Última actualización: December 9, 2022

Este Anexo de Procesamiento de Datos (“DPA”) se incorpora y está sujeta a la Contrato entre Nibol S.r.l., con domicilio social en Via Alfredo Campanini 4, Milán, 20124 Italia (“Nibol" o "Procesador de datos”), y el cliente que es parte del Contrato (“Cliente”o "Controlador de datos”). Cada Controlador de datos y Procesador de datos puede denominarse en el presente como un "Parte” y conjuntamente como el “Partes”.

Fondo

  1. Artículo 28 del Reglamento General de Protección de Datos (UE) 2016/679 del Parlamento Europeo y del Consejo (“RGPD”) permite a cualquier responsable del tratamiento de datos personales designar a una persona física o jurídica, administración pública o cualquier otra entidad o asociación para actuar como encargado del tratamiento de datos personales en nombre del responsable del tratamiento entre las entidades que puedan garantizar adecuadamente el cumplimiento de las leyes de protección de datos aplicables, incluso con respecto a cuestiones de seguridad.
  2. El Procesador de datos proporcionará una plataforma denominada "Nibol" que ofrece, entre otras características, un servicio para administrar estaciones de trabajo, ubicaciones de oficinas y actividades al Controlador de datos ("Servicio”) de conformidad con el acuerdo entre las Partes relativo a la plataforma Nibol (“Contrato”) y, para prestar el Servicio, Nibol tratará los datos personales actuando como encargado del tratamiento en nombre del Responsable del tratamiento. Además, Nibol también procesará los Datos personales para sus propios fines, lo que incluye garantizar el correcto funcionamiento del Servicio y realizar análisis internos para mejorar el Servicio. En estos casos, Nibol actuará como responsable del tratamiento autónomo.
  3. Las Partes acuerdan que las cláusulas 2 a 7 de este DPA se aplican a cualquier procesamiento de Datos personales realizado por Nibol como Procesador de datos. Los propósitos del procesamiento de Personal con referencia al Servicio se describen en el Anexo 1 (Descripción del procesamiento donde Nibol actúa como Procesador de datos).
  4. Las Partes acuerdan que la cláusula 8 de este DPA se aplica cuando las Partes procesan Datos personales por separado en circunstancias en las que cada Parte se considera un controlador de datos con respecto a los Datos personales.
  5. Todos los Datos Personales cubiertos por el Contrato serán procesados de conformidad con el Artículo 28 del RGPD y todas las disposiciones aplicables de la Unión Europea y el Espacio Económico Europeo (“EEE") leyes y regulaciones ("Legislación de Protección de Datos”).
  6. Las Partes celebran este DPA para garantizar que cumplan con la Legislación de Protección de Datos aplicable y establezcan salvaguardas y procedimientos para el procesamiento legal de datos personales.

Términos acordados

Se entiende que los antecedentes anteriores y los Anexos de este DPA son parte integral y sustantiva del mismo, las Partes acuerdan lo siguiente.

  1. Definiciones
    1. A menos que se defina lo contrario en este DPA, todos los términos en mayúscula utilizados aquí tendrán el significado que se les otorga en el RGPD. En caso de conflicto o incoherencia en términos de garantías de protección de datos entre este DPA y el RGPD, prevalecerá este DPA.
      1. Contrato” tiene el significado que se le atribuye en el considerando B.
      2. DPA” tiene el significado que se le atribuye al inicio de este acuerdo.
      3. Controlador de datos” tiene el significado que se le atribuye al inicio de este acuerdo.
      4. Procesador de datos” tiene el significado que se le atribuye al inicio de este acuerdo.
      5. Legislación de Protección de Datos” tiene el significado que se le atribuye en el considerando E.
      6. EEE” tiene el significado que se le atribuye en el considerando E.
      7. RGPD” tiene el significado que se le atribuye en el considerando A.
      8. Fiesta" o "Fiestas” tiene el significado que se le atribuye al inicio de este acuerdo.
      9. Información personal” significa Datos personales relacionados con los Sujetos de datos procesados en relación con el Servicio proporcionado por el Procesador de datos al Controlador de datos.
      10. Violación de datos personales” significa una violación de la seguridad que conduce a la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilegal a los Datos personales transmitidos, almacenados o procesados de otra manera.
      11. Servicio” tiene el significado que se le atribuye en el considerando B.
      12. Cláusulas contractuales tipo": significa las Cláusulas contractuales estándar de la Decisión de Ejecución (UE) 2021/914 de la Comisión Europea.
      13. subprocesador” significa una entidad contratada por el Procesador de datos para ayudarlo en (o que realiza cualquier) procesamiento de Datos personales en el desempeño de las obligaciones del Procesador de datos de conformidad con el DPA.
  2. Funciones de protección de datos
    1. Las Partes acuerdan que:
      1. El Cliente actúa como Responsable del Tratamiento de los Datos Personales tratados por Nibol en la prestación del Servicio;
      2. Nibol actúa como Encargado del Tratamiento de los Datos Personales para la prestación del Servicio; y
      3. Este DPA regula la relación entre las Partes en términos de los respectivos deberes y obligaciones con respecto al procesamiento de Datos Personales por parte del Procesador de Datos en la prestación del Servicio.
  3. Obligaciones del Procesador de Datos
    1. En la medida en que Nibol actúe como procesador de datos, el Procesador de datos se compromete a:
      1. garantizar la confidencialidad de los Datos Personales de los que tenga conocimiento o de los que tenga conocimiento en la ejecución del Servicio o del Contrato y cumplir con las instrucciones impartidas en cada momento por el Responsable del Tratamiento;
      2. solo procesará los datos relacionados con las operaciones que se le encomienden sobre la base de las instrucciones del Controlador de datos, a menos que así lo exija la legislación de la Unión o de los Estados miembros a la que esté sujeto el Encargado del procesamiento de datos;
      3. procesar y retener Datos personales dentro del EEE y, en caso de transferencias de Datos personales a países fuera del EEE, adoptar las garantías requeridas por el RGPD*,* incluidas las cláusulas contractuales estándar de la Decisión de Ejecución (UE) 2021/914 de la Comisión Europea;
      4. de conformidad con el artículo 32 del RGPD, implementar medidas operativas, técnicas y organizativas adecuadas para eliminar o, en cualquier caso, minimizar cualquier riesgo de destrucción o pérdida de datos, accidental o no, y de acceso no autorizado o no conforme procesamiento, teniendo en cuenta (1) el estado actual de la técnica y el progreso técnico, (2) los riesgos asociados con los datos procesados, y (3) la naturaleza de los datos. Estas medidas incluyen, entre otras: (i) seudonimización y cifrado de datos personales (cuando sea posible); (ii) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas y servicios de procesamiento; (iii) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de manera oportuna en caso de un incidente físico o técnico;
      5. ayudar al Controlador de datos a garantizar el cumplimiento de sus obligaciones en virtud de los artículos 32 a 36 del RGPD, teniendo en cuenta la naturaleza del procesamiento y la información disponible para el Procesador de datos;
      6. identificar por escrito al personal autorizado para tratar datos personales y proporcionarle instrucciones sobre las operaciones a realizar en cumplimiento de las obligaciones del Encargado del Tratamiento en virtud del presente DPA, asegurando que (i) las instrucciones dadas se cumplan debidamente, y (ii) el personal autorizado están bajo una obligación apropiada de confidencialidad;
      7. cooperar de buena fe con el Controlador de datos para garantizar el cumplimiento de este DPA, ayudar al Controlador de datos a cumplir con sus obligaciones en virtud de la Legislación de protección de datos y poner a disposición del Controlador de datos toda la información necesaria para demostrar el cumplimiento de la Legislación de protección de datos;
      8. permitir y contribuir a las auditorías realizadas por el controlador de datos o por sus auditores o agentes autorizados en los sistemas y ubicaciones del procesador de datos utilizados para procesar datos personales. Las auditorías realizadas deben ir precedidas de un aviso previo razonable al Encargado del tratamiento y, en todo caso, en una fecha acordada con el Encargado del tratamiento. Cualquier información recopilada sobre las actividades del Procesador de datos estará sujeta a confidencialidad, excepto cuando las leyes aplicables sean obligatorias (incluida, entre otras, la Legislación de protección de datos aplicable) u órdenes vinculantes de las autoridades encargadas de hacer cumplir la ley (incluidas, entre otras, la Autoridad de control). ) exigen que se divulgue información. El Controlador de datos correrá con todos los costos incurridos por las auditorías;
      9. usar los servicios de los Subprocesadores aprobados por el Controlador de datos, con el único y exclusivo propósito de brindar el Servicio y sujeto a este DPA. El Controlador de datos autoriza al Procesador de datos a contratar Subprocesadores sujeto a las condiciones de que el Procesador de datos: (1) celebre un acuerdo por escrito con el Subprocesador que contenga las mismas obligaciones que se establecen en este DPA o, en cualquier caso , se asegura de que el Subencargado del tratamiento no ofrezca menos garantías que las que ofrece el Encargado del tratamiento en este DPA, y (2) sigue siendo totalmente responsable de las acciones u omisiones del Subencargado del tratamiento. Una lista actual de los Subprocesadores involucrados en la prestación del Servicio está disponible en la cuenta Nibol Admin del Controlador de datos o aquí [www.nibol.com/sub-processors] (Lista de subprocesadores). El acceso al enlace anterior podría estar protegido por una contraseña que el Controlador de datos recibirá, previa solicitud por escrito, de Nibol. El Procesador de datos actualizará la Lista de Subprocesadores para reflejar cualquier adición o reemplazo de Subprocesadores. El Controlador de datos verificará periódicamente la lista, en cualquier caso al menos una vez al mes, y podrá oponerse razonablemente al uso de un nuevo Subencargado por motivos legítimos, sujeto a las cláusulas de terminación y responsabilidad del Contrato. El Controlador de datos reconoce que estos Subprocesadores son esenciales para la prestación del Servicio y que oponerse al uso de un Subprocesador puede impedir que Nibol ofrezca el Servicio al Controlador de datos;
      10. mantener registros escritos de todo tipo de actividades de procesamiento realizadas en nombre del Controlador de datos, cuando corresponda en relación con la organización del Encargado del tratamiento o la naturaleza del procesamiento, de conformidad con el artículo 30 del RGPD;
      11. notificar al Responsable del tratamiento, salvo que esté legalmente prohibido hacerlo, sin dilación indebida, después de haber tenido conocimiento de cualquier contacto, comunicación o correspondencia que pueda recibir de la Autoridad de control, los tribunales o las fuerzas del orden competentes en relación con el tratamiento de Datos personales;
      12. informar inmediatamente al Controlador de datos cuando, en opinión del Encargado del tratamiento, una instrucción recibida del Controlador de datos viola el RGPD u otras leyes o reglamentos nacionales o de la Unión Europea aplicables relacionados con la protección de datos;
      13. ayudar al Controlador de datos con las medidas técnicas y organizativas apropiadas para cumplir con todas las solicitudes de los interesados que el Controlador de datos pueda recibir. El Procesador de datos acepta notificar de inmediato al Controlador de datos sobre cualquier solicitud recibida directamente del Sujeto de datos.
  4. Obligaciones del Responsable del Tratamiento
    1. El Controlador de datos acepta que para que el Procesador de datos brinde el Servicio, el Controlador de datos deberá proporcionar al Procesador de datos con Datos personales.
    2. El Controlador de datos declara y garantiza que tiene una base legal adecuada (por ejemplo, el consentimiento del Sujeto de datos, interés legítimo, autorización de la Autoridad de control pertinente, etc.) para procesar y divulgar Datos personales al Procesador de datos como parte de la provisión de la Servicio.
  5. Devolución y eliminación de datos
    1. Al vencimiento del Contrato, el Procesador de datos acepta eliminar o anonimizar todos los Datos personales dentro de los siguientes 60 días.
    2. Si el Controlador de datos lo solicita dentro de los treinta (30) días anteriores al vencimiento o terminación del Servicio, el Procesador de datos devolverá los Datos personales al Controlador de datos de acuerdo con los términos de este DPA y las Leyes de protección de datos aplicables.
    3. Previa solicitud por escrito del Controlador de datos, el Procesador de datos debe proporcionar una declaración al Controlador de datos que certifique la devolución o eliminación de los Datos personales, o ambos, según corresponda.
    4. Las obligaciones del Procesador de datos en virtud de las cláusulas 5.1 y 5.2 estarán sujetas a las leyes aplicables obligatorias (incluidas, entre otras, las Leyes de protección de datos aplicables) o a las órdenes vinculantes de las autoridades judiciales, policiales o reguladoras competentes (incluidas, entre otras, , la Autoridad de Control) que impidan al Encargado del Tratamiento cumplir con sus obligaciones. En tales casos, el Procesador de datos permanecerá sujeto a este DPA (incluso después de su vencimiento o terminación anticipada) con respecto a cualquier Dato personal así retenido, y el Procesador de datos no debe procesar ningún Dato personal para ningún otro propósito que no sea el de cumplir con dichos requisitos legales. obligaciones u órdenes vinculantes.
    5. El Procesador de datos puede retener Datos personales que se almacenan en operaciones regulares de copia de seguridad de la computadora de conformidad con los protocolos de recuperación ante desastres y continuidad comercial del Procesador de datos; siempre que, sin embargo, el Procesador de datos no procese ningún Dato personal retenido en el almacenamiento de respaldo para ningún otro propósito que no sea proporcionar el Servicio y que dichos Datos personales se eliminarán, en cualquier caso, después de 90 días.
  6. Filtración de datos
    1. El Procesador de Datos se compromete a:
      1. notificar al Controlador de datos de cualquier Violación de datos personales lo antes posible y, en cualquier caso, a más tardar 48 (cuarenta y ocho) horas después de que el Procesador de datos tenga conocimiento de la Violación de datos personales, para permitir que el Controlador de datos implemente su respuesta de manera expedita programa;
      2. cooperar con el Controlador de datos para investigar cualquier Violación de datos personales y proporcionar al Controlador de datos toda la información solicitada por este en relación con la Violación de datos personales;
      3. tomar las medidas apropiadas para contener y mitigar cualquier Violación de datos personales, cooperando plenamente con el Controlador de datos para desarrollar e implementar un plan de acción para abordar la Violación de datos personales de acuerdo con las leyes y regulaciones aplicables; y
      4. cuando la Legislación de Protección de Datos requiera que la Violación de Datos Personales sea notificada a las Autoridades de Supervisión relevantes y a los Sujetos de Datos afectados, siga y cumpla con las instrucciones del Controlador de Datos.
      5. El Procesador de datos acepta que el Controlador de datos tendrá derecho a determinar las medidas que se tomarán para cumplir con la Legislación de protección de datos aplicable y para remediar cualquier riesgo, incluido, entre otros: (1) si se debe proporcionar algún aviso a cualquier individuo, reguladores, agencias de aplicación de la ley, agencias de informes de consumidores u otros, según lo exija la Legislación de protección de datos aplicable o a discreción exclusiva del Controlador de datos; y (2) el contenido de dicho aviso, si se puede ofrecer algún tipo de remediación a los Sujetos de datos afectados bajo la responsabilidad del Controlador de datos, y la naturaleza y el alcance de dicha remediación.
  7. Transmisiones
    1. Los Datos personales transmitidos por el Procesador de datos en relación con el Servicio a través de Internet se cifrarán razonablemente. Las Partes reconocen, sin embargo, que no se puede garantizar la seguridad de las transmisiones a través de Internet.
    2. Si se sospecha alguna violación de seguridad o violación de datos personales, el Procesador de datos puede suspender el uso del Servicio por parte del Controlador de datos a través de Internet inmediatamente en espera de una investigación, siempre que el Procesador de datos notifique dicha suspensión tan pronto como sea razonablemente posible y tome todas las medidas necesarias. medidas razonables para restablecer rápidamente el uso del Servicio a través de Internet y cooperar con el Controlador de datos para continuar con la prestación del Servicio a través de otros canales de comunicación.
  8. El papel de Nibol como controlador de datos
    1. Las Partes reconocen y aceptan que, en la medida en que Nibol procese los Datos personales involucrados en el Servicio para (1) establecer, ejercer o defender los derechos de Nibol, incluida la prueba de la ejecución correcta del Servicio, (2) cumplir con las obligaciones legales o reglamentarias aplicables al procesamiento y retención de datos a los que está sujeto Nibol, y (3) enviar comunicaciones sobre noticias y actualizaciones de la plataforma y de soporte, Nibol actúa como controlador de datos con respecto al procesamiento de Datos personales que recibe de o a través de los Datos Controlador.
    2. Cuando ambas Partes actúan como controladores autónomos, cada Parte se compromete a procesar los Datos Personales de conformidad con la Legislación de Protección de Datos. En particular, cada Parte será responsable de asegurarse de tener una base legal para recopilar y procesar los Datos personales y proporcionará información transparente a los interesados sobre el procesamiento.
    3. A menos que la legislación aplicable lo impida hacerlo, cada Parte brindará a la otra Parte una cooperación y asistencia razonables, según corresponda de vez en cuando, en relación con:
      1. su cumplimiento de la Legislación de Protección de Datos en relación con los Datos Personales;
      2. cualquier solicitud u otra comunicación realizada en relación con los derechos de los interesados; y
      3. cualquier aviso u otra comunicación recibida de una autoridad de control en relación con el procesamiento de los Datos personales o el cumplimiento de la Legislación de protección de datos por parte de la otra Parte, siempre que una Parte no esté obligada a incurrir en costos o gastos materiales para brindar dicha cooperación y asistencia.