ADENDA CONTROLADOR DE DATOS 

NOMBRAMIENTO DEL RESPONSABLE DEL TRATAMIENTO 

El Usuario (en adelante “Propietario” o “Cliente” o “Responsable del tratamiento”), mediante la aceptación expresa de los Términos y Condiciones de “SU MARCA” (en adelante, el “Proveedor” o el “Encargado del Tratamiento”), acepta la presente adenda sobre el tratamiento de datos personales, que constituye parte integrante de la relación entre las Partes. La presente Adenda se firma de conformidad con el artículo 28 del Reglamento 679/2016 y regula la forma en que el Procesador de Datos procesará los datos personales en nombre del Controlador de Datos. El Responsable del Tratamiento y el Encargado del Tratamiento, también podrán ser denominados individualmente como la “Parte” y conjuntamente como las “Partes”. 

CONSIDERANDO. 

-las operaciones de tratamiento de datos personales llevadas a cabo por el responsable del tratamiento figuren en el registro de operaciones de tratamiento llevado por el responsable del tratamiento; 

-para algunas operaciones de tratamiento, el Responsable del Tratamiento recurre a la colaboración del Proveedor; 

-el Proveedor, como parte de los servicios ofrecidos al Responsable del Tratamiento, mejor detallados en el contrato específico en vigor, puede llevar a cabo el tratamiento de datos personales por cuenta del Responsable del Tratamiento; 

-el Responsable del Tratamiento y el Proveedor han firmado un acuerdo para la prestación de un servicio integrado de web y tableta para la creación, gestión y envío de solicitudes de revisión (“Servicio”), del que este documento forma parte integrante; 

-en referencia al Servicio puesto a disposición por el Proveedor, éste podrá tratar datos personales propiedad del Titular y, más concretamente, datos comunes (nombre, apellidos, datos de contacto) de los clientes finales del Titular; -la finalidad del tratamiento es proporcionar una solución tecnológica que permita al Titular poder aprovechar el Servicio; 

-de conformidad con el artículo 28.1 del Reglamento (UE) 2016/679, Reglamento General de Protección de Datos (en adelante, “RGPD”), “cuando un tratamiento deba realizarse por cuenta del Responsable del Tratamiento, este último solo utilizará encargados del tratamiento.” 

-el Responsable del Tratamiento ha verificado que el Proveedor, de nuevo en virtud del artículo 28.1 del GDPR, presenta “garantías suficientes para implantar las medidas técnicas y organizativas apropiadas para que el tratamiento cumpla los requisitos del Reglamento y garantice la protección de los derechos del interesado.” 

El Responsable del tratamiento designa al Proveedor como “ENCARGADO DEL TRATAMIENTO DE DATOS PERSONALES” (en adelante, también simplemente “Encargado del tratamiento” o “Responsable del tratamiento”), con respecto a los datos personales que el Proveedor pueda tratar en el ejercicio de sus actividades y los que se le puedan confiar en el futuro. 

De conformidad con el GDPR, la actividad realizada por el Procesador se regirá de la siguiente manera: 

1. 1. DURACIÓN. La presente designación será efectiva mientras dure la relación del encargado del tratamiento con el responsable del tratamiento y se considerará automáticamente revocada en caso de cese de la misma. 

2. FINALIDAD DEL TRATAMIENTO. Los datos que se confíen al Encargado, en el marco de las actividades que se le encomienden para la utilización del Servicio, podrán ser tratados únicamente para los fines indicados en el mandato confiado y/o en el contrato celebrado con el Propietario. En particular, los datos serán tratados por el Proveedor sólo con el fin de poder garantizar la prestación del Servicio al Propietario que, en cualquier caso, seguirá siendo la única entidad obligada a tener que comunicar al cliente final los fines y obtener el consentimiento para el tratamiento, así como la comunicación de los datos a terceros. 

3. MÉTODOS DE TRATAMIENTO. Los datos podrán ser tratados en soporte papel o digital, en función de las actividades desarrolladas, siempre que las herramientas sean debidamente identificadas e inventariadas por el Responsable y comunicadas sistemáticamente al Propietario para su aprobación. En particular, los datos se tratarán mediante la plataforma informática “SU MARCA”. 

4. DEBERES Y TAREAS DEL RESPONSABLE El Responsable del tratamiento, tal y como se estipula en el artículo 28 del GDPR, se compromete a: 

(a) tratar los datos personales confiados únicamente siguiendo instrucciones documentadas del Responsable, incluso en caso de transferencia de datos personales a un tercer país, salvo disposición legal en contrario. En este caso, el Responsable sigue estando obligado a informar al Responsable del tratamiento; 

(b) asegurarse de que las personas autorizadas para el tratamiento se han comprometido a mantener la confidencialidad o tienen una obligación legal de confidencialidad adecuada. Para ello, el Responsable verificará periódicamente que los encargados (i) llevan a cabo el tratamiento de forma lícita y correcta, exclusivamente con el fin de prestar los servicios objeto de la relación contractual entre las Partes; (ii) tratan los datos personales únicamente para fines inherentes a las tareas que les han sido asignadas; (iii) no comunican ni difunden los datos personales sin la autorización previa del Responsable; (iv) verificar, en caso de interrupción incluso temporal del trabajo, que los datos personales tratados no sean accesibles a terceros no autorizados; (v) custodiar y mantener en estricta confidencialidad las credenciales de autenticación; (vi) respetar las medidas de seguridad exigidas por el Responsable del tratamiento y/o el Titular del tratamiento; 

(c) garantizar una formación adecuada y contrastada de las personas autorizadas para el tratamiento, de conformidad con el artículo 29 del RGPD; 

(d) adoptar, de conformidad con el artículo 32 del RGPD, todas las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, teniendo en cuenta el estado de la técnica y los costes de aplicación, así como la naturaleza, el objeto, el contexto y los fines del tratamiento, así como el riesgo de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, a fin de reducir al mínimo los riesgos de destrucción o pérdida, incluida la pérdida accidental de los propios datos, de acceso no autorizado o de tratamiento no autorizado o no conforme con los fines de la recogida 

e) informar al Controlador de Datos, de conformidad con el artículo 28 del GDPR, si es necesario utilizar otro Procesador de Datos; 

f) ayudar al responsable del tratamiento a cumplir las obligaciones legales en virtud de los artículos 32 (Seguridad del tratamiento), 33 (Notificación de una violación de datos personales a la autoridad de control), 34 (Notificación de una violación de datos personales al interesado), 35 (Evaluación de impacto relativa a la protección de datos), 36 (Consulta previa), teniendo en cuenta la naturaleza del tratamiento y la información de que disponga el responsable del tratamiento. 

g) prever la actualización, modificación, rectificación de los datos personales si ello es necesario en relación con las finalidades del tratamiento, y suprimir o devolver sin demora, a petición del Responsable, todos los datos personales y las copias existentes de los que el Responsable esté en posesión sin poder conservar copia alguna, salvo acuerdo expreso en contrario o disposición legal. En cualquier caso, suprimir y/o destruir, según lo exija la ley (como el “borrado” en el caso de los datos digitales), los datos personales cuando se hayan alcanzado los fines para los que se recogieron y trataron, en ausencia de una obligación legal o de la necesidad de seguir conservándolos; 

h) permitir que el Responsable del tratamiento ejerza la facultad de control prevista en el artículo 28 del GDPR: en este contexto, poner a disposición del Responsable del tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones de la presente Adenda y para demostrar el cumplimiento de las obligaciones legales y permitir las actividades de verificación (Auditoría), llevadas a cabo por el Responsable del tratamiento o por terceros encargados por el Responsable del tratamiento, con el fin de comprobar la observación de estos métodos de tratamiento de datos y el cumplimiento de los requisitos legales. El Responsable del tratamiento tendrá derecho a verificar, con un preaviso de al menos 20 (veinte) días laborables, también en la sede del Responsable del tratamiento, la conformidad de los procedimientos adoptados por este último con lo indicado en el presente Addendum o exigido por la ley; 

i) comprometerse a cumplir la Disposición General del Garante para la Protección de Datos de Carácter Personal de 27 de noviembre de 2008 “Medidas y expedientes prescritos a los titulares de tratamientos de datos efectuados con instrumentos electrónicos en relación con las atribuciones de las funciones de administrador del sistema”, modificada por la Orden del Garante de 25 de junio de 2009 “Modificaciones a la Orden de 27 de noviembre de 2008 sobre prescripciones a los titulares de tratamientos realizados con instrumentos electrónicos en relación con las atribuciones de administrador del sistema y ampliación de los plazos para su cumplimiento”, tal y como podrá ser modificada o sustituida por el mismo Garante, y a cualquier otra medida relevante de la Autoridad; 

j) cooperar para la exacta aplicación de la ley, incluso a través de reuniones periódicas y actuar dentro del ámbito y límites de sus funciones, de forma autónoma, pero siempre de acuerdo con las directrices establecidas por el Controlador. 

5. 5. SUPERVISIÓN. El Responsable del Tratamiento podrá supervisar el puntual cumplimiento de las instrucciones aquí impartidas al Encargado del Tratamiento y verificará el mantenimiento de los requisitos de experiencia, capacidad y fiabilidad que influyeron en la designación del Encargado del Tratamiento. 

6. VIOLACIÓN. Se hace saber al Encargado del Tratamiento que si infringe lo dispuesto en la ley determinando de forma independiente los fines y medios del Tratamiento, o desoyendo las instrucciones recibidas del Responsable del Tratamiento, será considerado Responsable del Tratamiento en cuestión; 

7. ASISTENCIA AL RESPONSABLE DEL TRATAMIENTO EN CASO DE VIOLACIÓN. En caso de violación de los datos personales, el Proveedor se compromete a informar al Responsable del tratamiento sin demora indebida desde el momento en que tenga conocimiento de la violación. El Proveedor asistirá al Titular iniciando un análisis preliminar encaminado a recopilar los datos relativos a la anomalía y elaborando una hoja de sucesos, que contendrá toda la información recopilada y disponible en ese momento, como por ejemplo, aunque no exclusivamente: – Fecha del suceso, también la fecha presunta de ocurrencia de la infracción (en cuyo caso debe especificarse) 

– Fecha y hora en que se tuvo conocimiento de la infracción; 

– Fuente de la información; 

– Tipo de infracción e información implicada; 

– Descripción del evento anormal; 

– Número de interesados implicados; 

– Cantidad de información personal supuestamente violada; 

– Indicación de la fecha, incluida la presunta, de la infracción y cuándo se produjo Conocimientos; 

– Indicación del lugar donde se ha producido la violación de los datos, especificando también si se ha producido 

Ocurridos como consecuencia de la pérdida de dispositivos o soportes portátiles; – Descripción concisa de los sistemas de tratamiento o almacenamiento de datos implicados, con 

indicación de su ubicación. 

8. CONFIDENCIALIDAD. El encargado del tratamiento se compromete a mantener estrictamente confidenciales y 

confidencial y a utilizar únicamente para el cumplimiento de las obligaciones derivadas del contrato, cualquier información relativa a la otra Parte y/o a las personas implicadas en el tratamiento de datos personales y/o productos, servicios, organización, negocio o estrategia técnica recibida de la otra Parte o de la que tenga conocimiento durante la ejecución del contrato relacionado con el Servicio (en adelante, la “Información Confidencial”). La Parte Responsable se compromete a no utilizar la Información Confidencial fuera de los fines previstos en el presente contrato, ni a divulgarla a partes no previstas en el presente contrato, sin la aprobación por escrito del Propietario. El Gestor tomará todas las medidas necesarias para no divulgar ni poner a disposición de terceros, en modo alguno, la Información Confidencial del Propietario y/o de las partes interesadas y, en cualquier caso, será directamente responsable ante el Propietario de cualquier violación por parte de sus empleados y/o subcontratistas de las obligaciones de confidencialidad establecidas en el presente artículo. Las disposiciones del presente artículo no se aplicarán o dejarán de aplicarse a aquellas informaciones individuales que el Responsable pueda demostrar: (i) que ya han pasado a ser de dominio público por causas distintas a la infracción del propio Responsable; (ii) que ya eran conocidas con anterioridad a haber sido recibidas por el Responsable; (iii) que fueron divulgadas o reveladas en cumplimiento de una orden legítima de cualquier autoridad o en virtud de una obligación legal. La Información Confidencial revelada seguirá siendo propiedad del Responsable del Tratamiento. Previa solicitud por escrito del propio Titular, dicha información será devuelta o destruida por el Responsable. 

9. ENMIENDAS Y ADICIONES. Las Partes tendrán derecho a realizar las modificaciones y ajustes al presente Contrato que sean necesarios en cualquier momento, incluso para cumplir con cualquier actualización normativa. Cualquier solicitud de modificación se notificará al Administrador por carta certificada con acuse de recibo o correo electrónico certificado. Tras la mencionada solicitud de modificación, el Gestor dispondrá de 60 días para desistir del acuerdo. Transcurrido este plazo, las modificaciones se considerarán aceptadas por el tramitador. Para todo lo que no esté expresamente previsto en el presente acuerdo, remítase a las disposiciones generales vigentes en materia de protección de datos personales. 

10. LEGISLACIÓN APLICABLE. En caso de cualquier controversia relativa a la validez, interpretación, ejecución y terminación del presente Addendum, las Partes acuerdan buscar una solución justa y amistosa entre ellas. Si el litigio no se resolviera de forma amistosa, se considerará competencia exclusiva de la Autoridad Judicial del Tribunal de Roma. Para la resolución de cualquier controversia relativa a la validez, interpretación, ejecución y terminación del presente acuerdo se aplicará la Ley Italiana. 

Queda entendido que esta designación no implica ningún derecho del Proveedor a ninguna compensación y/o indemnización y/o reembolso específicos derivados de esta designación, más allá de lo ya previsto en las condiciones. 

We Care. We Plan. We Do.

Facebook Instagram
Office

Con base en Madrid, trabajamos para todo el mundo

Menu
Legal