Acuerdo de procesamiento de datos

Versión AV2024-1.0

Partes:
1. Jimani, en adelante «Procesador»;
2. Cliente, en adelante «Responsable del tratamiento»;
‍
Procesador y Responsable del tratamiento, en adelante denominados conjuntamente: «Partes»

Considerando que:

– El Responsable del tratamiento ha encargado al Procesador el tratamiento de los datos personales de su empresa en el marco del acuerdo principal, que forma parte inseparable de este acuerdo de procesamiento de datos.
– El Responsable del tratamiento designa los fines y medios y para los que se aplican las condiciones aquí mencionadas.
– El Procesador está dispuesto a realizar los tratamientos y también está dispuesto a cumplir las obligaciones relativas a la seguridad y otros aspectos del Reglamento General de Protección de Datos (“RGPD”), en la medida en que esté en su poder.
– El Procesador no trata los datos personales para sus propios fines.
– El Responsable del tratamiento puede ser considerado responsable del tratamiento en el sentido del artículo 4, apartado 7, del RGPD.
– El Procesador puede ser considerado procesador en el sentido del artículo 4, apartado 8, del RGPD.
– Cuando en este acuerdo se hable de Datos Personales, se entenderá que se refiere a los datos personales en el sentido del artículo 4, apartado 1, del RGPD.
– Las Partes, también teniendo en cuenta el requisito del artículo 28, apartado 3, del RGPD, desean registrar por escrito sus derechos y obligaciones mediante este Acuerdo de Procesamiento de Datos (en adelante (“Acuerdo de Procesamiento de Datos”).

Las partes acuerdan lo siguiente:

‍Artículo 1 – Finalidad del tratamiento

‍1. El Procesador se compromete, en las condiciones de este Acuerdo de Procesamiento de Datos, a tratar los Datos Personales por encargo del Responsable del tratamiento. El tratamiento se realizará exclusivamente en el marco de la ejecución del contrato de encargo y de este Acuerdo de Procesamiento de Datos en el sentido del artículo 28, apartado 3, del RGPD.2. Se prohíbe al Procesador tratar los Datos Personales para una finalidad distinta a la establecida por el Responsable del tratamiento. La finalidad del tratamiento es la prestación de los servicios solicitados por el Responsable del tratamiento, tal como se describen y establecen en el Acuerdo Principal. Para ello, se realizan las siguientes actividades: la puesta a disposición de una plataforma para las actividades del cliente y otras actividades relacionadas.3. La categoría de interesados cuyos Datos Personales se recogen se refiere a los datos de clientes, datos de inicio de sesión, datos de empleados del Cliente y/u otras personas o relaciones del Responsable del tratamiento con los que el Procesador entra en contacto si trata Datos Personales en nombre del Responsable del tratamiento.4. La categoría de datos personales que se tratan son: datos personales, datos de empleados del Cliente.5. El Procesador no tratará los datos personales para ningún otro fin que el establecido por el Responsable del tratamiento. El Responsable del tratamiento informará al Procesador de las finalidades del tratamiento en la medida en que no se mencionen ya en este Acuerdo de Procesamiento de Datos.6. El Procesador tiene control sobre los medios para el tratamiento y el almacenamiento de los datos personales. El Responsable del tratamiento es responsable de determinar la finalidad del tratamiento y debe registrarla claramente.7. El tratamiento se realizará tanto de forma manual como (semi)automática.8. Los datos personales que se tratarán por encargo del Responsable del tratamiento seguirán siendo propiedad del Responsable del tratamiento y/o de los interesados en cuestión.

‍Artículo 2 – Duración del acuerdo

1. Este acuerdo comienza tras la aprobación del acuerdo y se celebra por la duración del acuerdo principal.2. Este acuerdo no puede rescindirse prematuramente.3. Las modificaciones de este acuerdo como consecuencia de cambios en el posible acuerdo de encargo subyacente, la legislación o la normativa u otras circunstancias relevantes solo serán válidas si se añaden al Acuerdo de Procesamiento de Datos tras la consulta y con el consentimiento expreso de las partes.4. Este acuerdo finaliza automáticamente si finaliza el Acuerdo Principal.5. Tan pronto como el acuerdo, por cualquier razón y de cualquier manera, haya finalizado, el Procesador – a elección del Responsable del tratamiento – devolverá todos los Datos Personales que estén en su poder en forma original o de copia al Responsable del tratamiento y/o eliminará y/o destruirá estos Datos Personales originales y cualquier copia de los mismos en un plazo máximo de 28 días. Los posibles costes de esto correrán a cargo del Responsable del tratamiento.6. Las disposiciones relativas a la confidencialidad, la responsabilidad y la resolución de litigios seguirán vigentes tras la finalización de este acuerdo.

‍Artículo 3 – Obligaciones del Procesador

1. El Procesador está obligado a cumplir las condiciones que, en virtud de la legislación y la normativa vigentes, en particular el RGPD y la Ley de Ejecución del RGPD, se imponen al tratamiento de Datos Personales.2. Se prohíbe al Procesador enriquecer sus propias bases de datos y/o archivos con cualquier dato (personal) de las bases de datos del Responsable del tratamiento, salvo en el caso de que el Procesador deba crear bases de datos y/o archivos temporales para un buen tratamiento de los Datos Personales. Los archivos temporales se eliminarán directamente en el momento en que ya no sean necesarios para el tratamiento.3. El Procesador informará al Responsable del tratamiento, a su primera solicitud, sobre las medidas adoptadas por él en relación con sus obligaciones en virtud de este Acuerdo de Procesamiento de Datos.4. Si el Responsable del tratamiento da instrucciones al Procesador con respecto al tratamiento de Datos Personales, el Procesador deberá seguir estas instrucciones si es necesario para un tratamiento correcto, salvo en el caso de que estas instrucciones sean contrarias a la legislación y la normativa y a las posibles normas profesionales y de conducta aplicables. Solo el Responsable del tratamiento está autorizado a dar su opinión exclusiva al respecto.5. Todas las obligaciones que incumben al Procesador también se aplican a las personas que, bajo la autoridad del Procesador (tras el consentimiento expreso del Responsable del tratamiento), tratan Datos Personales, incluidos los empleados y los terceros contratados por el Procesador.6. El Procesador es responsable de que solo los empleados y/o terceros tengan acceso a los datos personales para los que el acceso sea necesario para la ejecución del acuerdo. Los empleados y/o terceros trabajan bajo la responsabilidad del Procesador.7. El Responsable del tratamiento tiene un acceso limitado a los Datos Personales en el Procesador. El Procesador está obligado a prestar su cooperación a petición del Responsable del tratamiento con respecto al acceso.8. Este acuerdo no es transferible, a menos que se acuerde expresamente lo contrario.

‍Artículo 4 – Transferencia de datos personales

1. Salvo consentimiento por escrito del Responsable del tratamiento, el Procesador no permitirá que los Datos Personales, que sean tratados por o en nombre del Procesador o de un sub-procesador contratado por él, en relación con la ejecución del Acuerdo, se transfieran a o se hagan accesibles (desde) países u organizaciones internacionales que la Comisión Europea aún no haya decidido que garantizan un nivel de protección adecuado de conformidad con la normativa de privacidad aplicable. Los artículos 44 a 50 del RGPD se cumplen en todo momento. El Procesador proporcionará, a la primera solicitud del Responsable del tratamiento, información sobre la(s) ubicación(es) en la(s) que se realiza el tratamiento.2. El Procesador tratará con cuidado los datos personales del Responsable del tratamiento.

‍Artículo 5 – Responsabilidad del Procesador

1. El Procesador realizará para el Responsable del tratamiento, en el marco de este acuerdo, las actividades mencionadas en el artículo 1.2 de este acuerdo, así como otras actividades establecidas en el Acuerdo Principal.2. El Procesador es responsable del tratamiento de los Datos Personales en virtud de este Acuerdo de Procesamiento de Datos, de acuerdo con las instrucciones del Responsable del tratamiento. El Procesador también es responsable de los demás tratamientos de Datos Personales, incluidos, en todo caso, pero no limitado a, la recogida de los Datos Personales por parte del Responsable del tratamiento, los tratamientos para fines que no hayan sido comunicados por el Responsable del tratamiento al Procesador, los tratamientos por parte de terceros y/o para otros fines.

‍Artículo 6 – Terceros

Las actividades del Procesador solo podrán subcontratarse a terceros tras el consentimiento previo expreso del Responsable del tratamiento. El Procesador responde de estos terceros y es responsable y está obligado a indemnizar por todos los daños que hayan sido causados al Responsable del tratamiento por culpa de terceros. Todas las obligaciones de este acuerdo también se aplican a estos terceros, el (sub-procesador).

Artículo 7 – Medidas de seguridad Datos Personales

‍1. El Procesador se esfuerza por tomar medidas organizativas y técnicas suficientes y adecuadas contra cualquier forma de tratamiento ilícito con respecto a los tratamientos de Datos Personales que debe realizar.2. El nivel de seguridad de las medidas debe cumplir al menos un nivel que no sea irrazonable en el marco de los costes asociados, la sensibilidad de los Datos Personales en cuestión, así como el estado de la técnica y los riesgos. El Procesador no garantiza que las medidas de seguridad adoptadas por él siempre, en todas las circunstancias, alcancen su objetivo. En consulta, las partes pueden tomar otras medidas de seguridad complementarias o adicionales.3. El Procesador tiene la responsabilidad de informar a sí mismo y/o a sus empleados y a los terceros que contrate de todos los protocolos, la política (de seguridad) y otras instrucciones que permitan y promuevan un tratamiento seguro.4. El Procesador es responsable y está obligado a responder por su parte del tratamiento.5. Si se produce una violación de la seguridad de los Datos Personales, que pueda causar daños o tener consecuencias negativas para la protección de los Datos Personales, el Procesador deberá informar de ello al Responsable del tratamiento inmediatamente, o al menos sin demora indebida, pero en un plazo de 24 horas después de que el Procesador razonablemente pudiera haber tenido conocimiento de ello. A continuación, el Responsable del tratamiento informará a la Autoridad de Protección de Datos en un plazo de 48 horas y a los posibles interesados lo antes posible sobre la violación.6. De conformidad con la obligación de notificación del Procesador, la notificación de una violación debe constar al menos de los siguientes componentes:
– la naturaleza de la violación en relación con los datos personales, mencionando, en la medida de lo posible, las categorías de interesados y los datos personales en cuestión y, aproximadamente, el número de interesados y los registros de datos personales en cuestión;
– el nombre y los datos de contacto del responsable de la protección de datos u otro punto de contacto donde se pueda obtener más información;
– las probables consecuencias de la violación en relación con los datos personales;
– las medidas que el Procesador ha propuesto o tomado para abordar la violación en relación con los datos personales, incluidas, en su caso, las medidas para limitar las posibles consecuencias negativas de la misma.7. El Responsable del tratamiento debe mantener un registro de todas las violaciones de conformidad con el artículo 33, apartado 5, del RGPD.8. Si se ha producido una violación de la seguridad de los Datos Personales en el Procesador, el Procesador está obligado a tomar, a su propio cargo, las medidas adecuadas para evitar futuros incidentes y/o violaciones.

‍Artículo 8 – Confidencialidad

El Procesador y sus empleados, así como los terceros contratados por el Procesador, están obligados a mantener la confidencialidad de todos los datos personales, la información sensible y/o los datos empresariales obtenidos a través de este acuerdo. La obligación de confidencialidad no se aplica si el Responsable del tratamiento ha dado un consentimiento expreso y por escrito al Procesador para compartir estos datos e información con terceros, o si existe una obligación legal de proporcionar los datos e información a un tercero. Tras la finalización de este acuerdo, las partes seguirán obligadas a cumplir esta obligación de confidencialidad.

‍Artículo 9 – Derechos del interesado

‍1. En caso de que el Procesador reciba una solicitud de acceso de un interesado o de una autoridad autorizada para ello, el Procesador tramitará esta solicitud lo antes posible, pero a más tardar en un plazo de 5 días hábiles. Si no es posible tramitar la solicitud por sí mismo, la solicitud se remitirá al Responsable del tratamiento en un plazo de 5 días hábiles. El Procesador deberá, si se le solicita, prestar su cooperación a la ejecución de la solicitud. Los costes que el Procesador deba realizar para la cooperación correrán a cargo del Responsable del tratamiento.2. Lo dispuesto en el artículo 9.1 se aplica de forma análoga si un interesado desea hacer valer otros derechos, como su derecho de rectificación, supresión de datos, derecho a la limitación del tratamiento, derecho a la portabilidad de los datos, derecho de oposición y derechos en caso de toma de decisiones individuales automatizadas, tal como se establece en las secciones 3 y 4 del Reglamento General de Protección de Datos.

‍Artículo 10 – Responsabilidad

‍1. El Procesador es responsable del tratamiento de los Datos Personales y garantiza que el tratamiento es lícito y no infringe los derechos de los interesados. El Procesador solo es responsable de los daños derivados de las acciones y/o omisiones, o del incumplimiento de la legislación y la normativa por parte del Procesador.2. El Procesador solo es responsable hasta un máximo del valor del encargo. Todos los daños consecuenciales están expresamente excluidos de la responsabilidad del Procesador.3. Sin perjuicio de lo dispuesto en este artículo, el Procesador es responsable de los daños causados por el tratamiento cuando este tratamiento no haya cumplido las obligaciones del RGPD dirigidas específicamente al Procesador o si se ha actuado en contra de las instrucciones legítimas del Responsable del tratamiento.4. El Procesador no es responsable de los daños si puede demostrar que no es responsable en modo alguno del hecho causante de los daños.

‍Artículo 11 – Indemnización

‍1. El Responsable del tratamiento indemniza al Procesador por las reclamaciones, multas y/o sanciones coercitivas de o en nombre de la Autoridad de Protección de Datos y/o otras autoridades, en las que se haya determinado que las infracciones son responsabilidad del Responsable del tratamiento.2. El Procesador puede reclamar las multas y/o sanciones coercitivas impuestas al Responsable del tratamiento si y en la medida en que el Procesador pueda ser considerado responsable de las infracciones del Responsable del tratamiento.

‍Artículo 12 – Resolución de litigios

‍1. A este acuerdo se aplica el derecho neerlandés.2. Todos los litigios que surjan entre las partes que se deriven de o estén relacionados o tengan que ver con este Acuerdo de Procesamiento de Datos serán resueltos por el juez competente del lugar de establecimiento del Procesador.