El presente Anexo forma parte integrante de las Condiciones Generales del Servicio Google Workspace aceptadas por el Cliente (en adelante, el “Contrato”) y resultará de aplicación en todos aquellos supuestos en los que la prestación de los servicios mencionados implique el tratamiento por parte de HADOQ IT, S.L. (en adelante, “HIT CLOSER”)de datos personales de los que sea Responsable el Cliente. En esos casos, las Partes se obligan a cumplir con las obligaciones previstas en la normativa aplicable y, especialmente, con las siguientes:
1. DEFINICIONES
“Autoridad de Protección de Datos”: la/s autoridad/es pública/s independiente/s establecida/s por un Estado miembro del Unión Europea que tenga competencias en materia de protección de Datos Personales.
“Datos Personales”: toda información sobre una persona física identificada o identificable; se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.
“Interesados”: personas físicas a las que se refieran los datos personales objeto de tratamiento.
“Tratamiento”: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.
“Responsable/s del Tratamiento”: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento. A los efectos del presente Anexo, el Cliente ocupa la posición de Responsable del Tratamiento.
“Encargado”: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del Responsable del tratamiento. A los efectos del presente Anexo, HIT CLOSER ocupa la posición de Encargado.
“Normativa Aplicable”: el Reglamento (UE) 2016/679, del Parlamento Europeo y de Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (“RGPD”), o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros.
“Violación de la Seguridad”: toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de Datos Personales transmitidos, conservados u objeto de cualquier otra forma de Tratamiento, o la comunicación o acceso no autorizados a dichos datos.
“Servicios”: son los servicios objeto del Contrato conforme éstos se describan en el mismo.
2. OBJETO DEL ENCARGO
Con el fin exclusivo de prestar los Servicios objeto del Contrato, se habilita a HIT CLOSER para tratar por cuenta del Cliente, Responsable del tratamiento, los Datos Personales que se describen a continuación:
- Concreción de los tratamientos a realizar:
- Consulta
- Comunicación
- Conservación
- Destrucción
- Limitación
- Modificación
- Registro
- Supresión
- Identificación de la información afectada:
a) Categorías de interesados: personas de contacto, empleados y/o usuarios del Cliente
b) Tipo de datos: En función de la información facilitada para gestionar la cuenta del Servicio de Google Workspace por cuenta del Cliente:
- Datos de carácter identificativo (incluye, por ejemplo: nombre y apellidos, NIF/DNI, teléfono, dirección postal, correo electrónico, firma, imagen/voz, etc.)
Alcance.- Lo dispuesto en el presente Anexo debe entenderse exclusivamente referido al acceso y/o tratamiento de Datos Personales anteriormente descritos y sin perjuicio de las obligaciones en materia de protección de datos asumidas con el Cliente por la entidad identificada en la Cláusula 4, letra d, siguiente, en virtud del correspondiente contrato de encargado del tratamiento.
3. DURACIÓN
El presente Anexo tendrá la misma duración que la determinada para el Contrato.
4. OBLIGACIONES DE HIT CLOSER
HIT CLOSER, en relación con los Datos Personales que sean objeto de Tratamiento con motivo de la prestación de los Servicios, se obliga como Encargado a lo siguiente:
a) Utilizar los Datos Personales objeto de Tratamiento exclusivamente para la finalidad de prestar los Servicios, quedando expresamente prohibida su utilización con cualquier otra finalidad.
b) Tratar los Datos Personales de acuerdo a las instrucciones documentadas que le sean transmitidas por el Cliente. Si HIT CLOSER considera que alguna de las instrucciones infringe la Normativa Aplicable, HIT CLOSER informará al Cliente.
c) No comunicar los Datos Personales a terceras personas, salvo que cuente con la autorización expresa del Cliente, en los supuestos legalmente admisibles.
HIT CLOSER puede comunicar los Datos Personales a otros Encargados del mismo Responsable del Tratamiento, de acuerdo con las instrucciones del Cliente. En este caso, el Cliente identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los Datos Personales, los Datos Personales a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación.
Si HIT CLOSER debe transferir Datos Personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, informará al Cliente de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público.
d) Sin perjuicio de cualquier disposición contraria en el Contrato, HIT CLOSER no subcontratará a otro Encargado sin la previa autorización, específica y por escrito, del Cliente.
A continuación se enumeran todos los subcontratistas utilizados por HIT CLOSER que, a la fecha de vigencia del Contrato, han sido autorizados por el Cliente:
Subencargado: | Google Cloud EMEA Limited (VAT IE3668997OH) 70 Sir John Rogerson’s Quay, Dublin 2, Ireland |
Servicio / Descripción: | Servicios de Google Workspace |
Tipo de datos: | Datos de carácter identificativo |
Para subcontratar con otras empresas, HIT CLOSER deberá comunicar este hecho previamente por escrito al Cliente, identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el no manifiesta su oposición en el plazo de 30 días.
El subcontratista, que también tendrá la condición de Encargado, está obligado igualmente a cumplir las obligaciones establecidas en este Anexo para HIT CLOSEr y las instrucciones documentadas que dicte el Cliente. Corresponde a HIT CLOSER regular la nueva relación de forma que el nuevo Encargado (“subencargado”) quede sujeto a las mismas condiciones y con los mismos requisitos formales que HIT CLOSER asume en virtud del presente Anexo. En el caso de incumplimiento por parte del subencargado de cualquier de sus obligaciones, HIT CLOSER seguirá siendo plenamente responsable ante el Cliente.
e) HIT CLOSER garantizará que las personas autorizadas para tratar Datos Personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria.
f) HIT CLOSER asistirá al Cliente siempre que sea posible en la respuesta al ejercicio de los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles).
Cuando las personas afectadas ejerzan los mencionados derechos ante HIT CLOSER, este deberá comunicarlo al Cliente.
g) HIT CLOSER notificará al Cliente las Violaciones de la Seguridad de los Datos Personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia.
Si se dispone de ella, se facilitará la información siguiente:
- Descripción de la naturaleza de la Violación de la Seguridad de los Datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de Interesados afectados, y las categorías y el número aproximado de registros de Datos Personales afectados.
2. El nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.
3. Descripción de las posibles consecuencias de la Violación de la Seguridad de los Datos Personales.
4. Descripción de las medidas adoptadas o propuestas para poner remedio a la Violación de la Seguridad de los Datos Personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
5. Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual.
h) Dar apoyo al Cliente en la realización de las evaluaciones de impacto relativas a la protección de datos, cuando proceda.
i) Dar apoyo al Cliente en la realización de las consultas previas a la Autoridad de Protección de Datos, cuando proceda.
j) Poner a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el Responsable u otro auditor autorizado por él.
k) Cuando proceda de conformidad con la Normativa Aplicable, designar un delegado de protección de datos, así como comunicar su identidad y datos de contacto al Cliente.
l) Cuando proceda de conformidad con la Normativa Aplicable Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del Cliente, que contenga:
- El nombre y los datos de contacto del Encargado o Encargados y de cada Responsable del Tratamiento por cuenta del cual actúe el Encargado y, en su caso, del representante del Responsable o del Encargado y del delegado de protección de datos.
- Las categorías de tratamientos efectuados por cuenta de cada Responsable del Tratamiento.
- En su caso, las transferencias de Datos Personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el Artículo 49, apartado 1, párrafo segundo, del RGPD, la documentación de garantías adecuadas.
Una descripción general de las medidas técnicas y organizativas de seguridad adoptadas en virtud de la Cláusula 5 del presente Anexo.
m) Una vez cumplida la prestación contractual y, en todo caso, a la terminación del Contrato, HIT CLOSER se obliga destruir los Datos Personales.
No obstante lo anterior, HIT CLOSER puede conservar una copia, con los Datos Personales debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación.
HIT CLOSER se compromete a adoptar las medidas de seguridad técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, teniendo en cuenta el estado de la técnica, los costes de aplicación, así como la naturaleza, alcance, contexto, y finalidades del tratamiento, así como los riesgos -de probabilidad y gravedad variables- para los derechos y las libertades de las personas físicas, que según corresponda incluya, entre otras:
- La seudonimización y el cifrado de datos personales
- La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
- La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.
- Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
Para evaluar el nivel de seguridad adecuado se tendrán en cuenta los riesgos que puedan derivarse del tratamiento, en especial, la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, así como la comunicación o acceso no autorizados a dichos datos.
6.- OBLIGACIONES DEL CLIENTE
Corresponde al Cliente:
- Entregar a HIT CLOSER o habilitar el acceso a los Datos Personales a los que se refiere la Cláusula 2 de este Anexo.
- Cuando proceda, según la Normativa Aplicable, realizar una evaluación del impacto en la protección de Datos Personales de las operaciones de Tratamiento a realizar por HIT CLOSER.
- En su caso, realizar las consultas previas que correspondan según la Normativa Aplicable.
- Velar, de forma previa y durante todo el tratamiento, por el cumplimiento de la Normativa Aplicable por parte de HIT CLOSER.
Supervisar el tratamiento, incluida la realización de inspecciones y auditorías