De acuerdo con el artículo 28 y relacionados del Reglamento General de Protección de Datos (“RGPD”) y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (“LOPDGDD”) de España, el tratamiento de datos de carácter personal por cuenta de terceros requiere de la celebración de un contrato privado. Salvo que la naturaleza del Servicio implique que el Proveedor o Prestador final del Servicio tenga por ley la condición de RESPONSABLE (en cuyo caso, se informará oportunamente al Cliente y los usuarios), el Cliente actuará como RESPONSABLE de los datos personales y el Proveedor actuará, como ENCARGADO del tratamiento.
El objeto del presente contrato es fijar los términos y condiciones que regirán el tratamiento por parte del ENCARGADO de los datos personales contenidos en los sistemas del RESPONSABLE, a efectos de prestarle sus servicios para la finalidad para la que son proporcionados en virtud del contrato principal y de conformidad con sus indicaciones y el RGPD.
La siguiente tabla detalla las actividades de tratamiento a realizar por cuenta del CLIENTE:
Para la ejecución de las prestaciones derivadas del cumplimiento del objeto de este encargo, Ivnosys Soluciones, S.L.U, actuando en calidad de ENCARGADO DEL TRATAMIENTO, pone a disposición del CLIENTE la información que se describe y señala a continuación:
Plataforma | IVSIGN | IVNEOS |
Funcionalidad | Servicio de centralización de certificados y firma a distancia | Servicio de gestión de notificaciones electrónicas recibidas |
Afectados | Usuarios de la aplicación Titulares de certificados digitales | Usuarios de la aplicación Titulares de certificados digitales Terceros (notificados) |
Tipo de datos | De identificación del Usuario: nombre, apellidos, email, NIF o equivalente, departamento, cargo, organización y otros.
De contacto del usuario: email, teléfono y otros. Los incluidos en los certificados: nombre, apellidos, NIF, organización, cargo y otros (del usuario de la aplicación o de terceros). Del uso del servicio por el usuario y de registro de auditoría: IP, URL, aplicación y equipo donde se usa el certificado, fecha de operación y otros. |
De identificación y contacto del Cliente: nombre, apellidos, email, NIF o equivalente y otros.
De identificación y contacto del usuario: nombre, apellidos, email y otros. De identificación y contacto de terceros (por ejemplo, clientes, colaboradores, proveedores del cliente): nombre, apellidos, email, dirección postal, NIF o equivalente, NAF y otros. Los incluidos en los certificados: nombre, apellidos, NIF, organización, cargo y otros (del usuario de la aplicación o de terceros). Del uso del servicio por el usuario y de registro de auditoría: IP y otros. Metadatos asociados a las notificaciones: con datos personales del usuario de la aplicación o terceros |
Tratamientos | Almacenamiento de los tipos de datos indicados Uso de los certificados y acceso automatizado a sedes electrónicas Gestión del servicio y de las notificaciones Consultas realizadas por el usuario y por los usuarios administradores Exportación de datos (listados) por el usuario y por los usuarios administradores. Registro y consulta de actividad de uso (informes y auditorías) Elaboración de listados e informes para la gestión del servicio por parte del PROVEDEDOR Envío de avisos y comunicaciones relacionadas con la prestación del servicio Recogida, cotejo, almacenamiento de datos, estructuración, conservación, edición, destrucción y comunicación.
Con carácter general, Ivnosys no accederá al contenido descargado de las notificaciones. En aquellos casos en los que se atienda una incidencia técnica por parte del departamento de soporte, las notificaciones pueden ser descargadas por el personal de Ivnosys para su resolución, pero en ningún caso accederá al contenido de las mismas. |
|
Finalidades | Gestionar la firma electrónica a distancia para cualquier finalidad del usuario (acceso a sedes, firma de documentos, VPNs, etc.) | Gestionar las notificaciones electrónicas remitidas en sedes electrónicas para cualquier finalidad del usuario. |
La información referida a la privacidad del servicio de expedición de certificados digitales se proporciona al interesado durante el propio proceso de expedición. En caso de Certificados emitidos por Ivnosys Soluciones se pueden encontrar en la página web https://policy.ivsign.net/docs/ivsign_global/TerminosYCondiciones_IvSignGlobalCA_LP.pdf.
Adicionalmente, para la gestión de los pedidos de los Servicios a través de la Plataforma Pedidos, Ivnosys Soluciones, S.L.U, actuando en calidad de ENCARGADO DEL TRATAMIENTO, tratará la información del CLIENTE y sus usuarios que se describe y señala a continuación:
Plataforma | PEDIDOS |
Funcionalidad | Servicio de creación de cuentas de Clientes y Usuarios para la gestión de “pedidos” de los Servicios contratados. |
Afectados | Clientes y Usuarios de la Plataforma que a su vez pueden ser Usuarios de los Servicios contratados. |
Tipo de datos | De identificación del Cliente u Usuarios de la Plataforma: nombre, apellidos, NIF o equivalente.
De la organización/empresa a la que pertenece el Usuario: razón social, NIF y domicilio De la relación del Cliente y Usuario con la organización: departamento, cargo o función, colegio profesional y número de colegiado si procede. De contacto del Cliente y del Usuario: email, teléfono. Del uso del servicio por el Usuario: IP, navegador, sistema operativo. De facturación: titular, número de cuenta (IBAN), email facturación De información para gestionar los pedidos de certificados electrónicos: copia DNI/NIE/Pasaporte, Escrituras Públicas, actas, autorizaciones, etc. |
Tratamientos | Almacenamiento de los tipos de datos indicados
Gestión de los servicios contratados, Consultas realizadas por el usuario y por los usuarios administradores. Exportación de datos (listados) por el usuario y por los usuarios administradores. Registro y consulta de actividad de uso (informes y auditorías) Elaboración de listados e informes para la gestión del servicio por parte de Encargado Recogida, cotejo, almacenamiento de datos, estructuración, conservación, edición, destrucción y comunicación. |
Finalidades | Alta de Clientes y Usuarios de la Plataforma, gestión de los pedidos de los Servicios contratados incluido las solicitudes de certificados electrónicos, habilitación de usuarios de los Servicios y facturación de dichos servicios. |
3.1. Secreto profesional. El ENCARGADO deberá guardar secreto profesional en relación con todos los datos de carácter personal del RESPONSABLE a los que tenga acceso como consecuencia de la prestación de servicios establecida en el Contrato, esto es, la prestación de servicios de confianza.
3.2. Deber de confidencialidad.
3.2.1. Todo el personal a cargo del ENCARGADO que acceda y/o trate datos de carácter personal vienen sujetos al cumplimiento del secreto profesional y del deber de confidencialidad, obligaciones que perdurarán incluso una vez finalizada la prestación de servicios.
3.2.2. En este sentido, únicamente podrán acceder a los datos personales los empleados del ENCARGADO que tengan necesidad de acceder a los mismos a fin de poder llevar a cabo sus funciones para la prestación de servicios.
3.2.3. El ENCARGADO dará a conocer a sus empleados las obligaciones contenidas en este contrato y el carácter confidencial de la información que traten, a la par que les exigirá el cumplimiento de aquellas obligaciones que de conformidad con la normativa aplicable pueda serles de aplicación, y les advertirá de aquella responsabilidad en la que incurrirían en caso de divulgarla.
3.2.4. Además, tanto en el caso de que los empleados realicen los servicios contratados en los locales del RESPONSABLE como de forma remota, el mismo les informará convenientemente sobre las normas y procedimientos a las que están sujetos, así como sobre cualquier otra disposición que deban observar de conformidad con las disposiciones contenidas en el documento de seguridad del RESPONSABLE.
3.3. Vulneración de estos deberes y consecuencias. La vulneración por parte del ENCARGADO o del personal a su servicio del deber de confidencialidad sobre los mencionados datos o de cualquier otra obligación derivada de la legislación de protección de datos de carácter personal, será causa de resolución del contrato principal y, como consecuencia, del presente contrato.
4.1. Obligación general. El ENCARGADO puede adoptar todas las decisiones organizativas y operacionales necesarias para la prestación del servicio que tenga contratado. Sin embargo, las decisiones que adopte deben respetar en todo caso las instrucciones dadas por el RESPONSABLE.
4.2. Obligaciones específicas. Las instrucciones son, entre otras, con carácter descriptivo, pero no limitativo, las siguientes:
1) Obligaciones en materia de seguridad
El PROVEEDOR dispone de un sistema para la gestión de la seguridad de la información (SGSI) implantando las mejores prácticas para la gestión de la seguridad de la información conforme al estándar UNE-ISO/IEC 27001 y el Esquema Nacional de seguridad aplicando a todos los tratamientos de datos que realice en el marco de los contratos formalizados con el CLIENTE los controles y las medidas tendentes a garantizar la seguridad de los datos de carácter personal responsabilidad del CLIENTE a los que tenga acceso con motivo del contrato. Además, el PROVEEDOR manifiesta y garantiza que realizará los controles periódicos y las auditorías de seguridad necesarias para comprobar que los controles y medidas de seguridad implantados son efectivos para el tratamiento de los riesgos para el que se hayan implantado en cada caso.
2) No aplicar ni utilizar los datos de carácter personal a los que tenga acceso en el ejercicio de las funciones que le hayan sido encargadas, con finalidades diferentes a las establecidas en este Contrato, así como a no comunicar dichos datos, ni siquiera a efectos de su conservación, a terceros, salvo que una ley u orden judicial disponga lo contrario.
3) El ENCARGADO está obligado a guardar bajo su control y custodia los datos personales facilitados por el RESPONSABLE, y a no divulgarlos, transferirlos, ni siquiera para su conservación, con la excepción de lo manifestado en la cláusula Sexta del presente contrato.
4) En cualquier caso, el acceso y tratamiento de los datos por parte del Titular está sujeto a las medidas de seguridad de la normativa de protección de datos.
5) El personal del Encargado de Tratamiento deberá comprometerse de forma expresa a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes al tratamiento de datos del RESPONSABLE.
6) Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del RESPONSABLE, que contenga:
7) No subcontratar ninguna de las prestaciones que formen parte del objeto de este Contrato que comporten un tratamiento de datos personales derivado de lo dispuesto en este Contrato o en el principal, exceptuándose de ello, no obstante, los servicios auxiliares necesarios para el normal funcionamiento de los servicios del ENCARGADO se encuentran recogidos en el Anexo II.A.
En el sentido de lo anterior, si fuera necesario subcontratar algún tratamiento no esencial, este hecho se comunicará previamente al responsable indicando los tratamientos que se pretende subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto.
También en el sentido de lo anterior, el subcontratista que también tendrá la condición de ENCARGADO del tratamiento está obligado igualmente a cumplir con las obligaciones establecidas en este documento para el ENCARGADO del tratamiento y las instrucciones que dicte el responsable.
En el caso de incumplimiento por parte del subencargado, el ENCARGADO inicial seguirá siendo plenamente responsable ante el RESPONSABLE en lo referente al cumplimiento de las obligaciones.
8) Notificar al RESPONSABLE, en paralelo y sin dilación indebida de aquellas violaciones de la seguridad de los datos personales a su cargo de las que hubiera tenido conocimiento y puedan suponer un riesgo para los derechos y libertades de las personas físicas, en cualquier caso antes de treinta y seis (36) horas, a través de correo electrónico y de manera fehaciente.
9) Dar apoyo al RESPONSABLE del tratamiento en:
10) Facilitar, en el momento de la recogida de los datos, la información relativa a los tratamientos de datos que se van a realizar. La redacción y el formato en que se facilitará la información se debe consensuar con el RESPONSABLE antes del inicio de la recogida de los datos en la línea de lo dispuesto también en la cláusula tercera punto segundo de este contrato.
11) Permitir al RESPONSABLE la realización de auditorías con el objetivo de poder verificar el debido cumplimiento de las obligaciones a cargo del ENCARGADO, en base a lo dispuesto por el presente Contrato. En cualquier caso, las Partes manifiestan que el RESPONSABLE: i) deberá otorgar un preaviso mínimo de treinta (30) días al ENCARGADO; ii) estará a cargo de costear la totalidad auditoría (incluyendo cualquier coste, gasto y honorario asociado a la misma) y iii) no deberá alterar la actividad habitual del ENCARGADO.
5.1. El ENCARGADO del tratamiento podrá tener o tendrá acceso a soportes informáticos y documentales de titularidad del RESPONSABLE tales como datos relativos a clientes potenciales o finales del CLIENTE, así como trabajadores u otro tipo de usuarios (en adelante, identificados como “Usuarios”). Por ello, el ENCARGADO, se compromete a aplicar las siguientes medidas de seguridad:
5.1.1. Definición específica del tratamiento realizado. El ENCARGADO realiza la prestación de servicios detallada en el contrato marco, por la cual podrá acceder a datos personales de interesados de los que el RESPONSABLE tiene la condición, según la normativa vigente de Responsable del Tratamiento o de Encargado de Tratamiento según proceda. En la tabla del apartado 2 Actividades de Tratamiento a realizar de los Servicios contratados, se indica la actividad de tratamiento del servicio contratado.
5.1.2. Tipo de acceso. El ENCARGADO tiene acceso a los datos en soporte informático o documentales del RESPONSABLE todo ello con el fin de prestación de los servicios detallados en el contrato principal.
5.1.3. Lugar del tratamiento. El tratamiento por parte del ENCARGADO se producirá documentalmente o de manera informatizada, por el envío de reportes, listados e informes sobre los usuarios antes indicados a los sistemas del RESPONSABLE, entre otros, cuando así sea solicitado.
5.1.4. Medidas de seguridad aplicadas: El ENCARGADO de tratamiento dispone de las siguientes medidas de seguridad:
6.1. El ENCARGADO deberá asistir al RESPONSABLE en la respuesta al ejercicio de los derechos de:
6.2. Para ello, cuando las personas afectadas ejerzan los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas ante el ENCARGADO del tratamiento, éste debe comunicarlo por correo electrónico a la dirección de contacto facilitada por el RESPONSABLE para la prestación del servicio contratado.
6.3. La comunicación debe hacerse de forma inmediata y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud.
7.1 El RESPONSABLE manifiesta cumplir con todas las medidas técnicas y organizativas necesarias para garantizar la seguridad del fichero, centros de tratamiento, locales, equipos, sistemas, programas y las personas que intervengan en el tratamiento de los datos de carácter personal referidos, reflejado todo ello en el documento de seguridad a que está obligado según la normativa vigente.
7.2. El RESPONSABLE responde de las garantías de los afectados, como son los derechos de acceso, rectificación, cancelación y oposición.
7.3. Al utilizar los Servicios, el RESPONSABLE deberá cumplir la legislación aplicable. En consecuencia, todas las instrucciones del RESPONSABLE relativas al Tratamiento de Datos Personales deberán cumplir la Legislación sobre Protección de Datos y es el único responsable de la exactitud, calidad y legitimidad de dichos datos personales y de los medios por los que se han obtenido.
7.4. El RESPONSABLE se obliga a comunicar al ENCARGADO cualquier variación que se produzca de los datos personales facilitados, para que éste proceda a su actualización.
8.1. El presente Contrato se considera accesorio de la prestación de servicios determinada en el Contrato principal, por lo que su duración y extinción queda sujeta a dicho vínculo o contrato principal.
8.2. Finalizado el contrato, el ENCARGADO deberá devolver al responsable del tratamiento los datos de carácter personal y, si procede, los soportes donde consten, una vez cumplida la prestación, salvo en caso en que proceda o pueda procederse a la destrucción, en cuyo caso, se procederá, previa indicación de ello al RESPONSABLE y certificación a posteriori de que la misma ha sido efectuada.
8.3. En todo caso, la devolución debe comportar el borrado total de los datos existentes en los equipos informáticos utilizados por el encargado. No obstante, el ENCARGADO puede conservar una copia, con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación, con el fin de dar cumplimiento a compromisos legales del ENCARGADO, atendiendo siempre a los principios de confidencialidad y minimización de datos.
¿Preparado para descubrir nuestros nuevos productos?