Acuerdo de procesamiento de datos – Datatorq
El presente Acuerdo de Tratamiento de Datos («Acuerdo») forma parte del Contrato de
Servicios («Acuerdo Principal») entre
_____________________
_____________________
_____________________
(la «Empresa») y
Datatorq SAS
52 rue Monge
75005 París
Francia
(el «Encargado del Tratamiento»)
(conjuntamente las «Partes»)
CONSIDERANDO QUE
(A) La Empresa actúa como Controlador de Datos.
(B) La Empresa desea subcontratar determinados Servicios, que implican el tratamiento de datos personales, al Encargado del Tratamiento.
(C) Las Partes pretenden aplicar un acuerdo de tratamiento de datos que cumpla con los requisitos del marco jurídico vigente en materia de tratamiento de datos y con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
(D) Las Partes desean establecer sus derechos y obligaciones.
SE ACUERDA LO SIGUIENTE:
1. Definiciones e interpretación
1.1 Salvo que se definan de otro modo, los términos y expresiones en mayúsculas utilizados en el presente Acuerdo tendrán el siguiente significado:
1.1.1 «Acuerdo» significa el presente Acuerdo de Proceso de Datos y todos los Anexos;
1.1.2 «Datos Personales de la Empresa» significa cualquier Dato Personal Procesado por un Procesador Contratado en nombre de la Empresa de conformidad con o en relación con el Acuerdo Principal;
1.1.3 «Procesador contratado» significa un Subprocesador;
1.1.4 «Leyes de Protección de Datos» significa las Leyes de Protección de Datos de la UE y, en la medida aplicable, las leyes de protección de datos o privacidad de cualquier otro país;
1.1.5 «EEE» significa el Espacio Económico Europeo;
1.1.6 «Leyes de protección de datos de la UE» se refiere a la Directiva 95/46/CE de la UE, tal y como ha sido transpuesta a la legislación nacional de cada Estado miembro y tal y como ha sido modificada, sustituida o reemplazada en cada momento, incluido por el GDPR y las leyes que implementan o complementan el GDPR;
1.1.7 «GDPR» significa Reglamento General de Protección de Datos de la UE 2016/679;
1.1.8 «Transferencia de Datos» significa:
1.1.8.1 una transferencia de Datos Personales de la Empresa a un Procesador Contratado; o
1.1.8.2 una transferencia ulterior de Datos Personales de la Empresa de un Encargado del Tratamiento contratado a un Encargado del Tratamiento subcontratado, o entre dos establecimientos de un Encargado del Tratamiento contratado, en cada caso, cuando dicha transferencia estuviera prohibida por las Leyes de Protección de Datos (o por los términos de los acuerdos de transferencia de datos establecidos para abordar las restricciones de transferencia de datos de las Leyes de Protección de Datos);
1.1.9 «Servicios» significa los servicios de análisis y datos que presta la Empresa.
1.1.10 «Subprocesador» significa cualquier persona designada por o en nombre del Procesador para procesar Datos Personales en nombre de la Empresa en relación con el Acuerdo.
1.2 Los términos «Comisión», «Responsable del tratamiento», «Interesado», «Estado miembro», «Datos personales», «Violación de datos personales», «Tratamiento» y «Autoridad de control» tendrán el mismo significado que en el RGPD, y sus términos afines se interpretarán en consecuencia.
2. Tratamiento de datos personales de la empresa
2.1 El procesador deberá:
2.1.1 cumplir todas las Leyes de Protección de Datos aplicables en el Tratamiento de los Datos Personales de la Empresa; y
2.1.2 no Tratar los Datos Personales de la Empresa si no es siguiendo las instrucciones documentadas de la Empresa correspondiente.
2.2 La Empresa encarga al Procesador el tratamiento de los Datos Personales de la Empresa.
3. Personal del procesador
El Procesador tomará medidas razonables para garantizar la fiabilidad de cualquier empleado, agente o contratista de cualquier Procesador Contratado que pueda tener acceso a los Datos Personales de la Empresa, asegurándose en cada caso de que el acceso esté estrictamente limitado a aquellas personas que necesiten conocer / acceder a los Datos Personales de la Empresa pertinentes, según sea estrictamente necesario para los fines del Acuerdo Principal, y para cumplir la Legislación Aplicable en el contexto de las obligaciones de dicha persona con el Procesador Contratado, asegurándose de que todas estas personas estén sujetas a compromisos de confidencialidad u obligaciones profesionales o estatutarias de confidencialidad.
4. Seguridad
4.1 Teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del Tratamiento, así como el riesgo de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el Encargado del Tratamiento aplicará, en relación con los Datos Personales de la Empresa, las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado a dicho riesgo, incluidas, en su caso, las medidas a que se refiere el artículo 32, apartado 1, del RGPD.
4.2 Al evaluar el nivel adecuado de seguridad, el Encargado del Tratamiento tendrá en cuenta, en particular, los riesgos que presenta el Tratamiento, en especial los derivados de una violación de los Datos Personales.
5. Subprocesamiento
5.1 El Procesador no designará (ni revelará ningún Dato Personal de la Empresa a) ningún Subprocesador a menos que sea requerido o autorizado por la Empresa.
6. Derechos del interesado
6.1 Teniendo en cuenta la naturaleza del Tratamiento, el Encargado asistirá a la Empresa implantando las medidas técnicas y organizativas adecuadas, en la medida en que ello sea posible, para el cumplimiento de las obligaciones de la Empresa, en el sentido razonablemente entendido por ésta, de responder a las solicitudes de ejercicio de los derechos de los Interesados conforme a la LOPD.
6.2 El procesador deberá:
6.2.1 notificar sin demora a la Empresa si recibe una solicitud de un Sujeto de Datos en virtud de cualquier Ley de Protección de Datos con respecto a los Datos Personales de la Empresa; y
6.2.2 asegurarse de que no responde a dicha solicitud salvo siguiendo las instrucciones documentadas de la Empresa o según lo exijan las Leyes Aplicables a las que esté sujeto el Procesador, en cuyo caso el Procesador deberá, en la medida en que lo permitan las Leyes Aplicables, informar a la Empresa de dicho requisito legal antes de que el Procesador Contratado responda a la solicitud.
7. Violación de datos personales
7.1 El Procesador notificará a la Empresa sin demora indebida cuando el Procesador tenga conocimiento de una Violación de Datos Personales que afecte a los Datos Personales de la Empresa, proporcionando a la Empresa información suficiente para permitir a la Empresa cumplir con cualquier obligación de notificar o informar a los Sujetos de Datos de la Violación de Datos Personales en virtud de las Leyes de Protección de Datos.
7.2 El Encargado del Tratamiento cooperará con la Empresa y tomará las medidas comerciales razonables que le indique la Empresa para ayudar en la investigación, mitigación y reparación de cada una de dichas Violaciones de Datos Personales.
8. Evaluación de impacto sobre la protección de datos y consulta previa El Encargado del Tratamiento prestará asistencia razonable a la Empresa en relación con cualquier evaluación de impacto sobre la protección de datos, y consultas previas con las Autoridades de Supervisión u otras autoridades competentes en materia de privacidad de datos, que la Empresa considere razonablemente necesarias en virtud de los artículos 35 o 36 del GDPR o disposiciones equivalentes de cualquier otra Ley de Protección de Datos, en cada caso únicamente en relación con el Tratamiento de los Datos Personales de la Empresa por parte de los Encargados del Tratamiento contratados, y teniendo en cuenta la naturaleza del Tratamiento y la información de que dispongan.
9. Supresión o devolución de los Datos Personales de la Empresa
9.1 Sin perjuicio de lo dispuesto en la presente sección 9, el procesador deberá, sin demora y en cualquier caso en el plazo de
10 días laborables después de la fecha de cese de cualquier Servicio que implique el Tratamiento de Datos Personales de la Empresa (la «Fecha de Cese»), eliminar y procurar la eliminación de todas las copias de dichos Datos Personales de la Empresa.
10. Derechos de auditoría
10.1 Sin perjuicio de lo dispuesto en el presente apartado 10, el Encargado del tratamiento pondrá a disposición de la Empresa, previa solicitud, toda la información necesaria para demostrar el cumplimiento del presente Acuerdo, y permitirá y contribuirá a las auditorías, incluidas las inspecciones, realizadas por la Empresa o por un auditor encargado por la Empresa en relación con el Tratamiento de los Datos Personales de la Empresa por parte de los Encargados del tratamiento contratados.
10.2 Los derechos de información y auditoría de la Empresa sólo surgen en virtud de la sección 10.1 en la medida en que el Acuerdo no les otorgue de otro modo derechos de información y auditoría que cumplan los requisitos pertinentes de la Ley de Protección de Datos.
11. Transferencia de datos
11.1 El Encargado del Tratamiento no podrá transferir ni autorizar la transferencia de Datos a países fuera de la UE y/o del Espacio Económico Europeo (EEE) sin el consentimiento previo por escrito de la Empresa. Si los datos personales tratados en virtud del presente Acuerdo se transfieren de un país del Espacio Económico Europeo a un país fuera del Espacio Económico Europeo, las Partes se asegurarán de que los datos personales estén adecuadamente protegidos. Para ello, las Partes se basarán, salvo acuerdo en contrario, en las cláusulas contractuales tipo aprobadas por la UE para la transferencia de datos personales.
12. Condiciones generales
12.1 Confidencialidad. Cada Parte deberá mantener la confidencialidad del presente Acuerdo y de la información que reciba sobre la otra Parte y sus negocios en relación con el presente Acuerdo («Información Confidencial») y no deberá utilizar ni revelar dicha Información Confidencial sin el consentimiento previo por escrito de la otra Parte, salvo en la medida en que:
(a) la divulgación es exigida por la ley;
(b) la información pertinente ya es de dominio público.
12.2 Notificaciones. Todas las notificaciones y comunicaciones que se realicen en virtud del presente Contrato deberán hacerse por escrito y se entregarán personalmente, se enviarán por correo postal o se enviarán por correo electrónico a la dirección o dirección de correo electrónico que figura en el encabezamiento del presente Contrato a cualquier otra dirección que las Partes notifiquen periódicamente cambiando de dirección.
13. Ley aplicable y jurisdicción
13.1 El presente Contrato se rige por las leyes de _______________.
13.2 Cualquier disputa que surja en relación con este Acuerdo, que las Partes no puedan resolver de forma amistosa, se someterá a la jurisdicción exclusiva de los tribunales de _________________, sin perjuicio de un posible recurso a __________________________________.
EN FE DE LO CUAL, el presente Acuerdo se celebra con efectos a partir de la primera fecha que figura a continuación.
Datatorq
Signature ______________________________
Nombre: Anton Golche
Cargo: Presidente
Fecha de firma: 21/03/2024
Empresa procesadora
Signature ______________________________
Name _________________________________
Title __________________________________
Fecha Firmado ____________________________