Skip to main content

Condiciones Generales
del Servicio nebulaSUITE

Última actualización v.3.6, octubre 2023

PRIMERA: Definiciones

Acuerdo de Nivel de Servicio: Cláusulas o particularidades del contrato suscrito entre las partes o recogidas en las presentes Condiciones Generales que desarrollen y estipulen los servicios de manera objetiva en cuanto a nivel y calidad que serán aplicables.

Aplicaciones ajenas / software de terceros: Aplicaciones de terceros que pueden interactuar con el software de VÍNTEGRIS.

Cliente: Persona física o jurídica, debidamente representada, que contrata los Servicios de nebulaSUITE prestados por VÍNTEGRIS. El Cliente manifiesta, salvo pacto en contrario, que es el propietario de los equipos en los que se utiliza la aplicación o tiene autorización para utilizarlos. Asimismo, manifiesta que cuenta con las facultades suficientes para vincular a la entidad jurídica que representa para vincularla a la documentación de VÍNTEGRIS y las presentes Condiciones Generales, de manera que el uso y el pago de esos servicios serán prueba suficiente del perfeccionamiento de los contratos y de actuar con la representación suficiente para vincular a la empresa que representa.

Partner: Empresa que cumple con los requisitos para participar como revendedor de soluciones de VÍNTEGRIS, quien actúa en nombre propio, con su propia organización y en relación directa con los clientes que consumen las soluciones y servicios de VÍNTEGRIS.

Condiciones Generales: Se refiere a las presentes condiciones generales, aplicables en todo caso al Servicio, y sus anexos.

Condiciones Particulares: Se refiere a las condiciones particulares que estipulan, en su caso, los detalles personalizados del Servicio y los servicios auxiliares acordados entre VÍNTEGRIS y el Cliente.

Datos del cliente: Aquellos Datos introducidos por el Cliente que serán recopilados de manera sistemática y accesible de manera individual por VÍNTEGRIS.

Equipos: Ordenadores, tablets, smartphones, y cualesquiera otras máquinas electrónicas capaces de almacenar información y tratarla para el correcto desarrollo del software o aquellos equipos que interaccionan con el servicio de VÍNTEGRIS.

Licencia: Derechos concedidos por VÍNTEGRIS al Cliente en los términos y condiciones recogidos en el contrato pertinente y que engloban, entre otros, los límites a copiar, instalar, utilizar, mostrar y ejecutar el software.

Programa Complementario: Es cualquier herramienta o componente de software que pertenezca o sea licenciado por VÍNTEGRIS, y que VÍNTEGRIS ponga a Su disposición para la descarga como parte de los Servicios en la Nube a efectos de facilitar Su acceso, operación y/o uso con el Entorno de Servicios. No incluye Tecnología de Terceros con Licencia por Separado.

Propuesta económica: En ella se incluyen las especificaciones del servicio contratado por el Cliente, incluyendo el número de usuarios que pueden acceder a los Servicios contratados.

Servicio SaaS: Software como servicio (Software as a Service). Son servicios prestados a través de internet por VÍNTEGRIS a favor del Cliente, en relación al uso del servicio contratado, a través de la plataforma de Servicios SaaS y dentro de la infraestructura de computación en la nube.

Solicitante: Persona física que a los efectos de estas Condiciones Generales actúa en nombre y representación del Cliente, y que SOLICITA a VÍNTEGRIS, la prestación del servicio nebulaSUITE.

Usuario: Persona autorizada por el Cliente para utilizar el Software de VÍNTEGRIS.

VÍNTEGRIS: Es la empresa VÍNTEGRIS, SLU, con domicilio en Calle Pallars 99, planta 3, oficina 33, 08018 Barcelona, España, y CIF B-62913926, e inscrita en el Registro Mercantil de Barcelona.

SEGUNDA: Servicios de Víntegris

El Solicitante, persona física que a los efectos de estas Condiciones Generales actúa en nombre y representación del Cliente, SOLICITA a VÍNTEGRIS, la prestación del servicio nebulaSUITE. nebulaSUITE incluye los siguientes servicios:

Nombre del servicio Descripción
nebulaUSERS Servicio de gestión de usuarios
nebulaID Servicio de emisión de certificados
nebulaCERT Servicio de gestión centralizada de certificados
nebulaACCESS Servicio de autenticación dinámica multifactor
nebulaSIGN Servicio portafirmas
nebulaSNE Servicio de gestión de notificaciones electrónicas
nebulaDISCOVER Servicio de descubrimiento de certificados digitales

Los servicios indicados son prestados por VÍNTEGRIS en modalidad SaaS tras su selección por el Cliente o licenciatario, utilizando diversas aplicaciones informáticas propiedad de VÍNTEGRIS ubicadas en una plataforma tecnológica a la que el Cliente tendrá acceso, una vez concedidas las pertinentes licencias de uso.

TERCERA: Obligatoriedad de las Condiciones Generales

Estas Condiciones Generales de la Contratación de Servicios (“Condiciones Generales”), sin perjuicio de los documentos listados en la Cláusula Sexta, regulan el uso de la totalidad de los servicios nebulaSUITE.

Las “Condiciones Generales” aplicables en cada caso para cada Cliente corresponden a la última versión que el Cliente acepta y firma en el momento de la contratación inicial/renovación de la suscripción al servicio. En su defecto aplicarán las Condiciones Generales publicadas en la web, vigentes en el momento de la contratación/renovación.

Esta versión de las “Condiciones Generales” será aplicable y vigente durante el tiempo de suscripción contratado o renovado (12 meses por defecto).

VÍNTEGRIS se reserva el derecho a modificar, de forma periódica y a su sola discreción las Condiciones Generales, siendo estas nuevas Condiciones actualizadas de aplicación en la próxima renovación de la suscripción del Cliente, teniendo en cuenta lo indicado en el párrafo anterior y con excepción de las indicaciones descritas en la cláusula Décima séptima.

El Cliente acepta y se obliga a realizar un uso correcto de los servicios nebulaSUITE, de acuerdo con todas las leyes aplicables de la Unión Europea y de España, así como con las correspondientes reglamentaciones, reglas, avisos, criterios, informes y normas técnicas que resulten procedentes (denominadas de forma colectiva “Leyes”), y conforme a las reglas de la buena fe, de orden público y contenidas en las Condiciones Generales, sin perjuicio del orden de prelación establecido en la cláusula Vigésima Cuarta.

Las presentes Condiciones Generales se instrumentan con sujeción a las Leyes, a sus propios pactos, y a la declaración de prácticas de confianza (DPC) vigente en el momento de la prestación de cada servicio, y que se puede encontrar actualizada en la dirección internet https://www.vincasign.net/

 

CUARTA: Proceso de contratación

Para la contratación del Servicio, el Solicitante deberá firmar la hoja de aceptación incluida en la propuesta económica, donde se declara la aceptación de las Condiciones Particulares y Condiciones Generales adjuntas en la propuesta económica.

Una vez que esté firmada la documentación correspondiente, VÍNTEGRIS le dará al Cliente acceso a la Plataforma.

La conclusión del proceso de contratación se sujeta a la comprobación de los datos facilitados por parte de VÍNTEGRIS. Una vez perfeccionada la contratación, VÍNTEGRIS le enviará al cliente una Carta de Confirmación de Compra por correo electrónico que contendrá los datos de contratación de la suscripción. Además, salvo en el caso de las renovaciones, VÍNTEGRIS le enviará al cliente por correo electrónico un documento llamado «Welcome Info (WI)», que incluirá las instrucciones de acceso a la plataforma, el periodo de vigencia de la suscripción, el identificador de Usuario para su acceso y la dirección de correo electrónico del Cliente donde se le hará llegar el link para el restablecimiento de su contraseña.

Cabe destacar que las fechas de inicio y fin de la suscripción (periodo de vigencia) serán las indicadas en el documento “Welcome Info (WI)”, la fecha de inicio coincidirá con la fecha de activación del entorno y fecha a partir de la cual la suscripción queda contratada, hasta la fecha fin, que es la fecha máxima contratada. Estas fechas serán las que se tomarán como referencia para tener en cuenta la caducidad de la suscripción y renovación de ésta.

La contraseña que establezca el usuario es única, personal e intransferible. Será obligación del Cliente hacer un uso diligente y mantener en secreto sus contraseñas u otras credenciales. En consecuencia, el Cliente es responsable de la adecuada custodia y confidencialidad de cualesquiera identificadores y/o contraseñas y se compromete a no ceder su uso a terceros, ya sea temporal o permanente, ni a permitir su acceso a personas ajenas. Será responsabilidad del Cliente la utilización de los Servicios por cualquier tercero ilegítimo que emplee a tal efecto una contraseña a causa de una utilización no diligente o de la pérdida de esta por el Usuario. En virtud de lo anterior, es obligación del Cliente notificar de forma inmediata a VÍNTEGRIS cualquier hecho que permita el uso indebido de los identificadores y/o contraseñas, tales como el robo, extravío, o el acceso no autorizado a los mismos, con el fin de proceder a su inmediata cancelación. Mientras no se comuniquen tales hechos, VÍNTEGRIS quedará eximida de cualquier responsabilidad que pudiera derivarse del uso indebido de los identificadores o contraseñas por terceros no autorizados.

Es recomendable modificar dicha contraseña de forma periódica y no utilizar la misma para varios servicios.

QUINTA: Limitaciones del solicitante

El Solicitante, en el momento de solicitar los servicios nebulaSUITE y de conformidad con la legislación vigente, ha sido informado de las instrucciones precisas para la utilización de los servicios, de las limitaciones de uso y de la forma en que limita su posible responsabilidad VÍNTEGRIS, así como de la habilitación suficiente de VÍNTEGRIS, y de los procedimientos de resolución de litigios pertinentes, y las acepta de forma expresa y sin reserva alguna, a los efectos de lo indicado en los artículos 5 y 7 de la Ley 7/1998, de 13 de abril, sobre condiciones generales de la contratación.

SEXTA: Regulación de los servicios nebulaSUITE

Los servicios nebulaSUITE se encuentran regulados específicamente por la siguiente documentación del servicio, que se incorpora plenamente al contrato: 1º) Propuesta Económica y las Condiciones Particulares que incorpore ésta. 2º) Las presentes Condiciones Generales. 3º) El Anexo I “Términos Específicos de los Servicios nebulaSUITE”. 4º) Anexo II “Acuerdos de Nivel de Servicios (SLA)”. 5º) Anexo III “DPA, Acuerdo de Tratamiento de Datos”.

SÉPTIMA: Tarifas, facturación y forma de pago

El Cliente abonará el importe correspondiente a los servicios a que se refieren estas Condiciones Generales de acuerdo con el listado de tarifas aprobado por VÍNTEGRIS en cada momento, y cuyo valor actual se indica en la Propuesta Económica aprobada por ambas partes con anterioridad al inicio de la prestación de los servicios nebulaSUITE. Sin perjuicio de lo que puede aparecer en el listado de tarifas, el precio que deberá pagar el Cliente es el que aparezca en la Propuesta Económica.

Los precios de los servicios contratados por el Cliente se encuentran en la Propuesta Económica, así como los detalles de los servicios y tecnologías contratadas por el Cliente.

En el caso de que el Cliente realice la contratación de los servicios mediante un partner de VÍNTEGRIS, VÍNTEGRIS facturará al partner el importe correspondiente indicado en la Propuesta Económica aprobada por ambas partes con anterioridad al inicio de la prestación de los servicios nebulaSUITE.

El Partner abonará el importe correspondiente según condiciones de pago establecidas en la Propuesta Económica.

En estos casos, VÍNTEGRIS no será responsable de los compromisos que el Partner haya adquirido directamente con el Cliente, solamente responderá según los servicios acordados y contratados por el Partner para el Cliente.

Cada año que se renueve la suscripción, el precio de dicha suscripción podrá aumentar si el Índice de Precios de Consumo (IPC) aumenta. Por lo tanto, cada año el precio de la suscripción se actualizará de conformidad con el IPC. Pero, en caso de que el IPC fuese inferior a 0 (cero) se mantendrá el precio fijado por las partes en la Propuesta Económica.

No obstante, VÍNTEGRIS se reserva el derecho de aumentar los precios de las subscripciones de sus productos, que puede ser debido, inter alia, a aumentos de costes más allá del IPC, compensar por nuevas funcionalidades añadidas, costes de modificaciones impuestas por normativa o a ampliación de los servicios incluidos en las subscripciones. Si VÍNTEGRIS vislumbra tal aumento, VÍNTEGRIS notificará al Cliente con 60 días de antelación a la fecha de renovación de las subscripciones afectadas y el Cliente podrá decidir si renueva o termina sus subscripciones.

La forma de pago y los hitos de facturación se recogen en la Propuesta Económica.

Todos los pagos se harán en euros (€), a menos que se indique lo contrario en la Propuesta Económica.

VÍNTEGRIS facturará al Cliente conforme a lo siguiente:

  1. Facturación Estándar
    1. Se facturará el 100% de la Tecnología y Servicios (hasta 5 jornadas), tras la puesta a disposición del Cliente (activación del entorno / envío de Welcome Info).
  2. Facturación Especial. Los hitos e importes de facturación son los siguientes:
    1. 100% de la Tecnología, tras la puesta a disposición del Cliente (activación del entorno / envío de Welcome Info).
    2. 50% de los Servicios, al inicio del proyecto. El 50% restante a la finalización tras la aprobación del Cliente.

En el caso de que el Cliente realice la contratación de los servicios mediante un Partner de VÍNTEGRIS , las políticas relativas a facturación y pago indicadas anteriormente aplicarán directamente al Partner.

Si el Cliente no atendiera el pago total o parcial de las cantidades adeudadas transcurrido el plazo de un mes desde la fecha de vencimiento de factura acordado, VÍNTEGRIS podrá previo aviso al Cliente suspenderle temporalmente el servicio. La restricción del servicio afectará a los servicios respecto a cuyo pago se haya incurrido en mora, pudiendo llegar a afectar a otros servicios dependientes. La suspensión temporal no exime al Cliente de la obligación de continuar con el pago de las cuotas periódicas fijas correspondientes.

VÍNTEGRIS podrá igualmente suspender o cancelar la prestación del Servicio en el caso de que:

  1. el Cliente incumpla cualquiera de las obligaciones a su cargo conforme a las presentes Condiciones Generales o a las Condiciones Particulares aplicables en su caso;
  2. haya facilitado datos falsos o incorrectos en la solicitud de alta en el Servicio;
  3. VÍNTEGRIS considere y/o tenga indicios razonables de que a través del Servicio pudieran llevarse a cabo actividades ilícitas, ilegales, contrarias al orden público y/o a las buenas costumbres o contrarias a lo estipulado en las propias Condiciones Generales.

El retraso en el pago por un periodo superior a 2 meses o la suspensión temporal del contrato en dos ocasiones por mora en el pago de cualquiera de los servicios contratados, darán derecho a VÍNTEGRIS a la interrupción definitiva de todos los servicios contratados y a la correspondiente resolución del contrato, previa notificación al Cliente con 10 días hábiles de antelación, indicando la fecha en la que tendrá lugar la misma.

Las políticas relativas a la suspensión y la cancelación de los servicios por falta de pago se aplicarán igualmente para los supuestos de que su contratación se haya realizado a través de partners de VÍNTEGRIS, y se hubiera delegado en él tanto la facturación como su pago, y éste no atendiera a su pago.

El Partner podrá solicitar a VÍNTEGRIS la desactivación por separado de cada Suscripción activa y dependiendo de la Solución, el Cliente tendrá un acceso limitado o nulo a la Solución. VÍNTEGRIS no será responsable en modo alguno ante el Cliente por la desactivación de la Suscripción del Cliente por parte del Partner.

OCTAVA: Vigencia

Excepto en lo relativo a las cláusulas 9, 10, 11, 12 y 17, la vigencia de estas Condiciones Generales será la correspondiente al servicio prestado y esta figurará en el documento WI o en su defecto en la confirmación de compra. Las restantes cláusulas mantendrán su vigencia mientras no expiren los plazos legalmente establecidos en cada caso, o, en caso de no estar establecidos, mientras no prescriban o caduquen las acciones legales que pueda ejercer VÍNTEGRIS frente a Cliente o terceros.

NOVENA: Terminación de los servicios

Los Servicios en virtud del presente Contrato serán prestados durante el Periodo de Servicios definido en el documento WI o en su defecto en la confirmación de compra, salvo suspensión o terminación anticipada de conformidad con estas Condiciones Generales o la Propuesta Económica.

Terminación anticipada sin causa justificada. El Cliente puede elegir cancelar su suscripción de forma anticipada, en el momento que lo desee, pero no recibirá ninguna devolución de tarifas pagadas anteriormente y deberá abonar inmediatamente todas las tarifas impagas que adeude hasta finalizar el Plazo de suscripción. En este caso, el servicio quedará activo hasta la fecha de vencimiento inicialmente definida, con la excepción de que el Cliente nos indique expresamente la desactivación de la cuenta.

Terminación anticipada por causa justificada. Cualquiera de las partes puede poner fin a la prestación de los Servicios por causa justificada de la siguiente manera: (i) con previo aviso de treinta (30) días a la otra parte de que se ha cometido una infracción importante, siempre que dicha infracción no se haya solucionado al finalizar el periodo. En este caso, VÍNTEGRIS se reserva el derecho del acceso al servicio, se desactivará inmediatamente el Servicio SaaS al Cliente y terminar la licencia de uso del software relacionado con los Servicios terminará; todo ello sin perjuicio de cualquier derecho de acceso en relación con los datos de carácter personal, conforme dispone la cláusula 16 de estas Condiciones Generales.

También, VÍNTEGRIS podrá terminar la prestación de los Servicios por causa justificada con previo aviso de treinta (30) días si VÍNTEGRIS determina que el Cliente está actuando (o ha actuado) de una manera que se refleje negativamente sobre VÍNTEGRIS o afecte a VÍNTEGRIS o a sus prospectos o clientes.

En cualquiera de los casos anteriormente mencionados, si es VÍNTEGRIS quien declara la finalización de los servicios por infracción o actuación indebida por parte del Cliente, éste no recibirá ninguna devolución de tarifas pagadas anteriormente y deberá abonar inmediatamente todas las tarifas impagas que adeude hasta finalizar el Plazo de suscripción.

A excepción de estos motivos, el Servicio no podrá terminar antes de la finalización del Plazo de suscripción.

Terminación dentro de plazo de suscripción. En caso de que el Cliente desee la no renovación del servicio de suscripción, éste deberá notificarlo mínimo con un mes de antelación a la fecha de suscripción actual, en caso contrario el cliente puede estar obligado al pago de cargos por cancelación y el resto de las condiciones que se especifican en este apartado cancelación.

Si cancela los Servicios, estos terminarán en la fecha final del período de Servicio actual o, si VÍNTEGRIS carga facturas en su cuenta de manera periódica, al final del periodo en que realizó la cancelación.

Para cancelar los Servicios debe ponerse en contacto con su gestor Comercial o comunicarlo a la dirección customercare@vintegris.com.

Debe tener en cuenta que estará obligado a pagar todos los cargos efectuados en su cuenta de facturación por los Servicios hasta la fecha de finalización de la suscripción.

DÉCIMA: Licencia de uso de Software

A menos que vaya acompañado de un contrato de licencia independiente entre VÍNTEGRIS y el cliente, todo software que le proporcione VÍNTEGRIS como parte de los Servicios está sujeto a estos Términos:

  1. Se concede una licencia temporal, onerosa, no exclusiva, intransferible, conforme a lo establecido en las presentes Condiciones Generales y, en su caso, las Condiciones Particulares por el derecho de reproducción a efectos del derecho de uso en relación con la modalidad de servicio nebulaSUITE contratado, a cambio del pago de la tarifa establecida en la Cláusula 7.
    El software o el sitio web que forma parte de los Servicios puede incluir código de terceros. Todo script o código perteneciente a terceros, vinculado con el software o el sitio web o al que se haga referencia desde estos, se le concede bajo licencia por parte de los terceros propietarios de tal código y no por parte de VÍNTEGRIS. Las notificaciones que puedan incluirse en este documento relativas al código de terceros solo son con fines informativos.
  2. VÍNTEGRIS se reserva todos los derechos sobre el software que VÍNTEGRIS no conceda expresamente en virtud de los presentes Términos. Esta licencia no concede ningún derecho con respecto a lo siguiente; específicamente, el licenciatario no puede realizar lo siguiente si no se le autoriza, por escrito, por VÍNTEGRIS:
    1. Eludir ni omitir las medidas técnicas de protección que el software o los Servicios contengan ni que estén relacionadas con ellos;
    2. Desensamblar, descompilar, descifrar, emular, aprovechar una vulnerabilidad o aplicar técnicas de ingeniería inversa todo o parte del software ni de otro aspecto de los Servicios que se incluya en ellos o esté accesible a través de ellos, sin previo permiso por escrito de VÍNTEGRIS, excepto y únicamente en la medida en que dicha actividad esté expresamente permitida por la Ley de propiedad intelectual aplicable;
    3. Copiar, modificar, crear obras derivadas ni intentar de otra forma extraer el código fuente del Software ni ninguno de los Servicios de VÍNTEGRIS;
    4. Sublicenciar, transferir, reproducir o distribuir cualquiera de los Servicios;
    5. Vender, revender o poner los Servicios y/o el Software a disposición de un tercero de cualquier otra forma como parte de una oferta comercial que no tenga un valor material independiente de los Servicios;
    6. Reproducir, distribuir, vender, transformar, publicar, comunicar públicamente, alquilar, arrendar ni transmitir a ninguna persona o entidad, parcialmente o en su totalidad, en ninguna forma, ni por ningún medio, ya sea mecánico, magnético, por fotocopia o cualquier otro, sin permiso previo por escrito de VÍNTEGRIS, el software.
    7. Separar los componentes del software o los Servicios para utilizarlos en distintos dispositivos;
    8. Publicar, copiar, alquilar, arrendar, vender, exportar, importar, distribuir o dar en préstamo el software o los Servicios;
    9. Transmitir el software, las licencias de software ni los derechos para acceder a los Servicios o utilizarlos;
    10. Utilizar los Servicios de un modo no autorizado que pueda interferir con su uso por parte de cualquier otra persona o con su acceso a servicios, datos, cuentas o redes o de cualquier otro modo que no resulte conforme a la Ley aplicable;
    11. Permitir el acceso a los Servicios o la modificación de dispositivos autorizados por VÍNTEGRIS por parte de aplicaciones de terceros no autorizadas.
    12. Crear “enlaces” telemáticos con los servicios descritos en el presente Acuerdo, ni adaptar o duplicar ningún contenido del Software en ningún otro servidor ni dispositivo inalámbrico;
    13. Acceder al producto o servicios objeto de las presentes Condiciones Generales a fin de crear un producto o servicio competitivo, o crear un producto utilizando ideas, características, funciones o gráficos similares a los de los servicios previstos en el mismo.

Sólo se permite el acceso al Servicio a aquellas personas que dispongan de la contraseña, bajo la responsabilidad del Cliente, y el Servicio estará limitado al número de usuarios que corresponda según los Servicios contratados por el Cliente y conforme a lo descrito en la Propuesta Económica.

DÉCIMA PRIMERA: Garantía

Los servicios Saas están compuestos por elementos de diferentes causas contractuales, por un lado, la derivada de la licencia de software y por otro, la derivada de su despliegue en infraestructura cloud.

  1. Respecto de los cumplimientos defectuosos derivados del software de VÍNTEGRIS:

    VÍNTEGRIS garantiza que: (i) prestará los Servicios en todos sus aspectos sustanciales tal como se describe en las presentes Condiciones y las Condiciones Particulares; (ii) prestará los Servicios de manera profesional de conformidad con las presentes Condiciones y las Condiciones Particulares; y (iii) no introducirá deliberadamente ningún virus ni otras formas de código malicioso en el servicio.

    En la medida en que la ley lo permita, los Servicios de VÍNTEGRIS se suministran «tal como están» sin ningún tipo de garantía o condición adicional a la establecida en el párrafo anterior.

    Si los Servicios prestados al Cliente no fueran prestados conforme a la anterior garantía, el Cliente deberá notificar por escrito a VÍNTEGRIS de ello describiendo la deficiencia en los Servicios.

    En los primeros 5 días se hará un diagnóstico por parte de VÍNTEGRIS de las razones técnicas del cumplimiento defectuoso en la prestación de sus servicios conforme a estas Condiciones Generales y a las Condiciones Particulares.

    En el caso de que el restablecimiento del servicio se pudiera hacer en menos de 10 días, VÍNTEGRIS hará todos los esfuerzos comercialmente razonables para corregir la situación, y propondrá las medidas técnicas alternativas al cliente para minimizar los posibles daños que pudieran afectar al cliente.

    De no ser posible prestar los servicios conforme a la garantía anterior dentro de los 15 días desde la notificación del cumplimiento defectuoso, VÍNTEGRIS propondrá las medidas técnicas alternativas al Cliente para minimizar los posibles daños que pudieran afectar al Cliente. Dentro de los sesenta (60) días a partir de la fecha de notificación de incumplimiento, cualquiera de las partes puede poner fin a los Servicios enviando un aviso por escrito a la otra.

    La devolución de las cantidades prepagadas desde el momento del incumplimiento de la garantía será la RESPONSABILIDAD DE VÍNTEGRIS convirtiendo dicha cantidad en la indemnización máxima por daños y perjuicios que el Cliente pueda reclamar y exigir de VÍNTEGRIS, siempre que no sea atribuible a negligencia grave o dolo de VÍNTEGRIS.

  2. Respecto de los cumplimientos defectuosos derivados de la disponibilidad de la infraestructura cloud.

    En este sentido forma parte indisoluble de este contrato el Anexo II donde se desarrollan los términos de los acuerdos de nivel de Servicio (SLA) que ofrece VÍNTEGRIS a sus clientes.

DÉCIMA SEGUNDA: Limitación de responsabilidad y exclusión de garantías

Cualquier responsabilidad por parte de VÍNTEGRIS por el incumplimiento con el nivel de servicio conforme a lo establecido en el ANEXO II solo será concedida si VÍNTEGRIS fue responsable del incumplimiento.

En particular, VÍNTEGRIS no se hace responsable de:

  1. Ninguna indisponibilidad, suspensión o terminación de cualquiera de los servicios, o cualquier otro problema de desempeño de estos: (i) que resulte de una suspensión; (ii) causada por factores ajenos al control razonable de VÍNTEGRIS, incluyendo cualquier evento de fuerza mayor o acceso a Internet o problemas relacionados más allá de su punto de demarcación; (iii) que resulte de cualquier acción u omisión por parte del Cliente o de un tercero; (iv) que resulte de personal del Cliente, software o cualquier otra tecnología y/o equipo, software o tecnología de un tercero (distinto de un equipo de terceros que esté bajo el control directo de VÍNTEGRIS); (v) que resulte de una suspensión y terminación del derecho a usar los servicios por parte del Cliente de conformidad con el contrato de servicio; (vi) que afecte a entornos de prueba, desarrollo, preproducción o entornos con finalidades comerciales; (vii) que resulte de su omisión en seguir las instrucciones de VÍNTEGRIS; o (viii) aquello que resulte de su equipo, software u otra tecnología y/o equipos, software u otra tecnología de terceros (que no sean equipos de terceros que estén bajo el control directo de VÍNTEGRIS.
  2. La modificación del servicio de VÍNTEGRIS por parte de cualquier otra persona, o la modificación por parte de VÍNTEGRIS de dicho servicio de conformidad con las especificaciones o instrucciones proporcionadas por el Cliente.
  3. Los contenidos, incluidos los vínculos a sitios web de terceros y las actividades proporcionadas por los usuarios. Tales contenidos y actividades no son atribuibles a VÍNTEGRIS ni representan la opinión de VÍNTEGRIS.
  4. Compensar ningún daño, directo o indirecto, que sea consecuencia del uso del servicio de una manera que infrinja la Ley o las presentes Condiciones Generales.
  5. El incumplimiento o el retraso en la ejecución de sus obligaciones conforme a las presentes Condiciones Generales en la medida en que dicho incumplimiento o retraso deriven de circunstancias que excedan el control razonable de VÍNTEGRIS (por ejemplo, conflictos laborales, fenómenos naturales, guerras o actividades terroristas, daño malintencionado, accidentes o cumplimiento de la legislación aplicable o disposición gubernamental). VÍNTEGRIS trabajará para minimizar los efectos de tales eventos y cumplir sus obligaciones que no se vean afectadas por ellos.
  6. La indisponibilidad, suspensión o terminación de cualquiera de los servicios contratados, o cualquier otro problema de desempeño como resultado del mantenimiento preventivo y correctivo que realice VÍNTEGRIS conforme al apartado “Evolución del servicio” descrito en el Anexo II, siempre y cuando este sea comunicado con antelación al Cliente.

VÍNTEGRIS solo será responsable si se infringen dolosamente las obligaciones materiales del Contrato o cuando lo exija la legislación aplicable.

Adicionalmente, a menos que así lo acuerde por escrito, VÍNTEGRIS no estará obligada a realizar modificación alguna a sus sistemas o servicios para adecuarlos a requisitos operativos exigidos por ninguna necesidad regulatoria o de negocio del Solicitante.

Ninguna de las partes será responsable por cualquier daño indirecto, incidental, especial, punitivo o consecuencial, o por cualquier pérdida de beneficios, ingresos (excluyendo las tarifas debidas en virtud del presente Acuerdo), datos o uso de datos.

La responsabilidad total de VÍNTEGRIS por cualquier daño derivado de, o de cualquier otra forma relacionado con este Acuerdo, tanto contractual como extracontractual o de otra naturaleza, quedará limitada al importe de las tarifas que se hayan satisfecho a VÍNTEGRIS por los Servicios regulados en el contrato que da origen a la responsabilidad durante el periodo de doce (12) meses inmediatamente anterior al hecho que diera lugar a dicha responsabilidad, menos cualesquiera reembolsos o créditos que se hubiera recibido de VÍNTEGRIS en virtud del contrato, siempre que no sea atribuible a negligencia grave o dolo de VÍNTEGRIS.

DÉCIMA TERCERA. Obligaciones del Cliente

El Cliente deberá:

  1. Velar por el mantenimiento de la instalación para el correcto acceso a los servicios y, si es el caso, adaptarla a la evolución tecnológica de los servicios contratados.
  2. Cumplir con las instrucciones de VÍNTEGRIS y las que se señalen en la documentación que le provea, si procede.
  3. Abonar la contraprestación económica acordada en la Propuesta Económica.
  4. Facilitar el correcto desempeño de las actividades por parte de VÍNTEGRIS.
  5. No facilitar sus cuentas de usuario y acceso a terceros. El CLIENTE será responsable del uso diligente y debido del acceso al Servicio y/o Software contratados.
  6. Se asegurará de que el uso que él y sus Usuarios Finales hagan de los Servicios, incluido todo el uso que se haga de los Datos del Cliente, así como el acceso a ellos, cumple con lo dispuesto en las presentes Condiciones Generales, que actuarán de manera diligente en el uso de los servicios y no serán utilizados para la realización de cualquier actividad contraria a las leyes, la moral o el orden público ni a utilizar los servicios con fines fraudulentos, ilícitos, prohibidos o que puedan causar lesiones en los intereses de terceros, declinando VÍNTEGRIS, cualquier responsabilidad que, de estas actuaciones, se deriven.
  7. Que los datos que ingrese a la plataforma sean legales y que esté debidamente autorizado para tenerlos y tratarlos.
  8. Poner en conocimiento de VÍNTEGRIS cualquier hecho o situación que hubiera ocurrido que pudiera poner en riesgo la seguridad en el acceso por parte de usuarios autorizados.
  9. Queda prohibido forzar fallos o buscar brechas de seguridad en la plataforma, sin autorización expresa por parte de VÍNTEGRIS.
  10. No someter la plataforma a cargas de trabajo que vayan claramente orientadas a la desestabilización de la misma, encontrándose entre éstas ataques de denegación de servicios (DDoS) o situaciones semejantes. En caso de detectarse este tipo de situaciones, el nivel de servicio anteriormente indicado, no será de aplicación, siendo considerada una situación de emergencia.
  11. El Cliente se compromete a suspender de inmediato las Contraseñas de cualquier persona en el caso de que: (a) deje de ser considerada como Usuario, (b) si el Cliente ya no desea tener acceso a los Servicios o (c) si el Cliente reconoce o considera haber provocado la infracción por parte del Cliente de estos Términos o en el caso de efectuar un mal uso de una Contraseña. En el caso de que VÍNTEGRIS considerara que un Usuario pueda haber provocado la infracción por parte del Cliente de las presentes Condiciones Generales o siempre que se efectúe un mal uso de la Contraseña, VÍNTEGRIS podrá, según su propio criterio, suspender el uso de dicha Contraseña indefinidamente, además de cualquier otro derecho o recursos previstos según las presentes Condiciones Generales o en virtud de la ley.
  12. Observar las restricciones establecidas en las cláusulas relativas a la licencia y a la Propiedad Intelectual o Particulares.
  13. El Cliente será responsable frente a VÍNTEGRIS y cualquier tercero de buena fe, por cualesquiera daños que resulten de la infracción, por su parte, de cualquiera de las obligaciones establecidas en estas Condiciones Generales.

DÉCIMA CUARTA: Propiedad intelectual

Sin perjuicio de lo establecido en la cláusula NOVENA, cualquier programa informático (Software) suministrado, así como toda su documentación y/o información relativa al mismo, es propiedad exclusiva de VÍNTEGRIS o, en su caso, de los Proveedores de Software de VÍNTEGRIS.

Corresponden a VÍNTEGRIS o a sus Proveedores de Software todos los derechos de propiedad intelectual y de copyright sobre el Programa, la documentación, así como sobre cualquier otro trabajo, programa y/o producto que resultara entregado por VÍNTEGRIS al Cliente en cumplimiento del presente Acuerdo.

El Cliente se abstendrá de borrar, modificar o alterar de cualquier otra forma las menciones de reserva de derechos a favor del licenciante, así como, entre otros, el nombre, logotipo o marca que identifique a esta última entidad en toda aquella documentación que se facilite en cualquier soporte en el contexto del presente Acuerdo de los acuerdos aplicables según la Cláusula Sexta.

DÉCIMA QUINTA: Marcas del Cliente

Mediante la aceptación de las presentes Condiciones Generales, el Cliente autoriza a VÍNTEGRIS el uso de su/s marca/s y logo/s (en adelante, las “Marcas”) con el único fin de utilizarlo en las presentaciones comerciales para hacer referencia a que es Cliente de VÍNTEGRIS.

A tal efecto, y dada autorización explicita, el Cliente faculta a VÍNTEGRIS para que pueda insertar y comunicar sus Marcas en todo soporte y material publicitario y de apoyo conforme a lo previsto.

El Cliente autoriza la disposición y configuración de sus Marcas para que estas aparezcan en la forma y lugar adecuados a su imagen sin que se puedan alterar colores, formas símbolos o gráficos.

Así, VÍNTEGRIS se compromete a (i) no alterar, desfigurar o mutilar de ninguna manera la/s Marca/s; (ii) no utilizar la/s Marca/s de manera que perjudique/n el prestigio o imagen del Cliente; (iii) respetar aquellas indicaciones razonables que le transmita el Cliente en relación con el uso de la/s Marca/s para su protección y mantenimiento de su fuerza distintiva, renombre y homogeneidad.

El uso que VÍNTEGRIS realice de la/s Marca/s durante la ejecución del acuerdo comercial entre ambas partes no significa en ningún caso que VÍNTEGRIS, adquiera derecho alguno sobre ella/s.

El Cliente, siempre tendrá la opción de prohibir a VÍNTEGRIS el uso de sus marcas como indica esta cláusula. De optar por esta opción deberá comunicar a VÍNTEGRIS el no uso de sus marcas, tal como aquí estipulado por escrito en formato físico o electrónico.

A la terminación de la relación comercial entre el Cliente y VÍNTEGRIS, este cesará inmediatamente en la utilización la/s Marca/s.

DÉCIMA SEXTA: Protección de Datos Personales

VÍNTEGRIS respeta y aplica el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (“RGPD”) y otra legislación vigente en materia de protección de datos personales que sea de aplicación en el país donde se lleva a cabo el tratamiento.

VÍNTEGRIS utilizará y tratará los datos personales, recabados como consecuencia de la relación precontractual o contractual existente entre las partes únicamente, con las siguientes finalidades: (a) para proporcionar los Servicios al Cliente de acuerdo con las instrucciones documentadas del Cliente, (b) para cumplir y responder de las obligaciones contractuales, y (c) para llevar a cabo operaciones comerciales y administrativas que sean incidentales a la prestación de los Servicios al Cliente.

Tratamiento de datos para proporcionar los Servicios nebulaSUITE al Cliente

Los términos de esta sección se aplican a los Datos del Cliente tratados en todos los Servicios nebulaSUITE, que se rigen por estas Condiciones Generales de Servicio.

VÍNTEGRIS lleva a cabo el tratamiento de estos datos como encargado del tratamiento al único efecto de prestar el servicio contratado y asegurar el funcionamiento de la plataforma nebulaSuite.

Este encargo de tratamiento se ejecutará de acuerdo con el Acuerdo de Tratamiento de Datos (“ATD” o “DPA” en sus siglas en inglés) que se adjunta y es parte integral de estas Condiciones de Servicio de nebulaSUITE.

Tratamiento de datos de contacto de nuestros clientes

VÍNTEGRIS podrá acceder y trata los datos de las personas de contacto de nuestros clientes como responsable del tratamiento con la finalidad de gestionar la relación comercial, contractual, administrativa y técnica necesaria para llevar a cabo la contratación, implantación, seguimiento, facturación y soporte técnico de los Servicios.

Las bases legales de este tratamiento son:

  • El interés legítimo de VÍNTEGRIS para mantener relaciones de cualquier índole con la persona jurídica en la que el afectado preste sus servicios.
  • El tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales
  • El cumplimiento de obligaciones legales aplicables al responsable del tratamiento
  • El Cliente comunicará a VÍNTEGRIS cualquier modificación que se produzca en los datos personales facilitados con el fin de garantizar la exactitud de estos

Los datos se conservarán mientras sean necesarios para la finalidad para la que han sido recabados o para atender posibles responsabilidades derivadas de su tratamiento. También se pueden conservar indefinidamente los datos de contacto básicos para futuras referencias.

Los datos no se comunicarán a terceros, excepto en aquellos casos en que exista una obligación legal o sea necesario comunicarlos a terceros que prestan servicios relacionados con la actividad ordinaria de VÍNTEGRIS en calidad de encargados de tratamiento.

En cualquier momento el interesado puede realizar una solicitud para ejercer sus derechos de acceso, rectificación, supresión y portabilidad de los datos personales tratados por VÍNTEGRIS, así como los de oposición y limitación de su tratamiento.

Estos derechos podrán ser ejercidos gratuitamente por el interesado, y en su caso por quien lo represente, mediante solicitud escrita y firmada, acompañada de copia de su DNI o documento equivalente que acredite su identidad, dirigida a VÍNTEGRIS:

  • Por correo electrónico: incidentesRGPD@vintegris.com
  • Por correo postal a la dirección del Responsable del Tratamiento:

    Calle Pallars, 99
    Planta 3
    Oficina 33
    08018 Barcelona

En el caso de representación, se deberá probar mediante documento escrito y adjuntando copia del documento de identidad que acredite su representación.

VÍNTEGRIS también recuerda al interesado que tiene derecho a presentar una reclamación ante la autoridad de control pertinente (Agencia Española de Protección de Datos).

Si el Cliente proporcionara datos de un tercero durante la contratación y ejecución de los servicios prestados por VÍNTEGRIS, deberá informar a los interesados previamente del contenido de esta cláusula.

Retención y Eliminación de Datos

En todo momento, durante el periodo de vigencia de su suscripción, el Cliente tendrá la capacidad de acceder a los Datos del Cliente almacenados en el Servicio nebulaSUITE, así como tendrá también la capacidad de extraerlos y eliminarlos.

El Cliente tendrá acceso a los registros de auditoría de la aplicación durante un periodo de 12 meses. VÍNTEGRIS seguirá custodiando estos registros durante más tiempo en aquellos casos en los que la legislación vigente así lo determine, pero dejaran de ser accesibles por el Cliente a través de la plataforma.

VÍNTEGRIS conservará los Datos del Cliente que sigan almacenados en los Servicios nebulaSUITE en una cuenta con funcionalidad limitada durante los sesenta (60) días siguientes a la expiración o terminación de la suscripción del Cliente, de tal modo que el Cliente pueda extraer los datos. Después del término del período de retención de sesenta (60) días, VÍNTEGRIS desactivará la cuenta del Cliente y eliminará los Datos del Cliente y Datos Personales dentro de un período de noventa (90) días adicionales, salvo que la legislación aplicable obligue a VÍNTEGRIS retener esos datos.

En los casos que por alguna razón el Cliente no disponga de ningún acceso a su cuenta, VÍNTEGRIS pondrá a su disposición mecanismos alternativos para que se pueda efectuar la extracción de los Datos del Cliente.

VÍNTEGRIS no incurrirá en responsabilidad alguna por eliminar los Datos del Cliente o Datos Personales, según se describe en esta sección.

DÉCIMA SÉPTIMA: Modificaciones

VÍNTEGRIS se reserva el derecho de modificar en cualquier momento los términos, y las condiciones de estas Condiciones Generales y/o los Anexos incluidos relacionados con el Servicio, siendo de aplicación en la próxima renovación de la suscripción de cada Cliente. Si el Cliente no acepta estas nuevas Condiciones Generales, deberá comunicar la no renovación de la suscripción.

En el caso en el que se requiera un cambio de estas Condiciones Generales, por motivos regulatorios y/o legales y estos cambios afectaran al uso de los servicios nebulaSUITE o a los derechos legales al Cliente de nuestros Servicios, VÍNTEGRIS le enviará al Cliente una notificación antes de la fecha de entrada en vigor a través de un mensaje de correo electrónico a la dirección asociada a su cuenta. Estas Condiciones actualizadas entrarán en vigor en un plazo no inferior a 30 días a partir del momento en que le enviemos la notificación.

Si el Cliente no acepta los cambios que VÍNTEGRIS haya implementado, VÍNTEGRIS entrará en un proceso de negociación e interlocución con el Cliente para tratar de subsanar la disputa. En caso de que el Cliente decline finalmente estos cambios, se procederá a cancelar su cuenta. En los casos en los que esta medida sea aplicable, VÍNTEGRIS le ofrecerá al Cliente un reembolso prorrateado en función de los importes que ya haya pagado por los Servicios y la fecha de cancelación de su cuenta.

DÉCIMA OCTAVA: Integridad

Las cláusulas de las presentes Condiciones Generales son independientes entre sí, motivo por el cual si cualquier cláusula es considerada inválida o inaplicable, el resto de cláusulas seguirán siendo aplicables, excepto acuerdo expreso en contrario de las partes.

DÉCIMA NOVENA: Documentación

Se hace constar expresamente que se ha entregado copia en soporte electrónico (mediante puesta a disposición en la página web), de toda la documentación a que se refieren estas Condiciones Generales, así como un resumen de las mismas junto a la Propuesta Económica.

VIGÉSIMA: Notificaciones

Toda notificación que se efectúe entre las partes se hará por escrito y será entregada personalmente o de cualquier otra forma que certifique la recepción por la parte notificada. VÍNTEGRIS establece a efectos de notificaciones la siguiente dirección: administracion@vintegris.com

Cualquier cambio de domicilio de una de las partes deberá ser notificado a la otra de forma inmediata y por un medio que garantice la recepción del mensaje.

VIGÉSIMA PRIMERA: Legislación aplicable y jurisdicción

En todo aquello no previsto en las presentes condiciones generales, el acuerdo se regulará por la legislación española civil y mercantil. La jurisdicción competente es la que se indica en la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil. En caso de discrepancia entre las partes en relación con la interpretación o cumplimiento de las presentes Condiciones Generales, las partes intentarán la previa resolución amistosa, conforme al procedimiento establecido por VÍNTEGRIS al respecto.

Si las partes no alcanzaran un acuerdo al respecto, cualquiera de ellas podrá someter el conflicto a la jurisdicción civil, con sujeción a los Tribunales del domicilio social de VÍNTEGRIS, excepto cuando la Legislación aplicable establezca normas imperativas diferentes.

VIGÉSIMA SEGUNDA: Cese de operaciones

En el caso de que VÍNTEGRIS decida cesar sus operaciones, se realizarán todos los esfuerzos razonables para avisar al cliente con el máximo tiempo de antelación y poner a su disposición mecanismos para la recuperación de sus datos personales y registros de auditoría.

VIGÉSIMA TERCERA: Fuerza mayor

VÍNTEGRIS no incurrirá en incumplimiento o demora de sus obligaciones en la medida de si su rendimiento se retrasa o se ve impedido por causas fuera de su control, incluyendo, sin limitación, actos ajenos a su voluntad, tales como: actos del Cliente; restricciones gubernamentales (incluida la denegación o cancelación de cualquier licencia de exportación, importación o de otro tipo; actos de terceros que no están bajo el control de VÍNTEGRIS; actos de cualquier órgano gubernamental; pandemias; guerra, hostilidad, insurrección, sabotaje o conflictos armados; embargo, incendio, inundación, huelga o cualquier otro disturbio laboral; interrupción o retraso en el transporte; la falta de disponibilidad o interrupción o retraso en telecomunicaciones o servicios de terceros; ataques de virus o hackers; errores de software de terceros (incluyendo, sin limitación, software de comercio electrónico, sistemas de pago, chat, estadísticas o scripts gratuitos); así como la imposibilidad de obtener materias primas, suministros o energía o el equipo necesario para la prestación de los Servicios.

VÍNTEGRIS empleará esfuerzos razonables para atenuar los efectos de un acontecimiento de fuerza mayor.

Si tal acontecimiento persistiera durante más de 30 días, cualquiera de las partes podrá cancelar los Servicios pendientes de prestación mediante notificación por escrito.

Esta cláusula no exime a las partes de la obligación de adoptar medidas razonables para seguir sus procedimientos normales de recuperación de desastres ni de su obligación de pagar por los Servicios.

VIGÉSIMA CUARTA: Totalidad de las Condiciones Generales

El Cliente acepta que estas Condiciones Generales y la información incorporada a las mismas en virtud de una referencia por escrito, y la propuesta económica correspondiente, constituyen la totalidad del acuerdo respecto de los Servicios que el Cliente solicite y reemplazan a todos los contratos o declaraciones anteriores o contemporáneos, sean escritos o verbales, relacionados con dichos Servicios.

Queda expresamente convenido que los términos de estas Condiciones Generales prevalecerán sobre los términos incluidos en cualquier orden de compra, portal de contrataciones en Internet o cualquier documento similar que no sea de VÍNTEGRIS, y ninguno de los términos incluidos en tal orden de compra, portal o documento similar que no sea de VÍNTEGRIS será aplicable a los Servicios solicitados.

En el caso de que los usuarios y Clientes de VÍNTEGRIS requieran realizar los pedidos a través de sus propias plataformas, las posibles condiciones de uso para dar de alta a los servicios o como proveedores no formarán parte del contenido contractual que se circunscribirá a las presentes Condiciones Generales, las cuales prevalecerán frente a otros términos previstos en las plataformas de Clientes que pudieran ser exigidas solo para tramitación del pago y de la petición de servicio a VÍNTEGRIS, aunque su firma y tramitación por VÍNTEGRIS sea posterior a la celebración del presente Contrato.

En caso de contradicción entre los términos de una Propuesta Económica y las Condiciones Generales, prevalecerán los términos establecidos en la Propuesta Económica al considerarse éstos parte de las Condiciones Particulares pactados y comprometidos entre ambas partes.

Excepto por lo autorizado en Propuesta Económica, Protección de Datos y la Cláusula de sitios web de terceros con respecto a los Servicios, las presente Condiciones Generales y las órdenes efectuadas en virtud de las mismas no pueden modificarse, y los derechos y restricciones no estarán sujetos a modificaciones o renuncias, a menos de que se suscriba un documento por escrito o se acepte en línea a través de VÍNTEGRIS por los representantes autorizados de las partes. Las presentes Condiciones Generales no crean vínculos con terceros beneficiarios.

ANEXO I

Términos Específicos de los Servicios nebulaSUITE

1. Términos nebulaUSERS

1.1. Recogida de datos personales. La creación de nuevos usuarios conlleva la recogida de la siguiente información de carácter personal: nombre, apellidos, identificador de usuario, correo electrónico y teléfono (opcional). Esta información se trata conforme a lo especificado en la cláusula décima sexta de las Condiciones Generales de nebulaSUITE.

1.2. Integración con repositorio de usuarios corporativo. La información de carácter personal importada a nebulaUSERS desde los repositorios corporativos se utiliza y almacena de la misma manera que la información recogida directamente. En ningún caso se recupera de los sistemas corporativos del cliente información que pudiese poner en riesgo la seguridad del usuario tal como la contraseña.

1.3. Distribución de software propietario. Todo el software cliente y/o documentación publicada en el portal nebulaUSERS sigue el modelo de licenciamiento y uso detallado en la cláusula octava de las Condiciones Generales de nebulaSUITE.

2. Términos nebulaACCESS

N/A

3. Términos nebulaID

3.1. Emisión de certificados cualificados. Para la configuración y activación de la funcionalidad de emisión de certificados cualificados de la entidad de certificación de VÍNTEGRIS en cualquiera de sus modalidades se requiere de la formalización de un contrato específico entre VÍNTEGRIS y el cliente.

3.2. Modalidades del servicio. nebulaID es un producto que permite crear identidades digitales verificadas a partir de procesos de validación de la identidad que gozan del mismo reconocimiento legal que la personificación. En función de la naturaleza de estos procesos de validación, el producto se puede consumir en las siguientes modalidades.

  • Presencial. El operador de registro verifica presencialmente la identidad del titular del certificado.
  • Videoidentificación remota desatendida. El titular del certificado se identifica mediante tecnología de reconocimiento biométrico. El operador de registro revisa de forma desatendida las evidencias del proceso y valida que los requisitos del proceso se cumplen antes de verificar la identidad del solicitante.

La modalidad de Videoidentificación remota desatendida se ofrece siguiendo los requisitos establecidos por la legislación vigente en materia de identificación digital, tal y como establece la Orden ETD/465/2021, de 6 de mayo, por la que se regulan los métodos de identificación remota por vídeo para la expedición de certificados electrónicos cualificados.

En esta modalidad internamente se hace uso tanto de la tecnología propia de VÍNTEGRIS como la de otros proveedores tecnológicos.

3.3. Definición de estados del proceso de identificación y métricas de consumo. A continuación, se detallan los distintos estados de los procesos de identificación en la modalidad de Videoidentificación remota desatendida.

  • Proceso iniciado. Solicitud de inicio de un proceso de identificación en el que se especifica el usuario solicitante y el conjunto de datos de carácter personal a verificar.
  • Videoidentificación. Proceso autónomo a través del cual el usuario solicitante proporciona las evidencias que permiten validar sus datos personales y su identidad de forma fehaciente.
  • Proceso en trámite. Revisión por parte un operador de registro del conjunto de evidencias resultantes del proceso de Videoidentificación.
  • Proceso pendiente. Solicitud por parte del operador de registro de información adicional al usuario solicitante necesaria para poder validar del proceso de forma satisfactoria.
  • Proceso aprobado. Aprobación por parte del operador de registro de todas las evidencias aportadas que permiten verificar la identidad del usuario solicitante y en aquellos casos en los que se requiera, aprobar la emisión de un certificado electrónico cualificado.
  • Proceso rechazado. Terminación del proceso al no poder cumplir con los mínimos requisitos que permiten verificar la identidad del solicitante debido a i) el conjunto de evidencias no permite garantizar la identidad del usuario, ii) el usuario no ha facilitado correctamente y/o en tiempo la información adicional requerida.
  • Error del sistema. Comportamiento irregular del producto nebulaID que impida ejecutar normalmente cualquier paso del proceso de identificación y que resulte en su terminación inesperada.

A continuación, se describen las distintas métricas de consumo asociadas a los procesos de identificación realizados en la modalidad de Videoidentificación tal y como se han descrito en este apartado.

  • Procesos contratados (Número/paquete de video identificaciones contratadas). Conjunto de procesos aprobados dentro del periodo de suscripción contratado más el conjunto de procesos irregulares que sobrepasen el porcentaje de conversión mínimo acordado (PCMA) entre VÍNTEGRIS y el Cliente.
  • Procesos aprobados. Conjunto de procesos ejecutados de forma satisfactoria y que terminan con la obtención de una identidad verificada y en los casos en los que proceda, la emisión de un certificado electrónico cualificado.
  • Procesos irregulares. Conjunto de procesos que: i) terminan en estado Rechazado o, ii) terminan en estado aprobado, pero requieren de más de una iteración del proceso de Videoidentificación y/o solicitud de información y documentación adicional al usuario solicitante.

Los procesos contratados por el cliente se contabilizarán por lo tanto de la siguiente manera:

  • Los procesos aprobados restarán 1 del número total de procesos contratados.
  • Los procesos irregulares por debajo del umbral del PCMA no restaran del número total de procesos contratados.
  • Los procesos irregulares por encima del umbral del PCMA que terminen en estado Rechazado restarán 1 del número total de procesos contratados.
  • Los procesos irregulares por encima del umbral del PCMA que terminen en estado Aprobado restarán 2 del número total de procesos contratados.

Si VÍNTEGRIS y el cliente no acuerdan un PCMA específico, este se asumirá de un 20%.

3.4. Acuerdos de Nivel de Servicio (SLA) del servicio de Operadores de Registro de VÍNTEGRIS.

El uso de nebulaID en su modalidad de Videoidentificación remota desasistida requiere de la revisión manual de las evidencias biométricas por parte de un operador de registro, cuya disponibilidad condiciona de manera directa el tiempo de respuesta entre la realización del proceso por parte del usuario solicitante y el momento en el que se valida la identidad del usuario y se puede proseguir con la emisión del certificado electrónico cualificado o cualquier otro proceso subsiguiente.

Este tiempo de respuesta está regulado mediante un Acuerdo de Nivel de Servicio o SLA entre el cliente y VÍNTEGRIS, que regula las condiciones límite en las que se gestiona cada petición. Este SLA se define de la siguiente manera.

  • Disponibilidad del servicio de operación de registro (Cobertura del servicio). Intervalo de tiempo en el que los operadores están disponibles para atender peticiones. Ejemplos: 8×5, 12×7, 24×7.
  • Intervalo o tiempo de resolución máximo (Tiempo de respuesta). Es el tiempo máximo que transcurre antes de la resolución de una solicitud dentro del horario de disponibilidad del servicio de operaciones. Esto incluye tanto los procesos aprobados como rechazados, tal y como se definen en el apartado 3.3. Ejemplos: 1 hora, NBD (siguiente día laborable), 1 semana.
    El tiempo de resolución de una solicitud empezará a contar únicamente cuando se haya finalizado el proceso de identificación por parte del usuario solicitante y se haya adjuntado correctamente toda la documentación requerida.
  • Volumen de solicitudes procesadas (Número de video identificaciones mínimas). Número mínimo de solicitudes comprometidas a revisión por los operadores de registro dentro del intervalo de resolución máximo.
    El equipo de operadores podrá procesar más peticiones según disponibilidad, siempre y cuando no colisione con el SLA acordado con otros clientes.

VÍNTEGRIS no garantiza ningún SLA que no haya quedado claramente reflejado previamente en un acuerdo entre las dos partes. Esto incluye tanto los tiempos de respuesta por parte de la oficina de registro, como los porcentajes de conversión del proceso de videoidentificación o disponibilidad del servicio de videoidentificación.

4. Términos nebulaCERT

4.1. Uso de certificados cualificados. Es responsabilidad del cliente realizar un uso de sus certificados digitales cualificados conforme a lo estipulado por el prestador de servicios de confianza emisor de los mismos. Las condiciones de uso de los certificados se detallan en la “hoja de aceptación” o contrato que firma el titular del certificado en el momento de su entrega, y dicho uso debe ser conforme con la Ley aplicable, incluyendo cualesquiera Leyes que regulen la autenticación de firma y la delegación de firma. VÍNTEGRIS no se responsabilizará de las consecuencias del incumplimiento del contrato entre el titular del certificado y la entidad de certificación emisora, o de cualquier uso indebido de un certificado, y su clave privada asociada, por parte de su titular.

5. Términos nebulaSIGN

5.1. Formatos de firma. nebulaSIGN permite generar los formatos de firma más comunes, entre los que se encuentran los formatos CAdES, PAdES y XAdES en sus distintas modalidades. Información detallada sobre los distintos formatos de firma reconocidos se puede consultar en el portal de la administración electrónica: http://firmaelectronica.gob.es/Home/Ciudadanos/Formatos-Firma.html

6. Términos nebulaSNE

N/A

7. Términos nebulaDISCOVER

7.1 Recogida de datos personales. Durante el proceso de alta se realiza la recogida de la siguiente información de carácter personal: nombre, apellidos, compañía y correo electrónico. Esta información se trata conforme a lo especificado en la cláusula décimo sexta de las Condiciones Generales de nebulaSUITE.

ANEXO II

Acuerdos de Nivel de Servicios (SLA)

El presente Contrato de Nivel de Servicio («SLA») de los Servicios de nebulaSUITE es una política que rige el uso de nebulaSUITE y se aplica de manera independiente a cada servicio. En caso de conflicto entre los términos de este SLA y las Condiciones Generales, se aplican los términos y condiciones de este SLA, pero solo en la medida de tal conflicto. Los términos utilizados en el presente y no definidos aquí tendrán los significados establecidos en las Condiciones Generales.

Definiciones

  • Tasa de Error: (i) el número total de errores internos de servidor o de disponibilidad de servicio devueltos por cada servicio dividido entre (ii) el número total de solicitudes durante un período de cinco minutos. La Tasa de Error por cada cuenta nebulaSUITE y para cada servicio separadamente se calculará como un porcentaje por cada periodo de cinco minutos en el ciclo de facturación. El cálculo del número de errores internos del servidor o de disponibilidad del servicio no incluirá errores que surjan directa o indirectamente como resultado de cualquier exclusión del SLA de los servicios, según se define más adelante.
  • Porcentaje de Disponibilidad de Servicio Medio (PDSM): se calcula como la diferencia entre el 100% del promedio de Tasas de Errores de cada período de 5 minutos del ciclo de facturación, cualquiera que este sea.

Soporte

VÍNTEGRIS pone a disposición del CLIENTE un equipo de soporte técnico compuesto de técnicos con amplia experiencia en el ámbito de la seguridad de los sistemas de información, con la suficiente experiencia y capacitación para ofrecer un servicio de soporte personalizado y de calidad.

El personal técnico de Servicios de VÍNTEGRIS está disponible para prestar servicio telefónico y por correo electrónico de soporte y resolución de problemas de lunes a viernes, de 8:30-18:30 horas. Las preguntas y casos enviados se admitirán las 24 horas, todos los días de la semana. El portal de soporte es https://vintegris.zendesk.com

El ámbito de aplicación del servicio de Soporte de VÍNTEGRIS aplicará a la propiedad intelectual de VÍNTEGRIS de clientes con contrato de mantenimiento/soporte en vigor y al corriente de pago.

El servicio incluye: análisis y diagnóstico de las incidencias e instrucciones o indicaciones para su resolución si la hubiera.

El soporte de Servicios no incluye:

  • soporte en la ubicación del Cliente
  • diseño, desarrollo de código
  • soporte a pruebas de integraciones, personalizaciones y/o modificaciones
  • Software de terceros incluido en los Servicios
  • Aplicaciones desarrolladas y/o de propiedad del Cliente
  • Incidencias causadas por cambios importantes en la configuración del Software por parte del Cliente
  • Errores causados por la negligencia o culpa del Cliente
  • Servicios de consultoría o formación
  • la responsabilidad de cambios o sustitución de hardware/software del Cliente que pueda ser necesario para utilizar correctamente la propiedad intelectual de VÍNTEGRIS debido a una Solución provisional, un arreglo o una nueva versión.

Tiempo de respuesta para el servicio de soporte

Severidad Tipo Incidentes Tiempo Máx. Respuesta* Método Contacto
Severidad 3 Incidencias aisladas con afectación baja o consultas pertinentes sobre el servicio. 2 días laborables Portal de Soporte
Severidad 2

Incidencias del producto que no afectan a un entorno Productivo o que no tienen gran impacto ni urgencia.

Incidencias del producto que afectan a entornos de Test, Pruebas o Pre-Producción.

Incidencias del producto que no afectan directamente a las funciones principales del producto.

Incidencias del producto que impiden su uso de manera esporádica o individual a los usuarios.

1 día laborable Portal de Soporte
Severidad 1

Incidencias Críticas, que afectan a entorno Productivo con gran impacto o urgencia.

Incidencia del producto que impide llevar a cabo las funciones principales del producto en todas las estaciones de trabajo o usuarios (gran impacto).

4 horas laborables Portal de Soporte y Telefónico

* Tiempo máximo de respuesta: Es el tiempo máximo establecido durante el cual el personal de soporte de VÍNTEGRIS se pondrá en contacto con el CLIENTE, para realizar la toma de datos referente a la incidencia de producto y asignación de personal para su análisis y resolución.

Al notificar una nueva incidencia, el cliente deberá proporcionar a VÍNTEGRIS los siguientes datos:

    • Datos del producto afectado.
    • Versión del producto o módulos afectados:
    • Versión utilizada, si procede.
    • Detalle del sistema/arquitectura: Versión sistema operativo, etc.
    • Descripción detallada de la incidencia.
    • Alcance de la afectación de la incidencia:
    • Entorno afectado (entorno Productivo, no Productivo o caso aislado)
    • Urgencia o criticidad

Si en un periodo de 5 días laborables el CLIENTE no proporciona los datos o resultado de pruebas requerido por el soporte técnico, o no respondiera a algún otro requerimiento, el incidente pasará a estado finalizado, aunque se dará opción de su reapertura si fuera necesario.

Evolución del servicio

VÍNTEGRIS proporciona servicios de mantenimiento y actualización del software, consistente en una nueva versión del software con la que se eliminan los errores existentes de la versión actual del mismo o en mejoras del software.

VÍNTEGRIS se reserva el derecho a suspender, total o parcialmente, el servicio contratado en el caso de que advierta, detecte y/o compruebe en sus labores de mantenimiento cualquier alteración que ralentice o conlleve un menoscabo en la prestación del servicio o de los derechos de los clientes o terceros; también si se detectase un riesgo o vulnerabilidad para la seguridad del Servicio.

VÍNTEGRIS se reserva el derecho de proceder a realizar de forma unilateral la Actualización o mejora de sus soluciones sin repercutir ningún coste adicional en la suscripción vigente, sin perjuicio de la negociación en la renovación de la suscripción.

El Cliente se compromete a facilitar a VÍNTEGRIS, sin que le sea solicitado, toda la información necesaria para la correcta evaluación y ejecución de la correspondiente solicitud de servicio para comprobar y conocer las posibles causas relativas a las condiciones de su sistema operativo y otros elementos que puedan afectar a la navegación.

Además, el Cliente está obligado a instalar las actualizaciones puestas a disposición por VÍNTEGRIS y a utilizar únicamente la versión más actual del software o la inmediatamente anterior a la misma.

VÍNTEGRIS no será responsable de acciones derivadas o perjuicios producidos por el funcionamiento de la Plataforma por no cumplir ésta con las expectativas del CLIENTE o cuando se puedan deber a problemas que traigan causa en los propios sistemas y activos del CLIENTE.

Disponibilidad del servicio

Salvo que se especifique lo contrario en las cláusulas particulares de cada servicio, los servicios de VÍNTEGRIS en Cloud están disponibles las 24 horas del día, 7 días a la semana.

VÍNTEGRIS hará todos los esfuerzos comercialmente razonables para garantizar la disponibilidad de los servicios con un Porcentaje de Disponibilidad de Servicio Medio o PDSM de al menos el 99,5%, sin incluir el Tiempo de inactividad justificado. VÍNTEGRIS supervisará la disponibilidad del Servicio de manera automatizada las 24 horas del día, 7 días a la semana.

Ante una indisponibilidad del servicio planificada por actualización de la plataforma, VÍNTEGRIS lo comunicará con antelación a sus clientes, indicando el motivo del corte de servicio, día, franja horaria y servicios afectados. Por ello, es responsabilidad del cliente mantener actualizada su información de contacto para notificaciones durante toda la vigencia de los Servicios.

Frecuencia de las actualizaciones

Las actualizaciones de producto no tienen una periodicidad concreta. En caso de que llegase a afectar la disponibilidad del Servicio, le notificaremos, conforme al apartado anterior.

Exclusiones del SLA

El Compromiso de Servicio no se aplica a ninguna indisponibilidad, suspensión o terminación de cualquiera de los servicios, o cualquier otro problema de desempeño de estos: (i) que resulte de una suspensión; (ii) causada por factores ajenos al control razonable de VINTEGRIS, incluyendo cualquier evento de fuerza mayor o acceso a Internet o problemas relacionados más allá de su punto de demarcación; (iii) que resulte de cualquier acción u omisión por parte del Cliente o de un tercero; (iv) que resulte de personal del Cliente, software o cualquier otra tecnología y/o equipo, software o tecnología de un tercero (distinto de un equipo de terceros que esté bajo el control directo de VINTEGRIS); (v) que resulte de una suspensión y terminación del derecho a usar los servicios por parte del Cliente de conformidad con el contrato de servicio; (vi) que afecte a entornos de prueba, desarrollo, preproducción o entornos con finalidades comerciales.

ANEXO III

(Data Processing Agreement VINTEGRIS 2022-ES.Rev.1.2_rev)

Acuerdo de Tratamiento de Datos (“ATD”) de los servicios nebulaSUITE de Víntegris

Este Acuerdo de Tratamiento de Datos («ATD») es un acuerdo entre el solicitante y la entidad que representa («Cliente») y Víntegris, S.L. (“VÍNTEGRIS”) y establece las obligaciones de ambas partes con respecto al tratamiento y la seguridad de los datos personales de los que es responsable el Cliente en relación con el uso de los Servicios de nebulaSUITE.

Este ATD complementa Condiciones Generales del Servicio nebulaSUITE disponible en https://www.vintegris.com/es/nebulasuite-service-terms/ u otro acuerdo entre el Cliente y VÍNTEGRIS que rige el uso por parte del Cliente de Servicios de nebulaSUITE prestados por VÍNTEGRIS cuando en el uso de estos servicios sea de aplicación el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (“RGPD”).

Definiciones

“Ley de protección de datos aplicable” significa las leyes y regulaciones aplicables donde se realiza el tratamiento de datos, que se aplican a los términos de este ATD y que pueden variar con el paso del tiempo. Comprender tanto Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (“RGPD”) como las leyes locales aplicables donde se lleva a cabo el tratamiento.

«Responsable» o “Responsable del tratamiento” significa la persona física o jurídica, autoridad pública, agencia u otro organismo que, solo o conjuntamente con otros, determina los fines y medios del tratamiento de datos personales; cuando los fines y los medios de dicho tratamiento estén determinados por la legislación de la Unión o de los Estados miembros, el responsable del tratamiento o los criterios específicos para su designación podrán estar previstos por la legislación de la Unión o de los Estados miembros;

«Encargado» o “Encargado del tratamiento” significa una persona física o jurídica, autoridad pública, agencia u otro organismo que procesa datos personales en nombre del responsable del tratamiento;

“Interesado” significa una persona que es el sujeto de los datos personales “ATD”, “este ATD”, “este acuerdo ATD” es este Acuerdo de Tratamiento de Datos;

«Datos personales» significa toda información sobre una persona física identificada o identificable (“el interesado”); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;

“Autoridad supervisora” significa una autoridad pública independiente establecida por un estado miembro que se ocupa de la supervisión del procesamiento de datos personales con el fin de proteger los derechos y las libertades fundamentales de las personas físicas en lo que respecta al tratamiento de sus datos;

“Servicios”, “Servicios nebulaSUITE” son los servicios de Software como servicio (SaaS). Son los servicios prestados a través de internet por VÍNTEGRIS a favor del Cliente, en relación al uso del servicio contratado, a través de la plataforma de nebulaSUITE y dentro de la infraestructura de computación en la nube;

“Subencargados”, aquella persona física o jurídica, autoridad pública, agencia u otro organismo, contratada por un encargado del tratamiento para prestar parte o la totalidad de los servicios objeto de un encargo del tratamiento. Toda subcontratación de servicios derivada de un encargo del tratamiento es autorizada por el responsable del tratamiento. En el encargo del tratamiento regulado por este ATD son subencargados del tratamiento los encargados del tratamiento que Microsoft utiliza para tratar los Datos del Cliente, los Datos de Servicios Profesionales y los Datos Personales, como se describe en el artículo 28 del RGPD.

TÉRMINOS

SECCIÓN I

Cláusula 1. Finalidad y ámbito de aplicación

  1. La finalidad de las cláusulas de este ATD (en lo sucesivo, «pliego de cláusulas») es garantizar que se cumpla el artículo 28, apartados 3 y 4, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
  2. Los responsables y encargados del tratamiento enumerados en el anexo I han dado su consentimiento a vincularse por el presente pliego de cláusulas a fin de garantizar el cumplimiento del artículo 28, apartados 3 y 4, del Reglamento (UE) 2016/679.
  3. El presente pliego de cláusulas se aplica al tratamiento de datos personales especificado en el anexo II.
  4. Los anexos I a IV forman parte del pliego.
  5. El presente pliego de cláusulas se entiende sin perjuicio de las obligaciones a las que esté sujeto el responsable en virtud del Reglamento (UE) 2016/679.
  6. El presente pliego de cláusulas no garantiza por sí mismo el cumplimiento de las obligaciones relativas a las transferencias internacionales contempladas en el capítulo V del Reglamento (UE) 2016/679.
  7. El pliego de cláusulas de este ATD está alineado con la Decisión de Ejecución (UE) 2021/915 de la Comisión de 4 de junio de 2021 sobre cláusulas contractuales estándar entre controladores y procesadores.
  8. Este ATD, incluidas sus definiciones, considerandos y anexos, es un documento independiente que no incorpora términos comerciales que deben haber sido establecidos por las partes en acuerdos comerciales separados.

Cláusula 2. Invariabilidad del pliego de cláusulas

  1. Las partes se comprometen a no modificar el pliego de cláusulas, excepto para añadir o actualizar información en los anexos.
  2. Esto no es óbice para que las partes añadan otras cláusulas o garantías adicionales, siempre que no contradigan, directa o indirectamente, el pliego de cláusulas ni perjudiquen los derechos o libertades fundamentales de los interesados.

Cláusula 3. Interpretación

  1. Cuando en el presente pliego de cláusulas se utilizan términos definidos en el Reglamento (UE) 2016/679, se entiende que tienen el mismo significado que en el Reglamento correspondiente.
  2. El presente pliego de cláusulas deberá leerse e interpretarse con arreglo a las disposiciones del Reglamento (UE) 2016/679.
  3. No se podrán realizar interpretaciones del presente pliego de cláusulas que entren en conflicto con los derechos y obligaciones establecidos en el Reglamento (UE) 2016/679 y/o que perjudiquen los derechos o libertades fundamentales de los interesados.

Cláusula 4. Jerarquía

En caso de contradicción entre el presente pliego de cláusulas y las disposiciones de acuerdos conexos entre las partes que estuvieren en vigor en el momento en que se pactare o comenzare a aplicarse el presente pliego de cláusulas, prevalecerá el presente pliego de cláusulas.

SECCIÓN II. OBLIGACIONES DE LAS PARTES

Cláusula 5. Descripción del tratamiento o tratamientos

En el anexo II se especifican los pormenores de las operaciones de tratamiento y, en particular, las categorías de datos personales y los fines para los que se tratan los datos personales por cuenta del responsable.

6.1. Instrucciones

El responsable del tratamiento instruirá al encargado para que trate los datos personales de la manera que sea razonablemente necesaria para que el encargado lleve a cabo el tratamiento de conformidad con este ATD y de conformidad con el Reglamento (UE) 2016/679.

El encargado tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable, de acuerdo con los términos de servicio establecidos en las Condiciones Generales del Servicio nebulaSUITE, salvo que esté obligado a ello en virtud del Derecho de la Unión o de los Estados miembros que se aplique al encargado. En tal caso, el encargado informará al responsable de esa exigencia legal previa al tratamiento, salvo que tal Derecho lo prohíba por razones importantes de interés público. El responsable también podrá dar instrucciones ulteriores en cualquier momento del período de tratamiento de los datos personales. Dichas instrucciones deberán estar siempre documentadas.

El responsable del tratamiento se abstendrá de proporcionar instrucciones que no se ajusten a las leyes aplicables, incluido el Reglamento (UE) 2016/679 y, en caso de que se den dichas instrucciones, el encargado del tratamiento tiene derecho a desistir de llevarlas a cabo.

El encargado informará inmediatamente al responsable si las instrucciones dadas por el responsable infringen, a juicio del encargado, el Reglamento (UE) 2016/679, el Reglamento (UE) 2018/1725 o las disposiciones aplicables del Derecho de la Unión o de los Estados miembros en materia de protección de datos.

El encargado no divulgará ningún dato personal a un tercero bajo ninguna circunstancia que no sea por solicitud escrita específica del responsable, a menos que dicha divulgación sea necesaria para cumplir con las obligaciones del Acuerdo de servicio o sea requerido en virtud del Derecho de la Unión o de los Estados miembros que se aplique al encargado.

6.2. Limitación de la finalidad

El encargado tratará los datos personales únicamente para los fines específicos del tratamiento indicados en el anexo II, salvo cuando siga instrucciones adicionales del responsable.

6.3. Duración del tratamiento de datos personales

El tratamiento por parte del encargado solo se realizará durante el período especificado en el anexo II.

6.4. Seguridad del tratamiento

  1. El encargado aplicará, como mínimo, las medidas técnicas y organizativas especificadas en el anexo III para garantizar la seguridad de los datos personales. Una de estas medidas podrá consistir en la protección contra violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales, o la comunicación o acceso no autorizados a dichos datos («violación de la seguridad de los datos personales»). A la hora de determinar un nivel adecuado de seguridad, las partes tendrán debidamente en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y los fines del tratamiento, y los riesgos que entraña el tratamiento para los interesados.
  2. El encargado solo concederá acceso a los datos personales tratados a los miembros de su personal en la medida en que sea estrictamente necesario para la ejecución, la gestión y el seguimiento del contrato.
  3. El encargado garantizará que las personas autorizadas para tratar los datos personales recibidos se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria. El encargado deberá mantener a disposición del responsable del tratamiento todos los registros documentados del cumplimiento de la obligación de confidencialidad.
  4. El encargado deberá asegurarse de que todas las personas autorizadas para procesar datos personales reciban la formación necesaria en protección de datos personales.

6.5. Datos sensibles

Si el tratamiento afecta a datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, datos genéticos o datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física, o datos relativos a condenas e infracciones penales («datos sensibles»), el encargado aplicará restricciones específicas y/o garantías adicionales.

6.6. Documentación y cumplimiento

  1. Las partes deberán poder demostrar el cumplimiento del pliego de cláusulas de este ATD.
  2. El encargado resolverá con presteza y de forma adecuada las consultas del responsable relacionadas con el tratamiento con arreglo al presente pliego de cláusulas.
  3. El encargado designará en el Anexo I un punto de contacto dentro de su organización autorizada para responder a las consultas relacionadas con el procesamiento de los Datos Personales y cooperará con el controlador, el Interesado y la Autoridad de Supervisión con respecto a todas estas consultas dentro de un tiempo razonable.
  4. El encargado pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones contempladas en el presente pliego de cláusulas y que deriven directamente del Reglamento (UE) 2016/679 y del Reglamento (UE) 2018/1725.
  5. A instancia del responsable, el encargado permitirá y contribuirá a la realización de auditorías de las actividades de tratamiento cubiertas por el presente pliego de cláusulas, a intervalos razonables o si existen indicios de incumplimiento. Al decidir si se realiza un examen o una auditoría, el responsable podrá tener en cuenta las certificaciones pertinentes que obren en poder del encargado.
    Estas auditorías se solicitarán con un aviso razonable y se realizarán durante el horario laboral normal. La solicitud puede estar sujeta a cualquier consentimiento o aprobación necesarios de una autoridad supervisora dentro del país del responsable del tratamiento.
    Estas auditorías se solicitarán con un aviso razonable y se realizarán durante el horario laboral normal. La solicitud puede estar sujeta a cualquier consentimiento o aprobación necesarios de una autoridad supervisora dentro del país del responsable del tratamiento.
  6. El responsable podrá optar por realizar la auditoría por sí mismo o autorizar a un auditor independiente. Las auditorías también podrán consistir en inspecciones de los locales o instalaciones físicas del encargado y, cuando proceda, realizarse con un preaviso razonable.
  7. Las partes pondrán a disposición de las autoridades de control competentes, a instancia de estas, la información a que se refiere la presente cláusula y, en particular, los resultados de las auditorías.
  8. El encargado notificará al responsable del tratamiento cualquier solicitud de información por parte de la Autoridad supervisora.
  9. El encargado notificará al controlador de cualquier queja, notificación o comunicación recibida que se relacione directa o indirectamente con el procesamiento de los datos personales u otras actividades relacionadas, o que se relacione directa o indirectamente con el cumplimiento del encargado y/o el responsable con la ley aplicable pertinente, incluida la ley de protección de datos aplicable.

6.7. Recurso a subencargados

  1. El encargado cuenta con la autorización del responsable para contratar a subencargados que figuren en una lista acordada documentada en el anexo IV. El encargado informará al responsable específicamente y por escrito de las adiciones o sustituciones de subencargados previstas en dicha lista con al menos con 1 mes de antelación, de modo que el responsable tenga tiempo suficiente para formular objeción a tales cambios antes de que se contrate al subencargado o subencargados de que se trate. El encargado del tratamiento proporcionará al responsable la información necesaria para que pueda ejercer su derecho a formular objeción.
  2. Cuando el encargado contrate a un subencargado para llevar a cabo actividades de tratamiento específicas (por cuenta del responsable), lo hará por medio de un contrato que imponga al subencargado, en esencia, las mismas obligaciones en materia de protección de datos que las impuestas al encargado en virtud del presente pliego de cláusulas. El encargado se asegurará de que el subencargado cumpla las obligaciones a las que esté sujeto en virtud del presente pliego de cláusulas y del Reglamento (UE) 2016/679.
  3. El encargado proporcionará al responsable, a instancia de este, una copia del contrato con el subencargado y de cualquier modificación posterior del mismo. En la medida en que sea necesario para proteger secretos comerciales u otro tipo de información confidencial, como datos personales, el encargado podrá expurgar el texto del contrato antes de compartir la copia.
  4. El encargado seguirá siendo plenamente responsable ante el responsable del tratamiento del cumplimiento de las obligaciones que imponga al subencargado su contrato con el encargado. El encargado notificará al responsable del tratamiento los incumplimientos por parte del subencargado de las obligaciones que le atribuya dicho contrato.
  5. El encargado pactará con el subencargado una cláusula de tercero beneficiario en virtud de la cual, en caso de que el encargado desaparezca de facto, cese de existir jurídicamente o sea insolvente, el responsable tendrá derecho a rescindir el contrato del subencargado y ordenar a este que suprima o devuelva los datos personales.

6.8. Transferencias internacionales

  1. Las transferencias de datos a un tercer país o a una organización internacional por parte del encargado solo podrán realizarse siguiendo instrucciones documentadas del responsable o en virtud de una exigencia expresa del Derecho de la Unión o del Estado miembro al que esté sujeto el encargado; se llevarán a cabo de conformidad con el capítulo V del Reglamento (UE) 2016/67.
  2. El responsable se aviene a que, cuando el encargado recurra a un subencargado de conformidad con la cláusula 6.7 para llevar a cabo actividades de tratamiento específicas (por cuenta del responsable) y dichas actividades conlleven una transferencia de datos personales en el sentido del capítulo V del Reglamento (UE) 2016/679, el encargado y el subencargado puedan garantizar el cumplimiento del capítulo V del Reglamento (UE) 2016/679 utilizando cláusulas contractuales tipo adoptadas por la Comisión, con arreglo al artículo 46, apartado 2, del Reglamento (UE) 2016/679, siempre que se cumplan las condiciones para la utilización de dichas cláusulas contractuales tipo.

Cláusula 7. Obligaciones del responsable del tratamiento

El responsable del tratamiento garantiza y se compromete a que:

  1. Los datos personales se han recopilado, procesado y transferido de acuerdo con las leyes de protección de datos aplicables.
  2. Debe realizar una evaluación del impacto en la protección de los datos personales de las operaciones de tratamiento que realizará el encargado cuando un el tipo de tratamiento pueda dar lugar a un alto riesgo para los derechos y libertades de los interesados.
  3. Dispondrá de las medidas técnicas y organizativas adecuadas para proteger la confidencialidad de los datos personales, así como protegerlos contra la destrucción accidental o ilegal o la pérdida accidental, alteración, divulgación o acceso no autorizado, y que proporcionen un nivel de seguridad adecuado al riesgo que representa el tratamiento y la naturaleza de los datos a proteger.
  4. Responderá a las solicitudes de los interesados ​​y de las autoridades de supervisión en relación con el tratamiento de los datos personales, según lo estipulado en la Cláusula 8 (b).
  5. Realizará consultas previas que correspondan a la autoridad de control cuando una evaluación de impacto de protección de datos indique que el tratamiento daría lugar a un alto riesgo en ausencia de medidas tomadas por el responsable del tratamiento para mitigar el riesgo.

Cláusula 8. Ayuda al responsable del tratamiento

  1. El encargado notificará con presteza al responsable las solicitudes que reciba del interesado. No responderá a dicha solicitud por sí mismo, a menos que el responsable le haya autorizado a hacerlo.
  2. El encargado ayudará al responsable a cumplir sus obligaciones al responder a las solicitudes de ejercicio de derechos de los interesados, teniendo en cuenta la naturaleza del tratamiento. En el cumplimiento de las obligaciones que le atribuyen las letras a) y b), el encargado cumplirá las instrucciones del responsable. Dado el caso:
    1. el interesado debería dirigir primero la solicitud al responsable del tratamiento;
    2. seguidamente, el responsable del tratamiento, tras recibir la solicitud, solicitará al encargado que realice las acciones necesarias a través del punto de contacto establecido en el anexo I;
    3. una vez que el encargado haya recibido la petición del responsable, el encargado responderá al responsable dentro de un plazo de diez (10) días hábiles;
    4. en el caso de que un interesado se comunique directamente con el encargado, este le pedirá al interesado que dirija su solicitud al responsable. Al mismo tiempo, el encargado informará al responsable de esta petición;
  3. Además de la obligación del encargado de ayudar al responsable en virtud de la cláusula 8, letra b), el encargado también ayudará al responsable a garantizar el cumplimiento de las obligaciones siguientes teniendo en cuenta la naturaleza del tratamiento y la información de que disponga el encargado:
    1. la obligación de realizar una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales («evaluación de impacto») cuando sea probable que un tipo de tratamiento suponga un alto riesgo para los derechos y libertades de las personas físicas;
    2. la obligación de consultar a las autoridades de control competentes antes de proceder al tratamiento cuando una evaluación de impacto relativa a la protección de los datos muestre que el tratamiento entrañaría un alto riesgo si el responsable no toma medidas para mitigarlo;
    3. la obligación de garantizar que los datos personales sean exactos y estén actualizados, informando sin demora al responsable si el encargado descubre que los datos personales que está tratando son inexactos o han quedado obsoletos;
    4. las obligaciones contempladas en [OPCIÓN 1] el artículo 32 del Reglamento (UE) 2016/679 / [OPCIÓN 2] los artículos 33 y 36 a 38 del Reglamento (UE) 2018/1725.
  4. Las partes establecerán en el anexo III medidas técnicas y organizativas apropiadas que obliguen al encargado a ayudar al responsable a aplicar la presente cláusula, así como el objeto y el alcance de la ayuda requerida.

Cláusula 9. Notificación de violaciones de la seguridad de los datos personales

En caso de violación de la seguridad de los datos personales, el encargado colaborará con el responsable y le ayudará a cumplir las obligaciones que le atribuyen los artículos 33 y 34 del Reglamento (UE) 2016/679 teniendo en cuenta la naturaleza del tratamiento y la información de que disponga el encargado.

9.1 Violación de la seguridad de datos personales tratados por el responsable

En caso de violación de la seguridad de los datos personales en relación con los datos tratados por el responsable, el encargado ayudará al responsable en lo siguiente:

  1. Notificar la violación de la seguridad de los datos personales a las autoridades de control competentes sin dilación indebida una vez tenga constancia de ella, si procede (a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas).
  2. Recabar la información siguiente, que, de conformidad con el artículo 33, apartado 3, del Reglamento (UE) 2016/679, deberá figurar en la notificación del responsable, que debe incluir como mínimo:
    1. la naturaleza de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados;
    2. as consecuencias probables de la violación de la seguridad de los datos personales;
    3. las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

Cuando y en la medida en que no se pueda proporcionar toda la información al mismo tiempo, en la notificación inicial se proporcionará la información de que se disponga en ese momento y, a medida que se vaya recabando, la información adicional se irá proporcionando sin dilación indebida.

  1. Cumplir, con arreglo al artículo 34 del Reglamento (UE) 2016/679, la obligación de comunicar sin dilación indebida al interesado la violación de la seguridad de los datos personales cuando sea probable que la violación de la seguridad entrañe un alto riesgo para los derechos y libertades de las personas físicas.

9.2 Violación de la seguridad de datos personales tratados por el encargado

En caso de violación de la seguridad de datos personales tratados por el encargado, este lo notificará al responsable sin dilación indebida una vez que el encargado tenga constancia de ella. Dicha notificación deberá incluir como mínimo:

  1. una descripción de la naturaleza de la violación de la seguridad (inclusive, cuando sea posible, las categorías y el número aproximado de interesados y de registros de datos afectados);
  2. los datos de un punto de contacto en el que pueda obtenerse más información sobre la violación de la seguridad de los datos personales;
  3. sus consecuencias probables y las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad, incluyendo las medidas adoptadas para mitigar los posibles efectos negativos.

Cuando y en la medida en que no se pueda proporcionar toda la información al mismo tiempo, en la notificación inicial se proporcionará la información de que se disponga en ese momento y, a medida que se vaya recabando, la información adicional se irá proporcionando sin dilación indebida.

Las partes establecerán en el anexo III los demás elementos que deberá aportar el encargado cuando ayude al responsable a cumplir las obligaciones que le atribuyen los artículos 33 y 34 del Reglamento (UE) 2016/679.

SECCIÓN III. DISPOSICIONES FINALES

Cláusula 10. Incumplimiento de las cláusulas y resolución del contrato

  1. Sin perjuicio de lo dispuesto en el Reglamento (UE) 2016/679, en caso de que el encargado del tratamiento incumpla las obligaciones que le atribuye el presente pliego de cláusulas, el responsable podrá ordenar al encargado que suspenda el tratamiento de datos personales hasta que este vuelva a dar cumplimiento al presente pliego de cláusulas, o resolver el contrato. El encargado informará con presteza al responsable en caso de que no pueda dar cumplimiento al presente pliego de cláusulas por cualquier motivo.
  2. El responsable estará facultado para resolver el contrato en lo que se refiera al tratamiento de datos personales en virtud del presente pliego de cláusulas cuando:
    1. el tratamiento de datos personales por parte del encargado haya sido suspendido por el responsable con arreglo a la letra a) y no se vuelva a dar cumplimiento al presente pliego de cláusulas en un plazo razonable y, en cualquier caso, en un plazo de un mes a contar desde la suspensión;
    2. el encargado incumpla de manera sustancial o persistente el presente pliego de cláusulas o las obligaciones que le atribuye el Reglamento (UE) 2016/679 y/o el Reglamento (UE) 2018/1725;
    3. el encargado incumpla una resolución vinculante de un órgano jurisdiccional competente o de las autoridades de control competentes en relación con las obligaciones que les atribuye el presente pliego de cláusulas, el Reglamento (UE) 2016/679 y/o el Reglamento (UE) 2018/1725.
  3. El encargado estará facultado para resolver el contrato en lo que se refiera al tratamiento de datos personales en virtud del presente pliego de cláusulas cuando, tras haber informado al responsable de que sus instrucciones infringen los requisitos jurídicos exigidos por la cláusula 7.1, letra b), el responsable insiste en que se sigan dichas instrucciones.
  4. Tras la resolución del contrato, el encargado suprimirá, a petición del responsable, todos los datos personales tratados por cuenta del responsable y acreditará al responsable que lo ha hecho, o devolverá todos los datos personales al responsable y suprimirá las copias existentes, a menos que el Derecho de la Unión o de los Estados miembros exija el almacenamiento de los datos personales. Hasta que se destruyan o devuelvan los datos, el encargado seguirá garantizando el cumplimiento con el presente pliego de cláusulas.
  5. Otros motivos y condiciones de terminación estarán sujetas a las Condiciones Generales del Servicio nebulaSUITE.

Cláusula 11. Responsabilidad e indemnización

  1. El encargado del tratamiento no será responsable ante cualquier reclamación presentada por un interesado que sea consecuencia de cualquier acción del encargado en la medida en que dicha acción sea el resultado directo de las instrucciones del responsable y la incorrecta implantación de sus medidas técnicas y organizativas.
  2. En el caso de que un interesado presente una reclamación contra el encargado que surja de cualquier acción u omisión del encargado en la medida en que dicha acción u omisión sea el resultado directo de las instrucciones del responsable, o la aplicación incorrecta por parte del responsable de sus y medidas organizativas, de acuerdo con la Cláusula 7 (c) de este ATD, el responsable indemnizará y mantendrá indemnizado y defenderá a su propio cargo al encargado respecto a todos los costes, reclamaciones, daños o gastos incurridos por el encargado para los cuales el encargado pueda ser responsable por causa de cualquier incumplimiento por parte del controlador o sus gerentes, empleados, agentes o contratistas de sus obligaciones en virtud de las cláusulas de este DPA.

Cláusula 12. Legislación aplicable a este ATD

Este ATD se regirá e interpretará en todos los aspectos de acuerdo con las leyes y regulaciones del país de la UE donde tiene lugar el tratamiento de datos. Las partes del presente acuerdo se someten a la jurisdicción exclusiva del lugar donde se realiza el tratamiento de datos para todos los fines de este ATD.

Cláusula 13. Resolución de disputas con los interesados o las autoridades de supervisión

  1. En el caso de una disputa o reclamación presentada por un interesado o una autoridad de supervisión con respecto al tratamiento de los datos personales contra una o ambas partes, las partes se informarán mutuamente sobre tales disputas o reclamaciones y cooperarán con miras a resolverlas amistosamente y de la manera más oportuna.
  2. Las partes acuerdan responder a cualquier procedimiento de mediación no vinculante disponible, generalmente iniciado por un interesado o por una autoridad de supervisión. Si participan en el procedimiento, las partes pueden optar por hacerlo de forma remota (por ejemplo, por teléfono u otros medios electrónicos). Las partes también acuerdan considerar la participación en cualquier otro arbitraje, mediación u otro procedimiento de resolución de disputas habilitado para disputas de protección de datos.
  3. Cada parte se compromete a acatar la decisión de la autoridad de supervisión, que es definitiva y contra la cual ya no será posible apelar.

ANEXO I. Lista de partes

Como Responsable del Tratamiento:

Nombre:El Cliente que contrata los servicios de nebulaSUITE bajo las Condiciones Generales del Servicio acordadas

Dirección: Según se especifica en el acuerdo o contrato de prestación de servicios de nebulaSUITE suscrito entre ambas partes

Departamento/empleado de referencia: Según se especifica en el acuerdo o contrato de prestación de servicios de nebulaSUITE suscrito entre ambas partes

Nombre, cargo y datos de contacto de la persona de contacto: Según se especifica en el acuerdo o contrato entre ambas partes

Fecha de adhesión: Fecha de entrada en vigor el contrato o acuerdo de prestación de servicios de nebulaSUITE suscrito por ambas partes

Como Encargado del tratamiento:

Nombre: VÍNTEGRIS, S.L.

Departamento/empleado de referencia: Según se especifica en el acuerdo o contrato de prestación de servicios de nebulaSUITE suscrito entre ambas partes.

Datos de contacto de la persona de contacto: incidentesRGPD@vintegris.com

Fecha de adhesión: Fecha de entrada en vigor el contrato o acuerdo de prestación de servicios de nebulaSUITE suscrito por ambas partes

ANEXO II. Descripción del tratamiento

Categorías de interesados cuyos datos personales se tratan

  • Personal, colaboradores y otros autorizados por el Cliente que son usuarios de la plataforma nebulaSUITE
  • Titulares de los certificados que el Cliente gestiona mediante los servicios de nebulaSUITE
  • Solicitantes de expedición de certificados cualificados mediante identificación remota por vídeo utilizando la plataforma nebulaID

Categorías de datos personales tratados

  • Información de los usuarios de la plataforma nebulaSUITE necesaria para acceder y hacer uso de los servicios
    1. Identidad de los usuarios, por ejemplo, su nombre y apellidos
    2. Datos de contacto profesionales tal como la dirección de correo y número teléfono
    3. Registros de actividad de los usuarios en el uso de los Servicios, que puede incluir información de la dirección IP desde la que se accede a la plataforma nebulaSUITE
  • Datos de los titulares de los certificados que el Cliente decida incluir en ellos:
    1. Información de identificación personal, incluyendo números de identidad únicos, tal como número de documento de identificación o pasaporte, número de empleado u otros que el cliente utilice para la identificación de los titulares de los certificados
    2. Información de contacto profesional, como por ejemplo la dirección de correo profesional
    3. Información de relación profesional tal como empresa y puesto de trabajo o poderes otorgados
    4. Imagen de la firma que puede aparecer en documentos almacenados en la plataforma nebulaSUITE
  • Los propios certificados cualificados como soporte de los datos de los titulares de los certificados
  • En el caso de uso de nebulaID para identificación remota por vídeo:
    1. Datos de carácter identificativo
    2. Imagen de documentos de identidad
    3. Resultados de procesado OCR de los documentos de identidad
    4. Imagen grabada de vídeo de prueba de vida del usuario de la plataforma, incluyendo registros de voz
    5. Registros de auditoría del proceso de verificación
    6. Datos de circunstancias personales del solicitante en función del tipo de certificado a emitir (fecha de nacimiento, nacionalidad, lugar de nacimiento o residencia, género, empresa, cargo o representación, …)

Datos de categoría especial:

  • Este ATD no considera el tratamiento de datos clasificados como «datos de categoría especial» o que requieran medidas de protección especiales
  • El procesamiento de dichos datos en nombre del cliente solo debe realizarse con un acuerdo previo entre ambas partes y después de haber realizado una evaluación de impacto de protección de datos adecuada antes del tratamiento
  • En el caso de uso de nebulaID, aunque se realiza un proceso de reconocimiento facial aplicando técnicas biométricas, no se generan ni recopilan datos biométricos

Naturaleza del tratamiento

  • VÍNTEGRIS tratará los Datos del Cliente mediante los Servicios proporcionados por la plataforma nebulaSUITE
  • Implica las actividades de:
    1. Registro y almacenamiento de la información del cliente
    2. Supresión o destrucción de la información cuando sea requerido por el Cliente y a la terminación del servicio
    3. Limitación del tratamiento de la información a requerimiento del Cliente o autoridad competente
  • En el caso de los servicios proporcionados mediante nebulaID:
    1. Captura de videos de los usuarios y sus documentos de identificación
    2. Escaneado y procesado OCR de los documentos identificativos
    3. Aplicación de algoritmos de reconocimiento facial contrastando la imagen de la persona con la contenida en el documento de identificación mediante tecnología de validación documental y biometría facial
    4. Conservación de las evidencias recogidas durante el proceso de reconocimiento durante los plazos establecidos por las obligaciones legales
  • Todos los datos se almacenan en servidores en la UE mediante servicios proporcionados por terceros, tal como se estipula en el ANEXO IV Lista de Subencargados
  • Los datos son proporcionados por el Cliente, como responsable del tratamiento, al hacer usos de los Servicios
  • El procesamiento en la plataforma nebulaSUITE está automatizado, por lo que el personal de VÍNTEGRIS no tiene acceso a los datos del Cliente. Dado el caso, este acceso únicamente se produciría bajo petición expresa y supervisión del Cliente, por ejemplo, en el caso de requerir soporte para su uso o resolución de un problema informado por el Cliente
  • VÍNTEGRIS considera que no dispone de instrucciones para tratar aquellos otros datos personales que circunstancialmente pudieran estar incluidos en los contenidos gestionados por el Cliente
  • Cualquier dato personal adicional que sea tratado por VÍNTEGRIS por cuenta del Cliente debe ser acordado como una enmienda a este ATD
  • Cabe notar que en el caso de que los servicios contratados incluyan la emisión de los certificados cualificados por parte de VinCAsign, la autoridad de certificación de VÍNTEGRIS, la responsabilidad de este tratamiento es de VÍNTEGRIS, tal como establece la legislación vigente relativa a la prestación de servicios de confianza
  • El uso de nebulaID corresponde a una función de autoridad de registro (RA), por lo que se considera únicamente como parte de un encargo de tratamiento cuando el cliente sea otro proveedor de servicios de certificación cualificados (QTSP) que tiene responsabilidad sobre la RA

Finalidad del tratamiento de los datos personales por cuenta del responsable del tratamiento

  • VÍNTEGRIS tratará los datos únicamente con la finalidad de proporcionar los servicios de la plataforma nebulaSUITE contratados y de acuerdo con las Condiciones Generales del Servicio.

Duración del tratamiento

  • Este ATD se aplica durante la duración de la prestación del servicio según se establece en el contrato o acuerdo de prestación de servicios de nebulaSUITE suscrito por ambas partes.
  • Tras la finalización del contrato o acuerdo, el VÍNTEGRIS mantendrá sus obligaciones con respecto a los datos tratados de acuerdo con el período determinado por la política de retención de datos descrita en las Condiciones Generales del Servicio nebulaSUITE u otros términos específicamente acordados entre ambas partes.
  • En el caso de que la prestación de los servicios incluya la emisión de certificados digitales cualificados, mediante la autoridad de certificación VinCAsign, como responsable de este tratamiento, VÍNTEGRIS almacenará la documentación y registros durante al menos 15 años, de acuerdo con los requisitos establecidos por el Reglamento (UE) No 910/2014 de 23 de julio de 2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior (“eIDAS”), y tal como se determina en la Declaración de Prácticas de Certificación de VinCAsign (https://www.vincasign.net/policy/es/DPC/Vintegris-DPC-ES.pdf).
  • En el caso, del uso de los servicios de nebulaID, de acuerdo con lo establecido por la Orden ETD/465/2021, de 6 de mayo, por la que se regulan los métodos de identificación remota por vídeo para la expedición de certificados electrónicos cualificados:
    1. Se conservará una copia de la grabación del vídeo durante un periodo mínimo de tiempo de quince años desde la extinción de la vigencia del certificado obtenido por este medio
    2. Se conservarán, por un periodo mínimo de tiempo de 15 años, fotos o capturas de pantalla del solicitante y del documento de identidad utilizado, en las que serán claramente reconocibles tanto la persona como el anverso y el reverso del documento de identidad
    3. Se conservará, por un periodo mínimo de tiempo de quince años, el resultado automático de la verificación realizada por la aplicación, así como la evaluación y observaciones realizadas por el operador junto a su decisión de aprobación o rechazo de la identificación
    4. Se conservarán todas las pruebas de los procesos de identificación incompletos que no hayan verificará la autenticidad, vigencia e integridad física y lógica del documento de identificación utilizado y la correspondencia del titular del documento con el solicitante llegado a término por sospecha de intento de fraude durante un plazo de 5 años desde la ejecución del proceso de identificación, especificándose la causa por la que no llegaron a completarse, de conformidad con la política establecida al efecto
    5. La conservación se realizará mediante el bloqueo de los datos, conforme a lo previsto en el artículo 32 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales

 

ANEXO III. Medidas técnicas y organizativas para garantizar la seguridad de los datos

VÍNTEGRIS aplica las medidas de seguridad técnicas y organizativas necesarias para garantizar un nivel adecuado de seguridad de la información con el fin de proteger la confidencialidad de los datos personales, así como protegerlos contra la destrucción accidental o ilícita o la pérdida accidental, alteración, divulgación o acceso no autorizado, teniendo en cuenta la naturaleza, el alcance, el contexto y la finalidad del tratamiento, así como los riesgos para los derechos y libertades de las personas físicas.

Estas medidas están implantadas bajo el marco de un Sistema de Gestión de la Seguridad de la información de que dispone de la certificación ISO 27001:2017, así como las certificaciones del Esquema Nacional de Seguridad (ENS), en categoría ALTA y eIDAS.

Estas medidas están implantadas bajo el marco de un Sistema de Gestión de la Seguridad de la información de que dispone de la certificación ISO 27001:2017, así como las certificaciones del Esquema Nacional de Seguridad (ENS), en categoría ALTA y eIDAS.

Estas medidas están implantadas bajo el marco de un Sistema de Gestión de la Seguridad de la información de que dispone de la certificación ISO 27001:2017, así como las certificaciones del Esquema Nacional de Seguridad (ENS), en categoría ALTA y eIDAS.

CONTROLES DE SEGURIDAD IMPLANTADOS

POLÍTICAS DE ORGANIZACIÓN
Política de seguridad Existe una política de seguridad de la información y protección de datos personales publicada y conocida por todo el personal y colaboradores
Responsable de seguridad VÍNTEGRIS ha designado un Responsable de Seguridad de la Información (“CISO”) como responsable de coordinar y supervisar las reglas y los procedimientos de seguridad
Roles y responsabilidades en materia de seguridad Los roles y responsabilidades en materia de seguridad de la información están definidos y asignados apropiadamente dentro de la organización.
El personal de VÍNTEGRIS que gestiona los Servicios que contienen Datos del Cliente está sujeto a obligaciones de confidencialidad y a la normativa de seguridad de la información y protección de datos personales
Programa de gestión de riesgos En el marco del Sistema de Gestión de la Seguridad de la Información existe un plan de evaluación y tratamiento de riesgos de seguridad de la información y se revisa periódicamente
Evaluación continua VÍNTEGRIS realiza una verificación y evaluación periódica de la eficacia de las medidas técnicas y organizativas implantadas para proteger la seguridad en la información en los sistemas de tratamiento, centros de trabajo y usuarios que los utilizan.
Esta evaluación y revisión se realiza bajo el criterio de los estándares de seguridad de la industria y las propias políticas y procedimientos determinados por el Sistema de Gestión de la Seguridad de la Información
Política de seguridad de proveedores Existe un proceso formal que permite valorar el cumplimiento de los requisitos de seguridad información que deben cumplir los proveedores que tratan información y datos personales.
Únicamente se da acceso a la información a los proveedores cuando exista una necesidad legítima que justifique este acceso
PERSONAL Y COLABORADORES
Compromiso de confidencialidad

Todo el personal y colaboradores con acceso a la información y los datos personales ha firmado un compromiso con respecto a:

  • Guardar secreto y garantizar la confidencialidad y seguridad respecto de los datos a los que pudieran tener acceso por razones de su responsabilidad laboral, contractual o de cualquier otro tipo
  • No hacer uso de la información confidencial a la que tengan acceso para fines distintos a los que haya determinado
  • No comunicar, revelar, divulgar o transferir información confidencial a terceros no autorizados
  • Mantener el deber de secreto por un periodo de tiempo mínimo de 1 año una vez finalizada la relación laboral o contractual
Normativa interna de seguridad de la información Existe una normativa de seguridad de la información, protección de datos personales y uso de los medios informáticos que todo el personal y colaboradores se ha comprometido a cumplir
Formación en seguridad de la información Todo el personal y colaboradores con acceso a la información y datos personales ha recibido una formación adecuada con respecto a la seguridad de la información y la protección de los datos personales
Normas de uso de los sistemas de información La normativa de seguridad de la información establece las normas de uso aceptable de los sistemas de información y equipos que el personal tiene a su cargo
Prohibición de uso para fines personales de los equipos corporativos Se ha establecido que no se permite el uso para fines particulares de aquellos ordenadores y dispositivos destinados al tratamiento de la información corporativa y los datos personales.
Tampoco se permite el acceso a información corporativa desde equipos particulares.
SEGURIDAD EN EL PUESTO DE TRABAJO
Equipos desatendidos Se ha establecido un mecanismo para que cuando un equipo quede desatendido se proceda al bloqueo de la pantalla o al cierre de la sesión
Custodia de documentación Se ha establecido una normativa para que en ningún momento quede documentación en papel o soportes de información sin custodia en el puesto de trabajo
Destrucción segura de la información Se han establecido mecanismos para facilitar la destrucción segura de la información confidencial en papel u otros soportes electrónicos
Puesto de teletrabajo seguro Se ha establecido una política para que el teletrabajo se pueda realizar de forma segura
Seguridad de los dispositivos móviles Se ha establecido una política para proteger el uso de los dispositivos móviles y la información que puedan contener
GESTIÓN DE INCIDENTES Y BRECHAS DE SEGURIDAD
Procedimiento de gestión de incidentes Se ha definido un procedimiento para registrar y resolver los incidentes que afecten a la seguridad de la información y a los datos personales
ACCESO A LOS SISTEMAS
Política de control de accesos VÍNTEGRIS mantiene una política de control de acceso que determina los privilegios de seguridad de las personas que tienen acceso a la información
Autorización de acceso Existe un proceso formal para gestionar la autorización, alta, baja y modificación de accesos de los usuarios a los sistemas
Cuentas individuales Cada persona utiliza una cuenta de usuario individual e intransferible
Privilegio mínimo VÍNTEGRIS ha definido y aplica una política de mínimo acceso por defecto, que garantiza que el personal y colaborades únicamente tienen acceso a la información que requieren para desempeñar las labores de su puesto de trabajo
Cuentas con acceso privilegiado Para realizar tareas de administración y configuración de los sistemas se utilizan cuentas de acceso nominales con derechos privilegiados que son diferentes y segregadas de las cuentas de uso ordinario de los sistemas
Autenticación VÍNTEGRIS utiliza prácticas estándares del sector para identificar y autenticar a los usuarios que intentan acceder a los sistemas de información.
Para acceder a aquellas redes más expuestas o administración de sistemas se utilizan sistemas de doble factor de autenticación.
Todos los sistemas incluyen controles para evitar los intentos reiterados de conseguir acceso a los sistemas de información mediante una contraseña inválida
Seguridad de las contraseñas

Se garantizará la existencia de políticas de contraseñas (o mecanismos equivalentes) para el acceso a los sistemas y aplicaciones que cumplen como mínimo lo siguiente:

  • Longitud de la contraseña: mínimo 8 caracteres
  • Renovación periódica de las contraseñas
  • Requisitos de complejidad de las contraseñas
  • Límites a la reutilización de contraseñas
Confidencialidad de las contraseñas Existe una normativa para asegurar la confidencialidad de las contraseñas, evitando que queden expuestas o sean compartidas con terceros.
Internamente, todas las contraseñas se guardan aplicando algoritmos de cifrado irreversibles
ACTIVOS DE TRATAMIENTO DE LA INFORMACIÓN
Inventario de activos Se dispone de un inventario de los sistemas y equipos utilizados en el tratamiento de la información, con la información de la persona que es responsable de dicho equipo
Desecho y reutilización segura Se han definido procesos formales para el desecho y/o reutilización segura de los equipos de tratamiento de la información
Mantenimiento de los equipos Los sistemas y equipos utilizados para el tratamiento de la información están debidamente mantenidos u actualizados
Protección contra malware Los equipos en los que se procesa o almacena información disponen de protección antimalware permanentemente activa y actualizada
Actualización del software Todo el software que se utiliza para el tratamiento de la información está debidamente actualizado y sin vulnerabilidades graves conocidas
Bastionado de los sistemas

Se han aplicado medidas de bastionado de los sistemas tales como, entre otras:

  • Tener solamente abiertos los puertos indispensables
  • Desactivar todos los servicios no estrictamente necesarios
  • Bloquear o cambiar las contraseñas por defecto de las cuentas con acceso privilegiado
  • Cifrado de los discos que contienen la información
Limitación a la instalación de software por parte de los usuarios Existe una normativa o medidas técnicas para impedir que el personal pueda instalar software no autorizado en sus equipos de trabajo, así como para que no se pueda utilizar software que pueda violar la propiedad intelectual de terceros
Limitación de privilegios de administración Se han implantado medidas técnicas para que los usuarios no puedan modificar o desactivar las configuraciones de seguridad de los equipos
Restricción al uso para fines personales Existe una normativa que prohíbe el uso privado o para fines personales de los equipos corporativos
PROTECCIÓN DE LA INFORMACIÓN EN TRÁNSITO Y EN REPOSO
Protección perimetral de redes Existe protección perimetral de la red para protegerla frente ataques y accesos indebidos a aquellos sistemas en los que se realice el almacenamiento y/o tratamiento de la información y los datos personales
Segregación de redes Se ha configurado la red de modo que existan zonas de seguridad segregadas de acuerdo con los diferentes requisitos de seguridad que se hayan establecido
Protocolos seguros de transmisión de información Todo el tráfico en las redes de la organización, especialmente cuando discurre total o parcialmente por redes públicas, está cifrado mediante protocolos seguros y sin vulnerabilidades graves conocidas (por ejemplo, mínimo TLS 1.2)
Acceso remoto seguro Para el acceso remoto a la red de la organización, por ejemplo, mediante redes virtuales (VPN), se utilizan protocolos seguros y claves de autenticación de los extremos de la comunicación
Cifrado de información en soportes tránsito Existen mecanismos para cifrar la información en soportes y equipos en tránsito fuera de las instalaciones de tratamiento habitual
Análisis de vulnerabilidades Periódicamente se realizan pruebas para verificar que las redes están libres de vulnerabilidades y se aplican las medidas correctoras necesarias
Segregación de redes wifi Las redes wifi para visitantes están segregadas de forma que no es posible el acceso a las redes internas de la empresa
Seguridad de los servicios de proveedores en la nube En el caso de utilizar servicios de algún proveedor en la nube (IaaS, PaaS, SaaS,…) para tratar la información, se garantiza que el proveedor proporciona o permite aplicar medidas de seguridad como mínimo equivalentes a las exigidas al propio encargado
Registros de auditoría Se recogen, conservan y revisan los registros de auditoría de las operaciones realizadas sobre los datos (acceso, modificación y eliminación), especialmente cuando se tratan datos de categoría especial
Segregación de las instancias de los clientes Segregación de los servicios a los diferentes clientes mediante una arquitectura multi-tenant. Se proporciona segregación lógica de usuarios y datos
SEGURIDAD FÍSICA DE LOS ESPACIOS DE TRATAMIENTO
Perímetro de seguridad física Existe un perímetro de seguridad para proteger los recintos y dependencias donde se procesa o almacena información
Limitación de acceso Se han implantado controles de acceso físico a las dependencias donde se realiza el tratamiento de la información para asegurar que únicamente el personal autorizado tiene el acceso permitido
Control de acceso físico/td> Se han establecido controles de entrada específicos para limitar el acceso al personal estrictamente autorizado a las áreas seguras donde están ubicados los servidores, equipos de red o archivos de documentos utilizados para el tratamiento y almacenamiento de la información
Protección contra las amenazas externas y ambientales Se han establecido las medidas necesarias para proteger las personas, equipos e instalaciones en caso desastres naturales, ataques maliciosos o incidentes, tales como incendio, inundaciones, fugas de agua, fallos en el aire acondicionado, etc.
Instalaciones de suministro Se han establecido las medidas necesarias para garantizar la continuidad del suministro eléctrico
Seguridad de los proveedores de centros de procesamiento Los centros de datos externos donde se ubican los servidores de VÍNTEGRIS están ubicados en la UE y disponen que como mínimo deben ser TIER III y disponer de certificaciones de seguridad de la información.
Más información en el Anexo IV “Subencargados”
Seguridad de los proveedores de servicios IaaS y PaaS Los proveedores de servicios IaaS y PaaS proporcionan los controles de seguridad física necesarios y garantizados mediante las certificaciones oportunas tal como ISO 27001, SOC 2, ENS (nivel Alto), PCI-DSS, y otras. En este caso, se contratan los servicios en centros de datos ubicados en la UE.
Más información en el Anexo IV “Subencargados”
.
RESILIENCIA DE LOS SISTEMAS
Disponibilidad de los sistemas VÍNTEGRIS ha establecido medidas para garantizar la disponibilidad de los sistemas de acuerdo con los niveles de servicio comprometidos
Supervisión y gestión de la capacidad El desempeño de los sistemas está continuamente monitorizado, con sistemas de alertas para detectar de forma inmediata cualquier incidente.
Continuamente se realiza una supervisión de la capacidad de los sistemas para asegurar la disponibilidad de capacidad suficiente para los servicios requeridos
Redundancias Todos los sistemas de Víntegris están redundados, internamente en diferentes servidores y en diferentes centros de datos distantes geográficamente
Copias de seguridad VÍNTEGRIS realiza una copia de seguridad almacenada en un soporte disociado de los equipos habituales de tratamiento. Esta copia se realiza con la periodicidad necesaria para cumplir los niveles de servicio comprometidos.
Adicionalmente VÍNTEGRIS mantiene una copia de seguridad almacenada en un emplazamiento diferente y separado geográficamente de las instalaciones habituales de tratamiento de la información. Esta copia se realiza con la periodicidad necesaria para cumplir los niveles de servicio comprometidos en caso de incidente grave en las instalaciones de tratamiento.
Supervisión de las copias de seguridad Se supervisa de forma continua la ejecución correcta de las copias de seguridad
Pruebas de recuperación Se realizan pruebas periódicas de recuperación y verificación de información contenida en las copias de seguridad
Plan de Continuidad Se ha elaborado un «Plan de Continuidad» que permita recuperar la disponibilidad de los sistemas y la integridad de la información en caso de incidente grave
Procedimientos de recuperación Se dispone de procedimientos específicos de protección y recuperación ante amenazas que comprometan la integridad de la información, tal como los ataques por ransomware
PRIVACIDAD POR DISEÑO Y POR DEFECTO
Procedimiento de respuesta VÍNTEGRIS ha definido un proceso formal para atender y asistir al responsable en la respuesta a las peticiones de ejercicio de los derechos de los interesado
Comunicación de las peticiones de ejercicio de los derechos VÍNTEGRIS ha definido los canales para comunicar las peticiones de ejercicio de los derechos de los interesados al responsable del tratamiento
Limitación de tratamiento Existen mecanismos para limitar el tratamiento de los datos siempre que así sea requerido

 

ANEXO IV. Lista de subencargados

Lista acordada de subencargados de acuerdo con la Cláusula 6.7(a)

Nombre del subencargado Amazon Web Services Inc.
Descripción del tratamiento Proveedor de servicios IaaS y PaaS
Localización del tratamiento Proveedor de servicios IaaS y PaaS
Descripción del tratamiento Unión Europea (Irlanda, Frankfurt, Paris)
Dirección y datos de contacto Amazon Web Services EMEA SARL
38 Avenue John F. Kennedy, L-1855, Luxembourg
Tel: +352 2789 0057
Garantías proporcionadas https://aws.amazon.com/compliance/gdpr-center/

 

Nombre del subencargado VERIDAS DIGITAL AUTHENTICATION SOLUTIONS, S.L.
Descripción del tratamiento Proveedor de la plataforma tecnológica en la que se apoya el proceso de reconocimiento de la identidad
Localización del tratamiento España
Descripción del tratamiento Unión Europea (Irlanda, Frankfurt, Paris)
Dirección y datos de contacto Email: partners@veridas.com
Garantías proporcionadas Acuerdo de encargado de tratamiento incluido en el Contrato de Licencia de uso y distribución para plataformas firmado entre Víntegris y Veridas

¿Necesitas más Información?

Contáctanos