Acord de
Acord de Tractament de Dades (“ATD”) dels serveis nebulaSUITE de Víntegris
Aquest Acord de Tractament de Dades (“ATD”) és un acord entre el sol·licitant i l’entitat que representa (“Client”) i Víntegris, S.L. (“VÍNTEGRIS”) i estableix les obligacions d’ambdues parts pel que fa al tractament i la seguretat de les dades personals de què és responsable el Client en relació amb l’ús dels Serveis de nebulaSUITE.
Aquest ATD complementa Condicions Generals del Servei nebulaSUITE disponible a https://www.vintegris.com//ca/nebulasuite-service-terms/ o un altre acord entre el Client i VÍNTEGRIS que regeix l’ús per part del Client de Serveis de nebulaSUITE prestats per VÍNTEGRIS quan en l’ús d’aquests serveis sigui aplicable el Reglament (UE) 2016/679 del Parlament Europeu i del Consell de 27 d’abril de 2016 relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals hi ha la lliure circulació d’aquestes dades (RGPD).
DEFINICIONS
Per al propòsit d’aquest ATD:
“Llei de protecció de dades aplicable” significa les lleis i regulacions aplicables on es realitza el tractament de dades, que s’apliquen als termes d’aquest ATD i que poden variar amb el pas del temps. Comprendre tant el Reglament (UE) 2016/679 del Parlament Europeu i del Consell de 27 d’abril de 2016 relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d’aquestes dades (RGPD) com les lleis locals aplicables on es duu a terme el tractament.
“Responsable” o” Responsable del tractament” significa la persona física o jurídica, autoritat pública, agència o altre organisme que, sol o conjuntament amb altres, determina els fins i mitjans del tractament de dades personals; quan els fins i els mitjans d’aquest tractament estiguin determinats per la legislació de la Unió o dels estats membres, el responsable del tractament o els criteris específics per designar-los podran estar previstos per la legislació de la Unió o dels estats membres;
“Encarregat” o “Encarregat del tractamento” significa una persona física o jurídica, autoritat pública, agència o un altre organisme que processa dades personals en nom del responsable del tractament;
“Interessat” significa una persona que és el subjecte de les dades personals;
“ATD”, “aquest ATD”, “aquest acord ATD” és aquest Acord de Tractament de Dades;
“Dades personals” significa tota informació sobre una persona física identificada o identificable (“l’interessat”); es considerarà persona física identificable tota persona la identitat de la qual es pugui determinar, directament o indirectament, en particular mitjançant un identificador, com ara un nom, un número d’identificació, dades de localització, un identificador en línia o un o diversos elements propis de la identitat física, fisiològica, genètica, psíquica, econòmica, cultural o social d’aquesta persona;
“Autoridad supervisora” significa una autoritat pública independent establerta per un estat membre que s’ocupa de la supervisió del processament de dades personals per tal de protegir els drets i les llibertats fonamentals de les persones físiques pel que fa al tractament de les dades.
“Dades del Client” són totes les dades personals (incloent-hi tots els arxius de text, so, vídeo o imatge i certificats digitals) que les persones autoritzades del Client incorporen a les bases de dades i sistemes d’allotjament de cada servei, així com aquells que es puguin generar i conservar mitjançant l’ús dels serveis de nebulaSUITE. El Client és responsable del tractament d’aquestes dades personals.
“Serveis”, “Serveis nebulaSUITE” són els serveis de software com a servei (SaaS). Són els serveis prestats a través d’internet per VÍNTEGRIS a favor del Client, en relació amb l’ús del servei contractat, a través de la plataforma de nebulaSUITE i dins de la infraestructura de computació al núvol.
“Subencarregats” són els altres encarregats del tractament que Microsoft utilitza per tractar les Dades del Client, les Dades de Serveis Professionals i les Dades Personals, com es descriu a l’article 28 del RGPD.
SECCIÓ I
Clàusula 1. Finalitat i àmbit d’aplicació
- La finalitat de les clàusules d’aquest ATD (en endavant, «plec de clàusules») és garantir que es compleixi l’article 28, apartats 3 i 4, del Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d’abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d’aquestes dades, i pel que es deroga la Directiva 95/46/CE (Reglament general de protecció de dades).
- Els responsables i encarregats del tractament enumerats a l’annex I han donat el seu consentiment a vincular-se pel present plec de clàusules a fi de garantir el compliment de l’article 28, apartats 3 i 4, del Reglament (UE) 2016/679.
- Aquest plec de clàusules s’aplica al tractament de dades personals especificat a l’annex II.
- Els annexos I a IV formen part del plec.
- Aquest plec de clàusules s’entén sense perjudici de les obligacions a què estigui subjecte el responsable en virtut del Reglament (UE) 2016/679.
- Aquest plec de clàusules no garanteix per si mateix el compliment de les obligacions relatives a les transferències internacionals previstes al capítol V del Reglament (UE) 2016/679.
- El plec de clàusules d’aquest ATD està alineat amb la Decisió d’Execució (UE) 2021/915 de la Comissió de 4 de juny del 2021 sobre clàusules contractuals estàndard entre controladors i processadors.
- Aquest ATD, incloses les seves definicions, considerades i annexos, és un document independent que no incorpora termes comercials que les parts han d’haver establert en acords comercials separats.
Clàusula 2. Invariabilitat del plec de clàusules
- Les parts es comprometen a no modificar el plec de clàusules, excepte per afegir o actualitzar informació als annexos.
- Això no és obstacle perquè les parts afegeixin altres clàusules o garanties addicionals sempre que no contradiguin, directament o indirectament, el plec de clàusules ni perjudiquin els drets o llibertats fonamentals dels interessats.
Clàusula 3. Interpretació
- Quan en aquest plec de clàusules s’utilitzen termes definits al Reglament (UE) 2016/679, s’entén que tenen el mateix significat que al Reglament corresponent.
- Aquest plec de clàusules s’ha de llegir i interpretar d’acord amb les disposicions del Reglament (UE) 2016/679.
- No es podran realitzar interpretacions del present plec de clàusules que entrin en conflicte amb els drets i obligacions establerts al Reglament (UE) 2016/679 i/o que perjudiquin els drets o llibertats fonamentals dels interessats.
Clàusula 4. Jerarquia
En cas de contradicció entre aquest plec de clàusules i les disposicions d’acords connexos entre les parts que estiguin en vigor en el moment en què es pactés o es comencés a aplicar aquest plec de clàusules, prevaldrà aquest plec de clàusules.
SECCIÓ II. OBLIGACIONS DE LES PARTS
Clàusula 5. Descripció del tractament o tractaments
A l’annex II s’especifiquen els detalls de les operacions de tractament i, en particular, les categories de dades personals i els fins per als quals es tracten les dades personals per compte del responsable.
Clàusula 6. Obligacions de les parts
6.1. Instruccions
- El responsable del tractament instruirà l’encarregat perquè tracti les dades personals de la manera que sigui raonablement necessària perquè l’encarregat dugui a terme el tractament de conformitat amb aquest ATD i de conformitat amb el Reglament (UE) 2016/679.
- L’encarregat tractarà les dades personals únicament seguint instruccions documentades del responsable d’acord amb els termes de servei establerts a les Condicions Generals del Servei nebulaSUITE, llevat que hi estigui obligat en virtut del Dret de la Unió o dels estats membres que s’apliqui a l’encarregat. En aquest cas, l’encarregat informarà el responsable d’aquesta exigència legal prèvia al tractament, llevat que aquest dret ho prohibeixi per raons importants d’interès públic. El responsable també podrà donar instruccions ulteriors a qualsevol moment del període de tractament de les dades personals. Aquestes instruccions sempre han d’estar documentades.
- El responsable del tractament s’abstindrà de proporcionar instruccions que no s’ajustin a les lleis aplicables, inclòs el Reglament (UE) 2016/679 i, en cas que es donin les instruccions esmentades, l’encarregat del tractament té dret a desistir de dur-les a terme.
- L’encarregat informarà immediatament el responsable si les instruccions donades pel responsable infringeixen, segons el parer de l’encarregat, el Reglament (UE) 2016/679, el Reglament (UE) 2018/1725 o les disposicions aplicables del Dret de la Unió o dels estats membres en matèria de protecció de dades.
- L’encarregat no divulgarà cap dada personal a un tercer sota cap circumstància que no sigui per sol·licitud escrita específica del responsable, llevat que aquesta divulgació sigui necessària per complir les obligacions de l’Acord de servei o sigui requerit en virtut del Dret de la Unió o dels estats membres que s’apliqui a l’encarregat.
6.2. Limitació de la finalitat
L’encarregat tractarà les dades personals únicament per a les finalitats específiques del tractament indicades a l’annex II, llevat que segueixi instruccions addicionals del responsable.
6.3. Durada del tractament de dades personals
El tractament per part de l’encarregat només es realitzarà durant el període especificat a l’annex II.
6.4. Seguretat del tractament
- L’encarregat aplicarà, com a mínim, les mesures tècniques i organitzatives especificades a l’annex III per garantir la seguretat de les dades personals. Una d’aquestes mesures podrà consistir en la protecció contra violacions de la seguretat que ocasionin la destrucció, pèrdua o alteració accidental o il·lícita de dades personals, o la comunicació o accés no autoritzats a les dades esmentades («violació de la seguretat de les dades personals»). A l’hora de determinar un nivell adequat de seguretat, les parts tindran degudament en compte l’estat de la tècnica, els costos d’aplicació, la naturalesa, l’abast, el context i les finalitats del tractament, i els riscos que comporta el tractament per als interessats.
- L’encarregat només concedirà accés a les dades personals tractades als membres del personal en la mesura que sigui estrictament necessari per a l’execució, la gestió i el seguiment del contracte.
- L’encarregat ha de garantir que les persones autoritzades per tractar les dades personals rebudes s’hagin compromès a respectar la confidencialitat o estiguin subjectes a una obligació de confidencialitat de naturalesa estatutària. L’encarregat haurà de mantenir a la disposició del responsable del tractament tots els registres documentats del compliment de l’obligació de confidencialitat.
- L’encarregat ha d’assegurar-se que totes les persones autoritzades per processar dades personals rebin la formació necessària en protecció de dades personals.
6.5. Dades sensibles
Si el tractament afecta dades personals que revelin l’origen ètnic o racial, les opinions polítiques, les conviccions religioses o filosòfiques, o l’afiliació sindical, dades genètiques o dades biomètriques dirigides a identificar de manera unívoca una persona física, dades relatives a la salut o dades relatives a la vida sexual o l’orientació sexual d’una persona física, o dades relatives a condemnes i infraccions penals (dades sensibles), l’encarregat aplicarà restriccions específiques i/o garanties addicionals
6.6. Documentació i compliment
- Les parts han de poder demostrar el compliment del plec de clàusules d’aquest ATD.
- L’encarregat ha de resoldre amb prestesa i de manera adequada les consultes del responsable relacionades amb el tractament d’acord amb aquest plec de clàusules.
- L’encarregat designarà a l’Annex I un punt de contacte dins de la seva organització autoritzada per respondre a les consultes relacionades amb el processament de les dades personals i cooperarà amb el controlador, l’interessat i l’autoritat de supervisió respecte a totes aquestes consultes dins d’un temps raonable.
- L’encarregat posarà a disposició del responsable tota la informació necessària per demostrar el compliment de les obligacions contemplades al present plec de clàusules i que derivin directament del Reglament (UE) 2016/679 i del Reglament (UE) 2018/1725.
- A instància del responsable, l’encarregat permetrà i contribuirà a la realització d’auditories de les activitats de tractament cobertes pel present plec de clàusules, a intervals raonables o si hi ha indicis d’incompliment. En decidir si es fa un examen o una auditoria, el responsable podrà tenir en compte les certificacions pertinents que obrin en poder de l’encarregat.
- Aquestes auditories se sol·licitaran amb un avís raonable i es faran durant l’horari laboral normal. La sol·licitud pot estar subjecta a qualsevol consentiment o aprovació necessaris per a una autoritat supervisora dins del país del responsable del tractament.
- El responsable podrà optar per fer l’auditoria per si mateix o autoritzar un auditor independent. Les auditories també poden consistir en inspeccions dels locals o instal·lacions físiques de l’encarregat i, quan escaigui, fer-se amb un preavís raonable.
- Les parts han de posar a disposició de les autoritats de control competents, a instància d’aquestes, la informació a què fa referència aquesta clàusula i, en particular, els resultats de les auditories.
- L’encarregat notificarà al responsable del tractament qualsevol sol·licitud d’informació per part de l’autoritat supervisora.
- L’encarregat notificarà al controlador de qualsevol queixa, notificació o comunicació rebuda que es relacioni directament o indirectament amb el processament de les dades personals o altres activitats relacionades, o que es relacioni directament o indirectament amb el compliment de l’encarregat i/o el responsable amb la llei aplicable pertinent, inclosa la llei de protecció de dades aplicable.
6.7. Recurs a subencarregats
- L’encarregat compta amb l’autorització del responsable per contractar subencarregats que figurin en una llista acordada documentada a l’annex IV. L’encarregat informarà el responsable específicament i per escrit de les addicions o substitucions de subencarregats previstes en aquesta llista amb almenys 1 mes d’antelació, de manera que el responsable tingui prou temps per formular objecció a aquests canvis abans que es contracti el subencarregat o subencarregats de què es tracti. L’encarregat del tractament proporcionarà al responsable la informació necessària perquè pugui exercir el dret a formular objecció.
- Quan l’encarregat contracti un subencarregat per dur a terme activitats de tractament específiques (per compte del responsable), ho farà mitjançant un contracte que imposi al subencarregat, en essència, les mateixes obligacions en matèria de protecció de dades que les imposades a l’encarregat en virtut del present plec de clàusules. L’encarregat s’assegurarà que el subencarregat compleixi les obligacions a què estigui subjecte en virtut del present plec de clàusules i del Reglament (UE) 2016/679.
- L’encarregat proporcionarà al responsable, a instància d’aquest, una còpia del contracte amb el subencarregat i de qualsevol modificació posterior. En la mesura que sigui necessari per protegir secrets comercials o altres tipus d’informació confidencial, com ara dades personals, l’encarregat podrà expurgar el text del contracte abans de compartir-ne la còpia.
- L’encarregat continua sent plenament responsable davant del responsable del compliment de les obligacions que imposi al subencarregat el contracte amb l’encarregat. L’encarregat notificarà al responsable els incompliments per part del subencarregat de les obligacions que li atribueixi aquest contracte.
- L’encarregat pactarà amb el subencarregat una clàusula de tercer beneficiari en virtut de la qual, en cas que l’encarregat desaparegui de facto, cessi d’existir jurídicament o sigui insolvent, el responsable tindrà dret a rescindir el contracte del subencarregat i ordenar-lo suprimiu o torneu les dades personals.
6.8. Transferències internacionals
- Les transferències de dades a un tercer país oa una organització internacional per part de l’encarregat només es poden fer seguint instruccions documentades del responsable o en virtut d’una exigència expressa del dret de la Unió o de l’Estat membre a què l’encarregat estigui subjecte; es duran a terme de conformitat amb el capítol V del Reglament (UE) 2016/67.
- El responsable s’avé que, quan l’encarregat recorri a un subencarregat de conformitat amb la clàusula 6.7 per dur a terme activitats de tractament específiques (per compte del responsable) i aquestes activitats comportin una transferència de dades personals en el sentit del capítol V del Reglament (UE) 2016/679, l’encarregat i el subencarregat puguin garantir el compliment del capítol V del Reglament (UE) 2016/679 utilitzant clàusules contractuals tipus adoptades per la Comissió, d’acord amb l’article 46, apartat 2, del Reglament (UE ) 2016/679, sempre que es compleixin les condicions per a la utilització d’aquestes clàusules contractuals tipus.
Clàusula 7. Obligacions del responsable del tractament
El responsable del tractament garanteix i es compromet que:
- Les dades personals s’han recopilat, processat i transferit d’acord amb les lleis de protecció de dades aplicables.
- Ha de realitzar una avaluació de l’impacte en la protecció de les dades personals de les operacions de tractament que realitzarà l’encarregat quan un tipus de tractament pugui donar lloc a un alt risc per als drets i les llibertats dels interessats.
- Disposarà de les mesures tècniques i organitzatives adequades per protegir la confidencialitat de les dades personals, així com protegir-les contra la destrucció accidental o il·legal o la pèrdua accidental, alteració, divulgació o accés no autoritzat, i que proporcionin un nivell de seguretat, adequat al risc que representa el tractament i la naturalesa de les dades a protegir.
- Respondrà a les sol·licituds dels interessats i de les autoritats de supervisió en relació amb el tractament de les dades personals segons el que estipula la Clàusula 8 (b).
- Realitzarà consultes prèvies que corresponguin a l’autoritat de control quan una avaluació d’impacte de protecció de dades indiqui que el tractament donaria lloc a un risc alt en absència de mesures preses pel responsable del tractament per mitigar el risc.
Clàusula 8. Ajuda al responsable del tractament
- L’encarregat notificarà amb pretesa al responsable les sol·licituds que rebi de l’interessat. No respondrà a aquesta sol·licitud per si mateix, llevat que el responsable l’hagi autoritzat a fer-ho.
- L’encarregat ajudarà el responsable a complir les obligacions en respondre a les sol·licituds d’exercici de drets dels interessats tenint en compte la naturalesa del tractament. En el compliment de les obligacions que li atribueixen les lletres a) ib), l’encarregat ha de complir les instruccions del responsable. Donat el cas:
- l’interessat hauria de dirigir primer la sol·licitud al responsable del tractament;
- seguidament, el responsable del tractament, després de rebre la sol·licitud, sol·licitarà a l’encarregat que faci les accions necessàries a través del punt de contacte establert a l’annex I;
- un cop l’encarregat hagi rebut la petició del responsable, l’encarregat respon al responsable dins un termini de deu (10) dies hàbils;
- en cas que un interessat es comuniqui directament amb l’encarregat, aquest demanarà a l’interessat que en dirigeixi la sol·licitud al responsable. Alhora, l’encarregat informarà el responsable d’aquesta petició;
- A més de l’obligació de l’encarregat d’ajudar el responsable en virtut de la clàusula 8, lletra b), l’encarregat també ajudarà el responsable a garantir el compliment de les obligacions següents tenint en compte la naturalesa del tractament i la informació de què disposi l’encarregat:
- l’obligació de fer una avaluació de l’impacte de les operacions de tractament en la protecció de dades personals («avaluació d’impacte») quan sigui probable que un tipus de tractament suposi un alt risc per als drets i les llibertats de les persones físiques;
- l’obligació de consultar les autoritats de control competents abans de procedir al tractament quan una avaluació d’impacte relativa a la protecció de les dades mostri que el tractament comportaria un alt risc si el responsable no pren mesures per mitigar-lo;
- l’obligació de garantir que les dades personals siguin exactes i estiguin actualitzades, informant sense demora el responsable si l’encarregat descobreix que les dades personals que està tractant són inexactes o han quedat obsoletes;
- les obligacions contemplades a [OPCIÓ 1] l’article 32 del Reglament (UE) 2016/679 / [OPCIÓ 2] els articles 33 i 36 a 38 del Reglament (UE) 2018/1725.
- Les parts han d’establir a l’annex III mesures tècniques i organitzatives apropiades que obliguin l’encarregat a ajudar el responsable a aplicar aquesta clàusula, així com l’objecte i l’abast de l’ajut requerit.
Clàusula 9. Notificació de violacions de la seguretat de les dades personals
En cas de violació de la seguretat de les dades personals, l’encarregat col·laborarà amb el responsable i us ajudarà a complir les obligacions que li atribueixen els articles 33 i 34 del Reglament (UE) 2016/679 tenint en compte la naturalesa del tractament i la informació de què disposi l’encarregat.
9.1 Violació de la seguretat de dades personals tractades pel responsable
En cas de violació de la seguretat de les dades personals en relació amb les dades tractades pel responsable, l’encarregat ajudarà el responsable al següent.
- Notificar la violació de la seguretat de les dades personals a les autoritats de control competents sense dilació indeguda una vegada en tingui constància, si escau (llevat que sigui improbable que aquesta violació de la seguretat constitueixi un risc per als drets i les llibertats de persones físiques).
- Demanar la informació següent, que, de conformitat amb l’article 33, apartat 3, del Reglament (UE) 2016/679, haurà de figurar a la notificació del responsable, que ha d’incloure com a mínim:
- la naturalesa de les dades personals, inclusivament, quan sigui possible, les categories i el nombre aproximat d’interessats afectats, i les categories i el nombre aproximat de registres de dades personals afectades;
- les conseqüències probables de la violació de la seguretat de les dades personals;
- les mesures adoptades o proposades pel responsable del tractament per posar remei a la violació de la seguretat de les dades personals, incloent-hi, si escau, les mesures adoptades per mitigar els possibles efectes negatius.
Quan i en la mesura que no es pugui proporcionar tota la informació alhora, a la notificació inicial es proporcionarà la informació de què es disposi en aquell moment i, a mesura que es vagi recollint, la informació addicional s’anirà proporcionant sense dilació indeguda.
- Complir, d’acord amb l’article 34 del Reglament (UE) 2016/679, l’obligació de comunicar sense dilació indeguda a l’interessat la violació de la seguretat de les dades personals quan sigui probable que la violació de la seguretat comporti un risc alt per als drets i llibertats de les persones físiques.
9.2 Violació de la seguretat de dades personals tractades per l’encarregat
En cas de violació de la seguretat de dades personals tractades per l’encarregat, aquest ho notificarà al responsable sense dilació indeguda una vegada que l’encarregat en tingui constància. Aquesta notificació haurà d’incloure com a mínim:
- una descripció de la naturalesa de la violació de la seguretat (inclusivament, quan sigui possible, les categories i el nombre aproximat d’interessats i de registres de dades afectades);
- les dades d’un punt de contacte on es pugui obtenir més informació sobre la violació de la seguretat de les dades personals;
- les conseqüències probables i les mesures adoptades o propostes per posar remei a la violació de la seguretat, incloent-hi les mesures adoptades per mitigar els possibles efectes negatius.
Quan i en la mesura que no es pugui proporcionar tota la informació alhora, a la notificació inicial es proporcionarà la informació de què es disposi en aquell moment i, a mesura que es vagi recollint, la informació addicional s’anirà proporcionant sense dilació indeguda.
Les parts establiran a l’annex III els altres elements que haurà d’aportar l’encarregat quan ajudi el responsable a complir les obligacions que li atribueixen els articles 33 i 34 del Reglament (UE) 2016/679.
SECCIÓ III. DISPOSICIONS FINALS
Clàusula 10. Incompliment de les clàusules i resolució del contracte
- Sense perjudici del que disposa el Reglament (UE) 2016/679, en cas que l’encarregat del tractament incompleixi les obligacions que li atribueix aquest plec de clàusules, el responsable podrà ordenar a l’encarregat que suspengui el tractament de dades personals fins que aquest torni a donar compliment al present plec de clàusules, o resoldre el contracte. L’encarregat informarà amb pretesa el responsable en cas que no pugui donar compliment al present plec de clàusules per qualsevol motiu.
- El responsable estarà facultat per resoldre el contracte pel que fa al tractament de dades personals en virtut del present plec de clàusules quan:
- el tractament de dades personals per part de l’encarregat hagi estat suspès pel responsable d’acord amb la lletra a) i no es torni a complir el present plec de clàusules en un termini raonable i, en qualsevol cas, en un termini d’un mes a comptar des de la suspensió;
- l’encarregat incompleixi de manera substancial o persistent aquest plec de clàusules o les obligacions que li atribueix el Reglament (UE) 2016/679 i/o el Reglament (UE) 2018/1725;
- l’encarregat incompleixi una resolució vinculant d’un òrgan jurisdiccional competent o de les autoritats de control competents en relació amb les obligacions que els atribueix aquest plec de clàusules, el Reglament (UE) 2016/679 i/o el Reglament (UE) 2018/ 1725.
- L’encarregat estarà facultat per resoldre el contracte pel que fa al tractament de dades personals en virtut del present plec de clàusules quan, després d’haver informat el responsable que les seves instruccions infringeixen els requisits jurídics exigits per la clàusula 7.1, lletra b), el responsable insisteix que se segueixin aquestes instruccions.
- Després de la resolució del contracte, l’encarregat suprimirà, a petició del responsable, totes les dades personals tractades per compte del responsable i acreditarà el responsable que ho ha fet, o tornarà totes les dades personals al responsable i suprimirà les còpies existents, llevat que el Dret de la Unió o dels Estats membres exigeixi emmagatzemar les dades personals. Fins que es destrueixin o es tornin les dades, l’encarregat continuarà garantint el compliment amb aquest plec de clàusules.
- Altres motius i condicions de terminació estaran subjectes a les Condicions Generals del Servei nebulaSUITE.
Clàusula 11. Responsabilitat i indemnització
- L’encarregat del tractament no serà responsable davant de qualsevol reclamació presentada per un interessat que sigui conseqüència de qualsevol acció de l’encarregat en la mesura que aquesta acció sigui el resultat directe de les instruccions del responsable i la implantació incorrecta de les seves mesures tècniques i organitzatives
- En cas que un interessat presenti una reclamació contra l’encarregat que sorgeixi de qualsevol acció o omissió de l’encarregat en la mesura que aquesta acció o omissió sigui el resultat directe de les instruccions del responsable, o l’aplicació incorrecta per part del responsable de les seves mesures organitzatives, d’acord amb la Clàusula 7 (c) d’aquest ATD, el responsable indemnitzarà i mantindrà indemnitzat i defensarà el seu propi càrrec a l’encarregat respecte a tots els costos, reclamacions, danys o despeses incorregudes per l’encarregat per als quals l’encarregat pugui ser responsable per qualsevol incompliment per part del controlador o els seus gerents, empleats, agents o contractistes de les seves obligacions en virtut de les clàusules d’aquest DPA.
Clàusula 12. Legislació aplicable a aquest ATD
Aquest ATD es regirà i interpretarà en tots els aspectes d’acord amb les lleis i les regulacions del país de la UE on té lloc el tractament de dades. Les parts del present acord se sotmeten a la jurisdicció exclusiva del lloc on es fa el tractament de dades per a tots els fins d’aquest ATD.
Clàusula 13. Resolució de disputes amb els interessats o les autoritats de supervisió
- En el cas d’una disputa o reclamació presentada per un interessat o una autoritat de supervisió respecte al tractament de les dades personals contra una o ambdues parts, les parts s’informaran mútuament sobre aquestes disputes o reclamacions i cooperaran amb vista a resoldre-les amistosament i de la manera més oportuna
- Les parts acorden respondre a qualsevol procediment de mediació no vinculant disponible generalment iniciat per un interessat o per una autoritat de supervisió. Si participeu en el procediment, les parts poden optar per fer-ho de forma remota (per exemple, per telèfon o altres mitjans electrònics). Les parts també acorden considerar la participació en qualsevol altre arbitratge, mediació o altre procediment de resolució de disputes habilitat per a disputes de protecció de dades.
- Cada part es compromet a acatar la decisió de l’autoritat de supervisió, que és definitiva i contra la qual ja no serà possible apel·lar.
ANNEX I. Llista de parts
Com a Responsable del Tractament:
- Nom: El Client que contracta els serveis de nebulaSUITE sota les Condicions Generals del Servei acordades.
- Adreça: Segons s’especifica a l’acord o contracte de prestació de serveis de nebulaSUITE subscrit entre ambdues parts.
- Departament/empleat de referència: Segons s’especifica a l’acord o contracte de prestació de serveis de nebulaSUITE subscrit entre ambdues parts
- Nom, càrrec i dades de contacte de la persona de contacte: Segons s’especifica a l’acord o contracte entre ambdues parts
- Data d’adhesió: Data d’entrada en vigor el contracte o acord de prestació de serveis de nebulaSUITE subscrit per ambdues parts
Com a Encarregat del tractament:
- Nom: VÍNTEGRIS, S.L.
- Adreça: Carrer Pallars, 99, Planta 3a, Oficina 33, 08018 Barcelona, España
- Departament/empleat de referència: Segons s’especifica a l’acord o contracte de prestació de serveis de nebulaSUITE subscrit entre ambdues parts
- Dades de contacte de la persona de contacte: incidentesRGPD@vintegris.com
- Data d’adhesió: Data d’entrada en vigor el contracte o acord de prestació de serveis de nebulaSUITE subscrit per ambdues parts
ANNEX II. Descripció del tractament
Categories d’interessats les dades personals de les quals es tracten
- Personal, col·laboradors i altres autoritzats pel Client que són usuaris de la plataforma nebulaSUITE
- Titulars dels certificats que el Client gestiona mitjançant els serveis de nebulaSUITE
- Sol·licitants d’expedició de certificats qualificats mitjançant identificació remota per vídeo fent servir la plataforma nebulaID.
Categories de dades personals tractades
- Informació dels usuaris de la plataforma nebulaSUITE necessària per accedir i fer ús dels serveis
- Identitat dels usuaris, per exemple, el nom i els cognoms.
- Dades de contacte professionals tals com l’adreça de correu i número de telèfon.
- Dades d’autenticació per accedir-hi
- Registres d’activitat dels usuaris en l’ús dels serveis, que pot incloure informació de l’adreça IP des d’on s’accedeix a la plataforma nebulaSUITE.
- Dades dels titulars dels certificats que el Client decideixi incloure-hi:
- Informació d’identificació personal incloent números d’identitat únics, com ara el número de document d’identificació o passaport, el número d’empleat o altres que el client utilitzi per a la identificació dels titulars dels certificats.
- Informació de contacte professional, com ara l’adreça de correu professional
- Informació de relació professional tal com a empresa i lloc de treball o poders atorgats.
- Imatge de la signatura que pot aparèixer en documents emmagatzemats a la plataforma nebulaSUITE
- Els mateixos certificats qualificats de suport de les dades dels titulars dels certificats.
- En el cas d’ús de nebulaID per a identificació remota per vídeo:
- Dades de caràcter identificatiu
- Imatge de documents d’identitat
- Resultats de processament OCR dels documents d’identitat
- Imatge gravada de vídeo de prova de vida de l’usuari de la plataforma, incloent registres de veu.
- Registres d’auditoria del procés de verificació
- Dades de circumstàncies personals del sol·licitant en funció del tipus de certificat a emetre (data de naixement, nacionalitat, lloc de naixement o residència, gènere, empresa, càrrec o representació, …)
Dades de categoria especial:
- Aquest ATD no considera el tractament de dades classificades com a “dades de categoria especial” o que requereixin mesures de protecció especials.
- El processament d’aquestes dades en nom del client només s’ha de fer amb un acord previ entre les dues parts i després d’haver realitzat una avaluació d’impacte de protecció de dades adequada abans del tractament.
- En el cas d’ús de nebulaID, encara que es realitza un procés de reconeixement facial aplicant tècniques biomètriques, no es generen ni recopilen dades biomètriques
Naturalesa del tractament
- VÍNTEGRIS tractarà les dades del client mitjançant els serveis proporcionats per la plataforma nebulaSUITE.
- Implica les activitats de:
- Registre i emmagatzematge de la informació del client.
- Supressió o destrucció de la informació quan sigui requerit pel Client ia la terminació del servei.
- Limitació del tractament de la informació a requeriment del client o autoritat competent.
- En el cas dels serveis proporcionats mitjançant nebulaID:
- Captura de vídeos dels usuaris i documents i d’identificació
- Escanejat i processat OCR dels documents identificatius
- Aplicació d’algorismes de reconeixement facial contrastant la imatge de la persona amb la continguda al document d’identificació mitjançant tecnologia de validació documental i biometria facial.
- Conservació de les evidències recollides durant el procés de reconeixement durant els terminis establerts per les obligacions legals.
- Totes les dades s’emmagatzemen a servidors a la UE mitjançant serveis proporcionats per tercers tal com s’estipula a l’ANNEX IV Llista de subencarregats.
- Les dades són proporcionades pel Client, com a responsable del tractament, en fer usos dels Serveis.
- El processament a la plataforma nebulaSUITE està automatitzat, per la qual cosa el personal de VÍNTEGRIS no té accés a les dades del Client. Donat el cas, aquest accés únicament es produiria a petició expressa i supervisió del Client, per exemple, en cas de requerir suport per al seu ús o resolució d’un problema informat pel Client.
- VÍNTEGRIS considera que no disposa d’instruccions per tractar les altres dades personals que circumstancialment poguessin estar incloses en els continguts gestionats pel Client
- Qualsevol dada personal addicional que sigui tractada per VÍNTEGRIS per compte del Client ha de ser acordada com una esmena a aquest ATD.
- Cal notar que en el cas que els serveis contractats incloguin l’emissió dels certificats qualificats per part de VinCAsign, l’autoritat de certificació de VÍNTEGRIS, la responsabilitat d’aquest tractament és de VÍNTEGRIS, tal com estableix la legislació vigent relativa a la prestació de serveis de confiança.
- L’ús de nebulaID correspon a una funció d’autoritat de registre (RA), per la qual cosa només es considera part d’un encàrrec de tractament quan el client sigui un altre proveïdor de serveis de certificació qualificats (QTSP) que té responsabilitat sobre la RA.
Finalitat del tractament de les dades personals per compte del responsable del tractament
VÍNTEGRIS tractarà les dades únicament amb la finalitat de proporcionar els serveis de la plataforma nebulaSUITE contractats i d’acord amb les Condicions Generals del Servei.
Durada del tractament
- Aquest ATD s’aplica durant la durada de la prestació del servei segons s’estableix al contracte o acord de prestació de serveis de nebulaSUITE subscrit per ambdues parts
- Després de la finalització del contracte o acord, el VÍNTEGRIS mantindrà les seves obligacions respecte a les dades tractades d’acord amb el període determinat per la política de retenció de dades descrita a les Condicions Generals del Servei nebulaSUITE o altres termes específicament acordats entre ambdues parts.
- En el cas que la prestació dels serveis inclogui l’emissió de certificats digitals qualificats, mitjançant l’autoritat de certificació VinCAsign, com a responsable d’aquest tractament, VÍNTEGRIS emmagatzemarà la documentació i els registres durant almenys 15 anys, d’acord amb els requisits establerts per al Reglament (UE) No 910/2014 de 23 de juliol de 2014 relatiu a la identificació electrònica i els serveis de confiança per a les transaccions electròniques al mercat interior (“eIDAS”), i tal com es determina a la Declaració de Pràctiques de Certificació de VinCAsign
- En el cas de l’ús dels serveis de nebulaID, d’acord amb allò establert per l’Ordre ETD/465/2021, de 6 de maig, per la qual es regulen els mètodes d’identificació remota per vídeo per a l’expedició de certificats electrònics qualificats :
- Es conservarà una còpia de l’enregistrament del vídeo durant un període mínim de temps de quinze anys des de l’extinció de la vigència del certificat obtingut per aquest mitjà
- Es conservaran, per un període mínim de temps de 15 anys, fotos o captures de pantalla del sol·licitant i del document d’identitat utilitzat, en què seran clarament reconeixibles tant la persona com l’anvers i el revers del document d’identitat
- Es conservarà, per un període mínim de temps de quinze anys, el resultat automàtic de la verificació realitzada per l’aplicació, així com l’avaluació i les observacions realitzades per l’operador juntament amb la decisió d’aprovació o rebuig de la identificació
- Es conservaran totes les proves dels processos d’identificació incomplets que no hagin verificat l’autenticitat, la vigència i la integritat física i lògica del document d’identificació utilitzat i la correspondència del titular del document amb el sol·licitant arribat a terme per sospita d’intent de frau durant un termini de 5 anys des de l’execució del procés d’identificació, especificant-se la causa per la qual no van arribar a completar-se, de conformitat amb la política establerta a aquest efecte
- La conservació es realitzarà mitjançant el bloqueig de les dades, conforme al que preveu l’article 32 de la Llei orgànica 3/2018, de 5 de desembre, de protecció de dades personals i garantia dels drets digitals
ANNEX III. Mesures tècniques i organitzatives per garantir la seguretat de les dades
VÍNTEGRIS aplica les mesures de seguretat tècniques i organitzatives necessàries per garantir un nivell adequat de seguretat de la informació per tal de protegir la confidencialitat de les dades personals, així com protegir-les contra la destrucció accidental o il·lícita o la pèrdua accidental, alteració, divulgació o accés no autoritzat, tenint en compte la naturalesa, l’abast, el context i la finalitat del tractament, així com els riscos per als drets i les llibertats de les persones físiques.
Aquestes mesures estan implantades sota el marc d’un sistema de gestió de la seguretat de la informació que disposa de la certificació ISO 27001:2017, així com les certificacions de l’Esquema Nacional de Seguretat (ENS) i eIDAS.
D’altra banda, el Client és responsable de la implantació i el manteniment de les mesures de seguretat i protecció de les dades personals pertinents com a usuari dels Serveis en aquells aspectes que estan sota el seu control.
En conseqüència, VÍNTEGRIS confirma que ha implantat les mesures enumerades a continuació que apliquen als tractaments que duu a terme per compte del responsable.
Controls de Seguretat Implantats
1. Polítiques de l’Organització
Política de Seguretat
Hi ha una política de seguretat de la informació i protecció de dades personals publicada i coneguda per tot el personal i col·laboradors.
Responsable de seguretat
VÍNTEGRIS ha designat un Responsable de Seguretat de la Informació (“CISO”) com a responsable de coordinar i supervisar les regles i els procediments de seguretat.
Rols i responsabilitats en matèria de seguretat
Els rols i les responsabilitats en matèria de seguretat de la informació estan definits i assignats apropiadament dins de l’organització.
El personal de VÍNTEGRIS que gestiona els serveis que contenen dades del client està subjecte a obligacions de confidencialitat i a la normativa de seguretat de la informació i protecció de dades personals.
Programa de gestió de riscos
En el marc del sistema de gestió de la seguretat de la informació hi ha un pla d’avaluació i tractament de riscos de seguretat de la informació i es revisa periòdicament.
Avaluació continua
VÍNTEGRIS realitza una verificació i avaluació periòdica de l’eficàcia de les mesures tècniques i organitzatives implantades per protegir la seguretat en la informació als sistemes de tractament, centres de treball i usuaris que els utilitzen.
Aquesta avaluació i revisió es realitza sota el criteri dels estàndards de seguretat de la indústria i les pròpies polítiques i procediments determinats pel sistema de gestió de la seguretat de la informació.
Política de seguretat de proveïdors
Hi ha un procés formal que permet valorar el compliment dels requisits de seguretat informació que han de complir els proveïdors que tracten informació i dades personals.
Únicament es dona accés a la informació als proveïdors quan hi hagi una necessitat legítima que justifiqui aquest accés.
2. Personal i Col·laboradors
Compromís de confidencialitat
Tot el personal i col·laboradors amb accés a la informació i les dades personals ha signat un compromís pel que fa a:
- Guardar secret i garantir la confidencialitat i seguretat respecte de les dades a què poguessin tenir accés per raons de la seva responsabilitat laboral, contractual o de qualsevol altre tipus
- No fer ús de la informació confidencial a què tinguin accés per a fins diferents dels que hagi determinat
- No comunicar, revelar, divulgar o transferir informació confidencial a tercers no autoritzats.
- Mantenir el deure secret per un període de temps mínim d’un any una vegada finalitzada la relació laboral o contractual.
Normativa interna de seguretat de la informació
Hi ha una normativa de seguretat de la informació, protecció de dades personals i ús dels mitjans informàtics que tot el personal i col·laborades s’han compromès a complir.
Formació en seguretat de la informació
Tot el personal i col·laboradors amb accés a la informació i dades personals ha rebut una formació adequada pel que fa a la seguretat de la informació i la protecció de les dades personals.
Normes d’ús dels sistemes d’informació
La normativa de seguretat de la informació estableix les normes d’ús acceptable dels sistemes d’informació i equips que el personal té al seu càrrec.
Prohibició d’ús per a fins personals dels equips corporatius
S’ha establert que no es permet l’ús per a finalitats particulars dels ordinadors i dispositius destinats al tractament de la informació corporativa i les dades personals.
Tampoc no es permet l’accés a informació corporativa des d’equips particulars.
3. Seguretat en el Lloc de Treball
Equips desatesos
S’ha establert un mecanisme perquè quan un equip quedi desatès es procedeixi al bloqueig de la pantalla o al tancament de la sessió.
Custòdia de documentació
S’ha establert una normativa perquè en cap moment quedi documentació en paper o suports d’informació sense custòdia al lloc de treball.
Destrucció segura de la informació
S’han establert mecanismes per facilitar la destrucció segura de la informació confidencial en paper o altres suports electrònics.
Lloc de teletreball segur
S’ha establert una política perquè el teletreball es pugui fer de manera segura.
Seguretat dels dispositius mòbils
S’ha establert una política per protegir els dispositius mòbils i la informació que puguin contenir.
4. Gestió d’Incidentes y Bretxes de Seguretat
Procediment de gestió d’incidents
S’ha definit un procediment per registrar i resoldre els incidents que afectin la seguretat de la informació i les dades personals
Procediment de gestió de bretxes de seguretat en dades personals
El procediment permet identificar quan es produeix una violació de seguretat de les dades personals i contemplar la notificació al responsable de forma immediata i sense dilació indeguda sobre aquestes violacions de seguretat, incloent-hi tota la informació necessària per avaluar l’impacte i determinar-ne les causes i mesures correctives aplicades.
Assistència al responsable en la notificació de bretxes de seguretat
Està previst assistir el responsable a fer la notificació de la violació de la seguretat a l’autoritat de supervisió i, si escau, als interessats, tenint en compte la informació a disposició de l’encarregat.
5. Accés als Sistemes
Política de control d’accessos
VÍNTEGRIS manté una política de control d’accés que determina els privilegis de seguretat de les persones que tenen accés a la informació.
Autorització d’accés
Hi ha un procés formal per gestionar l’autorització, l’alta, la baixa i la modificació d’accessos dels usuaris als sistemes.
Comptes individuals
Cada persona fa servir un compte d’usuari individual i intransferible.
Privilegi mínim
VÍNTEGRIS ha definit i aplica una política de mínim accés per defecte, que garanteix que el personal i les col·laborades únicament tenen accés a la informació que requereixen per exercir les tasques del seu lloc de treball.
Comptes amb accés privilegiat
Per realitzar tasques d’administració i configuració dels sistemes es fan servir comptes d’accés nominals amb drets privilegiats que són diferents i segregats dels comptes d’ús ordinari dels sistemes.
Autenticació
VÍNTEGRIS utilitza pràctiques estàndards del sector per identificar i autenticar els usuaris que intenten accedir als sistemes d’informació.
Per accedir a les xarxes més exposades o administració de sistemes s’utilitzen sistemes de doble factor d’autenticació.
Tots els sistemes inclouen controls per evitar els intents reiterats per aconseguir accés als sistemes d’informació mitjançant una contrasenya invàlida.
Seguretat de les contrasenyes
Es garantirà l’existència de polítiques de contrasenyes (o mecanismes equivalents) per a l’accés als sistemes i les aplicacions que compleixen com a mínim el següent:
- Longitud de la contrasenya: mínim 8 caràcters
- Renovació periòdica de les contrasenyes
- Requisits de complexitat de les contrasenyes
- Límits a la reutilització de contrasenyes
Confidencialitat de les contrasenyes
Hi ha una normativa per assegurar la confidencialitat de les contrasenyes, evitant que quedin exposades o siguin compartides amb tercers.
Internament, totes les contrasenyes es guarden aplicant algorismes de xifratge irreversibles.
Registres d’accessos
Es manté i supervisa un registre dels accessos i els intents d’accés als sistemes
6. Actius de Tractament de la Informació
Inventari d’actius
Es disposa d’un inventari dels sistemes i equips utilitzats en el tractament de la informació, amb la informació de la persona responsable d’aquest equip.
Rebuig i reutilització segura
S’han definit processos formals per a la deixalla i/o la reutilització segura dels equips de tractament de la informació.
Manteniment dels equips
Els sistemes i equips utilitzats per al tractament de la informació estan degudament mantinguts o actualitzats
Protecció contra codi maliciós (malware)
Els equips en què es processa o emmagatzema informació disposen de protecció antimalware permanentment activa i actualitzada.
Actualización del software
Tot el software que es fa servir per al tractament de la informació està degudament actualitzat i sense vulnerabilitats greus conegudes.
Bastionat dels sistemes
S’han aplicat mesures de bastionat dels sistemes com, entre d’altres:
- Tenir només oberts els ports indispensables
- Desactivar tots els serveis no estrictament necessaris
- Bloquejar o canviar les contrasenyes per defecte dels comptes amb accés privilegiat
- Xifratge dels discos que contenen la informació
Limitació a la instal·lació de software per part dels usuaris
Hi ha una normativa o mesures tècniques per impedir que el personal pugui instal·lar software no autoritzat als seus equips de treball, així com perquè no es pugui utilitzar software que pugui violar la propietat intel·lectual de tercers.
Limitació de privilegis d’administració
S’han implantat mesures tècniques perquè els usuaris no puguin modificar o desactivar les configuracions de seguretat dels equips.
Restricció d’ús per a fins personals
Hi ha una normativa que prohibeix l’ús privat o per a fins personals dels equips corporatius.
7. Protecció de la Informació en Trànsit i en Repòs
Protecció perimetral de xarxes
Hi ha protecció perimetral de la xarxa per protegir-la davant d’atacs i accessos indeguts a aquells sistemes en què es faci l’emmagatzematge i/o tractament de la informació i les dades personals.
Segregació de xarxes
S’ha configurat la xarxa de manera que hi hagi zones de seguretat segregades d’acord amb els diferents requisits de seguretat establerts.
Protocols assegurances de transmissió d’informació
Tot el trànsit a les xarxes de l’organització, especialment quan discorre totalment o parcialment per xarxes públiques, està xifrat mitjançant protocols segurs i sense vulnerabilitats greus conegudes (per exemple, mínim TLS 1.2)
Accés remot segur
Per a l’accés remot a la xarxa de l’organització, per exemple mitjançant xarxes virtuals (VPN), s’utilitzen protocols segurs i claus d’autenticació dels extrems de la comunicació.
Xifratge d’informació en suports trànsit
Hi ha mecanismes per xifrar la informació en suports i equips en trànsit fora de les instal·lacions de tractament habitual.
Anàlisi de vulnerabilitats
Periòdicament, es fan proves per verificar que les xarxes estan lliures de vulnerabilitats i s’apliquen les mesures correctores necessàries.
Segregació de xarxes wifi
Les xarxes wifi per a visitants estan segregades de manera que no és possible accedir a les xarxes internes de l’empresa.
Seguretat dels serveis de proveïdors al núvol
En el cas d’utilitzar serveis d’algun proveïdor al núvol (IaaS, PaaS, SaaS,…) per tractar la informació, es garanteix que el proveïdor proporciona o permet aplicar mesures de seguretat com a mínim equivalents a les exigides al mateix encarregat.
Registres d’auditoria
Es recullen, conserven i revisen els registres d’auditoria de les operacions realitzades sobre les dades (accés, modificació i eliminació), especialment quan es tracten dades de categoria especial
Segregació de les instàncies dels clients
Segregació dels serveis als diferents clients mitjançant una arquitectura multitenant. Es proporciona segregació lògica d’usuaris i dades.
8. Seguretat Física dels Espacis de Tractament
Perímetre de seguretat física
Hi ha un perímetre de seguretat per protegir els recintes i dependències on es processa o emmagatzema informació.
Limitació d’accés
S’han implantat controls d’accés físic a les dependències on es realitza el tractament de la informació per assegurar que únicament el personal autoritzat té l’accés permès.
Control d’accés físic
S’han establert controls d’entrada específics per limitar l’accés al personal estrictament autoritzat a les àrees segures on estan ubicats els servidors, els equips de xarxa o els arxius de documents utilitzats per al tractament i l’emmagatzematge de la informació.
Protecció contra les amenaces externes i ambientals
S’han establert les mesures necessàries per protegir les persones, els equips i les instal·lacions en cas desastres naturals, atacs maliciosos o incidents, com ara incendi, inundacions, fuites d’aigua, fallades en l’aire condicionat, etc.
Instal·lacions de subministrament
S’han establert les mesures necessàries per garantir la continuïtat del subministrament elèctric.
Seguretat dels proveïdors de centres de processament
Els centres de dades externs on s’ubiquen els servidors de VÍNTEGRIS estan ubicats a la UE i disposen que com a mínim han de ser TIER III i disposar de certificacions de seguretat de la informació.
Més informació a l’Annex IV “Subencarregats”
Seguretat dels proveïdors de serveis IaaS i PaaS
Els proveïdors de serveis IaaS i PaaS proporcionen els controls de seguretat física necessaris i garantits mitjançant les certificacions oportunes tal com ISO 27001, SOC 2, ENS (nivell Alt), PCI-DSS, i altres
En aquest cas, es contracten els serveis en centres de dades ubicats a la UE.
Més informació a l’Annex IV “Subencarregats”
9. Resiliència dels Sistemes
Disponibilitat dels sistemes
VÍNTEGRIS ha establert mesures per garantir la disponibilitat dels sistemes segons els nivells de servei compromesos.
Supervisió i gestió de la capacitat
L’exercici dels sistemes està contínuament monitorat, amb sistemes d’alertes per detectar de manera immediata qualsevol incident.
Contínuament es fa una supervisió de la capacitat dels sistemes per assegurar la disponibilitat de capacitat suficient per als serveis requerits.
Redundàncies
Tots els sistemes de Víntegris estan redundats, internament en diferents servidors i en diferents centres de dades distants geogràficament.
Còpies de seguretat
VÍNTEGRIS fa una còpia de seguretat emmagatzemada en un suport dissociat dels equips habituals de tractament. Aquesta còpia es fa amb la periodicitat necessària per complir els nivells de servei compromesos.
Addicionalment, VÍNTEGRIS manté una còpia de seguretat emmagatzemada en un emplaçament diferent i separat geogràficament de les instal·lacions habituals de tractament de la informació. Aquesta còpia es fa amb la periodicitat necessària per complir els nivells de servei compromesos en cas d’incident greu a les instal·lacions de tractament.
Supervisió de les còpies de seguretat
Se supervisa de manera continuada l’execució correcta de les còpies de seguretat.
Proves de recuperació
Es fan proves periòdiques de recuperació i verificació d’informació continguda a les còpies de seguretat.
Pla de Continuïtat
S’han elaborat un Pla de Continuïtat que permeti recuperar la disponibilitat dels sistemes i la integritat de la informació en cas d’incident greu.
Procediments de recuperació
Es disposa de procediments específics de protecció i recuperació davant d’amenaces que comprometin la integritat de la informació, com els atacs per ransomware.
10. Privacitat per Diseny i per Defecte
Minimització de la recollida de dades
Únicament es recullen les dades estrictament necessàries per a la finalitat per a la qual han de ser tractades.
Limitació del termini de conservació de les dades
VÍNTEGRIS ha establert procediments per limitar la retenció de les dades i evitar-ne la conservació més enllà dels terminis establerts.
Limitació de finalitat
VÍNTEGRIS ha definit mecanismes per evitar que la informació que es tracta per compte del responsable pugui ser utilitzada per a finalitats diferents de les establertes en aquest Acord de Tractament de Dades (ATD).
Seudonimització i xifratge de dades
S’apliquen mesures de pseudonimització i xifratge de les dades, especialment quan la informació tractada inclou dades de categoria especial o especialment sensible.
Segregació d’informació sensible
L’accés a la informació més sensible és segregat de manera que únicament puguin ser consultats i tractats per personal específicament autoritzat.
Exercici dels Drets dels Interessats
Procediment de resposta
VÍNTEGRIS ha definit un procés formal per atendre i assistir el responsable a la resposta a les peticions d’exercici dels drets dels interessats.
Comunicació de les peticions d’exercici dels drets
VÍNTEGRIS ha definit els canals per comunicar les peticions d’exercici dels drets dels interessats al responsable del tractament.
Limitació de tractament
Hi ha mecanismes per limitar el tractament de les dades sempre que sigui requerit.
ANNEX IV. Llista de subencarregats
Llista acordada de subencarregats d’acord amb la Clàusula 6.7(a)
- Nom del subencarregat: Amazon Web Services Inc.
- Descripció del tractament: Proveedor de servicios IaaS y PaaS
- Localització del tractament: Unió Europea (Irlanda, Frankfurt, Paris)
- Adreça i dades de contacte: Amazon Web Services EMEA SARL
38 Avenue John F. Kennedy, L-1855, Luxembourg
Tel: +352 2789 0057 - Garanties proporcionades: https://aws.amazon.com/compliance/gdpr-center/
- Nom del subencarregat: AE Group S.à r.l. (AtlasEdge)
- Descripció del tractament: Proveïdor dels centres de dades on s’ubiquen servidors de VÍNTEGRIS. El personal d’AtlasEdge no té accés ni als servidors ni a les dades contingudes en aquests.
- Localització del tractament: Espanya (Barcelona i Madrid)
- Adreça i dades de contacte: Email: privacy@atlasedge.com
- Garanties proporcionades:
https://atlasedge.com/wp-content/uploads/2021/10/AtlasEdge_Barcelona-DC_DataSheet.pdf
https://atlasedge.com/wp-content/uploads/2021/10/AtlasEdge_Madrid-DC_DataSheet.pdf
- Nom del subencarregat: VERIDAS DIGITAL AUTHENTICATION SOLUTIONS, S.L. VERIDAS DIGITAL AUTHENTICATION SOLUTIONS, S.L.
- Descripció del tractament: Proveïdor de la plataforma tecnològica en què es recolza el procés de reconeixement de la identitat la plataforma tecnològica en què es recolza el procés de reconeixement de la identitat
- Localització del tractament: Espanya (Barcelona i Madrid)
- Adreça i dades de contacte: Email: partners@veridas.com
- Garanties proporcionades: Acord d’encarregat de tractament inclòs al Contracte de Llicència d’ús i distribució per a plataformes signat entre Víntegris i Veridas. Acord d’encarregat de tractament inclòs al Contracte de Llicència d’ús i distribució per a plataformes signat entre Víntegris i Veridas