Reglamento General de Protección de Datos (RGPD)

Imprimir

  1. Finalidad

    El objeto de las presentes cláusulas es definir las condiciones en las que el subcontratista se compromete a realizar por cuenta del responsable del tratamiento las operaciones de tratamiento de datos personales que se definen a continuación. En el marco de sus relaciones contractuales, las partes se comprometen a respetar la normativa vigente aplicable al tratamiento de datos personales y, en particular, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016. aplicable a partir del 25 de mayo de 2018 (en lo sucesivo, "Reglamento europeo de protección de datos").

  2. Descripción del tratamiento objeto de la subcontratación

    El subcontratista está autorizado a tratar en nombre del responsable del tratamiento los datos personales necesarios para prestar los servicios que se detallan a continuación:

    Servicio Verificación de documentos de identidad (DNI, pasaporte, permiso de residencia) y otros documentos personales (RIB, justificante de domicilio, nómina, notificación de impuestos, permiso de conducir, etc.)
    Naturaleza de las operaciones Captura de la imagen del documento, recepción, extracción de los datos del documento, control sobre la base de reglas definidas, devolución de los resultados del control.
    Finalidad del tratamiento Verificación de los documentos comunicados por los clientes finales.
    Categorías de interesados Clientes finales
    Información puesta a disposición del subcontratista por el responsable del tratamiento para la ejecución del servicio objeto de este contrato Imagen del documento o documento de identidad, posiblemente adquirida directamente del cliente final.
    Servicio Reconocimiento facial para identificar al titular del documento de identidad
    Naturaleza de las operaciones Capture una foto tipo selfie, reciba el selfie y compárelo automáticamente con el rostro que figura en el documento de identidad.
    Finalidad del tratamiento Verificación de los documentos comunicados por los clientes finales.
    Categorías de interesados Clientes finales
    Información puesta a disposición del subcontratista por el responsable del tratamiento para la ejecución del servicio objeto de este contrato Imagen del documento de identidad y selfie del cliente final posiblemente adquirida directamente del cliente final.

  3. Duración del contrato

    Este contrato es válido durante el Periodo de Servicio definido en el Contrato.

  4. Obligaciones del subcontratista respecto al responsable del tratamiento

    El subcontratista se compromete a:

    • Tratar los datos únicamente para el fin o fines objeto de la subcontratación

    • Tratar los datos de conformidad con la descripción del servicio comunicada al responsable del tratamiento en el apéndice del presente contrato. Si el encargado del tratamiento está obligado a transferir datos a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o del Derecho del Estado miembro al que esté sujeto, deberá informar al responsable del tratamiento de sus obligaciones legales antes del tratamiento, a menos que la ley en cuestión prohíba dicha información por razones importantes de interés público.

    • Garantizar la confidencialidad de los datos personales tratados en virtud del presente contrato

    • Garantizar que las personas autorizadas a tratar datos personales en virtud del presente contrato:

      • se comprometan a respetar la confidencialidad o estén sujetos a una obligación legal adecuada de confidencialidad
      • recibir la formación necesaria en materia de protección de datos personales

    • Subcontratación: El encargado del tratamiento podrá recurrir a otro encargado (en lo sucesivo, "el encargado posterior") para llevar a cabo actividades de tratamiento específicas. En este caso, informará al responsable del tratamiento por adelantado y por escrito de cualquier cambio previsto en relación con la adición o sustitución de otros subcontratistas. Esta información debe indicar claramente las actividades de tratamiento subcontratadas, la identidad y los datos de contacto del subcontratista y las fechas de la subcontratación. El responsable del tratamiento dispone de un plazo mínimo de 15 días a partir de la fecha de recepción de esta información para presentar sus objeciones. Esta subcontratación sólo podrá llevarse a cabo si el responsable del tratamiento no se ha opuesto en el plazo acordado.

    • Derecho de información de los interesados: Dependiendo de si la información es recogida por el responsable del tratamiento o por el encargado del tratamiento, es responsabilidad del responsable del tratamiento o del encargado del tratamiento, respectivamente, facilitar la información a las personas afectadas por las operaciones de tratamiento en el momento de la recogida de datos.

    • Ejercicio de los derechos personales: En la medida de lo posible, el subcontratista deberá ayudar al responsable del tratamiento a cumplir con su obligación de responder a las solicitudes de ejercicio de los derechos de los interesados: derecho de acceso, rectificación, supresión y "oposición, derecho a la limitación del tratamiento, derecho a la portabilidad de los datos, derecho a no ser objeto de una decisión individual automatizada (incluida la elaboración de perfiles).
      Cuando los interesados presenten solicitudes al subcontratista para ejercer sus derechos, el subcontratista deberá enviar dichas solicitudes tan pronto como las reciba por correo electrónico a un contacto dentro del responsable del tratamiento cuyos datos de contacto figuren en el anexo del contrato.

    • Notificación de violaciones de datos personales: El encargado del tratamiento notificará al responsable del tratamiento cualquier violación de los datos personales en un plazo máximo de 24 horas tras tener conocimiento de la misma y mediante correo electrónico enviado a un contacto del responsable del tratamiento cuyos datos de contacto figuran en el anexo del contrato. . Esta notificación se acompaña de toda la documentación útil para que el responsable del tratamiento pueda, en su caso, notificar esta violación a la autoridad de control competente.
      Previo acuerdo del responsable del tratamiento, el subcontratista notifica a la autoridad de control competente (la CNIL), en nombre y por cuenta del responsable del tratamiento, las violaciones de los datos personales lo antes posible y, a ser posible, en un plazo máximo de 72 horas tras haber tenido conocimiento de la misma, a menos que la violación en cuestión no sea susceptible de crear un riesgo para los derechos y libertades de las personas.
      La notificación contiene como mínimo:

      • descripción de la naturaleza de la violación de los datos personales, incluidas, cuando sea posible, las categorías y el número aproximado de personas afectadas por la violación y las categorías y el número aproximado de registros de datos personales afectados;
      • el nombre y los datos de contacto del responsable de la protección de datos u otro punto de contacto del que pueda obtenerse más información;
      • descripción de las consecuencias probables de la violación de los datos personales;
      • una descripción de las medidas adoptadas o que el responsable del tratamiento se propone adoptar para poner remedio a la violación de los datos personales, incluidas, en su caso, las medidas destinadas a atenuar las posibles consecuencias negativas.
        En caso de que no sea posible facilitar toda esta información al mismo tiempo, y en la medida en que no lo sea, la información podrá comunicarse por etapas sin dilación indebida.

    • Ayuda del subcontratista en el contexto del cumplimiento por parte del responsable del tratamiento de sus obligaciones: El encargado del tratamiento ayuda al responsable del tratamiento a llevar a cabo:

      • evaluaciones de impacto relativas a la protección de datos
      • consulta previa a la autoridad de control.

    • Medidas de seguridad: El subcontratista se compromete a aplicar las siguientes medidas de seguridad:

      • Los datos personales almacenados en la base de datos se cifran mediante AES256.
      • Los datos almacenados como imagen en el sistema de archivos se cifran mediante AES256.
      • En cuanto los datos dejan de ser necesarios, se suprimen inmediatamente.
      • Los rastros técnicos no contienen información personal.
      • Los datos en tránsito están protegidos por conexiones TLS.
      • El acceso externo al servicio está protegido por equipos de seguridad, cuyas configuraciones se auditan periódicamente.
      • Los datos que se conservan en la base de datos (mientras dure su tratamiento o durante su periodo de utilización para el responsable del tratamiento) se mantienen en una base de datos replicada que permite reensamblar el servicio en caso de fallo de uno de los nodos. En caso de fallo de todos los nodos, se pone en marcha un Plan de Continuidad de la Actividad que utiliza la última copia de seguridad diaria de los datos cifrados.
      • Los nodos de procesamiento de datos son redundantes para que el servicio pueda prestarse incluso en caso de fallo de uno de ellos.
      • El servicio en su conjunto se supervisa en tiempo real y existe un sistema de alerta automática para informar a los administradores del sistema de cualquier anomalía en la prestación del servicio.
      • El acceso a los servidores está restringido al personal identificado. Todas sus acciones en estos servidores quedan registradas en registros inalterables.
      • Una auditoría anual del servicio verifica el cumplimiento de los procedimientos y las medidas de vigilancia.
      • Nota: los datos no están anonimizados o seudonimizados, ya que el objetivo del servicio es validar la identidad del usuario final.

    • Destino de los datos: Al término de la prestación de servicios relacionados con el tratamiento de estos datos, el subcontratista se compromete a devolver y, a continuación, destruir todos los datos personales al responsable del tratamiento.
      La devolución debe ir acompañada de la destrucción de todas las copias existentes en los sistemas de información del subcontratista.
      Dado que el subcontratista utiliza algoritmos de aprendizaje y tratamiento automático que él mismo desarrolla, está autorizado por el responsable del tratamiento a conservar los datos con el fin de mejorar dichos algoritmos. Los datos almacenados son utilizados por un equipo especializado del subcontratista, todos cuyos miembros han firmado una obligación específica de confidencialidad. Los datos almacenados no son accesibles fuera del sistema de información interno del subcontratista.

    • Responsable de protección de datos: El encargado del tratamiento comunica al responsable del tratamiento el nombre y los datos de contacto de su delegado de protección de datos, si ha designado uno de conformidad con el artículo 37 del Reglamento europeo de protección de datos.

    • Registro de categorías de actividades de tratamiento: El encargado del tratamiento declara mantener por escrito un registro de todas las categorías de actividades de tratamiento realizadas por cuenta del responsable del tratamiento, incluyendo:

      • el nombre y los datos de contacto del responsable del tratamiento en cuyo nombre actúan, de los subcontratistas y, en su caso, del responsable de la protección de datos;
      • las categorías de tratamiento efectuadas por cuenta del responsable del tratamiento;
      • en su caso, las transferencias de datos personales a un tercer país o a una organización internacional, incluida la identificación de ese tercer país o de esa organización internacional y, en el caso de las transferencias a que se refiere el artículo 49, apartado 1, párrafo segundo, del Reglamento europeo de protección de datos, los documentos que acrediten la existencia de garantías adecuadas
      • en la medida de lo posible, una descripción general de las medidas de seguridad técnicas y organizativas, incluidas, entre otras, las siguientes
        • seudonimización y cifrado de datos personales; o medios para garantizar la confidencialidad, integridad, disponibilidad y resistencia permanentes de los sistemas y servicios de tratamiento;
        • medios para restablecer la disponibilidad de los datos personales y el acceso a ellos en plazos adecuados en caso de incidente físico o técnico; o un procedimiento para probar, analizar y evaluar periódicamente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

    • Documentación: El encargado del tratamiento facilitará al responsable del tratamiento la documentación necesaria para demostrar el cumplimiento de todas sus obligaciones y permitir la realización de auditorías, incluidas inspecciones, por parte del responsable del tratamiento o de otro auditor que haya encargado, y contribuirá a dichas auditorías.

  5. Obligaciones del responsable del tratamiento con respecto al encargado del tratamiento

    El responsable del tratamiento se compromete a:

    • Facilitar al subcontratista los datos mencionados en el punto II de las presentes cláusulas

    • Documentar por escrito cualquier instrucción relativa al tratamiento de datos por parte del encargado del tratamiento

    • Garantizar, previamente y durante toda la duración del tratamiento, el cumplimiento de las obligaciones previstas por el Reglamento europeo de protección de datos por parte del encargado del tratamiento

    • Supervisar el tratamiento, incluida la realización de auditorías e inspecciones del transformador