Legal
Acuerdo de Tratamiento de Datos
El presente borrador de Acuerdo de Tratamiento de Datos («DPA») regula el tratamiento de datos personales realizado por File system en nombre de clientes empresariales que utilizan el servicio Rivadesk, de conformidad con el artículo 28 del Reglamento (UE) 2016/679 («RGPD»). Forma parte integrante del contrato de servicio entre el cliente y File system y se aplica en la medida en que File system trate datos personales como encargado del tratamiento en nombre del cliente.
1. Roles de las partes, ámbito y duración
En relación con los datos personales tratados dentro del servicio Rivadesk, el cliente actúa como responsable del tratamiento y File system como encargado del tratamiento. Cuando el cliente a su vez trata datos en nombre de terceros, puede actuar como encargado y File system como subencargado: en ese caso, estas disposiciones se aplican en consecuencia.
El objeto del tratamiento es la prestación del servicio Rivadesk conforme al contrato. La duración del tratamiento coincide con la duración del contrato de servicio, sin perjuicio de las obligaciones legales de conservación y de la sección 9 (supresión y devolución).
2. Naturaleza y finalidad del tratamiento, categorías de interesados y datos
La naturaleza y finalidad del tratamiento consisten en las operaciones necesarias para prestar las funciones de Rivadesk solicitadas por el cliente (p. ej. recogida, registro, organización, almacenamiento, consulta y supresión de datos), únicamente de conformidad con las instrucciones del responsable.
Las categorías de interesados y de datos personales las determina el cliente según su uso del servicio y pueden incluir, a título de ejemplo:
• categorías de interesados: usuarios y personal del cliente, clientes o contactos del cliente y otras personas cuyos datos el cliente introduce o gestiona en el servicio;
• categorías de datos: datos de identificación y contacto, datos de cuenta y credenciales, contenidos y documentos cargados por el cliente, datos de uso y registros técnicos necesarios para prestar el servicio.
El tratamiento de categorías especiales de datos (art. 9 RGPD) no es una finalidad del servicio; si el cliente decide introducirlos, sigue siendo responsable como responsable del tratamiento y debe evaluar la base jurídica.
3. Instrucciones documentadas del responsable
File system trata los datos personales únicamente sobre la base de instrucciones documentadas del responsable, incluidas las relativas a transferencias a terceros países, salvo que la legislación de la Unión o de un Estado miembro exija lo contrario; en ese caso, File system informa al responsable antes del tratamiento, salvo que la ley prohíba dicha información por motivos importantes de interés público. El contrato de servicio, la configuración del producto y la documentación técnica constituyen las instrucciones documentadas iniciales del responsable. File system informa al responsable si considera que una instrucción infringe el RGPD u otras disposiciones aplicables de protección de datos.
4. Confidencialidad del personal autorizado
File system garantiza que las personas autorizadas a tratar datos personales estén sujetas a confidencialidad o tengan una obligación legal adecuada de confidencialidad, y que el acceso a los datos se limite al personal que lo necesite para prestar el servicio (principio de necesidad de conocer).
5. Medidas de seguridad (art. 32 RGPD)
File system implementa medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, de conformidad con el artículo 32 RGPD, teniendo en cuenta el estado de la técnica, los costes de implementación y la naturaleza, el alcance, el contexto y las finalidades del tratamiento. Dichas medidas pueden incluir, cuando proceda, control de acceso, cifrado de datos en tránsito, procedimientos de copia de seguridad y recuperación, registro de eventos y evaluación periódica de la eficacia de las medidas. Los detalles actualizados de las medidas se describen en la documentación de seguridad puesta a disposición del cliente. El área de alojamiento y almacenamiento de datos se indica en —.
6. Subencargados
El responsable autoriza en general a File system a contratar subencargados (p. ej. proveedores de alojamiento e infraestructura) para prestar el servicio. File system impone a cada subencargado, mediante contrato, obligaciones de protección de datos equivalentes a las del presente acuerdo y sigue siendo plenamente responsable ante el responsable por los actos de sus subencargados.
La lista de subencargados está disponible, cuando se publique, en —. File system informa al responsable de cualquier cambio relativo a la incorporación o sustitución de subencargados, dando al responsable la oportunidad de oponerse por motivos legítimos y razonables de protección de datos.
7. Asistencia al responsable
Teniendo en cuenta la naturaleza del tratamiento, File system asiste al responsable con medidas técnicas y organizativas apropiadas, en la medida de lo posible, para:
• responder a las solicitudes de ejercicio de los derechos del interesado (arts. 12–23 RGPD);
• garantizar el cumplimiento de las obligaciones de seguridad (art. 32), notificación de violaciones de datos personales a la autoridad de control (art. 33) y comunicación a los interesados (art. 34), así como evaluaciones de impacto en la protección de datos (EIPD, art. 35) y consulta previa (art. 36).
File system informa al responsable sin dilación indebida tras tener conocimiento de una violación de datos personales que afecte a datos tratados en su nombre, facilitando la información razonablemente disponible para que el responsable pueda cumplir sus obligaciones.
8. Transferencias fuera de la UE/EEE
Cualquier transferencia de datos personales a países fuera de la Unión Europea o del Espacio Económico Europeo tiene lugar solo cuando existan garantías adecuadas conforme al capítulo V RGPD, en particular las Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea, o sobre la base de una decisión de adecuación u otro mecanismo previsto por la ley. Las áreas de tratamiento se indican en —, de forma coherente con la Política de Privacidad.
9. Supresión y devolución de datos
Tras la resolución del servicio, a elección del responsable, File system suprime o devuelve al responsable todos los datos personales tratados en su nombre y elimina las copias existentes, salvo que la legislación de la Unión o de un Estado miembro exija su conservación. Los métodos y plazos de supresión o devolución se describen en la documentación del servicio, de conformidad con el principio de minimización de datos (art. 5 RGPD).
10. Auditorías e inspecciones
File system pone a disposición del responsable la información necesaria para demostrar el cumplimiento de las obligaciones del artículo 28 RGPD y permite y contribuye a las actividades de auditoría, incluidas las inspecciones, realizadas por el responsable u otra persona designada por el responsable, bajo acuerdos razonables entre las partes (p. ej. facilitación de documentación, certificaciones o informes de auditoría de terceros, cuando estén disponibles), respetando la confidencialidad y seguridad de otros clientes.
11. Ejecución, modificaciones y contactos
El presente borrador es una plantilla informativa y no sustituye a un acuerdo firmado: la versión aplicable es la referenciada en el pedido o en un acuerdo separado celebrado entre el cliente y File system, que prevalece en caso de discrepancia. File system puede actualizar esta plantilla para reflejar cambios normativos, técnicos u organizativos; la última actualización se indica a continuación. Última actualización: —.
Para la ejecución del DPA, para la lista actualizada de subencargados o para solicitudes relativas al tratamiento de datos, los clientes empresariales pueden contactar con File system en allbrand.italia@gmail.com; cuando esté designado, el Delegado de Protección de Datos es — (allbrand.italia@gmail.com). Los interesados conservan el derecho a presentar una reclamación ante la autoridad de control competente (Garante per la protezione dei dati personali).