Acuerdo para el Tratamiento de Datos

1. Premisa

Este documento, anexado e integrante del contrato de licencia del programa “Tech Away”, se considera transcrito al final del mismo, por lo que se entienden referidas todas las definiciones y cláusulas, que se dan por conocidas por todas las partes del contrato.

2. Acuerdo

En cumplimiento de las disposiciones del Reglamento UE 2016/679 en materia de protección de datos personales (en adelante “GDPR”), se comunica que, en relación con las actividades de tratamiento de datos personales asociadas al uso del Programa, dichas actividades son realizadas por Cosmobile en nombre del Cliente, quien es el titular del tratamiento, y por lo tanto Cosmobile asume el rol de encargado del tratamiento.

Se reconoce, en particular, que el uso del Programa podría implicar el tratamiento de datos personales descritos en este documento.

Con la firma del Contrato, Cosmobile es designada como responsable del tratamiento a la luz de las garantías suficientes prestadas para implementar medidas técnicas y organizativas adecuadas de manera que el tratamiento cumpla con los requisitos del GDPR y garantice la protección de los derechos y libertades fundamentales e inviolables de los interesados.

Las Partes se comprometen a mantener indemnes y a eximir de responsabilidad a cada una por cualquier daño, carga, costo, gasto y/o reclamación de terceros que pueda derivarse de la violación de las disposiciones normativas vigentes en materia de protección de datos personales, que sea imputable a cada Parte, es decir, al Cliente como titular del tratamiento, por un lado, y a Cosmobile como responsable del tratamiento, por otro lado, este último también en relación con las actividades de tratamiento de datos personales realizadas por posibles subencargados autorizados (subresponsables).

De acuerdo con lo dispuesto en el Art. 30, párrafo 2, letra a) del GDPR, los datos de contacto del titular del tratamiento que se pueden incluir en el registro de actividades de tratamiento son los ya indicados por el Cliente al momento de la registración y activación del período de prueba o del Abono; en caso de que el Cliente haya designado un delegado de protección de datos (DPD), se compromete a comunicar el nombre y los datos de contacto a Cosmobile dentro de los 5 (cinco) días siguientes a la firma del Contrato.

El titular del tratamiento se obliga a comunicar cualquier cambio o modificación de sus datos de contacto y de los datos del delegado de protección de datos de manera oportuna y siempre mediante un medio trazable.

3. Tratamientos

3.1. Naturaleza y Finalidad del Tratamiento

Los datos personales serán tratados exclusivamente para el uso correcto del Programa.

En detalle, la finalidad del tratamiento es la siguiente: recogida y archivo para fines contractuales, comerciales y/o fiscales; tratamiento y comunicación para fines contractuales, comerciales, fiscales y de contacto; recogida, archivo y perfilado para fines estadísticos.

3.2. Modalidades del Tratamiento

El tratamiento se llevará a cabo de forma automatizada, semi-automatizada y manual, exclusivamente en formato electrónico.

3.3. Categorías de Interesados

Los datos personales tratados pueden referirse al Cliente, sus representantes legales, sus empleados, sus colaboradores, sus proveedores, sus clientes y posibles clientes, así como los contactos recogidos previamente directamente por el Cliente.

3.4. Tipología de Datos Personales

Los tratamientos realizados por Cosmobile en nombre del Cliente se refieren exclusivamente a datos personales comunes (nombre, apellido, código fiscal, datos bancarios, datos salariales, etc.). Cosmobile no asume ninguna responsabilidad por el tratamiento de datos pertenecientes a categorías especiales según los Art. 9 y 10 del GDPR que no estén autorizados ni previstos en este Acuerdo.

3.5. Duración del Tratamiento

El presente Acuerdo tiene la misma duración y eficacia que el Contrato; por lo tanto, al momento de la finalización del Contrato, este documento también perderá vigencia, sin perjuicio de que, incluso después de la expiración del Contrato, Cosmobile garantizará la máxima confidencialidad sobre los datos personales y la información adquirida durante la vigencia del Contrato.

En caso de que el Cliente obtenga una nueva licencia para el uso del Programa sin interrupción, el presente Acuerdo se considerará prorrogado y el tratamiento de datos personales continuará sin cambios.

A la fecha de vencimiento natural del Acuerdo, salvo prórrogas, Cosmobile conservará los datos personales durante un período de 60 (sesenta) días, después de lo cual procederá con la destrucción segura; los datos personales podrán ser conservados más allá de este término a solicitud expresa del Cliente o en caso de previsión legal, solicitud de la autoridad judicial u otro motivo que justifique una conservación adicional.

4. Obligaciones de Cosmobile

4.1. Obligaciones Generales

Cosmobile, como responsable del tratamiento, se compromete a:

• Tratar los datos personales comunicados o puestos a disposición por el Cliente, o adquiridos durante la ejecución del Contrato exclusivamente para la provisión y uso del Programa;
• Tratar los datos personales solo basándose en las instrucciones documentadas proporcionadas por el Cliente, incluso en caso de transferencia de datos personales a entidades establecidas en países fuera de la Unión Europea, la cual solo podrá realizarse previa autorización del Cliente y según las instrucciones correspondientes, adoptando las garantías adecuadas según la normativa europea y nacional aplicable y las indicaciones del Cliente, y manteniendo una documentación adecuada que se proporcionará si se solicita;
• No divulgar ni hacer públicos a terceros los datos personales adquiridos como consecuencia del uso del Programa y adoptar las medidas necesarias para asegurar la máxima confidencialidad de los datos adquiridos;
• Adoptar las medidas adecuadas y necesarias para asegurar la máxima seguridad, de acuerdo con el Art. 32 del GDPR, de los datos tratados como consecuencia del uso del Programa, como se detalla en el siguiente punto 4.2;
• Identificar a las personas autorizadas para el tratamiento de datos personales, incluidos los administradores de sistema, que operan bajo la autoridad de Cosmobile, y adoptar medidas para (i) garantizar que dichas personas asuman obligaciones de confidencialidad adecuadas respecto a los datos personales tratados, (ii) proporcionarles instrucciones adecuadas y documentadas sobre el cumplimiento, en particular, de las medidas de seguridad de los datos y (iii) supervisar el cumplimiento por parte de las personas autorizadas de las instrucciones dadas para el tratamiento de los datos personales y de las disposiciones normativas vigentes en materia de protección de datos personales;
• Adoptar todas las medidas requeridas en los dictámenes del Garante para la protección de datos personales en materia de administradores de sistema hasta su posible modificación, sustitución y derogación como se detalla en el siguiente punto 4.3;
• Asegurar, en lo que respecta al uso del Programa, el cumplimiento adecuado de las obligaciones previstas por las disposiciones del GDPR, de acuerdo con los métodos, procedimientos y formularios indicados por el Cliente;
• Asistir al Cliente con medidas técnicas y organizativas adecuadas, en la medida de lo posible, para cumplir con la obligación del Cliente de atender las solicitudes para el ejercicio de los derechos del interesado según el Capítulo III del GDPR;
• Asistir al Cliente en garantizar el cumplimiento, en lo que respecta a la competencia relativa, de las obligaciones en materia de seguridad, evaluación de impacto sobre la protección de datos y posible consulta previa, de acuerdo con los Artículos 32, 35 y 36 del GDPR, teniendo en cuenta la naturaleza del tratamiento y la información disponible para Cosmobile, así como las instrucciones documentadas proporcionadas por el Cliente en relación con el cumplimiento de dichas obligaciones;
• Asistir al Cliente en garantizar el cumplimiento, en lo que respecta a la competencia relativa, de las obligaciones de notificación a la autoridad de cualquier violación de datos personales y, si es necesario, su comunicación a los interesados, de acuerdo con los Artículos 33 y 34 del GDPR, como se detalla en el siguiente punto 4.4;
• Informar de manera oportuna al Cliente en caso de recibir solicitudes de información o documentos, inspecciones y auditorías por parte del Garante para la protección de datos personales, como autoridad de control, o de otras autoridades judiciales o de policía, en lo que respecta al tratamiento de datos personales asociado con el uso del Programa, y colaborar con el Cliente en la preparación de las respuestas, actos, documentos o comunicaciones correspondientes;
• Eliminar o devolver al Cliente, a solicitud del mismo, todos los datos personales después de que haya terminado el período de licencia del Programa y eliminar las copias existentes, salvo que la normativa europea o nacional vigente o el Contrato prevean la conservación de los datos por parte de Cosmobile;
• Poner a disposición ****del Cliente toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en este documento y la normativa vigente en materia de protección de datos personales;
• *Permitir y contribuir a las actividades de verificación e inspección, por parte del

Cliente o de las personas designadas por él, incluso en el lugar (en las instalaciones donde se realizan los tratamientos), tras un preaviso razonable y durante el horario laboral normal, sin interrumpir la continuidad de las actividades laborales.**

En lo que respecta al tratamiento de los datos personales asociados con el uso del Programa, Cosmobile también está autorizada desde este momento a utilizar a otros responsables del tratamiento (subresponsables), cuyo listado completo estará disponible para el Cliente a simple solicitud.

El listado mencionado se actualizará periódicamente por el responsable del tratamiento, quien comunicará cualquier cambio, especialmente en relación con adiciones y/o sustituciones, dentro de los 30 (treinta) días posteriores al cambio.

El Cliente tendrá el derecho de oponerse a los cambios realizados (adición y/o sustitución de uno o más subresponsables) mediante una carta enviada por correo postal con acuse de recibo al domicilio legal de Cosmobile o por correo electrónico certificado al domicilio digital de Cosmobile, dentro de los 15 (quince) días siguientes a la comunicación del cambio. Se entiende que transcurrido dicho plazo sin respuesta, el listado actualizado se considerará definitivamente aceptado y aprobado por el Cliente, incluso si los subresponsables en cuestión son eliminados y reincorporados en el futuro.

Cosmobile declara y garantiza que los subresponsables ofrecen garantías suficientes para implementar medidas técnicas y organizativas adecuadas para garantizar el cumplimiento de las disposiciones del GDPR y se compromete, en el marco de los contratos y acuerdos firmados con los subresponsables, a:

• Obligar a los subresponsables a cumplir con las mismas obligaciones en materia de protección de datos personales asumidas por Cosmobile frente al Cliente, en la medida en que sean aplicables y pertinentes respecto a las actividades encomendadas a los mismos;
• Guardar una copia de los contratos, acuerdos o documentos que regulen las obligaciones en materia de protección de datos personales, firmados por los subresponsables, y proporcionar una copia al Cliente si este lo solicita;
• Asumir ante el Cliente toda la responsabilidad en relación con el cumplimiento de dichas obligaciones por parte de los subresponsables.

4.2. Seguridad del Tratamiento

Teniendo en cuenta el estado de la técnica y los costos de implementación, la naturaleza, el objeto, el contexto y las finalidades del tratamiento, así como el riesgo de probabilidad y gravedad variable para los derechos y libertades de las personas físicas y la confidencialidad, integridad y disponibilidad de los datos, Cosmobile define e implementa medidas técnicas y organizativas para garantizar un nivel adecuado de seguridad de los datos personales tratados, que pueden incluir, si corresponde y a discreción del responsable:

• La seudonimización y/o cifrado de los datos personales;
• La capacidad de asegurar de manera permanente la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas y servicios de tratamiento;
• La capacidad de restaurar rápidamente la disponibilidad y el acceso a los datos personales en caso de incidente físico o técnico;
• Un procedimiento para probar, verificar y evaluar regularmente la efectividad de las medidas técnicas y organizativas definidas e implementadas, con el fin de garantizar la seguridad del tratamiento.

Al evaluar el nivel adecuado de seguridad, se presta especial atención a los riesgos presentados por el tratamiento, que incluyen la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilegal a datos personales transmitidos, almacenados o de cualquier otra manera tratados.

De acuerdo con los Artículos 40 y 42 del Reglamento, la adhesión a un código de conducta o mecanismo de certificación puede utilizarse como evidencia de cumplimiento con las disposiciones del GDPR.

El responsable del tratamiento también garantiza que cualquier persona que actúe bajo su autoridad y tenga acceso a los datos personales no los procesará, salvo que se le instruya así, a menos que lo requiera la ley de la Unión Europea o de los Estados miembros.

En relación con las medidas técnicas y organizativas, Cosmobile se compromete a proporcionar la lista y la documentación que pruebe la adopción de dichas medidas a solicitud expresa del Cliente.

4.3. Administradores de Sistema

El responsable del tratamiento identifica y nombra por escrito a los administradores de sistema, teniendo en cuenta las actividades realizadas, sus competencias y perfiles profesionales, así como tras una cuidadosa evaluación de sus características subjetivas.

Cosmobile mantendrá y actualizará una lista de administradores de sistema al menos anualmente y/o siempre que sea necesario (por ejemplo, debido a cambios organizativos).

Todos los accesos por parte de los administradores de sistema deben ser registrados mediante logs adecuados (logs de acceso), y conservados de acuerdo con los requisitos normativos, teniendo en cuenta la integridad, la inalterabilidad y la capacidad de verificar su integridad.

4.4. Violación de Datos Personales (Data Breach)

El responsable del tratamiento se compromete a informar al Cliente de manera oportuna y en todo caso no más allá de 48 (cuarenta y ocho) horas desde que tenga conocimiento de cualquier violación de la seguridad de los datos personales objeto de tratamiento, prestando toda la colaboración necesaria para el cumplimiento de la notificación a la autoridad de control, no más allá de las 72 (setenta y dos) horas y, si es necesario, a los interesados.

5. Obligaciones del Cliente

5.1. Obligaciones Generales

El Cliente, en el marco de este acuerdo, se compromete a colaborar activamente con el responsable del tratamiento para que pueda cumplir adecuadamente con sus obligaciones en materia de protección de datos personales.

En particular, el Cliente se compromete a:

• Comunicar por escrito, dentro de los 7 (siete) días siguientes a la firma del Contrato, las instrucciones detalladas necesarias para tratar los datos personales conforme a las disposiciones vigentes en materia de protección de datos, de acuerdo con el Art. 29 del GDPR, incluso en caso de transferencia de datos personales a sujetos establecidos en países fuera de la Unión Europea;
• No obstaculizar las actividades llevadas a cabo por el responsable del tratamiento, respetando la autonomía contractual otorgada y en conformidad con las obligaciones previstas por la normativa vigente;
• Indemnizar y mantener indemne a Cosmobile de cualquier carga, acción, controversia, daño o consecuencia derivada del cumplimiento de las instrucciones proporcionadas;
• Reembolsar a Cosmobile los costos adicionales que esta deba soportar en razón de las instrucciones proporcionadas y como consecuencia del cumplimiento de las disposiciones del GDPR y las solicitudes del Cliente;
• Indemnizar a Cosmobile por la adopción de cualquier medida, y las responsabilidades asociadas por la falta de adopción, previstas por la normativa vigente y/o solicitadas por el Cliente, en caso de que el Cliente no proporcione al responsable del tratamiento, dentro de los 7 (siete) días siguientes a la comunicación de la estimación preventiva, la suma establecida como costo presumible de ajuste;
• Garantizar que los datos han sido recogidos y tratados de conformidad con una o más bases jurídicas, recogiendo, en su caso, el consentimiento explícito de los interesados.

En cumplimiento de las disposiciones anteriores, el Cliente declara estar consciente de que, en ausencia de instrucciones específicas y documentadas, Cosmobile tratará los datos personales conforme a la normativa vigente y a los principios establecidos por el Reglamento Europeo 2016/679, ratificando desde ahora la actuación del responsable del tratamiento, incluso en relación con posibles transferencias de datos personales realizadas fuera de la Unión Europea.

En particular, salvo que se indique lo contrario por las Partes, las elecciones técnicas y organizativas y las medidas de seguridad adoptadas por el responsable del tratamiento y comunicadas a la firma del Contrato se considerarán como el exacto cumplimiento de las instrucciones proporcionadas por el Cliente, hasta que se demuestre lo contrario por parte del Cliente.