De acuerdo con la normativa de protección de datos, un contrato de tratamiento de datos vincula a cada parte responsable que tenga datos personales procesados en nombre del CLIENTE. Tan pronto como almacene o procese datos personales en nuestros sistemas, se protegen legalmente de acuerdo con el art. 28 del Reglamento General de Protección de Datos (RGPD) y 33 de la Ley Orgánica de Protección de datos y garantía de los derechos digitales (LOPDGDD).
Por esta razón, ofrecemos a nuestros CLIENTES las garantías contractuales necesarias en los servicios que puedan existir accesos a datos personales; y que básicamente, corresponde a alguno de los siguientes:
- Servicio de soluciones de software
- Servicio de mantenimiento
Las ventajas para usted:
- WAF ESTRUCTURAS DIGITALES, SL le confirma explícitamente la implementación de los requisitos legales de protección de datos conforme a la ley.
- WAF ESTRUCTURAS DIGITALES, SL puede garantizar a sus CLIENTES que los datos se procesan de forma segura.
OBJETO DEL CONTRATO
WAF ESTRUCTURAS DIGITALES, SL sólo trata los datos conforme a las instrucciones documentadas del CLIENTE responsable del tratamiento, y no los utiliza para fin distinto al que figura en las condiciones contractuales de aplicación.
Cumplida la prestación de los servicios los datos son destruidos, al igual que cualquier soporte o documentos en los que conste algún dato de carácter personal o cualquier tipo de información que se haya generado durante, para y/o por la prestación de los servicios. No obstante, WAF ESTRUCTURAS DIGITALES, SL podrá mantener debidamente bloqueados los citados datos durante el período en el cual se puedan derivar responsabilidades de su relación con el CLIENTE.
En el caso de que WAF ESTRUCTURAS DIGITALES, SL destine los datos a otra finalidad o los comunique o utilice incumpliendo del presente contrato será considerado también responsable del tratamiento.
El CLIENTE autoriza a WAF ESTRUCTURAS DIGITALES, SL, en su calidad de encargado del tratamiento, a subcontratar con terceros, en nombre y por cuenta del CLIENTE, los servicios que fueran necesarios para posibilitar la prestación de los servicios contratados, respetando en todo caso las obligaciones impuestas por el RGPD y su normativa de desarrollo. En cualquier momento, el CLIENTE puede dirigirse a WAF ESTRUCTURAS DIGITALES, SL para conocer la identidad de las entidades subcontratadas para la prestación de los servicios indicados, las cuales actúan de conformidad con los términos previstos en este documento y previa formalización con WAF ESTRUCTURAS DIGITALES, SL de un contrato de tratamiento de datos conforme a la normativa vigente.
OBLIGACIONES DEL ENCARGADO DEL TRATAMIENTO
El encargado del tratamiento y todo su personal se obliga a:
– Informar inmediatamente al responsable si considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos.
-Mantener el deber de secreto respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice el contrato. -No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles. -Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente. -Mantener a disposición del responsable la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior. -Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.
– Notificar las violaciones de la seguridad de los datos: El encargado del tratamiento notificará al responsable del tratamiento, sin dilación indebida y a través del medio que le indique el responsable, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia.
Se facilitará, como mínimo, la información siguiente:
- Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
- Datos de la persona de contacto para obtener más información.
- Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.
- Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
- Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.
- Poner disposición del responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el responsable u otro auditor autorizado por él.
– Auxiliar al responsable de tratamiento a implantar las medidas de seguridad necesarias para:
- Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
- Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
- Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento.
- Que el responsable pueda cumplir con su obligación de responder a las solicitudes relativas al ejercicio de derecho, siempre que sea posible.
– A llevar a cabo el tratamiento de los datos personales en dispositivos portátiles únicamente por los usuarios o perfiles de usuarios asignados a la prestación de los servicios.
WAF ESTRUCTURAS DIGITALES, SL no se hace responsable del incumplimiento de las obligaciones derivadas del RGPD o de la normativa correspondiente en materia de protección de datos por parte del CLIENTE en lo que a su actividad le corresponda y que se encuentre relacionado con la ejecución del contrato o relaciones comerciales que les unan. Cada parte hará
frente a la responsabilidad que se derive de su propio incumplimiento de las obligaciones contractuales y de la propia normativa.
OBLIGACIONES DEL RESPONSABLE DEL TRATAMIENTO
Corresponde al responsable del tratamiento:
– Entregar al encargado las instrucciones necesarias para la prestación del servicio de acuerdo al objeto del contrato.
– Facilitar al encargado el acceso a los dispositivos e instalaciones a fin de prestar el servicio contratado. -Velar, de forma previa y durante todo el tratamiento, por el cumplimiento del RGPD por parte del encargado. -Supervisar el tratamiento, incluida la realización de inspecciones y auditorías.
MEDIDAS DE SEGURIDAD
Las medidas de seguridad adoptadas por WAF ESTRUCTURAS DIGITALES, SL en el tratamiento de los datos de carácter personal por cuenta del CLIENTE, a título enunciativo son:
1. Medidas organizativas
Todo el personal con acceso a los datos personales tiene conocimiento y ha sido informado de sus obligaciones; en especial de confidencialidad y secreto que persiste incluso cuando finalice la relación laboral del trabajador con la empresa.
2. Medidas técnicas de identificación
Se dispone de perfiles con derechos de administración para la instalación y configuración del sistema y usuarios sin privilegios o derechos de administración para el acceso a los datos personales.
Se garantiza la existencia de contraseñas para el acceso a los datos personales almacenados en sistemas electrónicos.
Cuando a los datos personales accedan distintas personas, para cada persona con acceso a los datos personales, se dispone de un usuario y contraseña específicos (identificación inequívoca).
Se garantiza la confidencialidad de las contraseñas, evitando que queden expuestas a terceros.
3. Medidas técnicas de salvaguarda
- Actualización de ordenadores y dispositivos: Los dispositivos y ordenadores utilizados para el almacenamiento y el tratamiento de los datos personales se mantienen actualizados.
- Antivirus: En los ordenadores y dispositivos donde se realice el tratamiento automatizado de los datos personales se dispone de un sistema de antivirus que garantice en la medida posible el robo y destrucción de la información y datos personales. El sistema de antivirus es actualizado de forma periódica.
- Cortafuegos o firewall: Para evitar accesos remotos indebidos a los datos personales se garantiza la existencia de un firewall activado en aquellos ordenadores y dispositivos en los que se realice el almacenamiento y/o tratamiento de datos personales.
- Cifrado de datos: Cuando se precise realizar la extracción de datos personales fuera del recinto donde se realiza su tratamiento, ya sea por medios físicos o por medios electrónicos, se deberá valorar la posibilidad de utilizar un método de encriptación para garantizar la confidencialidad de los datos personales en caso de acceso indebido a la información.
- Copia de seguridad: Periódicamente se realiza una copia de seguridad en un soporte distinto del que se utiliza para el trabajo diario. La copia se almacena en lugar seguro, distinto de aquél en que esté ubicado el ordenador con los ficheros originales, con el fin de permitir la recuperación de los datos personales en caso de pérdida de la información.
Las medidas de seguridad son revisadas de forma periódica.
El CLIENTE declara haber sido informado de las condiciones sobre protección de datos de carácter personal, aceptando y consintiendo el tratamiento de los mismos por parte de WAF ESTRUCTURAS DIGITALES, SL, en la forma y para las finalidades indicadas en estas condiciones de contratación.