitud del Exportador de Datos, información para demostrar el cumplimiento de las obligaciones del Importador de Datos bajo este Apéndice. Las Partes acuerdan que esta obligación de información se cumple proporcionando al Exportador de Datos un informe de auditoría (que cubra la seguridad de los principios, la disponibilidad del sistema y la confidencialidad) ("Informe de auditoría"). Si se requieren legalmente actividades de auditoría adicionales, el Exportador de Datos puede solicitar que las inspecciones sean realizadas por el Exportador de Datos u otro Auditor designado por el Exportador de Datos, sujeto a la ejecución por dicho auditor de un acuerdo de confidencialidad con el Importador de Datos para el Importador de Datos de satisfacción razonable ("Auditoría"). Esta Auditoría es asunto de las siguientes condiciones: (i) antes de la aceptación formal excrita del Importador de Datos; y (ii) el Exportador de Datos asumirá todos los costos relacionados con la auditoría in situ para el Exportador de Datos y el Importador de Datos. El Exportador de Datos debe crear un informe de auditoría resumiendo los resultados y las observaciones de la Auditoría In Situ ("Informe de Auditoría In-Situ"). Los Informes de Auditoría In Situ, y los Informes de Auditoría, son información confidencial del Importador de Datos y no debe ser divulgsdo a terceros a menos que así lo requiera la Ley de Protección de Datos aplicable o de acuerdo con el consentimiento del Importador de Datos.
  4. (iv) El Importador de Datos tiene la obligación de notificar al Exportador de Datos sin dilaciones indebidas:
    1. a. con respecto a cualquier solicitud legalmente vinculante para la divulgación de datos personales por parte de una autoridad encargada de hacer cumplir la ley, a menos que esté prohibido de otra manera, como una prohibición bajo la ley penal para proteger la confidencialidad de una investigación policial
    2. b. con respecto a cualquier queja y solicitud recibida directamente de un asunto de datos (por ejemplo, con respecto al acceso, rectificación, eliminación, restricción de procesamiento, portabilidad de datos, objeción al procesamiento de datos, toma de decisiones automatizada) sin responder a esa solicitud, a menos que el Importador de Datos haya sido autorizado a hacerlo así
    3. c. si el Importador de Datos y el Procesador de Datos está obligado, bajo la ley de la Unión Europea o Estaods miembros en los cuales el Importador de Datos o el Procesador de Datos es subjeto, para procesar los datos personales más allá de las instrucciones de los Exportadores de Datos, antes de llevar a cabo dicho procesamiento más allá de las instrucciones, a menos que las leyes de la Unión Europea o del Estado miembro prohíban dicho procesamiento por motivos de interés público vital, en cuyo caso la notificación al exportador de datos especificará el requisito legal en virtud de esa ley de la Unión Europea o del Estado miembro; o
    4. d. si el Importador de Datos realiza un infringimiento de los datos personales, únicamente por sí mismo o por su subcontratista, lo que afectaría a los datos personales del Exportador de Datos cubiertos por el presente contrato, en cuyo caso el Importador de Datos asistirá al Exportador de Datos en su obligación, en relación con la ley de protección de datos aplicable, informar a los interesados ​​y, en su caso, a las autoridades de control facilitando la información a su disposición, de conformidad con el Artículo 33 (3) de la GDRP.
    5. (v) A solicitud del Exportador de Datos, el Importador de Datos estará obligado a ayudar al exportador de Datos en su obligación de llevar a cabo una evaluación de impacto de protección de datos que puede ser requerida por el Artículo 35 del GDPR y una consulta previa que puede ser requerida por el Artículo 36 del GDPR en relación con los servicios prestados por el Importador de Datos al Exportador de Datos en virtud de este Apéndice, proporcionando la información necesaria al Exportador de Datos. El Importador de Datos solo estará obligado a proporcionar dicha asistencia si el Exportador de datos no puede cumplir con su obligación por otros medios. El Importador de Datos informará al Exportador de Datos del costo de dicha asistencia. Tan pronto como el Exportador de Datos haya confirmado que puede asumir este costo, el Importador de Datos proporcionará esta ayuda al Exportador de Datos.

 

3.3 Derechos de las personas interesadas

  1.  
    1. (i) El Exportador de Datos gestiona y responde a las solicitudes hechas respecto los asuntos de los datos. El Importador de Datos no está obligado a responder directamente a los interesados. 
    2. (ii) Si el Exportador de Datos precisa la ayuda del Importador de Datos para procesar y responder a las solicitudes del interesado, el Exportador de Datos emitirá una instrucción adicional de acuerdo con la cláusula 3.1 (ii) de la Parte 1. El Importador de Datos asistirá el Exportador de Datos con las siguientes medidas técnicas y organizacionales para responder a la solicitud para el ejercicio de los derechos del interesado de los derechos de los interesados ​​establecidos en el Capítulo III del GDRP de la siguiente manera:
    3. a. Con respecto a las solicitudes de información, el Importador de Datos solo proporcionará al Exportador de Datos la información requerida por los Artículos 13 y 14 de la GDPR que pueda tener a su disposición si el Exportador de Datos no puede encontrarla por sí solo.
    4. b. Con respecto a la solicitudes de acceso (Artículo 15 de GDPR), el Importador de Datos únicamente proporcionará al Exportador de Datos la información que supuestamente debe ser proporcionada al interesado para dicha solicitud de acceso, que puede tener a su disposición si este último no puede encontrarla por sí solo.
    5. c. Con respecto a las solicitudes de rectificación (Artículo 16 de la GDPR), solicitudes para eliminación (Artículo 17 de la GDPR), restricción de solicitudes de procesamiento (Artículo 18 del GDPR) o solicitudes de portabilidad (Artículo 20 del GDPR), y solo si el Exportador de Datos no puede por sí mismo rectificar o borrar, limitar o transmitir los datos personales a otra tercera parte, el Importador de Datos ofrecerá al Exportador de Datos la posibilidad de rectificar o borrar, limitar, o transmitir los datos pernales concernientes a la otra tercera parte, o si esto no es posible, prorporcionará la ayuda para rectificar o eliminar, limitar o transmitir a la otra tercera parte los datos personales afectados.
    6. d. Con respecto a la notificación relacionada con la rectificación, el borrado o la restricción del procesamiento (Artículo 19 del RGPD), el Importador de Datos ayudará al Exportador de Datos notificando a todos los destinatarios de los datos personales contratados por el Importador de Datos como procesadores si el Exportador de Datos así lo solicita y si el Exportador de Datos no puede remediar la situación por sí solo.
    7. e. Con respecto al derecho de oposición ejercido por un interesado (Artículos 21 y 22 del GDPR), el Exportador de Datos determinará si la oposición es legítima y cómo tratarla.
    8. (iii) Las obligaciones de asistencia del Importador de Datos se limitan a los datos personales procesados ​​dentro de su infraestructura (por ejemplo, bases de datos, sistemas, aplicaciones propiedad del Importador de datos o proporcionadas por él).
    9. (iv) El Exportador de Datos determinará si la Persona Interesada puede ejercer los derechos de Personas Interesadas establecidos en la Cláusula 3.1 de esta Parte 1 y deberá informar al Importador de Datos de la medida en que la asistencia especificada en las cláusulas 3.3 (ii), (iii) de la Parte 1 es necesaria.
    10. (v) Si el Exportador de Datos requiere medidas adicionales o técnicas modificadas y organizativas para conocer los derechos de las Personas Interesadas que van más allá de la asistencia proporcionadas por el Importador de Datos bajo la Subcláusula 3.3 (ii) (iii) de la Parte 1, el Importador de Datos deberá informar al Exportador de Datos de los costes de implementar estas medidas adicionales o técnicas modificadas y organizacionales. Tan pronto como el Exportador de Datos hata confirmado que puede hacer frente a esos costes, el Importador de Datos debe implementar las medidas adicionales o técnicas modificadas y organizativas para asistir al Exportador de Datos en respuesta a las solicitudes de las Personas Interesadas.
    11. (vi) Sin limitar el alcance de la Cláusula 3.3 (v) de la Parte 1, el Exportador de Datos estará obligado a reembolsar al Importador de Datos los gastos razonables en que incurrió para responder a las solicitudes de los Interesados. 

3.4 Sub-tratamiento

  1.  
    1. (i) El Exportador de Datos autoriza al Importador de Datos a hacer uso de subcontratistas para proporcionar los servicios bajo este Apéndice. El Importador de Datos deberá seleccionar los procesadores de Datos de manera cuidadosa. El Exportador de Datos aprueba los procesadores de Datos listados en el Apéndice 1.1 al final de la Parte 2.
    2. El Exportador de Datos autoriza el uso de subcontratistas por parte del Importador de Datos para la prestación de servicios en virtud de este Apéndice. El Importador de Datos eberá seleccionar el/los Procesador/es de Datos con sumo cuidado. El Exportador de Datos aprueba el/los Procesador/es de Datos listados en el Apéndice 1.1 al final de la Parte 2.
    3. (ii) El Importador de Datos podrá transferir sus obligaciones bajo este Apéndice a el/los Procesador/es de Datos en la medida que sea aplicable a los servicios subcontratados.
    4. (iii) El Importador de Datos podría despedir, reemplazar o designar otro Procesador de Datos apropiado y confiable a su discreción. Si así lo solicita por escrito el Exportador de Datos, el Importador de Datos debe seguir el procedimiento que se describe a continuación:
  2.  
    1. a. El Importador de Datos informará al Exportador de Datos antes de cualquier cambio en la lista de Procesadores de Datos a la que se hace referencia en la cláusula 3.4 (b) de la Parte 1 treinta días después de recibir la notificación del Importador de Datos, los Procesadores de Datos adicionales se considerarán aceptados.
    2. b. Si el Exportador de Datos tiene una razón legítima para oponerse a un Pocesador de Datos adicional, el Importador de Datos será notificado previamente por escrito en los treinta días posteriores a la recepción de la notificación del Importador de Datos y antes de que el servicio del Importador de Datos se ponga en funcionamiento. Si el Exportador de Datos se opone al uso de un Procesador de Datos adicional, el Importador de Datos puede eliminar la objeción mediante una de las siguientes opciones (elegidas a su discreción): (A) el Importador de Datos cancelará sus planes para usar un Procesador adicional de acuerdo a los datos personales del Exportador de Datos; (B) el Importador de Datos tomará medidas correctivas solicitadas por el Exportador de Datos en su objeción (cancelando la objeción) y utilizará el procesador adicional con respecto a los datos personales del Exportador de Datos; (C) el Importador de Datos podría cesar para proporcionar o el Exportador de datos puede acordar no usar (temporal o permanentemente) un aspecto particular del servicio que implicaría el uso del procesador adicional del Exportador de Datos de los datos personales del Exportador de datos.
  3.  
    1. (iv) si el Procesador de Datos tiene su sede fuera de la UE-EEE en un país que no está reconocido por ofrecer un nivel adecuado de protección de datos tras una decisión de la Comisión Europea, el Importador de Datos tomará las medidas correspondientes para completarlas con el nivel adecuado de protección de datos en concordancia con GDPR (tales medidas podrían incluir - entre otras - el uso de los contractos del procesamiento de datos basado en las cláusulas del Modelo de la UE, transferencia a procesadores de datos autocertificados en el marco del Escudo de protección UE-EE. UU. o un programa similar).

3.5 Expiración

El vencimiento de este Apéndice es idéntico a la fecha de vencimiento del Contrato correspondiente. Salvo que se disponga lo contrario en este Apéndice, los derechos y deberes relacionados con la rescisión serán los mismos que los contenidos en el Contrato.

 

4. Limitación de responsabilidad

4.1 Cada parte maneja sus obligaciones bajo este Apéndice y la legislación de protección de datos aplicable.

4.2  Cualquier responsabilidad relacionada con el incumplimiento de las obligaciones en virtud de este Apéndice o de la legislación de Protección de Datos aplicable estará sujeta y regida por las diposiciones de responsabilidad establecidas en el Contrato o aplicables al mismo, salvo que se disponga lo contrario en este Apéndice. Si la responsabilidad se rige por las disposiciones de responsabilidad establecidas en el Contrato o aplicables al mismo, para calcular los límites de responsabilidad o determinar la aplicación de otras limitaciones de responsabilidad, cualquier responsabilidad que surja en virtud de este Apéndice se considerará derivada del Contrato.

5. General provisions

5.1 Si hay algunas inconsistencia o discrepancias entre la Parte 1 y 2 de este Apéndice, la Parte 2 prevalecerá sobre la primera. Especificamente, incluso cuando la Parte 1 vaya más allá que la Parte 2 (por ejemplo en términos de las cláusulas Estándar) sin contradecir si permanecerá siendo válidad.

5.2 Si surge alguna discrepancia entre las disposiciones de este Apéndice y las de otros contratos que obliguen a las partes, este Apéndice prevalecerá con respecto a las obligaciones de protección de datos de las partes. En caso de duda sobre si las cláusulas de otros contratos se refieren a las obligaciones de protección de datos de las partes, prevalecerá este Apéndice.

5.3 Si alguna disposición de este Apéndice es inválida o no se puede aplicar, el resto de este Apéndice permanecerá en pleno vigor y efecto. La disposición inválida o inaplicable será (i) modificado para asegurar su validez y aplicabilidad, preservando en la medida de lo posible la intención de las partes, o - si esto no es posible - (ii) interpretado como si la parte inválida o no aplicable nunca hubiera sido parte del contrato. Lo anterior también se aplicará si hay una omisión en este Apéndice.

5.5 En la medida necesaria, las Partes podrán solicitar enmiendas a la Parte 1, Cláusula 3 (Cumplimiento de la legislación local) u otras partes del Apéndice para cumplir con las interpretaciones, directivas u órdenes emitidas por las autoridades competentes de la Unión o del Estados, disposiciones de aplicación nacional o cualquier otro desarrollo legal relacionado con el GDPR u otras condiciones de delegación a cualquier entidad involucrada en el procesamiento de datos y específicamente con respecto al uso de las Cláusulas Contractuales Estándar en el GDPR. Los términos de las Cláusulas Contractuales Estándar no pueden ser modificados o reemplazados a menos que la Comisión Europea lo apruebe expresamente (por ejemplo, mediante nuevas cláusulas adecuadas y estándares de protección de datos).

5.6 Cualquier referencia en este Apéndice a las "Cláusulas" se entenderá que se refiere a todas las disposiciones de este Apéndice a menos que se indique lo contrario.

5.7 La elección de la ley en la Parte 2, Cláusula 9 se aplica a todo el Contrato.

6. Datos personales transmitidos y procesados ​​por las partes para fines personales (transferencia del controlador de datos al controlador de datos)

6.1 Las Partes saben perfectamente que ciertos datos personales serán transferidos del Exportador de Datos al Importador de Datos y viceversa, y que dichos datos son procesados ​​por cada Parte para sus propios fines. Con respecto a dichos datos personales, no afecta las otras disposiciones de este Apéndice (excepto esta cláusula 6).

6.2 El Exportador de Datos puede transferir datos personales relacionados con el personal del Importador de Datos al Importador de Datos, incluida información sobre incidentes de seguridad, o cualquier otro documento o archivo creado o establecido por el Exportador de Datos en relación con los Servicios proporcionados por el personal del Importador de Datos. El Importador de Datos puede procesar dichos datos personales para sus propios fines, en particular en sus relaciones profesionales con el personal del Importador de Datos, para control de calidad y capacitación, o para fines comerciales.

6.3. El Importador de Datos puede transferir datos personales al Exportador de Datos, incluyendo el nombre y los detalles de contacto del personal del Importador de Datos. El Exportador de Datos puede procesar dichos datos personales para sus propios fines.

6.4 Ambas partes cumplirán con las leyes de protección de datos aplicables, incluido el GDPR, al recopilar, procesar y utilizar dichos datos personales recibidos de la otra parte en virtud de la Cláusula 1 de la Parte 1. En particular, ambas Partes tomarán las medidas de seguridad adecuadas, proporcionando un nivel de protección similar al de las medidas de seguridad establecidas en el Apéndice 2 de la Parte 2. Todo acceso a dichos datos personales se limitará a la necesidad de conocerlos.

6.5 Ambas Partes deben eliminar esos datos personales tan pronto sea posible luego que se hayan alcanzado los objetivos. 

Parte 2

DECISIÓN DE LA COMISIÓN

el 5 de febrero de 2010 

sobre cláusulas contractuales estándar para la transferencia de datos personales a procesadores de datos establecidos en terceros países en virtud de la Directiva 95/46 / CE del Parlamento Europeo y del Consejo

Cláusula 1

Definiciones

Dentro del significado de las cláusulas:

a) 'personal data', 'special categories of data', 'processing/processing', 'controller', 'processor', 'data subject' and 'supervisory authority' shall have the same meaning as in the 95/46/EC Directive of the European Parliament and of the Council of the 24th October 1995 on protecting individuals regarding the processing of personal data and on the free movement of such data (1);

a) 'datos personales', 'categorías especiales de datos', 'procesamiento / procesamiento', 'controlador', 'procesador', 'persona de interés' y 'autoridad supervisora' tendrán el mismo significado que en la Directiva del Parlamento Europeo y del Consejo 95/46 / EC , de 24 de octubre de 1995, sobre la protección de las personas en lo que respecta al tratamiento de datos personales y sobre la libre circulación de dichos datos (1);

b) el "Exportador de Datos" es el controlador de datos que transfiere los datos personales;

c) el 'Importador de datos' es el procesador de datos que acepta recibir del Exportador de Datos datos personales destinados a ser procesados ​​en nombre del Exportador de Datos después de la transferencia de acuerdo con sus instrucciones y bajo los términos de estas cláusulas y que no está sujeto al mecanismo de un tercer país que garantice una protección adecuada en el sentido del artículo 25, apartado 1, de la Directiva 95/46 / CE;

(d) 'Procesador de datos' significa el procesador de datos contratado por el Importador de Datos o por cualquier otro Procesador de Datos del Importador de Datos que acepte recibir del Importador de Datos o cualquier otro Procesador de Datos del Importador de Datos datos personales exclusivamente para las actividades de procesamiento que se llevarán a cabo en nombre del Exportador de Datos después de la transferencia de acuerdo con las instrucciones del Exportador de Datos, en las condiciones establecidas en estas Cláusulas y en los términos de la subcontratación escrita del contrato de procesamiento de datos;

e) "Ley de Protección de Datos aplicable" significa la legislación que protege los derechos y libertades fundamentales de las personas, incluyendo el derecho a la privacidad con respecto al procesamiento de datos personales, y que se aplica a un controlador en el Estado miembro donde esté establecido el Exportador de Datos;

f) "Medidas técnicas y organizativas relacionadas con la seguridad" significa medidas destinadas a proteger los datos personales contra la destrucción accidental o ilegal o la pérdida accidental, alteración, divulgación o acceso no autorizado, en particular cuando el procesamiento implica la transmisión de datos a través de redes, y contra cualquier otras formas de procesamiento.

Cláusula 2

Detalles de la transferencia

Los detalles de la transferencia, incluidas, en su caso, categorías especiales de datos personales, se especifican en el Apéndice 1, que forma parte integral de estas cláusulas.

Cláusula 3

Cláusula de tercero beneficiario

1. La persona interesada puede ejercer contra el Exportador de Datos, está Cláusula, Cláusula 4(b) a (i), Cláusula 5(a) a (e) y (g) a (j), Cláusula 6 (1) y (2), Cláusula 7, Cláusula 8(2) and Cláusulas 9 a 12 como tercera parte beneficiaria.

2. La persona interesada puede hacer cumplir esta Cláusula, Cláusula 5 (a) a (e) y (g), Cláusula 6, Cláusula 7, Cláusula 8 (2) y Cláusulas 9 a 12 contra el Importador de Datos cuando el Exportador de Datos haya desaparecido físicamente o haya dejado de existir en la ley, a menos que todas sus obligaciones legales hayan sido transferidas, por contrato o por operación de ley, a la entidad sucesora, a la cual los derechos y obligaciones del Exportador de Datos por lo tanto revierten, y contra la cual el interesado puede por lo tanto hacer cumplir la dichas cláusulas.

El interesado puede hacer cumplir esta Cláusula, Cláusula 5 (a) a (e) y (g), Cláusula 6, Cláusula 7, Cláusula 8 (2) y Cláusulas 9 a 12 contra el procesador de Datos, pero solo en los casos en los que los Datos El Exportador y el Importador de Datos han desaparecido físicamente, han dejado de existir legalmente o se han vuelto insolventes, a menos que todas las obligaciones legales del Exportador de Datos hayan sido transferidas, por contrato o por aplicación de la ley, al sucesor legal, a quien los derechos y Por lo tanto, se confieren obligaciones al Exportador de datos y, por lo tanto, el interesado puede hacer cumplir dichas cláusulas. Dicha responsabilidad del procesador de datos debe limitarse a sus propias actividades de procesamiento en virtud de estas cláusulas.

4. Las partes no se oponen a que el interesado sea representado por una asociación u otro organismo si así lo desea y si la legislación nacional lo permite.

Cláusula 4

Obligaciones del Exportador de Datos 

El Exportador de Datos acepta y garantiza lo siguiente:

a) el procesamiento, incluida la transferencia real de datos personales, se ha realizado y continuará realizándose de conformidad con las disposiciones pertinentes de la Ley de Protección de Datos aplicable (y, en su caso, se ha notificado a las autoridades competentes del Estado miembro en el que el Exportador de Datos tiene su sede) y no infringe las disposiciones pertinentes de ese Estado;

b) han instruido, e instruirán durante la duración de los servicios de procesamiento de datos personales, al Importador de Datos para procesar los datos personales transferidos en nombre exclusivo del Exportador de Datos y de acuerdo con la ley de protección de datos aplicable y estas cláusulas;

c) el Importador de Datos proporcionará garantías suficientes con respecto a las medidas de seguridad técnicas y organizativas especificadas en el Apéndice 2 del presente contrato;

d) Después de la evaluación de los requisitos de la ley de protección de datos aplicable, las medidas de seguridad son adecuadas para proteger los datos personales contra la destrucción accidental o ilegal o pérdida accidental, alteración, divulgación no autorizada o acceso, en particular cuando el procesamiento implica la transmisión de datos red, y contra todas las demás formas ilegales de procesamiento y garantizar un nivel de seguridad adecuado a los riesgos que representa el procesamiento y la naturaleza de los datos a proteger, teniendo en cuenta el nivel de tecnología y el costo de implementación;

e) velarán por el cumplimiento de las medidas de seguridad;

f) si la transferencia se refiere a categorías especiales de datos, el interesado ha sido informado o será informado antes de la transferencia, o tan pronto como sea posible después de la transferencia, que sus datos pueden ser transferidos a un tercer país que no ofrece un adecuado nivel de protección en el sentido de la Directiva 95/46 / CE;

g) enviarán cualquier notificación recibida del Importador de Datos o cualquier procesador de datos en virtud de las cláusulas 5 (b) y 8 (3) a la autoridad supervisora ​​de protección de datos si decide continuar con la transferencia o levantar su suspensión;

h) pondrán a disposición de los interesados, si así lo solicitan, una copia de estas Cláusulas, excepto el Apéndice 2, y una descripción resumida de las medidas de seguridad, y una copia de cualquier otro acuerdo de subcontratación celebrado en virtud de estas Cláusulas, a menos que las el contrato contiene información comercial, en cuyo caso podrá retirar dicha información;

i) en caso de subcontratar la gestión del procesamiento de datos, la actividad de procesamiento se lleva a cabo de acuerdo con la Cláusula 11 por un Procesador de Datos que proporciona al menos el mismo nivel de protección de datos personales y derechos del interesado que el importador de Datos en virtud de estas cláusulas; y

j) garantizará el cumplimiento de la Cláusula 4 (a) a (i).

Cláusula 5

Obligaciones del Importador de Datos 

El Importador de Datos acepta y garantiza lo siguiente:

a) procesarán los datos personales solo en nombre del Exportador de Datos y bajo las instrucciones del Exportador de Datos y estas cláusulas; si no puede cumplir por cualquier motivo, acuerdan informar al Exportador de Datos de su incapacidad lo antes posible, en cuyo caso el Exportador de Datos puede suspender la transferencia de datos y/o terminar el contrato;

b) no tienen motivos para creer que la ley que les es aplicable le impide cumplir con las instrucciones dadas por el Exportador de Datos y las obligaciones que le incumben en virtud del contrato, y si dicha Ley está sujeta a un cambio que podría tener un efecto material adverso en las garantías y obligaciones bajo las Cláusulas, notificará al Exportador de Datos el cambio sin demora después de tener conocimiento de ello, en cuyo caso el Exportador de Datos podrá suspender la transferencia de datos y/o terminar el contrato; (c) han implementado las medidas de seguridad técnicas y organizativas especificadas en el Apéndice 2 antes de procesar los datos personales transferidos;

d) notificarán al Exportador de Datos sin demora:

i) cualquier solicitud vinculante de divulgación de datos personales de una autoridad encargada de hacer cumplir la ley, a menos que se especifique lo contrario, como una prohibición criminal destinada a preservar el secreto de una investigación policial;

ii) cualquier acceso incidental o no autorizado; y

iii) cualquier solicitud recibida directamente de las personas interesadas sin responder a ella, a menos que haya sido autorizado para hacerlo; los administradores

e) atenderán con prontitud y de manera adecuada todas las consultas del Exportador de Datos sobre el procesamiento de los datos personales que se transfieren y actuarán bajo la opinión de la autoridad de control con respecto al procesamiento de los datos transferidos;

f) a solicitud del Exportador de Datos, someterán sus instalaciones de procesamiento de datos a una auditoría de las actividades de procesamiento cubiertas por estas cláusulas que será llevada a cabo por el Exportador de Datos o un organismo supervisor compuesto por miembros independientes con las calificaciones profesionales requeridas, sujeto a una obligación de secreto y elegida por el Exportador de Datos, en su caso con el acuerdo de la autoridad supervisora;

g) pondrán a disposición del interesado, si así lo solicita, una copia de estas Cláusulas, o cualquier subcontratación existente del contrato de tratamiento de datos, salvo que las Cláusulas o el contrato contengan información comercial, en cuyo caso podrá retirar dicha información, excepto el Apéndice 2, que será reemplazado por una descripción resumida de las medidas de seguridad, cuando el interesado no pueda obtener una copia del Exportador de Datos;

h) en el caso de una subcontratación adicional confidencial del procesamiento de datos, se asegurará de informar al Exportador de Datos con anticipación y se obtendrá el consentimiento por escrito del Exportador de Datos;

i) los servicios de procesamiento proporcionados por el Procesador de Datos deberán cumplir con la  Cláusula 11;

j) enviarán de inmediato una copia de cualquier subcontratación del acuerdo de procesamiento de datos celebrado por él en virtud de estas Cláusulas al Exportador de Datos.

Cláusula 6

Responsabilidad

1. Las partes acuerdan que cualquier interesado que haya sufrido daños debido a un incumplimiento de las obligaciones mencionadas en la Cláusula 3 o la Cláusula 11 por una parte o por un Procesador de Datos puede obtener una compensación del Exportador de Datos por el daño sufrido.

2. Si un interesado no puede entablar una acción por daños y perjuicios como se indica en el párrafo 1 contra el exportador de datos por incumplimiento por parte del importador de datos o su procesador de datos de cualquiera de sus obligaciones en virtud de la cláusula 3 o la cláusula 11 porque el exportador de datos ha desaparecido físicamente, dejado de existir legalmente o se ha vuelto insolvente, el Importador de Datos acepta que el interesado puede presentar una queja contra él como si fuera el Exportador de Datos, a menos que todas las obligaciones legales del Exportador de Datos hayan sido transferidas, por contrato o por funcionamiento de la ley, a su entidad sucesora, contra la cual el interesado podrá hacer valer sus derechos. El Importador de datos no puede basarse en un incumplimiento de sus obligaciones por parte de un procesador de datos para evitar su propia responsabilidad.

3. Si un interesado no puede entablar una acción por daños y perjuicios como se indica en el párrafo 1 contra el exportador de datos por incumplimiento por parte del importador de datos o su procesador de datos de cualquiera de sus obligaciones en virtud de la Cláusula 3 o la Cláusula 11 porque el exportador de datos ha desaparecido físicamente, dejado de existir legalmente o se ha vuelto insolvente, el Importador de Datos acepta que el interesado puede presentar una queja contra él como si fuera el Exportador de Datos, a menos que todas las obligaciones legales del Exportador de Datos hayan sido transferidas, por contrato o por funcionamiento de la ley, a su entidad sucesora, contra la cual el interesado podrá hacer valer sus derechos. El Importador de Datos no puede basarse en un incumplimiento de sus obligaciones por parte de un procesador de datos para evitar su propia responsabilidad.

 

Cláusula 7

Mediación y jurisdicción

1. El Importador de Datos acepta que si bajo las Cláusulas, el interesado invoca contra él el derecho del tercero beneficiario y/o reclama una indemnización por el perjuicio sufrido, aceptará la decisión del interesado:

a) someter la disputa a la mediación de una persona independiente o, en su caso, la autoridad de control;

b) llevar el litigio ante los tribunales del Estado miembro en el que tiene su sede el Exportador de Datos.

2. Las partes acuerdan que la elección realizada por el interesado no afectará al derecho procesal o sustantivo del interesado a obtener reparación de conformidad con otras disposiciones del derecho nacional o internacional.

Cláusula 8

Cooperación con las autoridades supervisoras

1. El Exportador de Datos se compromete a depositar una copia del presente contrato con la autoridad de control si esta lo requiere o si dicho depósito está previsto por la ley de protección de datos aplicable.

2. Las partes acuerdan que la autoridad supervisora ​​puede realizar controles en el Importador de Datos y en cualquier Procesador de Datos en la misma medida y en las mismas condiciones que los controles realizados en el Exportador de Datos de acuerdo con la ley de protección de datos aplicable.

3. El Importador de Datos informará al Exportador de Datos lo antes posible de la existencia de legislación relativa al Importador de Datos o cualquier Procesador de Datos que impida la verificación en el Importador de Datos o cualquier Procesador de Datos de acuerdo con el Párrafo 2. En tal caso, el Exportador de Datos podrá tomar las medidas previstas en la Cláusula 5 (b).

Cláusula 9

Legislación aplicable

Las cláusulas se aplican y se rigen por la ley del Estado miembro donde tiene su sede el "Exportador de Datos".

Cláusula 10

Modificación del contrato

Las partes se comprometen a no modificar las presentes cláusulas. Las partes quedan libres de incluir otras cláusulas comerciales que consideren necesarias, siempre que no contradigan las presentes cláusulas.

Cláusula 11

 

Subcontratación posterior

1. El Importador de Datos no subcontratará ninguna de sus actividades de procesamiento realizadas en nombre del Exportador de Datos en virtud de estas cláusulas sin el consentimiento previo por escrito del Exportador de Datos. El Importador de Datos solo subcontratará sus obligaciones bajo estas Cláusulas, con el consentimiento del Exportador de Datos, a través de un acuerdo escrito con el Procesador de Datos que imponga al Procesador de Datos las mismas obligaciones que las impuestas al Importador de Datos bajo estas Cláusulas.) Si el Procesador de Datos no puede cumplir con sus obligaciones de protección de datos bajo ese acuerdo escrito, el Importador de Datos seguirá siendo totalmente responsable ante el Exportador de Datos por el cumplimiento de esas obligaciones.

2. El acuerdo previo por escrito entre el Importador de Datos y el Encargado del tratamiento también incluirá una cláusula de beneficiario tercero como se establece en la Cláusula 3 para los casos en los que el interesado no pueda presentar la reclamación por daños y perjuicios a los que se refiere la Cláusula 6 (1), contra el Exportador de Datos o Importador de Datos porque el Exportador de Datos o Importador de Datos ha desaparecido físicamente, dejó de existir en la ley o se ha vuelto insolvente y todas las obligaciones legales del Exportador de Datos o Importador de Datos no han sido transferidas, por contrato o por operación de la ley, a otra entidad sucesora. La responsabilidad del Procesador de Datos debe limitarse a sus propias actividades de procesamiento de acuerdo con estas Cáusulas.

3. Las disposiciones relativas a los aspectos de protección de datos de la subcontratación del tratamiento de datos del contrato mencionado en el apartado 1 se regirán por la ley del Estado miembro en el que esté establecido el exportador de datos.

4. El Exportador de Datos mantendrá una lista de los subcontratantes de los acuerdos de procesamiento de datos concluidos bajo estas Cláusulas y notificados por el Importador de Datos de acuerdo con la Cláusula 5 (j), que se actualizará al menos una vez al año. Esta lista se pondrá a disposición de la autoridad supervisora ​​de protección de datos del exportador de datos.

Cláusula12

Obligación tras la terminación de los servicios de tratamiento de datos personales

1. Las partes acuerdan que una vez finalizados los servicios de procesamiento de datos, el Importador de Datos y el Procesador de Datos, a conveniencia del Exportador de Datos, devolverán todos los datos personales transferidos y copias de los mismos al Exportador de Datos, o destruirán todos esos datos y proporcionarán pruebas de la destrucción. al Exportador de Datos, a menos que la legislación impuesta al Importador de Datos le impida devolver o destruir la totalidad o parte de los datos personales transferidos. En ese caso, el Importador de Datos garantiza que garantizará la confidencialidad de los datos personales transferidos y que ya no los procesará activamente.

2. El Importador de Datos y el Procesador de Datos se asegurarán de que, si así lo solicita el Exportador de Datos y/o la autoridad supervisora, someterán sus medios de procesamiento de datos a la verificación de las medidas mencionadas en el Párrafo 1.

Apéndice 1.1 to Parte 2

Detalles de la transferencia

 

 

Exportador de Datos

El Exportador de Datos es el cliente definido en el acuerdo contractual.

 

Importador de Datos

El Importador de Datos es IQUALIF y está asignado para procesar los datos, brindando servicios al Exportador de Datos.

 

Asuntos de los Datos

Los datos personales transferidos se refieren a las siguientes categorías de interesados:

☒ suscriptores telefónicos incluidos en el directorio universal

☐ Otros, incluyendo:

 

Categorías de los datos

Los datos personales transferidos se refieren a las siguientes categorías de datos:

 

Categorías de datos personales de los interesados ​​del Exportador de Datos en particular,

☒ Nombre completo

☒ Dirección postal

☒ Detalles de contacto (correo electrónico, teléfono, dirección IP, etc.)

☒ Detalles de las actividades de marketing relativas al abonado telefónico

☒ Otros, incluido el tipo de vivienda, los ingresos y las edades medias datos adquiridos de la ciudad de forma anónima

 

Categorías especiales de los datos (si es aplicable)

Los datos personales transferidos se refieren a las siguientes categorías especiales de datos:

☒ No se prevé la transferencia de categorías especiales de datos

☐ Raza u origen étnico

☐ Creencias religiosas o filosóficas

☐ Afiliación sindical

☐ Puntos de vista políticos

☐ Información genética

☐ Información biométrica

☐ Información sobre orientación sexual o vida sexual

☐ Datos de salud

 

Actividades de procesamiento

Los datos personales transferidos estarán sujetos a las siguientes actividades básicas de tratamiento:

 

  •  
    • Finalidad del tratamiento

El procesamiento realizado en nombre del Exportador de Datos se basa en los siguientes temas, en particular:

☒ Hacerse cargo de los productos o servicios ofrecidos por el Exportador de Datos

☒ La oferta de un producto o servicio que la persona llamada puede solicitar

☒ Órdenes tomadas de las personas llamadas y procesamiento posterior de estas órdenes

☒ Estudiar cuestionarios y análisis

☒ Telemarketing

☐ Otros, incluidos:

 

  •  
    • Naturaleza y propósito del procesamiento

El Importador de Datos procesa los datos personales de los interesados ​​en nombre del Exportador de Datos, con el fin de proporcionar los siguientes servicios, en particular:

☒ Ventas y marketing

☒ Otros, incluida la actualización de bases de datos de ayuntamientos y partidos políticos El Importador de datos procesa los datos personales de los interesados ​​en nombre del Exportador de datos, con el fin de proporcionar los siguientes servicios, y en particular:

☒ Ventas y marketing

☒ Otros, incluida la actualización de bases de datos de ayuntamientos y partidos políticos

 

  •  
    • • Prestación de servicios y ocupación de los proveedores de servicios

IQUALIF principalmente combina, centraliza y brinda servicios al Exportador de Datos. Los servicios prestados por el proveedor de servicios designado pueden estructurarse (entre otros según corresponda) en torno a los siguientes servicios auxiliares: (i) provisión de aplicaciones, herramientas, sistemas e infraestructura de IT en relación con los centros de procesamiento de datos utilizados, con el fin de proporcionar y respaldar los servicios, incluido el procesamiento de los datos personales de los interesados ​​como se describe anteriormente, a través de dichas aplicaciones, herramientas y sistemas, (ii) la provisión de soporte de IT, mantenimiento y otros servicios relacionados con dichas aplicaciones, herramientas y sistemas e infraestructura de IT, incluido el acceso potencial a los datos personales almacenados en dichas aplicaciones, herramientas y sistemas, y (iii) la provisión de servicios de protección de datos, monitoreo de protección y servicios de respuesta a incidentes, incluido el acceso potencial a datos personales al brindar dichos servicios de protección. IQUALIF puede contratar a procesadores de datos como se establece a continuación para proporcionar los servicios, incluidos los servicios auxiliares.

 

  •  
    • • Proveedores de servicios externos como subentidades asignadas al Procesamiento de Datos

IQUALIF contrata a proveedores de servicios externos y de terceros, que no son subsidiarias de IQUALIF, para apoyar la prestación de servicios al exportador de datos. El exportador de datos aprueba a dichos proveedores de servicios externos como subentidades asignadas al procesamiento de datos.

Si una subentidad involucrada en el procesamiento de datos se encuentra fuera de la UE / EEE, en un país que se considera que no tiene un nivel adecuado de Protección de Datos según una decisión de la Comisión Europea, el Importador de Datos tomará medidas para obtener un nivel adecuado de protección de datos de acuerdo con el GDPR y la Sección 3.4 (iv) de la Parte 1.

Apéndice 2, Parte 2

Medidas de protección técnicas y organizativas

 

The Data Importer shall take the following technical and organizational protection measures confirmed by the Data Exporter, in order to guarantee an appropriate level of security for the rights and freedoms of individuals, depending on the risks. In assessing the level of protection concerned, the Data Exporter has considered, in particular, the risks involved in the processing, including accidental or unlawful destruction, alteration, unauthorized disclosure, or access to personal data transmitted, stored, or otherwise processed. By clarification: These technical and organizational protection measures do not apply to the applications, tools, systems, and/or IT infrastructure provided by the Data Exporter.

1 Medidas generales de protección técnica y organizativa
1.1 Estrategias generales de protección de datos e información
Se deben tomar los siguientes pasos para seguir las estrategias generales de protección de datos e información:
  • a) tomar medidas para evaluar las tomadas en materia de protección técnica y organizativa;
  • b) impartir formación para concienciar a los empleados;
  • c) tener una descripción de los sistemas en cuestión y otorgar acceso a los empleados;
  • d) establecer un proceso de documentación formal siempre que se implementen o modifiquen sistemas;
  • e) documentar la estructura organizativa, los procesos, las responsabilidades y las respectivas evaluaciones;
 
1.2 Organización de la protección de la información
Se deben tomar las siguientes medidas para coordinar las actividades de protección de datos e información:
  • a) responsabilidades definidas para la protección de información y datos (por ejemplo, a través de la política de gestión de protección de datos);
  • b) la experiencia necesaria para proteger la información y los datos que permanezcan disponibles;
  • c) Todos los empleados están comprometidos a garantizar que los datos personales se mantengan confidenciales y que han sido informados de las posibles consecuencias de incumplir este compromiso.
 
1.3 Control de acceso a las áreas de procesamiento
Se deben tomar las siguientes medidas para evitar que personas no autorizadas accedan a los sistemas de procesamiento de datos (en particular, software y hardware) cuando se procesen, almacenen o transmitan datos personales:
  • a) establecer áreas seguras;
  • b) proteger y restringir el acceso a los sistemas de procesamiento de datos;
  • c) establecer autorizaciones de acceso para empleados y terceros, incluyendo los documentos respectivos;
  • d) Se registrará cualquier acceso a los centros de procesamiento de datos en los que se almacenan datos personales.
 
1.4 Control de acceso a los sistemas de procesamiento de datos
The following measures must be taken in order to prevent unauthorized access to data processing systems:
  • a) políticas y procedimientos de autenticación de usuarios;
  • b) el uso de contraseñas en todos los sistemas informáticos;
  • c) el acceso remoto a la red requiere autenticación multifactor y se otorga al interesado de acuerdo con sus responsabilidades y previa autorización;
  • d) el acceso a funciones específicas se basa en funciones laborales y / o atributos asignados individualmente a la cuenta de un usuario;
  • e) los derechos de acceso relacionados con los datos personales se revisan periódicamente;
  • f) los registros de cambios en los derechos de acceso se mantienen actualizados.
 
1.5 Controlar el acceso a áreas particulares de uso de los sistemas de procesamiento de datos
Se deben tomar las siguientes medidas para garantizar que las personas autorizadas con derecho a utilizar el sistema de procesamiento de datos solo puedan acceder a los datos dentro de sus respectivas responsabilidades y autorizaciones de acceso y que los datos personales no se puedan leer, copiar, modificar o eliminar sin autorización:
  1.  
    1. a) políticas, instrucciones y formación de los empleados, sobre las obligaciones de cada uno de ellos sobre la confidencialidad, los derechos de acceso a los datos personales y el alcance del tratamiento de los datos personales;
  • b) medidas disciplinarias contra las personas que acceden a datos personales sin autorización;
  • c) el acceso a los datos personales se concederá únicamente a las personas autorizadas, en función de la necesidad de conocerlos;
  • d) mantener una lista de administradores del sistema y tomar las medidas apropiadas para monitorear a los administradores del sistema;
  • e) no copiar ni reproducir datos personales en ningún sistema de almacenamiento para permitir que personas no autorizadas eliminen la información del autor;
  • f) eliminación o destrucción de datos controlada y documentada;
  • g) para almacenar de forma segura todos los datos personales que deben conservarse por motivos legales o reglamentarios (por ejemplo, obligaciones de conservar datos), y solo durante el tiempo que exija la ley.
 
1.6 Controles de transmisión
Se deben tomar las siguientes medidas para evitar que los datos personales sean leídos, copiados, modificados o eliminados por terceros no autorizados durante la transmisión o transporte de dispositivos de almacenamiento de datos (dependiendo del procesamiento de datos personales realizado):
  1.  
    1. a) uso de firewalls;
  • b) evitar el almacenamiento de datos personales en dispositivos de almacenamiento móviles con fines de transporte o cifrar los dispositivos;
  • c) el uso en ordenadores portátiles y otros dispositivos móviles solo después de que se haya activado la protección de cifrado;
  • d) registro de transmisiones de datos personales.
 
1.7 Control de la entrada de datos
Se deben tomar las siguientes medidas para garantizar que sea posible verificar y determinar si se han ingresado o eliminado datos personales de los sistemas de procesamiento de datos y por quién:
  1.  
    1. a) una política para autorizar la lectura, alteración y eliminación de datos almacenados;
  • b) medidas de protección relativas a la lectura, alteración y eliminación de los datos almacenados.
 
1.8 Control de trabajo
En el caso de procesamiento delegado de datos personales, se deben tomar las siguientes medidas para garantizar que dichos datos se procesen de acuerdo con las instrucciones del Supervisor:
  1.  
    1. a) entidades o subentidades asignadas al procesamiento de datos, elegidas con cuidado (proveedores de servicios que procesan datos personales en nombre del controlador);
  • b) instrucciones sobre el alcance de cualquier procesamiento de datos personales a los empleados, entidades o subentidades asignadas al Procesamiento de Datos;
  • c) derechos de auditoría acordados con las entidades o subentidades asignadas al tratamiento de datos;
  • d) acuerdos vigentes con las entidades o subentidades asignadas para procesar los datos.
 
1.9 Separación del procesamiento para otros propósitos
Se deben tomar las siguientes medidas para garantizar que los datos recopilados para otros fines puedan procesarse por separado:
  1.  
    1. a) acceso separado a datos personales de acuerdo con los derechos existentes de los usuarios;
  • b) Las interfaces, el procesamiento por lotes y los informes tienen otros fines y funciones, por lo que los datos recopilados para otros fines se pueden procesar por separado.
 
1.10 Seudominización
Se deben tomar las siguientes medidas con respecto a la seudonimización de los datos personales:
  1.  
    1. a) Si el Exportador de Datos ordena una operación de procesamiento específica o si el Importador de Datos lo considera apropiado de acuerdo con las leyes de protección de datos vigentes con respecto a ciertas actividades de procesamiento, el procesamiento de datos personales se llevará a cabo de tal manera que los datos puedan ya no se atribuirá a una persona específica sin el uso de información adicional. Esta información adicional se mantendrá por separado;
  • b) uso de técnicas de seudonimización, incluida la asignación al azar de listas de asignación; creación de valores en forma de objetos punzantes.
 
1.11 Encriptación

Se deben seguir los siguientes pasos para cifrar datos personales en aplicaciones y transmisiones que admiten cifrado:

  1.  
    1. a) uso de técnicas de encriptación;
  • b) establecimiento de una gestión de cifrado para respaldar las técnicas de cifrado autorizadas para su uso;
  • c) Apoyar el uso de la criptografía a través de procedimientos y protocolos para generar, modificar, revocar, destruir, distribuir, certificar, almacenar, capturar, usar y archivar claves criptográficas para proteger contra modificaciones y divulgaciones no autorizadas.
 
1.12 Integridad de los sistemas y servicios de procesamiento de datos
Se deben tomar las siguientes medidas para garantizar la integridad de los sistemas y servicios de procesamiento de datos:
  • a) protección de los sistemas de procesamiento de datos contra la manipulación o destrucción por los medios apropiados (por ejemplo, software antivirus, software de prevención de pérdida datos y software contra malware, parches de software, firewalls y protección del escritorio del administrador);

 

  • b) prohibir la instalación de cualquier servicio o software dañino para los sistemas de procesamiento de datos, servicios o la manipulación de datos personales;
  • c) uso de un sistema de detección y prevención de intrusiones en la red en la estructura de la propia red.
 
1.13 Disponibilidad de sistemas y servicios de procesamiento de datos y posibilidad de restablecer el acceso y uso de los datos personales en caso de incidente material o técnico.
Se deben tomar las siguientes medidas para garantizar la disponibilidad de los sistemas de procesamiento de datos, así como para poder restaurar rápidamente la disponibilidad y el acceso a los datos personales, en caso de un incidente material o técnico (en particular, asegurando que los datos personales están protegidos contra la destrucción o pérdida accidental):
  • a) disponer de medios de control para conservar copias de seguridad y restaurar los datos perdidos o eliminados;

  • b) pruebas de rendimiento y redundancia de la infraestructura;
  • c) protección física de los recursos informáticos;
  • d) uso de herramientas para monitorear el estado y disponibilidad de la red interna;

  • e) las políticas de respuesta y notificación de incidentes que rigen el procedimiento de gestión de incidentes, y la reiteración del cumplimiento de estas políticas como parte de la capacitación regular;
  • f) copias de seguridad (a veces fuera del sitio) para restaurar el sistema y permitirle realizar sus funciones nuevamente;
  • g) planes de continuidad del negocio / recuperación ante desastres
 
1.14 Resistencia de los sistemas y servicios del procesamiento de datos
Se deben tomar las siguientes medidas para garantizar la resiliencia de los sistemas y servicios de procesamiento de datos:

 

  • a) sistemas y configurados armoniosamente, utilizando parámetros de seguridad aprobados;
  • b) redundancia de red;
  • c) protección de contención de sistemas críticos.
 
1.15 Procedimiento para probar y evaluar periódicamente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del procesamiento de datos.
Procedimiento para probar, evaluar y evaluar periódicamente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del procesamiento de datos.
  • a) tomar las medidas necesarias para evaluar los riesgos y las estrategias de mitigación;
  • b) reuniones de análisis de servicios del departamento de IT para abordar temas de actualidad;
  • c) los planes de continuidad del negocio / recuperación ante desastres se actualizan periódicamente.

 

Parte 3

Firmas de las partes y la lista de los Importadores de Datos 

 

Al cumplimentar el formulario de pedido online y validarlo marcando la casilla de aceptación de las condiciones generales de uso, se establece el contrato que regula la relación entre el Cliente e IQUALIF.

El envío del pago a IQUALIF considerará el contrato pactado y establecido.


Tenga en cuenta: este texto ha sido traducido del francés. La versión original en francés, que es laválida y legalmente restrictiva, está disponible aquí.