ACUERDO DE PROCESAMIENTO DE DATOS (DPA)
1.- INTRODUCCIÓN
El presente Acuerdo de Procesamiento de Datos (DPA) se considerará como un anexo del contrato de prestación de servicios formalizado entre la empresa GESTANEX SOLUTIONS, S.L. (GESTANEX), con CIF B-22677884, y el Cliente para regular la contratación y uso del sistema y de los servicios ofrecidos a través del sitio web, y por lo tanto la firma de ese contrato implicará la aceptación de este acuerdo, que se aplicará desde el inicio de la relación contractual y formará parte también de los Términos y Condiciones Generales de Contratación y de Uso publicados por GESTANEX en gestanex.io. Este acuerdo DPA será también de aplicación y vinculante en caso de realización de demostraciones o pruebas gratuitas.
GESTANEX SOLUTIONS, S.L. (en adelante GESTANEX) es profesional con domicilio fiscal en Calle Los Moros, 32 – 11500 – El Puerto de Santa María (Cádiz) y titular del sitio web y de los servicios ofrecidos en este, y actuará en calidad de Encargado del Tratamiento con motivo de la prestación del servicio.
El Cliente es una entidad que contrata la plataforma gestionada por GESTANEX y cuya información, razón social y datos identificativos y fiscales se incluirán en el contrato de prestación de servicios.
El sitio web hace referencia al software desarrollado por GESTANEX para facilitar soluciones para la automatización de procesos contables y financieros, entre otras funcionalidades.
Los Subprocesadores son los encargados del tratamiento a los que podría recurrir GESTANEX para llevar a cabo determinadas actividades de tratamiento y de procesamiento de datos por cuenta del Cliente conforme lo indicado en el art. 28.4 RGPD.
2.- CAPACIDAD DE REPRESENTACIÓN DE LOS INTERVINIENTES
Las personas intervinientes en la firma del contrato de prestación de servicios del que forma parte como anexo este DPA declaran de forma responsable que tienen la capacidad de representación necesaria para formalizar acuerdos y contratos en nombre de GESTANEX, como prestador del servicio y encargado del tratamiento, y en nombre del Cliente como receptor y usuario de los servicios.
3.- DURACION DEL ACUERDO
El presente Acuerdo de Procesamiento de Datos (DPA) tendrá una duración vinculada con la del contrato o acuerdo de prestación de servicios formalizado entre las partes, y en todo caso se prorrogará anualmente de modo automático salvo que se produzca el cese de la relación contractual entre las partes por alguna de las causas que ambas hubieran estipulado, principalmente la rescisión del contrato, incluyendo la rescisión anticipada.
Una vez hubiera finalizado el contrato, GESTANEX, y a elección del Cliente deberá suprimir, devolver al responsable del tratamiento o bien devolver a otro encargado que designe el Cliente la información con datos personales recogida y tratada con motivo de la contratación de los servicios, y deberá suprimir además cualquier copia que pudiera estar en su poder, a menos que se requiera la conservación de los datos personales en virtud del Derecho de la Unión Europea o de los Estados Miembros (art. 28 g) RGPD).
4.- OBJETO DEL ACUERDO
Las partes declaran que el objeto del presente acuerdo es habilitar a GESTANEX como encargado del tratamiento para tratar por cuenta del Cliente los datos de carácter personal necesarios para la prestación de los servicios contratados, y en concreto los relacionados con el acceso y uso del sitio web en los términos indicados en este acuerdo y en el contrato de prestación de servicios formalizado entre las partes.
El tratamiento de datos personales a realizar por GESTANEX para la correcta prestación del servicio contratado podría incluir actividades de recogida, estructuración, conservación, consulta, supresión y comunicación de datos personales del Cliente, siempre de acuerdo con las intrucciones de tratamiento recogidas en el presente contrato.
5.- CATEGORÍAS DE DATOS TRATADOS E INFORMACIÓN ASOCIADA
Para la ejecución de los servicios derivados del cumplimiento del objeto del acuerdo DPA el Cliente pone a disposición de GESTANEX la información descrita a continuación:
En ningún caso se recogerá, almacenará o tratará información con datos personales sensibles o que figuren como datos incluidos en lo que se pudieran considerar como categorías especiales de datos de acuerdo con la normativa del RGPD.
6.- OBLIGACIONES DE GESTANEX
GESTANEX como encargado del tratamiento y procesador de datos se compromete por el presente acuerdo DPA a cumplir con las siguientes obligaciones y conforme lo establecido en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (Reglamento General de Protección de Datos) y por la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD):
6.1. Utilizar y procesar los datos personales asociados al Cliente sólo para la finalidad objeto del contrato de prestación de servicios, y conforme lo acordado entre las partes y lo solicitado por el Cliente.
6.2. Garantizar que las personas autorizadas en GESTANEX para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que habrá que informarles convenientemente, y mantener la documentación acreditativa del cumplimiento de esta obligación.
6.3. Implantar las medidas de seguridad correspondientes de acuerdo con lo indicado en el art. 32 RGPD. Las medidas adoptadas deberán garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento; restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico; verificar, evaluar y valorar de forma regular la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento; y seudonimizar y cifrar los datos personales, en su caso.
6.4. Asistir al Cliente en la respuesta al ejercicio de los derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento, portabilidad de datos, y del derecho a no ser objeto de decisiones individualizadas automatizadas. Cuando los interesados ejerzan los derechos antes mencionados ante GESTANEX este deberá comunicarlo por correo electrónico a la dirección indicada por el Cliente a tal efecto. La comunicación deberá ser inmediata y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud, junto con las informaciones que pudieran ser relevantes para resolver la solicitud.
6.5. Ayudar al Cliente a garantizar el cumplimiento de las obligaciones establecias en los artículos 32 a 36 del RGPD, teniendo en cuenta la naturaleza del tratamiento y la información que está a disposición de GESTANEX.
6.6. Tratar los datos de acuerdo con las instrucciones del Cliente, y en el caso de que GESTANEX considerase que alguna de las instrucciones infringe lo indicado en el RGPD o en cualquier otra disposición en materia de protección de datos de la Unión Europea o de alguno de los Estados miembros, informar inmediatamente al Cliente al respecto.
6.7. Llevar por escrito un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del Cliente que contenga: el nombre y datos de contacto del Cliente por cuenta del cual actúa, y en su caso del representante del Cliente y de su delegado de protección de datos, si lo tuviese; las categorías de tratamientos efectuados por cuenta del Cliente; las transferencias de datos personales a un tercer país u organización internacional, con identificación de estos, y en el caso de las transferencias indicadas en el art. 49.1.2. RGPD, la documentación de garantías adecuadas; una descripción general de las medidas técnicas y organizativas de seguridad relativas a la seudonimización y cifrado de datos personales, a la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento, a la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico, y al proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
6.8. Poner a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el art. 28 del RGPD, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del Cliente o de otro auditor autorizado por el Cliente. Las auditorías a GESTANEX se limitán a una periodicidad anual salvo en caso de violaciones o brechas de seguridad sufridas en los últimos 12 meses que hubieran afectado a datos personales del Cliente. Las auditorías no podrán requerir en ningún caso la divulgación de datos de otros clientes por parte de GESTANEX, ni el acceso a información financiera o contable, o información comercial de GESTANEX, ni información que pudiera comprometer la seguridad de los sistemas o que implique que GESTANEX incumpla la normativa de protección de datos vigente o cualquier otra normativa o legislación aplicable.
6.9. No comunicar datos a terceras personas salvo que se cuente con la autorización expresa del Cliente y en los supuestos acordados y legalmente admisibles. GESTANEX podrá comunicar los datos a otros encargados del tratamiento del Cliente y de acuerdo con las instrucciones de este, que identificará de forma previa y por escrito la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación. Si GESTANEX debe transferir datos personales a un tercer país o a una organización internacional en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, informará al Cliente de esa exigencia legal de manera previa y salvo que tal Derecho lo prohíba por razones importantes de interés público.
6.10. Mantener el deber de secreto respecto a los datos de carácter personal a los que GESTANEX haya tenido acceso en virtud del contrato formalizado, incluso después de que finalice su objeto, y garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.
6.11. Notificar al Cliente sin dilación, y en el plazo de 48 horas desde que se tenga conocimiento al respecto, y a través de correo electrónico, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, junto con toda la información relevante para la documentación y comunicación de la incidencia. No será necesaria la notificación cuando sea improbable que la violación constituya un riesgo para los derechos y libertades de personas físicas. Si se dispone de la misma se deberá facilitar información relativa a la naturaleza de la violación de seguridad, incluyendo si fuera posible las categorías y número aproximado de afectados, las categorías y número aproximado de registros de datos personales afectados, y se facilitará también el nombre y datos de contacto del DPO si existiese o de otro contacto del que se pudiera obtener más información, se describirán las posibles consecuencias de la violación producida, y se describirán las medidas adoptadas o propuestas para poner remedio a la violación, incluyendo las adoptadas para mitigar los posibles efectos negativos. Si no fuera posible facilitar la información simultáneamente se facilitará de modo gradual sin dilación indebida. La notificación de la violación de seguridad a la autoridad de control y la comunicación a los interesados se realizará de acuerdo con lo indicado en los art. 33 y 34 RGPD.
6.12. La firma del contrato de prestación de servicios y la aceptación de este acuerdo implica que GESTANEX cuenta con la autorización del Cliente para contratar a los encargados del tratamiento que fueran necesarios para actuar como subprocesadores y facilitar la operativa y el funcionamiento correcto del sitio web.
GESTANEX especificará los tratamientos que se pretenden subcontratar e identificará de forma clara e inequívoca a las empresas que actuarán como subprocesadores y sus datos de contacto. Los cambios o modificaciones de subprocesadores se comunicarán al Cliente con antelación para que este tenga tiempo de manifestar su oposición, y se podrán llevar a cabo si el Cliente no manifiesta su oposición en el plazo legal establecido.
Los subprocesadores estarán obligados a cumplir las obligaciones establecidas en este acuerdo para GESTANEX y las instrucciones que pudiera dictar el Cliente y siempre que no impliquen un obstáculo para la operativa y el funcionamiento correcto del sitio web.
6.13. Respecto al destino de los datos una vez finalizada la relación contractual, GESTANEX deberá devolver al Cliente los datos de carácter personal y, si procede, los soportes donde consten, una vez cumplida la prestación de servicios. La devolución debe implicar el borrado de los datos personales existentes en los equipos informáticos de GESTANEX, que podrá conservar una copia, con los datos bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación y cuando se requiera la conservación de los datos personales en virtud del Derecho de la Unión Europea o de los Estados Miembros (art. 28 g) RGPD).
6.14. GESTANEX garantiza que las transferencias internacionales de datos personales que se pudieran realizar en relación con datos personales procesados con motivo del contrato formalizado con el Cliente se realizarán de conformidad con lo indicado en el Capítulo V del RGPD. En el caso de transferencias internacionales realizadas utilizando mecanismos que ya no sean válidos el Cliente concederá a GESTANEX un plazo razonable para subsanar la situación e identificar e implementar las medidas adecuadas para garantizar el cumplimiento del RGPD.
7.- OBLIGACIONES Y RESPONSABILIDADES DEL CLIENTE
Corresponderá al Cliente entregar a GESTANEX los datos a los que se refiere el apartado relativo a la información afectada más arriba indicado; garantizar que su uso del sitio web y sus servicios cumple con la regulación sobre protección de datos del RGPD; realizar si procede una evaluación de impacto en la protección de datos personales de las operaciones de tratamiento llevadas a cabo; realizar las consultas previas que corresponda; velar, de forma previa y durante todo el tratamiento, por el cumplimiento de lo dispuesto en el RGPD por parte de GESTANEX; y supervisar el tratamiento de datos personales realizado, incluida la realización de inspecciones y/o auditorías.
8.- RESPONSABILIDAD DE LAS PARTES CONTRATANTES
Las partes contratantes responderán de los daños y perjuicios causados por las conductas negligentes o dolosas que pudieran ser realizadas en el cumplimiento de las obligaciones que les corresponden según lo pactado y lo dispuesto legalmente, y no responderán de los incumplimientos motivados por causas de fuerza mayor o por aquellos sucesos fortuitos previstos y admitidos por la jurisprudencia aplicable.
9.- PROTECCIÓN DE DATOS
Los datos personales asociados a la formalización del acuerdo DPA serán incorporados a los archivos de las partes contratantes para facilitar la gestión de la relación establecida e informar acerca los servicios, actividades y obligaciones de las partes, pudiendo ejercitar respecto de los datos personales asociados a la formalización de la relación contractual los derechos reconocidos por la normativa aplicable, al efecto de lo que las partes se compromenten a facilitar dicho ejercicio y a proporcionar la información adicional que les fuera requerida sobre la política de protección de datos respectiva.
10.- DISPOSICIÓN FINAL
El Cliente reconoce a GESTANEX su derecho a utilizar la información relacionada con el funcionamiento, uso y labor de soporte técnico del sitio web para sus fines internos legítimos relacionados con la mejora y desarrollo de productos, el cumplimiento de la legalidad, la seguridad del sitio web y la prevención del fraude.
Los términos de este acuerdo DPA están sujetos a la normativa y legislación aplicables y la autoridad de los Juzgados y Tribunales competentes.