Contrato de Encargado de Tratamiento TAX (Anexo II) Versión: 2.0 – Junio 2024

De acuerdo con el artículo 28 y relacionados del Reglamento General de Protección de Datos (“RGPD”) y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (“LOPDGDD”) de España, el tratamiento de datos de carácter personal por cuenta de terceros requiere de la celebración de un contrato privado. Salvo que la naturaleza del Servicio implique que el Proveedor o Prestador final del Servicio tenga por ley la condición de RESPONSABLE (en cuyo caso, se informará oportunamente al Cliente y los usuarios), el Cliente actuará como RESPONSABLE de los datos personales y el Proveedor actuará, como ENCARGADO del tratamiento.

1. OBJETO Y TRATAMIENTO

El objeto del presente contrato es fijar los términos y condiciones que regirán el tratamiento por parte del ENCARGADO de los datos personales contenidos en los sistemas del RESPONSABLE, a efectos de prestarle sus servicios para la finalidad para la que son proporcionados en virtud del contrato principal y de conformidad con sus indicaciones y el RGPD.

La siguiente tabla detalla las actividades de tratamiento a realizar por cuenta del CLIENTE:

2. IDENTIFICACIÓN DE LA INFORMACIÓN AFECTADA

Para la ejecución de las prestaciones derivadas del cumplimiento del objeto de este encargo, Ivnosys Soluciones, S.L.U, actuando en calidad de ENCARGADO DEL TRATAMIENTO, pone a disposición del CLIENTE la información que se describe y señala a continuación:

Plataforma IVSIGN IVNEOS
Funcionalidad Servicio de centralización de certificados y firma a distancia Servicio de gestión de notificaciones electrónicas recibidas
Afectados Usuarios de la aplicación Titulares de certificados digitales Usuarios de la aplicación Titulares de certificados digitales Terceros (notificados)
Tipo de datos De identificación del Usuario: nombre, apellidos, email, NIF o equivalente, departamento, cargo, organización y otros.

De contacto del usuario: email, teléfono y otros.

Los incluidos en los certificados: nombre, apellidos, NIF, organización, cargo y otros (del usuario de la aplicación o de terceros).

Del uso del servicio por el usuario y de registro de auditoría: IP, URL, aplicación y equipo donde se usa el certificado, fecha de operación y otros.

De identificación y contacto del Cliente: nombre, apellidos, email, NIF o equivalente y otros.

De identificación y contacto del usuario: nombre, apellidos, email y otros.

De identificación y contacto de terceros (por ejemplo, clientes, colaboradores, proveedores del cliente): nombre, apellidos, email, dirección postal, NIF o equivalente, NAF y otros.

Los incluidos en los certificados: nombre, apellidos, NIF, organización, cargo y otros (del usuario de la aplicación o de terceros). Del uso del servicio por el usuario y de registro de auditoría: IP y otros. Metadatos asociados a las notificaciones: con datos personales del usuario de la aplicación o terceros

Tratamientos Almacenamiento de los tipos de datos indicados Uso de los certificados y acceso automatizado a sedes electrónicas Gestión del servicio y de las notificaciones Consultas realizadas por el usuario y por los usuarios administradores Exportación de datos (listados) por el usuario y por los usuarios administradores. Registro y consulta de actividad de uso (informes y auditorías) Elaboración de listados e informes para la gestión del servicio por parte del PROVEDEDOR Envío de avisos y comunicaciones relacionadas con la prestación del servicio Recogida, cotejo, almacenamiento de datos, estructuración, conservación, edición, destrucción y comunicación.

Con carácter general, Ivnosys no accederá al contenido descargado de las notificaciones. En aquellos casos en los que se atienda una incidencia técnica por parte del departamento de soporte, las notificaciones pueden ser descargadas por el personal de Ivnosys para su resolución, pero en ningún caso accederá al contenido de las mismas.

Finalidades Gestionar la firma electrónica a distancia para cualquier finalidad del usuario (acceso a sedes, firma de documentos, VPNs, etc.) Gestionar las notificaciones electrónicas remitidas en sedes electrónicas para cualquier finalidad del usuario.

La información referida a la privacidad del servicio de expedición de certificados digitales se proporciona al interesado durante el propio proceso de expedición. En caso de Certificados emitidos por Ivnosys Soluciones se pueden encontrar en la página web https://policy.ivsign.net/docs/ivsign_global/TerminosYCondiciones_IvSignGlobalCA_LP.pdf.

Adicionalmente, para la gestión de los pedidos de los Servicios a través de la Plataforma Pedidos, Ivnosys Soluciones, S.L.U, actuando en calidad de ENCARGADO DEL TRATAMIENTO, tratará la información del CLIENTE y sus usuarios que se describe y señala a continuación:

Plataforma PEDIDOS
Funcionalidad Servicio de creación de cuentas de Clientes y Usuarios para la gestión de “pedidos” de los Servicios contratados.
Afectados Clientes y Usuarios de la Plataforma que a su vez pueden ser Usuarios de los Servicios contratados.
Tipo de datos De identificación del Cliente u Usuarios de la Plataforma: nombre, apellidos, NIF o equivalente.

De la organización/empresa a la que pertenece el Usuario: razón social, NIF y domicilio

De la relación del Cliente y Usuario con la organización: departamento, cargo o función, colegio profesional y número de colegiado si procede.

De contacto del Cliente y del Usuario: email, teléfono.

Del uso del servicio por el Usuario: IP, navegador, sistema operativo.

De facturación: titular, número de cuenta (IBAN), email facturación

De información para gestionar los pedidos de certificados electrónicos: copia DNI/NIE/Pasaporte, Escrituras Públicas, actas, autorizaciones, etc.

Tratamientos Almacenamiento de los tipos de datos indicados

Gestión de los servicios contratados,

Consultas realizadas por el usuario y por los usuarios administradores.

Exportación de datos (listados) por el usuario y por los usuarios administradores. Registro y consulta de actividad de uso (informes y auditorías)

Elaboración de listados e informes para la gestión del servicio por parte de Encargado

Recogida, cotejo, almacenamiento de datos, estructuración, conservación, edición, destrucción y comunicación.

Finalidades Alta de Clientes y Usuarios de la Plataforma, gestión de los pedidos de los Servicios contratados incluido las solicitudes de certificados electrónicos, habilitación de usuarios de los Servicios y facturación de dichos servicios.

3. DEBER DE CONFIDENCIALIDAD Y SECRETO PROFESIONAL

3.1. Secreto profesional. El ENCARGADO deberá guardar secreto profesional en relación con todos los datos de carácter personal del RESPONSABLE a los que tenga acceso como consecuencia de la prestación de servicios establecida en el Contrato, esto es, la prestación de servicios de confianza.

3.2. Deber de confidencialidad.

3.2.1.    Todo el personal a cargo del ENCARGADO que acceda y/o trate datos de carácter personal vienen sujetos al cumplimiento del secreto profesional y del deber de confidencialidad, obligaciones que perdurarán incluso una vez finalizada la prestación de servicios.

3.2.2.    En este sentido, únicamente podrán acceder a los datos personales los empleados del ENCARGADO que tengan necesidad de acceder a los mismos a fin de poder llevar a cabo sus funciones para la prestación de servicios.

3.2.3.    El ENCARGADO dará a conocer a sus empleados las obligaciones contenidas en este contrato y el carácter confidencial de la información que traten, a la par que les exigirá el cumplimiento de aquellas obligaciones que de conformidad con la normativa aplicable pueda serles de aplicación, y les advertirá de aquella responsabilidad en la que incurrirían en caso de divulgarla.

3.2.4.    Además, tanto en el caso de que los empleados realicen los servicios contratados en los locales del RESPONSABLE como de forma remota, el mismo les informará convenientemente sobre las normas y procedimientos a las que están sujetos, así como sobre cualquier otra disposición que deban observar de conformidad con las disposiciones contenidas en el documento de seguridad del RESPONSABLE.

3.3. Vulneración de estos deberes y consecuencias. La vulneración por parte del ENCARGADO o del personal a su servicio del deber de confidencialidad sobre los mencionados datos o de cualquier otra obligación derivada de la legislación de protección de datos de carácter personal, será causa de resolución del contrato principal y, como consecuencia, del presente contrato.

4. CUMPLIMIENTO DE INSTRUCCIONES POR PARTE DEL ENCARGADO

4.1. Obligación general. El ENCARGADO puede adoptar todas las decisiones organizativas y operacionales necesarias para la prestación del servicio que tenga contratado. Sin embargo, las decisiones que adopte deben respetar en todo caso las instrucciones dadas por el RESPONSABLE.

4.2. Obligaciones específicas. Las instrucciones son, entre otras, con carácter descriptivo, pero no limitativo, las siguientes:

1) Obligaciones en materia de seguridad

El PROVEEDOR dispone de un sistema para la gestión de la seguridad de la información (SGSI) implantando las mejores prácticas para la gestión de la seguridad de la información conforme al estándar UNE-ISO/IEC 27001 y el Esquema Nacional de seguridad aplicando a todos los tratamientos de datos que realice en el marco de los contratos formalizados con el CLIENTE los controles y las medidas tendentes a garantizar la seguridad de los datos de carácter personal responsabilidad del CLIENTE a los que tenga acceso con motivo del contrato. Además, el PROVEEDOR manifiesta y garantiza que realizará los controles periódicos y las auditorías de seguridad necesarias para comprobar que los controles y medidas de seguridad implantados son efectivos para el tratamiento de los riesgos para el que se hayan implantado en cada caso.

2) No aplicar ni utilizar los datos de carácter personal a los que tenga acceso en el ejercicio de las funciones que le hayan sido encargadas, con finalidades diferentes a las establecidas en este Contrato, así como a no comunicar dichos datos, ni siquiera a efectos de su conservación, a terceros, salvo que una ley u orden judicial disponga lo contrario.

3) El ENCARGADO está obligado a guardar bajo su control y custodia los datos personales facilitados por el RESPONSABLE, y a no divulgarlos, transferirlos, ni siquiera para su conservación, con la excepción de lo manifestado en la cláusula Sexta del presente contrato.

4) En cualquier caso, el acceso y tratamiento de los datos por parte del Titular está sujeto a las medidas de seguridad de la normativa de protección de datos.

5) El personal del Encargado de Tratamiento deberá comprometerse de forma expresa a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes al tratamiento de datos del RESPONSABLE.

6) Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del RESPONSABLE, que contenga:

  1. El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado y, en su caso, del representante del responsable o del encargado y del delegado de protección de datos.
  2. Las categorías de tratamientos efectuados por el Encargado del Tratamiento.
  3. En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49 apartado 1, párrafo segundo del RGPD, la documentación de garantías adecuadas.
  4. Llevar un registro de las medidas de seguridad aplicables a sus sistemas, en este caso basado en los estándares de seguridad de la información ISO / IEC 27001 y el Esquema Nacional de Seguridad.

7) No subcontratar ninguna de las prestaciones que formen parte del objeto de este Contrato que comporten un tratamiento de datos personales derivado de lo dispuesto en este Contrato o en el principal, exceptuándose de ello, no obstante, los servicios auxiliares necesarios para el normal funcionamiento de los servicios del ENCARGADO se encuentran recogidos en el Anexo II.A.

En el sentido de lo anterior, si fuera necesario subcontratar algún tratamiento no esencial, este hecho se  comunicará previamente  al responsable indicando los tratamientos que se pretende subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto.

También en el sentido de lo anterior, el subcontratista que también tendrá la condición de ENCARGADO del tratamiento está obligado igualmente a cumplir con las obligaciones establecidas en este documento para el ENCARGADO del tratamiento y las instrucciones que dicte el responsable.

En el caso de incumplimiento por parte del subencargado, el ENCARGADO inicial seguirá siendo plenamente responsable ante el RESPONSABLE en lo referente al cumplimiento de las obligaciones.

8) Notificar al RESPONSABLE, en paralelo y sin dilación indebida de aquellas violaciones de la seguridad de los datos personales a su cargo de las que hubiera tenido conocimiento y puedan suponer un riesgo para los derechos y libertades de las personas físicas, en cualquier caso antes de treinta y seis (36) horas, a través de correo electrónico y de manera fehaciente.

  1. También deberá notificarlo a la Agencia Española de Protección de Datos cuando se derive de la interpretación de la ley o del Reglamento.
  2. La notificación deberá contener toda aquella información considerada relevante para la documentación y comunicación de la incidencia. En concreto, y siempre que se disponga de ella, se deberá facilitar la:
  • Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
  • El nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.
  • Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.
  • Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
  1. Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.

9) Dar apoyo al RESPONSABLE del tratamiento en:

  1. La realización de las evaluaciones de impacto relativas a la protección de datos, cuando proceda.
  2. La realización de las consultas previas a la autoridad de control, cuando proceda.

10) Facilitar, en el momento de la recogida de los datos, la información relativa a los tratamientos de datos que se van a realizar. La redacción y el formato en que se facilitará la información se debe consensuar con el RESPONSABLE antes del inicio de la recogida de los datos en la línea de lo dispuesto también en la cláusula tercera punto segundo de este contrato.

11) Permitir al RESPONSABLE la realización de auditorías con el objetivo de poder verificar el debido cumplimiento de las obligaciones a cargo del ENCARGADO, en base a lo dispuesto por el presente Contrato. En cualquier caso, las Partes manifiestan que el RESPONSABLE: i) deberá otorgar un preaviso mínimo de treinta (30) días al ENCARGADO; ii) estará a cargo de costear la totalidad auditoría (incluyendo cualquier coste, gasto y honorario asociado a la misma) y iii) no deberá alterar la actividad habitual del ENCARGADO.

5. GESTOR DE NOTIFICACIONES ELECTRÓNICAS IVNEOS

5.1.       El ENCARGADO del tratamiento podrá tener o tendrá acceso a soportes informáticos y documentales de titularidad del RESPONSABLE tales como datos relativos a clientes potenciales o finales del CLIENTE, así como trabajadores u otro tipo de usuarios (en adelante, identificados como “Usuarios”). Por ello, el ENCARGADO, se compromete a aplicar las siguientes medidas de seguridad:

5.1.1.    Definición específica del tratamiento realizado. El ENCARGADO realiza la prestación de servicios detallada en el contrato marco, por la cual podrá acceder a datos personales de interesados de los que el RESPONSABLE tiene la condición, según la normativa vigente de Responsable del Tratamiento o de Encargado de Tratamiento según proceda. En la tabla del apartado 2 Actividades de Tratamiento a realizar de los Servicios contratados, se indica la actividad de tratamiento del servicio contratado.

5.1.2.    Tipo de acceso. El ENCARGADO tiene acceso a los datos en soporte informático o documentales del RESPONSABLE todo ello con el fin de prestación de los servicios detallados en el contrato principal.

5.1.3.    Lugar del tratamiento. El tratamiento por parte del ENCARGADO se producirá documentalmente o de manera informatizada, por el envío de reportes, listados e informes sobre los usuarios antes indicados a los sistemas del RESPONSABLE, entre otros, cuando así sea solicitado.

5.1.4.    Medidas de seguridad aplicadas: El ENCARGADO de tratamiento dispone de las siguientes medidas de seguridad:

  1. Dispone de un sistema para la designación de usuarios y contraseñas de sus trabajadores, tanto de cara a sus propios sistemas como de cara a sistemas de terceros, por el que están limitados los accesos atendiendo a los perfiles de usuario; mediante asignación de usuarios personalizados y contraseñas que caducan como mínimo una vez al año.
  2. Ha informado a su personal de los derechos y deberes que les corresponden en cuanto al tratamiento de datos de terceros. con indicación expresa de los datos personales proporcionados por los clientes.
  3. Dispone de una relación actualizada de perfiles y permisos de sus usuarios, tanto a sus propios sistemas como los de terceros.
  4. Dispone de un sistema de registro de incidencias, así como del protocolo a seguir en caso de que se produzca una incidencia tanto interna como de cara al RESPONSABLE, Usuarios u organismo supervisor.
  5. Adoptará medidas adecuadas para el traslado de soportes, propios o de terceros, en caso de que exista.
  6. Dispone de un inventario de activos actualizado.
  7. Dispone de un sistema de copias de seguridad de sus sistemas informáticos de forma diaria.
  8. Dispone de un Plan de Continuidad de Negocio y un Plan de Recuperación de Desastres alineados con el estándar UNE ISO 22301
  9. Se ha designado a Delegado de Protección de Datos, al cual se puede contactar en la siguiente dirección: [email protected]
  10. Ha realizado o realiza auditorías al menos cada dos años en materia de protección de datos.
  11. Dispone de un sistema de registro de entradas y salidas de soportes que puedan contener datos personales sensibles y que cumpla con los parámetros de la ley.
  12. Tiene limitados los accesos no autorizados a sus sistemas informáticos, debido a que cuenta con áreas seguras, con limitado acceso tanto físico como lógico.
  13. En su circuito y registro de incidencias, se permite, además, registrar el proceso de recuperación de datos; de acuerdo con los parámetros de la normativa aplicable.
  14. Dispone de un Sistema de Gestión de Seguridad de la Información certificado bajo el estándar ISO 27001 y el Esquema Nacional de Seguridad (ENS nivel medio) por Cámara Certifica.

6. ASISTENCIA EN CUMPLIMIENTO DEL DERECHO DE LOS INTERESADOS

6.1.       El ENCARGADO deberá asistir al RESPONSABLE en la respuesta al ejercicio de los derechos de:

  • Acceso, rectificación, supresión y oposición
  • Limitación del tratamiento
  • Portabilidad de datos
  • A no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles)

6.2.       Para ello, cuando las personas afectadas ejerzan los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas ante el ENCARGADO del tratamiento, éste debe comunicarlo por correo electrónico a la dirección de contacto facilitada por el RESPONSABLE para la prestación del servicio contratado.

6.3.       La comunicación debe hacerse de forma inmediata y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud.

7. COMPROMISOS Y OBLIGACIONES DEL RESPONSABLE 

7.1            El RESPONSABLE manifiesta cumplir con todas las medidas técnicas y organizativas necesarias para garantizar la seguridad del fichero, centros de tratamiento, locales, equipos, sistemas, programas y las personas que intervengan en el tratamiento de los datos de carácter personal referidos, reflejado todo ello en el documento de seguridad a que está obligado según la normativa vigente.

7.2.       El RESPONSABLE responde de las garantías de los afectados, como son los derechos de acceso, rectificación, cancelación y oposición.

7.3.       Al utilizar los Servicios, el RESPONSABLE deberá cumplir la legislación aplicable. En consecuencia, todas las instrucciones del RESPONSABLE relativas al Tratamiento de Datos Personales deberán cumplir la Legislación sobre Protección de Datos y es el único responsable de la exactitud, calidad y legitimidad de dichos datos personales y de los medios por los que se han obtenido.

7.4.       El RESPONSABLE se obliga a comunicar al ENCARGADO cualquier variación que se produzca de los datos personales facilitados, para que éste proceda a su actualización.

8. DURACIÓN Y RESOLUCIÓN DEL CONTRATO

8.1.       El presente Contrato se considera accesorio de la prestación de servicios determinada en el Contrato principal, por lo que su duración y extinción queda sujeta a dicho vínculo o contrato principal.

8.2.       Finalizado el contrato, el ENCARGADO deberá devolver al responsable del tratamiento los datos de carácter personal y, si procede, los soportes donde consten, una vez cumplida la prestación, salvo en caso en que proceda o pueda procederse a la destrucción, en cuyo caso, se procederá, previa indicación de ello al RESPONSABLE y certificación a posteriori de que la misma ha sido efectuada.

8.3.       En todo caso, la devolución debe comportar el borrado total de los datos existentes en los equipos informáticos utilizados por el encargado. No obstante, el ENCARGADO puede conservar una copia, con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación, con el fin de dar cumplimiento a compromisos legales del ENCARGADO, atendiendo siempre a los principios de confidencialidad y minimización de datos.