Skip to main content

Acuerdo de
Tratamiento de Datos

Acuerdo de Tratamiento de Datos (“ATD”) de los servicios nebulaSUITE de Víntegris

Este Acuerdo de Tratamiento de Datos (“ATD”) es un acuerdo entre el solicitante y la entidad que representa (“Cliente”) y Víntegris, S.L. (“VÍNTEGRIS”) y establece las obligaciones de ambas partes con respecto al tratamiento y la seguridad de los datos personales de los que es responsable el Cliente en relación con el uso de los Servicios de nebulaSUITE.

Este ATD complementa Condiciones Generales del Servicio nebulaSUITE disponible en https://www.vintegris.com//es/nebulasuite-service-terms/ u otro acuerdo entre el Cliente y VÍNTEGRIS que rige el uso por parte del Cliente de Servicios de nebulaSUITE prestados por VÍNTEGRIS cuando en el uso de estos servicios sea de aplicación el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (“RGPD”).

DEFINICIONES

Para el propósito de este ATD:

“Ley de protección de datos aplicable” significa las leyes y regulaciones aplicables donde se realiza el tratamiento de datos, que se aplican a los términos de este ATD y que pueden variar con el paso del tiempo. Comprender tanto Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (“RGPD”) como las leyes locales aplicables donde se lleva a cabo el tratamiento.

“Responsable” o “Responsable del tratamiento” significa la persona física o jurídica, autoridad pública, agencia u otro organismo que, solo o conjuntamente con otros, determina los fines y medios del tratamiento de datos personales; cuando los fines y los medios de dicho tratamiento estén determinados por la legislación de la Unión o de los Estados miembros, el responsable del tratamiento o los criterios específicos para su designación podrán estar previstos por la legislación de la Unión o de los Estados miembros;

“Encargado” o “Encargado del tratamiento” significa una persona física o jurídica, autoridad pública, agencia u otro organismo que procesa datos personales en nombre del responsable del tratamiento;

“Interesado” significa una persona que es el sujeto de los datos personales;

“ATD”, “este ATD”, “este acuerdo ATD” es este Acuerdo de Tratamiento de Datos;

“Datos personales” significa toda información sobre una persona física identificada o identificable (“el interesado”); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;

“Autoridad supervisora” significa una autoridad pública independiente establecida por un estado miembro que se ocupa de la supervisión del procesamiento de datos personales con el fin de proteger los derechos y las libertades fundamentales de las personas físicas en lo que respecta al tratamiento de sus datos.

“Datos del Cliente” son todos los datos personales (incluidos todos los archivos de texto, sonido, video o imagen y certificados digitales) que las personas autorizadas del Cliente incorporan a las bases de datos y sistemas de alojamiento de cada servicio, así como aquellos que se puedan generar y conservar mediante el uso de los servicios de nebulaSUITE. El Cliente es el responsable del tratamiento de estos datos personales.

“Servicios”, “Servicios nebulaSUITE” son los servicios de Software como servicio (SaaS). Son los servicios prestados a través de internet por VÍNTEGRIS a favor del Cliente, en relación con el uso del servicio contratado, a través de la plataforma de nebulaSUITE y dentro de la infraestructura de computación en la nube.

“Subencargados” son los otros encargados del tratamiento que Microsoft utiliza para tratar los Datos del Cliente, los Datos de Servicios Profesionales y los Datos Personales, como se describe en el artículo 28 del RGPD.

SECCIÓN I

Cláusula 1. Finalidad y ámbito de aplicación

  1. La finalidad de las cláusulas de este ATD (en lo sucesivo, «pliego de cláusulas») es garantizar que se cumpla el artículo 28, apartados 3 y 4, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
  2. Los responsables y encargados del tratamiento enumerados en el anexo I han dado su consentimiento a vincularse por el presente pliego de cláusulas a fin de garantizar el cumplimiento del artículo 28, apartados 3 y 4, del Reglamento (UE) 2016/679.
  3. El presente pliego de cláusulas se aplica al tratamiento de datos personales especificado en el anexo II.
  4. Los anexos I a IV forman parte del pliego.
  5. El presente pliego de cláusulas se entiende sin perjuicio de las obligaciones a las que esté sujeto el responsable en virtud del Reglamento (UE) 2016/679.
  6. El presente pliego de cláusulas no garantiza por sí mismo el cumplimiento de las obligaciones relativas a las transferencias internacionales contempladas en el capítulo V del Reglamento (UE) 2016/679.
  7. El pliego de cláusulas de este ATD está alineado con la Decisión de Ejecución (UE) 2021/915 de la Comisión de 4 de junio de 2021 sobre cláusulas contractuales estándar entre controladores y procesadores.
  8. Este ATD, incluidas sus definiciones, considerandos y anexos, es un documento independiente que no incorpora términos comerciales que deben haber sido establecidos por las partes en acuerdos comerciales separados.

Cláusula 2. Invariabilidad del pliego de cláusulas

  1. Las partes se comprometen a no modificar el pliego de cláusulas, excepto para añadir o actualizar información en los anexos.
  2. Esto no es óbice para que las partes añadan otras cláusulas o garantías adicionales siempre que no contradigan, directa o indirectamente, el pliego de cláusulas ni perjudiquen los derechos o libertades fundamentales de los interesados.

Cláusula 3. Interpretación

  1. Cuando en el presente pliego de cláusulas se utilizan términos definidos en el Reglamento (UE) 2016/679, se entiende que tienen el mismo significado que en el Reglamento correspondiente.
  2. El presente pliego de cláusulas deberá leerse e interpretarse con arreglo a las disposiciones del Reglamento (UE) 2016/679.
  3. No se podrán realizar interpretaciones del presente pliego de cláusulas que entren en conflicto con los derechos y obligaciones establecidos en el Reglamento (UE) 2016/679 y/o que perjudiquen los derechos o libertades fundamentales de los interesados.

Cláusula 4. Jerarquía

En caso de contradicción entre el presente pliego de cláusulas y las disposiciones de acuerdos conexos entre las partes que estuvieren en vigor en el momento en que se pacte o comience a aplicarse el presente pliego de cláusulas, prevalecerá el presente pliego de cláusulas.

SECCIÓN II. OBLIGACIONES DE LAS PARTES

Cláusula 5. Descripción del tratamiento o tratamientos

En el anexo II se especifican los pormenores de las operaciones de tratamiento y, en particular, las categorías de datos personales y los fines para los que se tratan los datos personales por cuenta del responsable.

Cláusula 6. Obligaciones de las partes

6.1. Instrucciones
  1. El responsable del tratamiento instruirá al encargado para que trate los datos personales de la manera que sea razonablemente necesaria para que el encargado lleve a cabo el tratamiento de conformidad con este ATD y de conformidad con el Reglamento (UE) 2016/679.
  2. El encargado tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable, de acuerdo con los términos de servicio establecidos en el Condiciones Generales del Servicio nebulaSUITE, salvo que esté obligado a ello en virtud del Derecho de la Unión o de los Estados miembros que se aplique al encargado. En tal caso, el encargado informará al responsable de esa exigencia legal previa al tratamiento, salvo que tal Derecho lo prohíba por razones importantes de interés público. El responsable también podrá dar instrucciones ulteriores en cualquier momento del período de tratamiento de los datos personales. Dichas instrucciones deberán estar siempre documentadas.
  3. El responsable del tratamiento se abstendrá de proporcionar instrucciones que no se ajusten a las leyes aplicables, incluido el Reglamento (UE) 2016/679 y, en caso de que se den dichas instrucciones, el encargado del tratamiento tiene derecho a desistir de llevarlas a cabo.
  4. El encargado informará inmediatamente al responsable si las instrucciones dadas por el responsable infringen, a juicio del encargado, el Reglamento (UE) 2016/679, el Reglamento (UE) 2018/1725 o las disposiciones aplicables del Derecho de la Unión o de los Estados miembros en materia de protección de datos.
  5. El encargado no divulgará ningún dato personal a un tercero bajo ninguna circunstancia que no sea por solicitud escrita específica del responsable, a menos que dicha divulgación sea necesaria para cumplir con las obligaciones del Acuerdo de servicio o sea requerido en virtud del Derecho de la Unión o de los Estados miembros que se aplique al encargado.
6.2. Limitación de la finalidad

El encargado tratará los datos personales únicamente para los fines específicos del tratamiento indicados en el anexo II, salvo cuando siga instrucciones adicionales del responsable.

6.3. Duración del tratamiento de datos personales

El tratamiento por parte del encargado solo se realizará durante el período especificado en el anexo II.

6.4. Seguridad del tratamiento
  1. El encargado aplicará, como mínimo, las medidas técnicas y organizativas especificadas en el anexo III para garantizar la seguridad de los datos personales. Una de estas medidas podrá consistir en la protección contra violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales, o la comunicación o acceso no autorizados a dichos datos («violación de la seguridad de los datos personales»). A la hora de determinar un nivel adecuado de seguridad, las partes tendrán debidamente en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y los fines del tratamiento, y los riesgos que entraña el tratamiento para los interesados.
  2. El encargado solo concederá acceso a los datos personales tratados a los miembros de su personal en la medida en que sea estrictamente necesario para la ejecución, la gestión y el seguimiento del contrato.
  3. El encargado garantizará que las personas autorizadas para tratar los datos personales recibidos se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria. El encargado deberá mantener a disposición del responsable del tratamiento todos los registros documentados del cumplimiento de la obligación de confidencialidad.
  4. El encargado deberá asegurarse de que todas las personas autorizadas para procesar datos personales reciban la formación necesaria en protección de datos personales.
6.5. Datos sensibles

Si el tratamiento afecta a datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, datos genéticos o datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física, o datos relativos a condenas e infracciones penales («datos sensibles»), el encargado aplicará restricciones específicas y/o garantías adicionales.

6.6. Documentación y cumplimiento
  1. Las partes deberán poder demostrar el cumplimiento del pliego de cláusulas de este ATD.
  2. El encargado resolverá con presteza y de forma adecuada las consultas del responsable relacionadas con el tratamiento con arreglo al presente pliego de cláusulas.
  3. El encargado designará en el Anexo I un punto de contacto dentro de su organización autorizada para responder a las consultas relacionadas con el procesamiento de los Datos Personales y cooperará con el controlador, el Interesado y la Autoridad de Supervisión con respecto a todas estas consultas dentro de un tiempo razonable.
  4. El encargado pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones contempladas en el presente pliego de cláusulas y que deriven directamente del Reglamento (UE) 2016/679 y del Reglamento (UE) 2018/1725.
  5. A instancia del responsable, el encargado permitirá y contribuirá a la realización de auditorías de las actividades de tratamiento cubiertas por el presente pliego de cláusulas, a intervalos razonables o si existen indicios de incumplimiento. Al decidir si se realiza un examen o una auditoría, el responsable podrá tener en cuenta las certificaciones pertinentes que obren en poder del encargado.

    Estas auditorías se solicitarán con un aviso razonable y se realizarán durante el horario laboral normal. La solicitud puede estar sujeta a cualquier consentimiento o aprobación necesarios de una autoridad supervisora dentro del país del responsable del tratamiento.

  6. El responsable podrá optar por realizar la auditoría por sí mismo o autorizar a un auditor independiente. Las auditorías también podrán consistir en inspecciones de los locales o instalaciones físicas del encargado y, cuando proceda, realizarse con un preaviso razonable.
  7. Las partes pondrán a disposición de las autoridades de control competentes, a instancia de estas, la información a que se refiere la presente cláusula y, en particular, los resultados de las auditorías.
  8. El encargado notificará al responsable del tratamiento cualquier solicitud de información por parte de la Autoridad supervisora.
  9. El encargado notificará al controlador de cualquier queja, notificación o comunicación recibida que se relacione directa o indirectamente con el procesamiento de los datos personales u otras actividades relacionadas, o que se relacione directa o indirectamente con el cumplimiento del encargado y/o el responsable con la ley aplicable pertinente, incluida la ley de protección de datos aplicable.
6.7. Recurso a subencargados
  1. El encargado cuenta con la autorización del responsable para contratar a subencargados que figuren en una lista acordada documentada en el anexo IV. El encargado informará al responsable específicamente y por escrito de las adiciones o sustituciones de subencargados previstas en dicha lista, con al menos 1 mes de antelación, de modo que el responsable tenga tiempo suficiente para formular objeción a tales cambios antes de que se contrate al subencargado o subencargados de que se trate. El encargado del tratamiento proporcionará al responsable la información necesaria para que pueda ejercer su derecho a formular objeción.
  2. Cuando el encargado contrate a un subencargado para llevar a cabo actividades de tratamiento específicas (por cuenta del responsable), lo hará por medio de un contrato que imponga al subencargado, en esencia, las mismas obligaciones en materia de protección de datos que las impuestas al encargado en virtud del presente pliego de cláusulas. El encargado se asegurará de que el subencargado cumpla las obligaciones a las que esté sujeto en virtud del presente pliego de cláusulas y del Reglamento (UE) 2016/679.
  3. El encargado proporcionará al responsable, a instancia de este, una copia del contrato con el subencargado y de cualquier modificación posterior del mismo. En la medida en que sea necesario para proteger secretos comerciales u otro tipo de información confidencial, como datos personales, el encargado podrá expurgar el texto del contrato antes de compartir la copia.
  4. El encargado seguirá siendo plenamente responsable ante el responsable del cumplimiento de las obligaciones que imponga al subencargado su contrato con el encargado. El encargado notificará al responsable los incumplimientos por parte del subencargado de las obligaciones que le atribuya dicho contrato.
  5. El encargado pactará con el subencargado una cláusula de tercero beneficiario en virtud de la cual, en caso de que el encargado desaparezca de facto, cese de existir jurídicamente o sea insolvente, el responsable tendrá derecho a rescindir el contrato del subencargado y ordenar a este que suprima o devuelva los datos personales.
6.8. Transferencias internacionales
  1. Las transferencias de datos a un tercer país o a una organización internacional por parte del encargado solo podrán realizarse siguiendo instrucciones documentadas del responsable o en virtud de una exigencia expresa del Derecho de la Unión o del Estado miembro al que esté sujeto el encargado; se llevarán a cabo de conformidad con el capítulo V del Reglamento (UE) 2016/67.
  2. El responsable se aviene a que, cuando el encargado recurra a un subencargado de conformidad con la cláusula 6.7 para llevar a cabo actividades de tratamiento específicas (por cuenta del responsable) y dichas actividades conlleven una transferencia de datos personales en el sentido del capítulo V del Reglamento (UE) 2016/679, el encargado y el subencargado puedan garantizar el cumplimiento del capítulo V del Reglamento (UE) 2016/679 utilizando cláusulas contractuales tipo, adoptadas por la Comisión, con arreglo al artículo 46, apartado 2, del Reglamento (UE) 2016/679, siempre que se cumplan las condiciones para la utilización de dichas cláusulas contractuales tipo.

Cláusula 7. Obligaciones del responsable del tratamiento

El responsable del tratamiento garantiza y se compromete a que:

  1. Los datos personales se han recopilado, procesado y transferido de acuerdo con las leyes de protección de datos aplicables.
  2. Debe realizar una evaluación del impacto en la protección de los datos personales de las operaciones de tratamiento que realizará el encargado cuando un el tipo de tratamiento pueda dar lugar a un alto riesgo para los derechos y libertades de los interesados.
  3. Dispondrá de las medidas técnicas y organizativas adecuadas para proteger la confidencialidad de los datos personales, así como protegerlos contra la destrucción accidental o ilegal o la pérdida accidental, alteración, divulgación o acceso no autorizado, y que proporcionen un nivel de seguridad, adecuado al riesgo que representa el tratamiento y la naturaleza de los datos a proteger.
  4. Responderá a las solicitudes de los interesados y de las autoridades de supervisión en relación con el tratamiento de los datos personales, según lo estipulado en la Cláusula 8 (b).
  5. Realizará consultas previas que correspondan a la autoridad de control cuando una evaluación de impacto de protección de datos indique que el tratamiento daría lugar a un alto riesgo en ausencia de medidas tomadas por el responsable del tratamiento para mitigar el riesgo.

Cláusula 8. Ayuda al responsable del tratamiento

  1. El encargado notificará con presteza al responsable las solicitudes que reciba del interesado. No responderá a dicha solicitud por sí mismo, a menos que el responsable le haya autorizado a hacerlo.
  2. El encargado ayudará al responsable a cumplir sus obligaciones al responder a las solicitudes de ejercicio de derechos de los interesados, teniendo en cuenta la naturaleza del tratamiento. En el cumplimiento de las obligaciones que le atribuyen las letras a) y b), el encargado cumplirá las instrucciones del responsable. Dado el caso:
    1. el interesado debería dirigir primero la solicitud al responsable del tratamiento;
    2. seguidamente, el responsable del tratamiento, tras recibir la solicitud, solicitará al encargado que realice las acciones necesarias a través del punto de contacto establecido en el anexo I;
    3. una vez que el encargado haya recibido la petición del responsable, el encargado responderá al responsable dentro de un plazo de diez (10) días hábiles;
    4. en el caso de que un interesado se comunique directamente con el encargado, este le pedirá al interesado que dirija su solicitud al responsable. Al mismo tiempo, el encargado informará al responsable de esta petición;
  3. Además de la obligación del encargado de ayudar al responsable en virtud de la cláusula 8, letra b), el encargado también ayudará al responsable a garantizar el cumplimiento de las obligaciones siguientes, teniendo en cuenta la naturaleza del tratamiento y la información de que disponga el encargado:
    1. la obligación de realizar una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales («evaluación de impacto») cuando sea probable que un tipo de tratamiento suponga un alto riesgo para los derechos y libertades de las personas físicas;
    2. la obligación de consultar a las autoridades de control competentes antes de proceder al tratamiento cuando una evaluación de impacto relativa a la protección de los datos muestre que el tratamiento entrañaría un alto riesgo si el responsable no toma medidas para mitigarlo;
    3. la obligación de garantizar que los datos personales sean exactos y estén actualizados, informando sin demora al responsable si el encargado descubre que los datos personales que está tratando son inexactos o han quedado obsoletos;
    4. las obligaciones contempladas en [OPCIÓN 1] el artículo 32 del Reglamento (UE) 2016/679 / [OPCIÓN 2] los artículos 33 y 36 a 38 del Reglamento (UE) 2018/1725.
  4. Las partes establecerán en el anexo III medidas técnicas y organizativas apropiadas que obliguen al encargado a ayudar al responsable a aplicar la presente cláusula, así como el objeto y el alcance de la ayuda requerida.

Cláusula 9. Notificación de violaciones de la seguridad de los datos personales

En caso de violación de la seguridad de los datos personales, el encargado colaborará con el responsable y le ayudará a cumplir las obligaciones que le atribuyen los artículos 33 y 34 del Reglamento (UE) 2016/679, teniendo en cuenta la naturaleza del tratamiento y la información de que disponga el encargado.

9.1. Violación de la seguridad de datos personales tratados por el responsable

En caso de violación de la seguridad de los datos personales en relación con los datos tratados por el responsable, el encargado ayudará al responsable en lo siguiente.

  1. Notificar la violación de la seguridad de los datos personales a las autoridades de control competentes sin dilación indebida una vez tenga constancia de ella, si procede (a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas).
  2. Recabar la información siguiente, que, de conformidad con el artículo 33, apartado 3, del Reglamento (UE) 2016/679, deberá figurar en la notificación del responsable, que debe incluir como mínimo:
    1. la naturaleza de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados;
    2. las consecuencias probables de la violación de la seguridad de los datos personales;
    3. las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

    Cuando y en la medida en que no se pueda proporcionar toda la información al mismo tiempo, en la notificación inicial se proporcionará la información de que se disponga en ese momento y, a medida que se vaya recabando, la información adicional se irá proporcionando sin dilación indebida.

  3. Cumplir, con arreglo al artículo 34 del Reglamento (UE) 2016/679, la obligación de comunicar sin dilación indebida al interesado la violación de la seguridad de los datos personales cuando sea probable que la violación de la seguridad entrañe un alto riesgo para los derechos y libertades de las personas físicas.
9.2. Violación de la seguridad de datos personales tratados por el encargado

En caso de violación de la seguridad de datos personales tratados por el encargado, este lo notificará al responsable sin dilación indebida una vez que el encargado tenga constancia de ella. Dicha notificación deberá incluir como mínimo:

  1. una descripción de la naturaleza de la violación de la seguridad (inclusive, cuando sea posible, las categorías y el número aproximado de interesados y de registros de datos afectados);
  2. los datos de un punto de contacto en el que pueda obtenerse más información sobre la violación de la seguridad de los datos personales;
  3. sus consecuencias probables y las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad, incluyendo las medidas adoptadas para mitigar los posibles efectos negativos.

Cuando y en la medida en que no se pueda proporcionar toda la información al mismo tiempo, en la notificación inicial se proporcionará la información de que se disponga en ese momento y, a medida que se vaya recabando, la información adicional se irá proporcionando sin dilación indebida.

Las partes establecerán en el anexo III los demás elementos que deberá aportar el encargado cuando ayude al responsable a cumplir las obligaciones que le atribuyen los artículos 33 y 34 del Reglamento (UE) 2016/679.

SECCIÓN III. DISPOSICIONES FINALES

Cláusula 10. Incumplimiento de las cláusulas y resolución del contrato

  1. Sin perjuicio de lo dispuesto en el Reglamento (UE) 2016/679, en caso de que el encargado del tratamiento incumpla las obligaciones que le atribuye el presente pliego de cláusulas, el responsable podrá ordenar al encargado que suspenda el tratamiento de datos personales hasta que este vuelva a dar cumplimiento al presente pliego de cláusulas, o resolver el contrato. El encargado informará con presteza al responsable en caso de que no pueda dar cumplimiento al presente pliego de cláusulas por cualquier motivo.
  2. El responsable estará facultado para resolver el contrato en lo que se refiera al tratamiento de datos personales en virtud del presente pliego de cláusulas cuando:
    1. el tratamiento de datos personales por parte del encargado haya sido suspendido por el responsable con arreglo a la letra a) y no se vuelva a dar cumplimiento al presente pliego de cláusulas en un plazo razonable y, en cualquier caso, en un plazo de un mes a contar desde la suspensión;
    2. el encargado incumpla de manera sustancial o persistente el presente pliego de cláusulas o las obligaciones que le atribuye el Reglamento (UE) 2016/679 y/o el Reglamento (UE) 2018/1725;
    3. el encargado incumpla una resolución vinculante de un órgano jurisdiccional competente o de las autoridades de control competentes en relación con las obligaciones que les atribuye el presente pliego de cláusulas, el Reglamento (UE) 2016/679 y/o el Reglamento (UE) 2018/1725.
  3. El encargado estará facultado para resolver el contrato en lo que se refiera al tratamiento de datos personales en virtud del presente pliego de cláusulas cuando, tras haber informado al responsable de que sus instrucciones infringen los requisitos jurídicos exigidos por la cláusula 7.1, letra b), el responsable insiste en que se sigan dichas instrucciones.
  4. Tras la resolución del contrato, el encargado suprimirá, a petición del responsable, todos los datos personales tratados por cuenta del responsable y acreditará al responsable que lo ha hecho, o devolverá todos los datos personales al responsable y suprimirá las copias existentes, a menos que el Derecho de la Unión o de los Estados miembros exija el almacenamiento de los datos personales. Hasta que se destruyan o devuelvan los datos, el encargado seguirá garantizando el cumplimiento con el presente pliego de cláusulas.
  5. Otros motivos y condiciones de terminación estarán sujetas a las Condiciones Generales del Servicio nebulaSUITE.

Cláusula 11. Responsabilidad e indemnización

  1. El encargado del tratamiento no será responsable ante cualquier reclamación presentada por un interesado que sea consecuencia de cualquier acción del encargado en la medida en que dicha acción sea el resultado directo de las instrucciones del responsable y la incorrecta implantación de sus medidas técnicas y organizativas.
  2. En el caso de que un interesado presente una reclamación contra el encargado que surja de cualquier acción u omisión del encargado en la medida en que dicha acción u omisión sea el resultado directo de las instrucciones del responsable, o la aplicación incorrecta por parte del responsable de sus y medidas organizativas, de acuerdo con la Cláusula 7 (c) de este ATD, el responsable indemnizará y mantendrá indemnizado y defenderá a su propio cargo al encargado respecto a todos los costes, reclamaciones, daños o gastos incurridos por el encargado para los cuales el encargado pueda ser responsable por causa de cualquier incumplimiento por parte del controlador o sus gerentes, empleados, agentes o contratistas de sus obligaciones en virtud de las cláusulas de este DPA.

Cláusula 12. Legislación aplicable a este ATD

Este ATD se regirá e interpretará en todos los aspectos de acuerdo con las leyes y regulaciones del país de la UE donde tiene lugar el tratamiento de datos. Las partes del presente acuerdo se someten a la jurisdicción exclusiva del lugar donde se realiza el tratamiento de datos para todos los fines de este ATD.

Cláusula 13. Resolución de disputas con los interesados o las autoridades de supervisión

  1. En el caso de una disputa o reclamación presentada por un interesado o una autoridad de supervisión con respecto al tratamiento de los datos personales contra una o ambas partes, las partes se informarán mutuamente sobre tales disputas o reclamaciones y cooperarán con miras a resolverlas amistosamente y de la manera más oportuna.
  2. Las partes acuerdan responder a cualquier procedimiento de mediación no vinculante disponible, generalmente iniciado por un interesado o por una autoridad de supervisión. Si participan en el procedimiento, las partes pueden optar por hacerlo de forma remota (por ejemplo, por teléfono u otros medios electrónicos). Las partes también acuerdan considerar la participación en cualquier otro arbitraje, mediación u otro procedimiento de resolución de disputas habilitado para disputas de protección de datos.
  3. Cada parte se compromete a acatar la decisión de la autoridad de supervisión, que es definitiva y contra la cual ya no será posible apelar.

ANEXO I. Lista de partes

Como Responsable del Tratamiento:

  1. Nombre: El Cliente que contrata los servicios de nebulaSUITE bajo las Condiciones Generales del Servicio acordadas.
  2. Dirección: Según se especifica en el acuerdo o contrato de prestación de servicios de nebulaSUITE suscrito entre ambas partes.
  3. Departamento/empleado de referencia: Según se especifica en el acuerdo o contrato de prestación de servicios de nebulaSUITE suscrito entre ambas partes.
  4. Nombre, cargo y datos de contacto de la persona de contacto: Según se especifica en el acuerdo o contrato entre ambas partes.
  5. Fecha de adhesión: Fecha de entrada en vigor el contrato o acuerdo de prestación de servicios de nebulaSUITE suscrito por ambas partes.

Como Encargado del tratamiento:

  1. Nombre: VÍNTEGRIS, S.L.
  2. Dirección: Carrer Pallars, 99, Planta 3a, Oficina 33, 08018 Barcelona, España
  3. Departamento/empleado de referencia: Según se especifica en el acuerdo o contrato de prestación de servicios de nebulaSUITE suscrito entre ambas partes
  4. Datos de contacto de la persona de contacto: incidentesRGPD@vintegris.com
  5. Fecha de adhesión: Fecha de entrada en vigor el contrato o acuerdo de prestación de servicios de nebulaSUITE suscrito por ambas partes.

ANEXO II. Descripción del tratamiento

Categorías de interesados cuyos datos personales se tratan

  • Personal, colaboradores y otros autorizados por el Cliente que son usuarios de la plataforma nebulaSUITE
  • Titulares de los certificados que el Cliente gestiona mediante los servicios de nebulaSUITE
  • Solicitantes de expedición de certificados cualificados mediante identificación remota por vídeo utilizando la plataforma nebulaID.

Categorías de datos personales tratados

  • Información de los usuarios de la plataforma nebulaSUITE necesaria para acceder y hacer uso de los servicios
    • Identidad de los usuarios, por ejemplo, su nombre y apellidos.
    • Datos de contacto profesionales tal como la dirección de correo y número teléfono.
    • Datos de autenticación para el acceso.
    • Registros de actividad de los usuarios en el uso de los Servicios, que puede incluir información de la dirección IP desde la que se accede a la plataforma nebulaSUITE.
  • Datos de los titulares de los certificados que el Cliente decida incluir en ellos:
    • Información de identificación personal incluyendo números de identidad únicos, tal como número de documento de identificación o pasaporte, número de empleado u otros que el cliente utilice para la identificación de los titulares de los certificados.
    • Información de contacto profesional, como por ejemplo la dirección de correo profesional.
    • Información de relación profesional tal como empresa y puesto de trabajo o poderes otorgados.
    • Imagen de la firma que puede aparecer en documentos almacenados en la plataforma nebulaSUITE.
  • Los propios certificados cualificados como soporte de los datos de los titulares de los certificados.
  • En el caso de uso de nebulaID para identificación remota por vídeo:
    • Datos de carácter identificativo
    • Imagen de documentos de identidad
    • Resultados de procesado OCR de los documentos de identidad
    • Imagen grabada de vídeo de prueba de vida del usuario de la plataforma, incluyendo registros de voz
    • Registros de auditoria del proceso de verificación
    • Datos de circunstancias personales del solicitante en función del tipo de certificado a emitir (fecha de nacimiento, nacionalidad, lugar de nacimiento o residencia, género, empresa, cargo o representación, …)

Datos de categoría especial:

  • Este ATD no considera el tratamiento de datos clasificados como “datos de categoría especial” o que requieran medidas de protección especiales.
  • El procesamiento de dichos datos en nombre del cliente solo debe realizarse con un acuerdo previo entre ambas partes y después de haber realizado una evaluación de impacto de protección de datos adecuada antes del tratamiento.
  • En el caso de uso de nebulaID, aunque se realiza un proceso de reconocimiento facial aplicando técnicas biométricas, no se generan ni recopilan datos biométricos.

Naturaleza del tratamiento

  • VINTEGRIS tratará los Datos del Cliente mediante los Servicios proporcionados por la plataforma nebulaSUITE.
  • Implica las actividades de:
    • Registro y almacenamiento de la información del cliente.
    • Supresión o destrucción de la información cuando sea requerido por el Cliente y a la terminación del servicio.
    • Limitación del tratamiento de la información a requerimiento del Cliente o autoridad competente.
  • En el caso de los servicios proporcionados mediante nebulaID:
    • Captura de vídeo de los usuarios y sus documentos de identificación
    • Escaneado y procesado OCR de los documentos identificativos
    • Aplicación de algoritmos de reconocimiento facial contrastando la imagen de la persona con la contenida en el documento de identificación mediante tecnología de validación documental y biometría facial
    • Conservación de las evidencias recogidas durante el proceso de reconocimiento durante los plazoa establecidos por las obligaciones legales
  • Todos los datos se almacenan en servidores en la UE mediante servicios proporcionados por terceros, tal como se estipula en el ANEXO IV Lista de Subencargados.
  • Los datos son proporcionados por el Cliente, como responsable del tratamiento, al hacer usos de los Servicios.
  • El procesamiento en la plataforma nebulaSUITE está automatizado, por lo que el personal de VÍNTEGRIS no tiene acceso a los datos del Cliente. Dado el caso, este acceso únicamente se produciría bajo petición expresa y supervisión del Cliente, por ejemplo, en el caso de requerir soporte para su uso o resolución de un problema informado por el Cliente.
  • VÍNTEGRIS considera que no dispone de instrucciones para tratar aquellos otros datos personales que circunstancialmente pudieran estar incluidos en los contenidos gestionados por el Cliente.
  • Cualquier dato personal adicional que sea tratado por VÍNTEGRIS por cuenta del Cliente debe ser acordado como una enmienda a este ATD.
  • Cabe notar que en el caso de que los servicios contratados incluyan la emisión de los certificados cualificados por parte de vinCAsign, la autoridad de certificación de VÍNTEGRIS, la responsabilidad de este tratamiento es de VÍNTEGRIS, tal como establece la legislación vigente relativa a la prestación de servicios de confianza.
  • El uso de nebulaID corresponde a una función de autoridad de registro (RA), por lo que se considera únicamente como parte de un encargo de tratamiento cuando el cliente sea otro proveedor de servicios de certificación cualificados (QTSP) que tiene responsabilidad sobre la RA.

Finalidad del tratamiento de los datos personales por cuenta del responsable del tratamiento.

VÍNTEGRIS tratará los datos únicamente con la finalidad de proporcionar los servicios de la plataforma nebulaSUITE contratados y de acuerdo con las Condiciones Generales del Servicio.

Duración del tratamiento

  • Este ATD se aplica durante la duración de la prestación del servicio, según se establece en el contrato o acuerdo de prestación de servicios de nebulaSUITE suscrito por ambas partes
  • Tras la finalización del contrato o acuerdo, el VÍNTEGRIS mantendrá sus obligaciones con respecto a los datos tratados de acuerdo con el período determinado por la política de retención de datos descrita en las Condiciones Generales del Servicio nebulaSUITE u otros términos específicamente acordados entre ambas partes.
  • En el caso de que la prestación de los servicios incluya la emisión de certificados digitales cualificados, mediante la autoridad de certificación vinCAsign, como responsable de este tratamiento, VÍNTEGRIS almacenará la documentación y registros durante al menos 15 años, de acuerdo con los requisitos establecidos por el Reglamento (UE) No 910/2014, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior (“eIDAS”), y tal como se determina en la Declaración de Prácticas de Certificación de vinCAsign
  • En el caso del uso de los servicios de nebulaID, de acuerdo con lo establecido por la Orden ETD/465/2021, de 6 de mayo, por la que se regulan los métodos de identificación remota por vídeo para la expedición de certificados electrónicos cualificados:
    • Se conservará una copia de la grabación del vídeo durante un periodo mínimo de tiempo de quince años desde la extinción de la vigencia del certificado obtenido por este medio.
    • Se conservarán, por un periodo mínimo de tiempo de 15 años, fotos o capturas de pantalla del solicitante y del documento de identidad utilizado, en las que serán claramente reconocibles tanto la persona como el anverso y el reverso del documento de identidad.
    • Se conservará, por un periodo mínimo de tiempo de quince años, el resultado automático de la verificación realizada por la aplicación, así como la evaluación y observaciones realizadas por el operador junto a su decisión de aprobación o rechazo de la identificación.
    • Se conservarán todas las pruebas de los procesos de identificación incompletos que no hayan verificará la autenticidad, vigencia e integridad física y lógica del documento de identificación utilizado y la correspondencia del titular del documento con el solicitante llegado a término por sospecha de intento de fraude durante un plazo de 5 años desde la ejecución del proceso de identificación, especificándose la causa por la que no llegaron a completarse, de conformidad con la política establecida al efecto.
    • La conservación se realizará mediante el bloqueo de los datos, conforme a lo previsto en el artículo 32 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

ANEXO III. Medidas técnicas y organizativas para garantizar la seguridad de los datos

VÍNTEGRIS aplica las medidas de seguridad técnicas y organizativas necesarias para garantizar un nivel adecuado de seguridad de la información con el fin de proteger la confidencialidad de los datos personales, así como protegerlos contra la destrucción accidental o ilícita o la pérdida accidental, alteración, divulgación o acceso no autorizado, teniendo en cuenta la naturaleza, el alcance, el contexto y la finalidad del tratamiento, así como los riesgos para los derechos y libertades de las personas físicas.

Estas medidas están implantadas bajo el marco de un Sistema de Gestión de la Seguridad de la información que dispone de la certificación ISO 27001:2017, así como las certificaciones del Esquema Nacional de Seguridad (ENS) y eIDAS.

Por otro lado, el Cliente es responsable de la implantación y mantenimiento de las medidas de seguridad y protección de los datos personales pertinentes como usuario de los Servicios en aquellos aspectos que están bajo su control.

En consecuencia, VÍNTEGRIS confirma que ha implantado las medidas enumeradas a continuación que aplican a los tratamientos que lleva a cabo por cuenta del responsable.

Controles de Seguridad Implantados

1. Políticas de la Organización
Política de Seguridad

Existe una política de seguridad de la información y protección de datos personales publicada y conocida por todo el personal y colaboradores.

Responsable de seguridad

VÍNTEGRIS ha designado un Responsable de Seguridad de la Información (“CISO”) como responsable de coordinar y supervisar las reglas y los procedimientos de seguridad.

Roles y responsabilidades en materia de seguridad

Los roles y responsabilidades en materia de seguridad de la información están definidos y asignados apropiadamente dentro de la organización.

El personal de VÍNTEGRIS que gestiona los Servicios que contienen Datos del Cliente está sujeto a obligaciones de confidencialidad y a la normativa de seguridad de la información y protección de datos personales.

Programa de gestión de riesgos

En el marco del Sistema de Gestión de la Seguridad de la Información existe un plan de evaluación y tratamiento de riesgos de seguridad de la información y se revisa periódicamente.

Evaluación continua

VÍNTEGRIS realiza una verificación y evaluación periódica de la eficacia de las medidas técnicas y organizativas implantadas para proteger la seguridad en la información en los sistemas de tratamiento, centros de trabajo y usuarios que los utilizan.

Esta evaluación y revisión se realiza bajo el criterio de los estándares de seguridad de la industria y las propias políticas y procedimientos determinados por el Sistema de Gestión de la Seguridad de la Información.

Política de seguridad de proveedores

Existe un proceso formal que permite valorar el cumplimiento de los requisitos de seguridad, información que deben cumplir los proveedores que tratan información y datos personales.

Únicamente se da acceso a la información a los proveedores cuando exista una necesidad legítima que justifique este acceso.

2. Personal y Colaboradores
Compromiso de confidencialidad

Todo el personal y colaboradores con acceso a la información y los datos personales ha firmado un compromiso con respecto a:

  • Guardar secreto y garantizar la confidencialidad y seguridad respecto de los datos a los que pudieran tener acceso por razones de su responsabilidad laboral, contractual o de cualquier otro tipo.
  • No hacer uso de la información confidencial a la que tengan acceso para fines distintos a los que haya determinado.
  • No comunicar, revelar, divulgar o transferir información confidencial a terceros no autorizados.
  • Mantener el deber de secreto por un periodo de tiempo mínimo de 1 año una vez finalizada la relación laboral o contractual.
Normativa interna de seguridad de la información

Existe una normativa de seguridad de la información, protección de datos personales y uso de los medios informáticos que todo el personal y colaborares se ha comprometido a cumplir.

Formación en seguridad de la información

Todo el personal y colaboradores con acceso a la información y datos personales ha recibido una formación adecuada con respecto a la seguridad de la información y la protección de los datos personales.

Normas de uso de los sistemas de información

La normativa de seguridad de la información establece las normas de uso aceptable de los sistemas de información y equipos que el personal tiene a su cargo.

Prohibición de uso para fines personales de los equipos corporativos

Se ha establecido que no se permite el uso para fines particulares de aquellos ordenadores y dispositivos destinados al tratamiento de la información corporativa y los datos personales.

Tampoco se permite el acceso a información corporativa desde equipos particulares.

3. Seguridad en el Puesto de Trabajo
Equipos desatendidos

Se ha establecido un mecanismo para que cuando un equipo quede desatendido se proceda al bloqueo de la pantalla o al cierre de la sesión.

Custodia de documentación

Se ha establecido una normativa para que en ningún momento quede documentación en papel o soportes de información sin custodia en el puesto de trabajo.

Destrucción segura de la información

Se han establecido mecanismos para facilitar la destrucción segura de la información confidencial en papel u otros soportes electrónicos.

Puesto de teletrabajo seguro

Se ha establecido una política para que el teletrabajo se pueda realizar de forma segura.

Seguridad de los dispositivos móviles

Se ha establecido una política para proteger el uso de los dispositivos móviles y la información que puedan contener.

4. Gestión de Incidentes y Brechas de Seguridad
Procedimiento de gestión de incidentes

Se ha definido un procedimiento para registrar y resolver los incidentes que afecten a la seguridad de la información y a los datos personales.

Procedimiento de gestión de brechas de seguridad en datos personales

El procedimiento permite identificar cuando se produce una violación de seguridad de los datos personales y contemplar la notificación al responsable de forma inmediata y sin dilación indebida acerca de dichas violaciones de seguridad, incluyendo toda la información necesaria para evaluar el impacto y determinar las causas y medidas correctivas aplicadas.

Asistencia al responsable en la notificación de brechas de seguridad

Está previsto asistir al responsable a realizar la notificación de la violación de la seguridad, a la autoridad de supervisión y, en su caso, a los interesados, teniendo en cuenta la información a disposición del encargado.

5. Acceso a los Sistemas
Política de control de accesos

VÍNTEGRIS mantiene una política de control de acceso que determina los privilegios de seguridad de las personas que tienen acceso a la información.

Autorización de acceso

Existe un proceso formal para gestionar la autorización, alta, baja y modificación de accesos de los usuarios a los sistemas.

Cuentas individuales

Cada persona utiliza una cuenta de usuario individual e intransferible.

Privilegio mínimo

VÍNTEGRIS ha definido y aplica una política de mínimo acceso por defecto, que garantiza que el personal y colaboradores únicamente tienen acceso a la información que requieren para desempeñar las labores de su puesto de trabajo.

Cuentas con acceso privilegiado

Para realizar tareas de administración y configuración de los sistemas se utilizan cuentas de acceso nominales con derechos privilegiados que son diferentes y segregadas de las cuentas de uso ordinario de los sistemas.

Autenticación

VÍNTEGRIS utiliza prácticas estándares del sector para identificar y autenticar a los usuarios que intentan acceder a los sistemas de información.

Para acceder a aquellas redes más expuestas o administración de sistemas se utilizan sistemas de doble factor de autenticación.

Todos los sistemas incluyen controles para evitar los intentos reiterados de conseguir acceso a los sistemas de información mediante una contraseña inválida.

Seguridad de las Contraseñas

Se garantizará la existencia de políticas de contraseñas (o mecanismos equivalentes) para el acceso a los sistemas y aplicaciones que cumplen como mínimo lo siguiente:

  • Longitud de la contraseña: mínimo 8 caracteres
  • Renovación periódica de las contraseñas
  • Requisitos de complejidad de las contraseñas
  • Límites a la reutilización de contraseñas
Confidencialidad de las contraseñas

Existe una normativa para asegurar la confidencialidad de las contraseñas, evitando que queden expuestas o sean compartidas con terceros.

Internamente, todas las contraseñas se guardan aplicando algoritmos de cifrado irreversibles.

Registros de accesos

Se mantiene y supervisa un registro de los accesos e intentos de acceso a los sistemas.

6. Activos de Tratamiento de la Información
Inventario de activos

Se dispone de un inventario de los sistemas y equipos utilizados en el tratamiento de la información, con la información de la persona que es responsable de dicho equipo.

Desecho y reutilización segura

Se han definido procesos formales para el desecho y/o reutilización segura de los equipos de tratamiento de la información.

Mantenimiento de los equipos

Los sistemas y equipos utilizados para el tratamiento de la información están debidamente mantenidos u actualizados

Protección contra malware

Los equipos en los que se procesa o almacena información disponen de protección antimalware permanentemente activa y actualizada.

Actualización del software

Todo el software que se utiliza para el tratamiento de la información está debidamente actualizado y sin vulnerabilidades graves conocidas.

Bastionado de los sistemas

Se han aplicado medidas de bastionado de los sistemas tales como, entre otras:

  • Tener solamente abiertos los puertos indispensables
  • Desactivar todos los servicios no estrictamente necesarios
  • Bloquear o cambiar las contraseñas por defecto de las cuentas con acceso privilegiado
  • Cifrado de los discos que contienen la información
Limitación a la instalación de software por parte de los usuarios

Existe una normativa o medidas técnicas para impedir que el personal pueda instalar software no autorizado en sus equipos de trabajo, así como para que no se pueda utilizar software que pueda violar la propiedad intelectual de terceros.

Limitación de privilegios de administración

Se han implantado medidas técnicas para que los usuarios no puedan modificar o desactivar las configuraciones de seguridad de los equipos

Restricción al uso para fines personales

Existe una normativa que prohíbe el uso privado o para fines personales de los equipos corporativos.

7. Protección de la Información en Tránsito y Reposo
Protección perimetral de redes

Existe protección perimetral de la red para protegerla frente ataques y accesos indebidos a aquellos sistemas en los que se realice el almacenamiento y/o tratamiento de la información y los datos personales.

Segregación de redes

Se ha configurado la red de modo que existan zonas de seguridad segregadas de acuerdo con los diferentes requisitos de seguridad que se hayan establecido.

Protocolos seguros de transmisión de información

Todo el tráfico en las redes de la organización, especialmente cuando discurre total o parcialmente por redes públicas, está cifrado mediante protocolos seguros y sin vulnerabilidades graves conocidas (por ejemplo, mínimo TLS 1.2)

Acceso remoto seguro

Para el acceso remoto a la red de la organización, por ejemplo, mediante redes virtuales (VPN), se utilizan protocolos seguros y claves de autenticación de los extremos de la comunicación.

Cifrado de información en soportes tránsito

Existen mecanismos para cifrar la información en soportes y equipos en tránsito fuera de las instalaciones de tratamiento habitual.

Análisis de vulnerabilidades

Periódicamente se realizan pruebas para verificar que las redes están libres de vulnerabilidades y se aplican las medidas correctoras necesarias.

Segregación de redes wifi

Las redes wifi para visitantes están segregadas de forma que no es posible el acceso a las redes internas de la empresa.

Seguridad de los servicios de proveedores en la nube

En el caso de utilizar servicios de algún proveedor en la nube (IaaS, PaaS, SaaS,…) para tratar la información, se garantiza que el proveedor proporciona o permite aplicar medidas de seguridad como mínimo equivalentes a las exigidas al propio encargado.

Registros de auditoria

Se recogen, conservan y revisan los registros de auditoría de las operaciones realizadas sobre los datos (acceso, modificación y eliminación), especialmente cuando se tratan datos de categoría especial

Segregación de las instancias de los clientes

Segregación de los servicios a los diferentes clientes mediante una arquitectura multi-tenant. Se proporciona segregación lógica de usuarios y datos.

8. Seguridad Física de los Espacios de Tratamiento
Perímetro de seguridad física

Existe un perímetro de seguridad para proteger los recintos y dependencias donde se procesa o almacena información.

Limitación de acceso

Se han implantado controles de acceso físico a las dependencias donde se realiza el tratamiento de la información para asegurar que únicamente el personal autorizado tiene el acceso permitido.

Control de acceso físico

Se han establecido controles de entrada específicos para limitar el acceso al personal estrictamente autorizado a las áreas seguras donde están ubicados los servidores, equipos de red o archivos de documentos utilizados para el tratamiento y almacenamiento de la información.

Protección contra las amenazas externas y ambientales

Se han establecido las medidas necesarias para proteger las personas, equipos e instalaciones en caso desastres naturales, ataques maliciosos o incidentes, tales como incendio, inundaciones, fugas de agua, fallos en el aire acondicionado, etc.

Instalaciones de suministro

Se han establecido las medidas necesarias para garantizar la continuidad del suministro eléctrico.

Seguridad de los proveedores de centros de procesamiento

Los centros de datos externos donde se ubican los servidores de VÍNTEGRIS están ubicados en la UE y disponen que como mínimo deben ser TIER III y disponer de certificaciones de seguridad de la información.

Más información en el Anexo IV “Subencargados”

Seguridad de los proveedores de servicios IaaS y PaaS

Los proveedores de servicios IaaS y PaaS proporcionan los controles de seguridad física necesarios y garantizados mediante las certificaciones oportunas, tal como ISO 27001, SOC 2, ENS (nivel Alto), PCI-DSS, y otras.

En este caso, se contratan los servicios en centros de datos ubicados en la UE.

Más información en el Anexo IV “Subencargados”

9. Resiliencia de los Sistemas
Disponibilidad de los sistemas

VÍNTEGRIS ha establecido medidas para garantizar la disponibilidad de los sistemas de acuerdo con los niveles de servicio comprometidos.

Supervisión y gestión de la capacidad

El desempeño de los sistemas está continuamente monitorizado, con sistemas de alertas para detectar de forma inmediata cualquier incidente.

Continuamente se realiza una supervisión de la capacidad de los sistemas para asegurar la disponibilidad de capacidad suficiente para los servicios requeridos.

Redundancias

Todos los sistemas de Víntegris están redundados, internamente, en diferentes servidores y en diferentes centros de datos distantes geográficamente.

Copias de seguridad

VÍNTEGRIS realiza una copia de seguridad almacenada en un soporte disociado de los equipos habituales de tratamiento. Esta copia se realiza con la periodicidad necesaria para cumplir los niveles de servicio comprometidos.

Adicionalmente, VÍNTEGRIS mantiene una copia de seguridad almacenada en un emplazamiento diferente y separado geográficamente de las instalaciones habituales de tratamiento de la información. Esta copia se realiza con la periodicidad necesaria para cumplir los niveles de servicio comprometidos en caso de incidente grave en las instalaciones de tratamiento.

Supervisión de las copias de seguridad

Se supervisa de forma continua la ejecución correcta de las copias de seguridad.

Pruebas de recuperación

Se realizan pruebas periódicas de recuperación y verificación de información contenida en las copias de seguridad

Plan de Continuidad

Se han elaborado un Plan de Continuidad, permitan recuperar la disponibilidad de los sistemas y la integridad de la información en caso de incidente grave.

Procedimientos de recuperación

Se dispone de procedimientos específicos de protección y recuperación ante amenazas que comprometan la integridad de la información, tal como los ataques por ransomware.

10. Privacidad por Diseño y por Defecto
Minimización de la recogida de datos

Únicamente se recogen los datos estrictamente necesarios para la finalidad para la que deben ser tratados.

Limitación del plazo de conservación de los datos

VÍNTEGRIS ha establecido procedimientos para limitar la retención de los datos y evitar su conservación más allá de los plazos establecidos.

Los archivos temporales creados como resultado del tratamiento son eliminados cuando dejan de ser necesarios.

Limitación de finalidad

VÍNTEGRIS ha definido mecanismos para evitar que la información que se trata por cuenta del responsable pueda ser utilizada para finalidades diferentes de las establecidas en este Acuerdo de Tratamiento de Datos (ATD).

Pseudonimización y cifrado de datos

Se aplican medidas de pseudonimización y cifrado de los datos, especialmente cuando la información tratada incluye datos de categoría especial o especialmente sensible.

Segregación de información sensible

El acceso a la información más sensible está segregado de forma que únicamente puedan ser consultados y tratados por personal específicamente autorizado.

Ejercicio de los Derechos de los Interesados
Procedimiento de respuesta

VÍNTEGRIS ha definido un proceso formal para atender y asistir al responsable en la respuesta a las peticiones de ejercicio de los derechos de los interesados.

Comunicación de las peticiones de ejercicio de los derechos

VÍNTEGRIS ha definido los canales para comunicar las peticiones de ejercicio de los derechos de los interesados al responsable del tratamiento.

Limitación de tratamiento

Existen mecanismos para limitar el tratamiento de los datos siempre que así sea requerido.

ANEXO IV. Lista de Subencargados

Lista acordada de subencargados de acuerdo con la Cláusula 6.7(a)

  • Nombre del subencargado: Amazon Web Services Inc.
  • Descripción del tratamiento: Proveedor de servicios IaaS y PaaS
  • Localización del tratamiento: Unión Europea (Irlanda, Frankfurt, Paris)
  • Dirección y datos de contacto: Amazon Web Services EMEA SARL
    38 Avenue John F. Kennedy, L-1855, Luxembourg
    Tel: +352 2789 0057
  • Garantías proporcionadas: https://aws.amazon.com/compliance/gdpr-center/
  • Nombre del subencargado: VERIDAS DIGITAL AUTHENTICATION SOLUTIONS, S.L.VERIDAS DIGITAL AUTHENTICATION SOLUTIONS, S.L.
  • Descripción del tratamiento: Proveedor de la plataforma tecnológica en la que se apoya el proceso de reconocimiento de la identidad la plataforma tecnológica en la que se apoya el proceso de reconocimiento de la identidad.
  • Localización del tratamiento: España
  • Dirección y datos de contacto: Email: partners@veridas.com
  • Garantías proporcionadas: Acuerdo de encargado de tratamiento incluido en el Contrato de Licencia de uso y distribución para plataformas firmado entre Víntegris y Veridas.Acuerdo de encargado de tratamiento incluido en el Contrato de Licencia de uso y distribución para plataformas firmado entre Víntegris y Veridas.

¿Necesitas más Información?

Contáctanos