Grupos:
⦁ Usted como cliente, en lo sucesivo denominado «Responsable del tratamiento»;
y
⦁ la sociedad anónima Fairtual Technologies BV, con domicilio social en Bélgica, 8000 Brujas, Avenida Reina Isabel 18, representada en este asunto por su director, el Sr. Diego Dupont, en lo sucesivo denominado «Procesador».
Consideraciones:
⦁ El Procesador ha celebrado uno o más acuerdos con el Procesador para la prestación de diversos servicios por parte del Procesador al Procesador o celebrará dicho acuerdo. Este acuerdo o estos acuerdos juntos se denominarán en lo sucesivo «el Acuerdo Principal».
⦁ El procesador tratará los datos de los que es y sigue siendo responsable al ejecutar el Contrato marco. Estos datos incluyen datos personales en el sentido del Reglamento General de Protección de Datos (UE 2016/679), en adelante la «AVG».
⦁ A la vista de lo dispuesto en el apartado 3 del artículo 28 de la AVG, las partes desean establecer en este acuerdo las condiciones para el tratamiento de estos datos personales.
Acuerdo:
⦁ Ámbito de aplicación
⦁ El presente Acuerdo se aplicará en la medida en que la prestación de los servicios en el marco del Contrato marco implique una o varias de las operaciones de tratamiento enumeradas en el Anexo 1.
⦁ Las operaciones de tratamiento del Anexo 1 que tienen lugar al prestar los servicios se denominan en adelante «las Operaciones de Tratamiento». Los datos personales tratados de este modo: «los datos personales».
⦁ En cuanto a las operaciones de Tratamiento, el Responsable del Tratamiento es el encargado del mismo y el Procesador es el Encargado del Tratamiento. Las personas físicas que utilizan efectivamente los servicios del Procesador en virtud del Contrato Principal y, en su caso, sus representantes, también se denominan en lo sucesivo «los Usuarios Finales».
⦁ Todos los términos utilizados en este Acuerdo tendrán el significado que se les da en la AVG.
⦁ Los anexos forman parte del presente Acuerdo. Se trata de:
Anexo 1 el Tratamiento, los Datos Personales y los plazos de conservación;
Apéndice 2 los subprocesadores y las categorías de subprocesadores que el controlador aprueba;
Anexo 3 las medidas técnicas y organizativas del procesador;
Anexo 4 Información en caso de violación de datos.
⦁ Asunto
⦁ El Procesador se compromete a Procesar los Datos Personales sólo para los fines de las actividades especificadas en este Acuerdo de Procesamiento y/o el Acuerdo Maestro. El Encargado del Tratamiento garantiza que, sin el consentimiento expreso y por escrito del Encargado del Tratamiento, no utilizará los Datos Personales Tratados en virtud del presente Acuerdo de Tratamiento de ninguna manera para fines propios o de terceros, salvo que una disposición legal aplicable al Encargado del Tratamiento le obligue a ello. En ese caso, el encargado del tratamiento notificará al responsable del tratamiento dicha disposición legal sin demora, antes del tratamiento, salvo que dicha legislación prohíba dicha notificación por razones importantes de interés público.
⦁ El procesador mantendrá los datos personales del procesador separados de los datos (personales) que procesa para sí mismo o para terceros.
⦁ El procesador llevará a cabo el procesamiento de manera adecuada y cuidadosa.
3 Medidas de seguridad
⦁ El encargado del tratamiento adoptará todas las medidas de seguridad técnicas y organizativas que se le exigen en virtud de la AVG y, en particular, del artículo 32 de la misma.
⦁ El transformador facilitará un documento en el que se indiquen las medidas técnicas y organizativas adecuadas. Este documento se adjuntará como Anexo 3 al presente Acuerdo de Procesamiento.
4 Infracciones de datos
⦁ El encargado del tratamiento informará al responsable del tratamiento de cualquier «violación de datos personales» a la que se refiere el artículo 4, apartado 12, de la AVG sin una demora injustificada y, en cualquier caso, en un plazo de 24 horas. Dicha violación se denomina en lo sucesivo «violación de datos».
⦁ El Encargado del Tratamiento facilitará al Responsable del Tratamiento, sin demora injustificada, toda la información que posea y que sea necesaria para cumplir con las obligaciones previstas en el artículo 33 de la AVG y prestará toda la colaboración solicitada por el Responsable del Tratamiento. Por lo demás, el transformador facilitará la información pertinente lo antes posible en un formato común que determinará el transformador. Además, el encargado del tratamiento mantendrá informado al responsable del tratamiento de cualquier novedad relativa a la fuga de datos y adoptará todas las medidas razonables para remediar la fuga de datos y limitar las consecuencias (o posibles consecuencias) de la misma en la medida de lo posible. El encargado del tratamiento también adoptará las medidas necesarias para evitar que se repita la fuga de datos.
⦁ El encargado del tratamiento no informará al responsable del tratamiento de una violación de datos si está absolutamente claro que la violación de datos no supone ningún riesgo para los derechos y libertades de las personas físicas. En caso de duda, el Encargado del Tratamiento informará de la fuga de datos al Responsable del Tratamiento para que éste pueda formarse su propia opinión sobre una posible denuncia de la fuga de datos. El encargado del tratamiento documentará todas las infracciones, incluidas las que no deban notificarse al responsable del tratamiento, y facilitará dicha documentación al responsable del tratamiento una vez al trimestre, o antes si el responsable del tratamiento lo solicita. La documentación contendrá, como mínimo, la información indicada en el Anexo 4.
⦁ Es responsabilidad exclusiva del Encargado del Tratamiento determinar si una Fuga de Datos detectada en el Encargado se comunica a la autoridad competente y/o a los interesados.
5 Uso de subprocesadores
⦁ El procesador tiene derecho a contratar a terceros como subprocesadores para los fines del procesamiento sin el consentimiento previo por escrito del procesador.
⦁ El Encargado del Tratamiento está facultado para contratar a terceros como Subencargados del Tratamiento sin el previo consentimiento por escrito del Responsable del Tratamiento.
⦁ El procesador informará al controlador de los subprocesadores que ha contratado. El Controlador podrá entonces oponerse a las adiciones o sustituciones en relación con los Subprocesadores del Procesador.
⦁ en cualquier caso, la Parte Procesadora da su consentimiento para la contratación de los Subprocesadores y/o las categorías de Subprocesadores enumerados en el Apéndice 2.
6 Deber de confidencialidad
⦁ El procesador mantendrá los datos personales en secreto. El encargado del tratamiento se asegurará de que los datos personales no estén directa o indirectamente a disposición de terceros. Los terceros también incluyen al personal del Procesador en la medida en que no sea necesario que tomen conocimiento de los Datos Personales. Esta prohibición no se aplica si el presente acuerdo dispone lo contrario y/o en la medida en que una norma legal o una sentencia obligue a cualquier divulgación.
⦁ El Procesador se asegurará de que las personas, sin limitarse a los empleados, que participen en el Procesamiento en el Procesador estén sujetas a una obligación de confidencialidad con respecto a los Datos Personales.
⦁ El Encargado del Tratamiento informará al Controlador de cualquier solicitud de inspección, suministro o recuperación de los Datos Personales, en violación de la obligación de confidencialidad contenida en el presente artículo.
7 Períodos de almacenamiento y supresión
⦁ El responsable del tratamiento es el encargado de determinar los plazos de conservación de los Datos Personales. En la medida en que los datos personales estén bajo el control del responsable del tratamiento, él mismo los eliminará oportunamente.
⦁ El Procesador eliminará los Datos Personales en un plazo de treinta días a partir de la finalización del Acuerdo Principal o, a elección del Procesador, los transferirá al Procesador, a menos que los Datos Personales deban conservarse durante un período más largo, como en el contexto de las obligaciones legales o de otro tipo del Procesador, o si el Procesador solicita que los Datos Personales se conserven durante un período más largo y el Procesador y el Procesador acuerdan los costos y otras condiciones de esa retención más larga, esto último sin perjuicio de la responsabilidad del Procesador de observar los períodos de retención legales. Traducción realizada con la versión gratuita del traductor www.DeepL.com/Translator Cualquier transferencia al Procesador correrá a cargo de éste.
⦁ A petición del Tramitador, éste declarará que se ha producido la supresión a que se refiere el párrafo anterior. El Agente de Tratamiento podrá, a sus expensas, hacer que se compruebe si efectivamente se ha hecho. El artículo 10 del presente Acuerdo se aplicará a dicho control. En la medida en que sea necesario, el Procesador informará a todos los Subprocesadores involucrados en el procesamiento de Datos Personales de la terminación del Acuerdo Maestro y les instruirá para que actúen como se establece en el presente.
⦁ Salvo acuerdo en contrario de las partes, el propio Encargado del Tratamiento se encargará de realizar una copia de seguridad de los Datos Personales.
8 Derechos de los interesados
⦁ Si el propio Encargado del Tratamiento tiene acceso a los Datos Personales, deberá atender todas las solicitudes de los Interesados en relación con los Datos Personales. El Encargado del Tratamiento comunicará inmediatamente las solicitudes que reciba al Propietario del Tratamiento, quien se encargará de atenderlas.
⦁ Sólo en la medida en que lo dispuesto en el párrafo anterior no sea posible, el Procesador prestará su plena y oportuna colaboración al Procesador para:
⦁ tras la aprobación del Encargado del Tratamiento y siguiendo sus instrucciones, permitir a los interesados la consulta de los Datos Personales que les conciernen,
⦁ Eliminar o corregir los datos personales,
⦁ demostrar que los Datos Personales han sido suprimidos o corregidos si son incorrectos (o, en caso de que el Responsable del Tratamiento no esté de acuerdo con que los Datos Personales sean incorrectos, registrar el hecho de que el interesado considera que sus Datos Personales son incorrectos)
⦁ proporcionar los Datos Personales en cuestión al Agente de Tratamiento o a un tercero designado por el Agente de Tratamiento en un formato estructurado, común y legible por máquina, y
⦁ permitir de otro modo que el Procesador cumpla con sus obligaciones en virtud de la AVG o cualquier otra ley aplicable en relación con el procesamiento de los Datos Personales.
⦁ Los costes y requisitos de la cooperación mencionada en el párrafo anterior serán determinados conjuntamente por las partes. A falta de un acuerdo en este sentido, los costes correrán a cargo del Agente de Tratamiento.
⦁ Responsabilidad
⦁ El Procesador será responsable de todos los daños y costes en los que incurra el Procesador como resultado de un incumplimiento imputable a éste de sus obligaciones en virtud del presente Acuerdo, incluyendo, pero sin limitarse a, los daños causados por el Procesador cuando el procesamiento no cumpla con las obligaciones de la AVG específicamente dirigidas al Procesador o si se violan las instrucciones legales del Procesador.
⦁ El tramitador indemnizará al tramitador por todas las reclamaciones de terceros que se deriven de un incumplimiento imputable al tramitador de sus obligaciones con el tramitador en virtud del presente acuerdo.
⦁ Sin perjuicio de lo dispuesto en el presente artículo 9, se aplicarán íntegramente las disposiciones en materia de responsabilidad del Contrato Marco.
⦁ Control
⦁ El Encargado del Tratamiento tendrá derecho a verificar el cumplimiento de lo dispuesto en el presente convenio a su cargo cuando exista una causa razonable para ello y, en todo caso, una vez al año, o a que dicho cumplimiento sea verificado por un censor jurado de cuentas independiente o un informático colegiado.
⦁ Si dicha auditoría revela que el Procesador no ha cumplido o no ha cumplido adecuadamente con el presente Acuerdo y/o las disposiciones legales aplicables que rigen el Tratamiento de Datos Personales, el Procesador asumirá los costes de la auditoría. Asimismo, el encargado de la tramitación deberá subsanar las deficiencias sin demora tras tener conocimiento de ellas. Esto se entiende sin perjuicio de los demás derechos del Agente de Tratamiento.
⦁ El encargado del tratamiento pondrá a disposición del responsable del tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el artículo 28 de la AVG. Si el tercero contratado por el Controlador da una instrucción que, en opinión del Controlador, viola la AVG, el Controlador informará inmediatamente de ello.
⦁ La investigación del Controlador se limitará siempre a los sistemas del Procesador utilizado para el Tratamiento. El responsable del tratamiento mantendrá la confidencialidad de la información encontrada durante la inspección y sólo la utilizará para comprobar el cumplimiento por parte del encargado del tratamiento de las obligaciones derivadas del presente Acuerdo y eliminará la información o parte de ella lo antes posible. El responsable del tratamiento garantiza que los terceros contratados también asumirán estas obligaciones.
El encargado del tratamiento llevará a cabo (o hará que se lleven a cabo) auditorías de seguridad periódicas y proporcionará un resumen anual de los resultados de esta auditoría, que incluirá al menos una visión general de los riesgos, así como las medidas que deben adoptarse para limitar y remediar estos riesgos.
⦁ Tratamiento de datos personales fuera del Espacio Económico Europeo
⦁ La transferencia de Datos Personales por parte del Procesador fuera del Espacio Económico Europeo sólo se permite en cumplimiento de las obligaciones legales aplicables.
⦁ Otras disposiciones
⦁ Las modificaciones de este acuerdo sólo son válidas si se han acordado por escrito entre las partes.
⦁ Las partes modificarán el presente acuerdo en función de las normas modificadas o complementadas, de las instrucciones adicionales de las autoridades competentes y de la evolución de la aplicación de la AVG (por ejemplo, a través de la jurisprudencia o los informes, pero sin limitarse a ellos), de la introducción de disposiciones estándar y/o de otros acontecimientos o percepciones que hagan necesaria dicha modificación.
⦁ Este acuerdo tiene una duración del Contrato Marco. Las disposiciones del presente Acuerdo permanecerán en vigor en la medida necesaria para la liquidación del mismo y en la medida necesaria para sobrevivir a su finalización. Esta última categoría de disposiciones incluye, entre otras, las relativas a la confidencialidad y los litigios.
⦁ Este acuerdo prevalece sobre cualquier otro acuerdo entre el Controlador y el Procesador.
⦁ Este acuerdo se rige exclusivamente por la legislación belga.
⦁ Las partes someterán sus litigios en relación con este acuerdo exclusivamente al Tribunal de Brujas.
_________________________ __________________________________
Por:
Por:
Nombre: Fairtual Technologies BV Nombre:
Op: Op:
Te: Te:
Anexo 1
Tratamiento de datos personales y plazos de conservación
Los anexos 1 y 2 deben ser rellenados de la forma más completa posible por el controlador
Este anexo forma parte del Acuerdo de Procesamiento y debe ser rubricado por las partes.
⦁ Los Datos Personales que las partes esperan tratar:
[Descripción de los datos personales tratados en el marco de este acuerdo, por ejemplo, los datos descritos a continuación. Por favor, complete].
⦁ …………………………………………………………………………………
⦁ …………………………………………………………………………………
⦁ …………………………………………………………………………………
⦁ …………………………………………………………………………………
⦁ …………………………………………………………………………………
⦁ …………………………………………………………………………………
⦁ …………………………………………………………………………………
⦁ …………………………………………………………………………………
⦁ …………………………………………………………………………………
⦁ …………………………………………………………………………………
⦁ …………………………………………………………………………………
⦁ …………………………………………………………………………………
⦁ La naturaleza, el uso y la finalidad del tratamiento de los Datos Personales:
[Descripción de lo que se hará con los datos personales (por ejemplo, almacenamiento en un archivo, envío por correo electrónico, etc.), cuál es la finalidad del tratamiento (por ejemplo, marketing, captación de clientes, ejecución de contratos) y qué medios se utilizarán (por ejemplo, software de CRM)].
……………………………………………………………………………………………………………………………………………………….
……………………………………………………………………………………………………………………………………………………….
……………………………………………………………………………………………………………………………………………………….
……………………………………………………………………………………………………………………………………………………….
……………………………………………………………………………………………………………………………………………………….
……………………………………………………………………………………………………………………………………………………….
……………………………………………………………………………………………………………………………………………………….
……………………………………………………………………………………………………………………………………………………….
……………………………………………………………………………………………………………………………………………………….
⦁ Las categorías de Titulares a las que se refieren los Datos Personales
[Descripción de las categorías de sujetos de datos, por ejemplo, visitantes del sitio web, suscriptores, proveedores, niños, empleados].
……………………………………………………………………………………………………………………………………………………….
……………………………………………………………………………………………………………………………………………………….
……………………………………………………………………………………………………………………………………………………….
……………………………………………………………………………………………………………………………………………………….
……………………………………………………………………………………………………………………………………………………….
……………………………………………………………………………………………………………………………………………………….
……………………………………………………………………………………………………………………………………………………….
……………………………………………………………………………………………………………………………………………………….
……………………………………………………………………………………………………………………………………………………….
⦁ Los períodos de uso y conservación de los (diferentes tipos de) Datos Personales:
[Beschrijving van de gebruiks- en bewaartermijnen die verwerker dient aan te houden]
……………………………………………………………………………………………………………………………………………………….
……………………………………………………………………………………………………………………………………………………….
……………………………………………………………………………………………………………………………………………………….
……………………………………………………………………………………………………………………………………………………….
……………………………………………………………………………………………………………………………………………………….
……………………………………………………………………………………………………………………………………………………….
……………………………………………………………………………………………………………………………………………………….
……………………………………………………………………………………………………………………………………………………….
……………………………………………………………………………………………………………………………………………………….
Anexo 2
Subprocesadores/categorías de subprocesadores
Este anexo forma parte del Acuerdo de Procesamiento y debe ser rubricado por las partes.
El presente anexo contiene un resumen de los subprocesadores a los que se refiere el artículo 5.4 del presente Acuerdo.
| Nombre del subprocesador | Dirección | Datos de contacto | Finalidad del subprocesador |
| C Bloom Comm. V. | Blauwvoetstraat 49 – 8310 Assebroek | info@cbloom.be GSM:+32478211899 BE0518.858.245 |
3D Design |
| Sliced Comm. V. | Watermolenstraat 23, 9230 Wetteren | info@sliced.be GSM:+32496660979 BE0739734272 |
IT – Development |
| Combell NV | Skaldenstraat 121, 9042 Gent | administratie@combell.com BTW: BE 0541.977.701 |
Hosting |
| Whereby AS | Gate 1, N° 107, 6700 Maloly, Norway | pro@whereby.com | Video meetings |
| tawk.to inc. | 187 East Warm Spring Rd, SB298 Las Vegas, NV, 89119 |
support@tawk.to | Written Chat booths |
| Chatwee Sp. | Piotrkowska 4, 62-610 Sompolno, Polnad | VAT ID: PL6652990463 https://chatwee.com/ |
Written Chat (Network Café) |
Anexo 3
Medidas de seguridad del procesador (ver descargas)
Anexo 4
Información en caso de violación de datos
El Encargado del Tratamiento facilitará toda la información que considere necesaria para poder evaluar la Fuga de Datos o el incidente. Al hacerlo, el procesador proporcionará al menos la siguiente información:
⦁ cuál es la (supuesta) causa de la violación de los datos o del incidente;
⦁ cuál es la consecuencia (aún conocida y/o esperada);
⦁ cuál es la solución propuesta;
⦁ los datos de contacto para el seguimiento del informe;
⦁ (una estimación de) el número de personas cuyos datos están afectados por la violación de datos o el incidente;
⦁ una descripción de la categoría de los interesados implicados en la violación de datos o el incidente;
⦁ el tipo o tipos de datos personales implicados en la violación de datos o el incidente;
⦁ la fecha/período en que se produjo la violación de los datos o el incidente;
⦁ la fecha y la hora en que la Fuga de Datos o el incidente fue conocido por el Procesador o por un tercero o subprocesador contratado por él;
⦁ si los datos han sido encriptados, cifrados o hechos inaccesibles para personas no autorizadas;
⦁ qué medidas se han tomado para poner fin a la violación de datos o al incidente y para limitar las consecuencias de la violación.
