Términos y condiciones de la Protección de Datos

Reunidos de una parte “El responsable del Tratamiento” indicado al inicio de este documento, actuando en nombre y representación de la empresa de referencia.

De otra parte D. Javier de la Cuerda, con NIF 2897062M, actuando en nombre y representación de la empresa Itsafer® referenciada en el acuerdo al que está ligado este Anexo. Exponen:

I.- Que el RESPONSABLE DEL TRATAMIENTO dispone de ficheros, que contienen determinada información considerada como «datos de carácter personal», a los que se debe de realizar determinados tratamientos para la realización del servicio de:

  • Copias de seguridad encriptadas On-Premise/Cloud
  • Gestión de entorno On-Premise
  • Consultoría Técnica
  • Servicios de Business Continuity

II.- Que todas las partes se reconocen capacidad jurídica y de obrar suficiente para contratar y obligarse, estando vigentes sus respectivos poderes para otorgar y firmar el presente contrato.

Por todo ello, deciden concertar el presente contrato de acuerdo con las siguientes cláusulas:

1. Primera.- Objeto

Que el ENCARGADO DEL TRATAMIENTO utilizará los datos facilitados por el RESPONSABLE DEL TRATAMIENTO, única y exclusivamente para el tratamiento de datos que le ha sido encomendado y que ha quedado recogido en el contrato de servicio que ambas tienen firmado. No los aplicará o utilizará para fines distintos de los que figuren en el presente contrato, ni los comunicará ni siquiera para su conservación a otras personas.

El tratamiento consistirá en:

  • Copias de seguridad encriptadas On-Premise/Cloud
  • Gestión de entorno On-Premise
  • Consultoría Técnica
  • Servicios de Business Continuity
  • Concreción de los tratamientos a realizar
  • Recogida
  • Estructuración
  • Conservación
  • Consulta
  • Difusión
  • Cotejo
  • Interconexión
  • Limitación
  • Destrucción
  • Realizar Backup encriptado
  • Mantenimiento Infrastructura OnPremise
  • Supresión
  • Comunicación
  • Registro
  • Modificación
  • Extracción
  • Comunicación por transmisión
  • Consultoría Técnica
  • Servicios de Business Continuity

2. Segunda.- Identificación de la información afectada

Para la ejecución de las prestaciones derivadas del cumplimiento del objeto de este encargo, RESPONSABLE DEL TRATAMIENTO, pone a disposición del ENCARGADO DEL TRATAMIENTO, la información que se describe a continuación:

Toda aquella información que pueda ser almacenada para poder garantizar el servicio de la anterior cláusula.

3. Tercera.- Duración

El presente acuerdo tiene una duración de en tanto se mantenga la relación contractual establecida entre el REPONSABLE DEL FICHERO y el ENCARGADO DEL TRATAMIENTO

Una vez finalice el presente contrato, la ENCARGADO DEL TRATAMIENTO deberá devolver al RESPONSABLE DEL TRATAMIENTO los soportes informáticos y documentos donde se contengan los datos de carácter personal y destruir cuanta información, referente a los mencionados datos, quede duplicada en su sistema informático o en cualquier otro tipo de soporte.

Este contrato tendrá una duración en tanto se mantenga la relación contractual establecida entre el REPONSABLE DEL FICHERO y el ENCARGADO DEL TRATAMIENTO. No obstante, las obligaciones de confidencialidad establecidas en el presente contrato tendrán una duración indefinida, manteniéndose en vigor con posterioridad a la finalización, por cualquier causa, de la relación entre el RESPONSABLE DEL TRATAMIENTO y el ENCARGADO DEL TRATAMIENTO.

4. Cuarta.- Obligaciones del encargado del tratamiento

El encargado del tratamiento y todo su personal se obliga a:

1.1 Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios.
1.2 Tratar los datos de acuerdo con las instrucciones del responsable del tratamiento. Si el encargado del tratamiento considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, el encargado informará inmediatamente al responsable.
1.3 Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, que contenga:
  • El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado y, en su caso, del representante del responsable o del encargado y del delegado de protección de datos.
  • Las categorías de tratamientos efectuados por cuenta de cada responsable.
  • En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49 apartado 1, párrafo segundo del RGPD, la documentación de garantías adecuadas.
  • Una descripción general de las medidas técnicas y organizativas de seguridad relativas a:
      • La seudonimización y el cifrado de datos personales.
      • La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
      • La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
      • El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
1.4 No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles.

El encargado puede comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones del responsable. En este caso, el responsable identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación.

Si el encargado debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, informará al responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público.

1.5 Subcontratación. Se autoriza al encargado a subcontratar con empresas de gestión hostings tanto cloud privada como pública para garantizar el funcionamiento y la continuidad de los servicios mencionados.

Para subcontratar con otras empresas, el encargado debe comunicarlo por escrito al responsable, identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el responsable no manifiesta su oposición en el plazo de 15 días. El subcontratista, que también tiene la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el encargado del tratamiento y las instrucciones que dicte el responsable. Corresponde al encargado inicial regular la nueva relación, de forma que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, el encargado inicial seguirá siendo plenamente responsable ante el responsable en lo referente al cumplimiento de las obligaciones.

1.6 Mantener el deber de secreto respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice su objeto.
1.7 Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente.
1.8 Mantener a disposición del responsable la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior.
1.9 Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.
1.10 Asistir al responsable del tratamiento en la respuesta al ejercicio de los derechos de:
    • Acceso, rectificación, supresión y oposición
    • Limitación del tratamiento
    • Portabilidad de datos
    • A no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles)

Cuando las personas afectadas ejerzan los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas, ante el encargado del tratamiento, éste debe comunicarlo por correo electrónico a la dirección indicada en el encabezado por el responsable del dato. La comunicación debe hacerse de forma inmediata y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud.

1.11 Derecho de información. El cliente quien debe facilitar la “recogida de información” Corresponde al responsable facilitar el derecho de información en el momento de la recogida de los datos.
1.12 Notificación de violaciones de la seguridad de los datos
1.13 El encargado del tratamiento notificará al responsable del tratamiento, sin dilación indebida, y en cualquier caso antes del plazo máximo de 72 horas y a través de correo electrónico, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia.

No será necesaria la notificación cuando sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si se dispone de ella se facilitará, como mínimo, la información siguiente:

      • Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
      • El nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.
      • Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.
      • Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.

Corresponde al encargado del tratamiento comunicar las violaciones de la seguridad de los datos a la Autoridad de Protección de Datos.

La comunicación contendrá, como mínimo, la información siguiente:

    • Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
    • Nombre y datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.
    • Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.
    • Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.

Corresponde al encargado del tratamiento comunicar en el menor tiempo posible las violaciones de la seguridad de los datos a los interesados, cuando sea probable que la violación suponga un alto riesgo para los derechos y las libertades de las personas físicas.

La comunicación debe realizarse en un lenguaje claro y sencillo y deberá, como mínimo:

  • Explicar la naturaleza de la violación de datos.
  • Indicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.
  • Describir las posibles consecuencias de la violación de la seguridad de los datos personales.
  • Describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
1.14 Dar apoyo al responsable del tratamiento en la realización de las evaluaciones de impacto relativas a la protección de datos, cuando proceda.
1.15 Dar apoyo al responsable del tratamiento en la realización de las consultas previas a la autoridad de control, cuando proceda.
1.16 Poner disposición del responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el responsable u otro auditor autorizado por él.
1.17 Implantar las medidas de seguridad siguientes:
  • Las medidas de seguridad establecidas en los planes de continuidad de negocio según norma 27001

En todo caso, deberá implantar mecanismos para:

  • Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
  • Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
  • Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento.
  • Seudonimizar y cifrar los datos personales, en su caso.
1.18 Designar un delegado de protección de datos y comunicar su identidad y datos de contacto al responsable.
1.19 Destruir los datos, una vez cumplida la prestación. Una vez destruidos, el encargado debe certificar su destrucción por escrito y debe entregar el certificado al responsable del tratamiento. No obstante, el encargado puede conservar una copia, con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación.

5. Quinta.- Obligaciones del responsable del tratamiento

Corresponde al responsable del tratamiento:

2.1 Entregar al encargado los datos a los que se refiere la cláusula 2 de este documento.
2.2 Realizar una evaluación del impacto en la protección de datos personales de las operaciones de tratamiento a realizar por el encargado.
2.3Realizar las consultas previas que corresponda.
2.4 Velar, de forma previa y durante todo el tratamiento, por el cumplimiento del RGPD por parte del encargado.
2.5 Supervisar el tratamiento, incluida la realización de inspecciones y auditorías.

6. Sexta.

En el caso de que alguna o algunas de las cláusulas del presente contrato pasen a ser inválidas, ilegales o inejecutables en virtud de alguna norma jurídica, se considerarán ineficaces en la medida que corresponda, pero en lo demás, este contrato conservará su validez.

7. Séptima.

Con renuncia a su fuero y domicilio, todas las partes se someten, expresa y formalmente, a la jurisdicción de los Tribunales de Madrid para toda cuestión que pueda surgir en la interpretación o aplicación del presente contrato.

¿Estás preparado para proteger la continuidad de tu negocio?

Déjanos ayudarte

Conviértete en Partner  Solicita una demostración

Business SecurityCiberseguridad
23 octubre, 2019

Consejos para combatir la ciberdelincuencia

Tus datos personales y corporativos son el principal objetivo de los ciberdelincuentes. En 2018 se alcanzó un total de 110613 ciberdelitos. Evitar conectarse a redes wifi públicas, abrimos un punto…

Preguntas frecuentes

¿Qué servicios presta Itsafer?

Nuestro objetivo había sido ayudar al cliente a que su negocio se recupere de una contingencia grave en el menor tiempo posible. Los servicios de Itsafer están centrados en proporcionar la mayor seguridad a los sistemas de nuestros clientes, para así evitar que se produzcan dichas contingencias.

¿Como saber si necesito a Itsafer?

Es imperativo que haga una copia de seguridad de los datos críticos para su empresa. Nuestro sistema se basa en proveer a nuestros clientes con una copia de seguridad en línea totalmente administrada y supervisada que respalda automáticamente sus datos. Itsafer se encarga de la administración de copias de seguridad y de reestablecer lo antes posible, los datos perdidos.

¿Con que sistemas operativos trabajáis?

Windows, Linux/UNIX, Sun (Oracle) Solaris, Mac, IBM AIX.

¿Qué pasa si necesito asistencia técnica?

Contamos con un equipo de Ingenieros certificados por Amazon Web Services y Microsoft Azure Que trabajan 24/7 y que se encargarán de las necesidades operativas de su entorno cloud, incluyendo parcheado, actualizaciones, monitorización, gestión y resolución de alarmas, etc. La creación de una infraestructura de confianza es nuestra máxima prioridad. Nuestra monitorización y métricas analiticas aseguran obtener el rendimiento adecuado de sus servidores cloud.

¿Como aseguráis la seguridad de mi información?

Seguimos las buenas prácticas para la Gestión del Servicio conforme al estándar de la ISO 20000. Utilizamos la herramienta de Gestión del Servicio como motor de la Operación de los sistemas cubriendo las necesidades de gestión de los mismos. Gestionamos los recursos IT de una manera estructurada, permitiendo una rápida identificación de las dependencias operativas. Monitorizamos las Infraestructuras IT, las comunicaciones, la seguridad de los accesos y las aplicaciones atribuyendo costes y beneficios para cada departamento usuario.

Garantizamos los máximos estándares de Seguridad y de Garantía de Continuidad de Negocio conforme a nuestras certificaciones ISO 27001 y 22301.

Certificaciones