ANEXO 1 ACUERDO DE TRATAMIENTO DE DATOS

1. Responsabilidad e instrucciones

El tipo de datos y las categorías de interesados tratados en virtud del presente Acuerdo de Tratamiento por el Encargado en relación con la prestación de Trustlinks, así como la finalidad, naturaleza, duración y objeto del tratamiento, se describen en la sección 5. El Cliente deberá garantizar que el Encargado no trate categorías adicionales de datos distintas de las especificadas en la sección 5.

El Cliente es consciente de que Trustlinks es una plataforma distribuida a un gran número de clientes y que, por lo tanto, no necesariamente podremos seguir instrucciones que no sean consecuencia directa de la necesidad del Cliente de cumplir con las Normas de Protección de Datos. Si el Cliente nos proporciona instrucciones que no podamos seguir, el Cliente se compromete a cesar la introducción y exportación de todos los Datos del Cliente afectados por dichas instrucciones. Lo anterior no constituirá un incumplimiento contractual ni afectará a la disponibilidad de Trustlinks.

El Cliente es el responsable del tratamiento de todos los datos personales que el Encargado trate por cuenta del Cliente en virtud del presente Acuerdo de Tratamiento. En consecuencia, el Cliente es responsable del cumplimiento de las Normas de Protección de Datos aplicables y se compromete a seguir las directrices para el uso de Trustlinks que resulten aplicables en cada momento.

Mediante la celebración del presente Contrato, el Cliente acepta que las medidas de seguridad establecidas en las medidas organizativas y técnicas vigentes de Trustlinks son adecuadas para el uso previsto de Trustlinks por parte del Cliente.

2. Compromisos del Encargado

El Encargado se compromete a:

1. Contar con medidas técnicas y organizativas de seguridad adecuadas y adoptar las medidas de seguridad establecidas en las medidas organizativas y técnicas vigentes de Trustlinks (Trustlinks.com/measures) y en el artículo 32 del RGPD, a fin de proteger los datos tratados en virtud del presente Acuerdo, incluida la imposición de un deber de confidencialidad adecuado a las personas del Encargado autorizadas a tratar dichos datos;
2. Asistir al Cliente en el cumplimiento de los requisitos de seguridad establecidos en los artículos 32 a 36 del RGPD (tales como medidas técnicas y organizativas, notificación e información al Cliente sin demora indebida en caso de violación de datos personales, evaluación de impacto y consulta previa), así como en el cumplimiento de las obligaciones del Cliente relativas a los derechos de los interesados establecidos en el Capítulo III del RGPD (como el derecho de información, acceso, rectificación, supresión, limitación del tratamiento, portabilidad de los datos y oposición a la toma de decisiones automatizadas);
3. Otorgar al Cliente el derecho a recibir información del Encargado con el fin de verificar las medidas adoptadas por este de conformidad con el presente Acuerdo. El Encargado facilitará y contribuirá a las investigaciones (incluidas inspecciones) realizadas por el Cliente o por un auditor que actúe en su nombre. Asimismo, el Encargado remitirá al Cliente cualquier solicitud de información recibida de un interesado, de la autoridad de control o de un tercero en relación con el tratamiento de datos personales. El Encargado informará sin demora al Cliente de cualquier contacto por parte de la autoridad de control que afecte o pueda ser relevante para el tratamiento de datos personales;
4. Según lo que el Cliente elija, suprimir, anonimizar o devolver al Cliente todos los datos personales cuando el Contrato finalice, independientemente del motivo, incluida la supresión de todas las copias que, conforme a la normativa de protección de datos, no deban conservarse;
5. Proporcionar al Cliente acceso a la información necesaria para que este pueda cumplir sus obligaciones como responsable del tratamiento frente a la autoridad de control y/o los interesados;
6. No transferir los datos a terceros países ni a una organización internacional, salvo que así lo exija la normativa de protección de datos, en cuyo caso el Encargado informará inmediatamente al Cliente, salvo que dicha información esté prohibida.
   
   

El Encargado se compromete asimismo a tratar los datos en todo momento de conformidad con las Normas de Protección de Datos. Esto incluye, entre otras obligaciones, mantener un registro de todas las categorías de actividades de tratamiento realizadas, proporcionar un extracto de dicho registro a solicitud del Cliente e informar inmediatamente al Cliente si el Encargado sospecha que existe riesgo de vulneración de los derechos y libertades de los interesados.

3. Subencargados y transferencias a terceros países

Siempre que el Encargado (i) informe al Responsable con la debida antelación de sus planes, otorgando al Responsable el derecho de oposición, el Encargado cuenta con una autorización general para contratar subencargados para el tratamiento de datos por cuenta del Cliente, siendo plenamente responsable frente al Cliente por dichos subencargados.

Siempre que el Encargado (i) informe al Responsable al menos con 30 días de antelación, otorgando al Responsable el derecho de oposición, y (ii) aplique mecanismos de seguridad adecuados y aprobados conforme a las Normas de Protección de Datos, el Encargado podrá transferir Datos Personales fuera de la UE/EEE.

Mediante la celebración del presente Contrato, el Cliente aprueba los subencargados indicados en la sección 5. En el momento de la firma del presente Contrato, el Encargado no transfiere Datos Personales a ningún tercer país.

4. Disposiciones varias

Las disposiciones del Contrato también serán aplicables al presente Acuerdo de Tratamiento. En caso de conflicto entre el Contrato y el presente Acuerdo de Tratamiento, prevalecerá este último.

5. Instrucciones

La presente sección 5 constituye las instrucciones iniciales del Cliente al Encargado y podrá, con sujeción a la sección 1.2, ser complementada posteriormente.

Categorías de interesados: Personas que utilizan o se ven afectadas por la plataforma de cumplimiento Trustlinks, tales como empleados, consultores, socios y personas incluidas en registros o comunicaciones gestionadas en el sistema.

Finalidad, naturaleza y objeto del tratamiento, y categorías de datos personales: El tratamiento se realiza para apoyar la gestión segura del cumplimiento normativo, incluyendo la documentación de políticas, registros de riesgos, auditorías internas y mecanismos de reporte. Las operaciones de tratamiento incluyen la recogida, estructuración, almacenamiento, recuperación, limitación, control de acceso, comunicación y supresión de datos personales. Las categorías de datos personales tratados pueden incluir nombres, cargos, datos de contacto, información laboral, registros de comunicaciones, notas relacionadas con casos y otra documentación relevante para el cumplimiento. Dependiendo de la configuración del Cliente, también podrán tratarse categorías especiales de datos (por ejemplo, datos de salud o antecedentes penales) de conformidad con los requisitos del RGPD.

Conservación de datos: Los datos se conservarán durante el período definido por el Cliente en la configuración de retención de la plataforma Trustlinks.

Subencargados: A la fecha de celebración del presente Contrato, el Encargado cuenta con los siguientes subencargados, que podrán ser modificados conforme a la Sección 3:

SMSAPI (Polonia)

Brevo (Francia)

OPSWAT (Alemania)

Glesys (Suecia)

T-Systems International (Alemania)

Transferencias a terceros países: A la fecha de celebración del presente Contrato, el Encargado no realiza transferencias fuera de la UE/EEE, sin perjuicio de lo dispuesto en la Sección 3.

1. Transferencias fuera de la UE/EEE: ninguna.