Acuerdo de procesamiento de datos
Bruselas, 4.6.2021 | C(2021) 3701 final
ANEXO
a la
Decisión de Ejecución de la Comisión
relativa a las cláusulas contractuales tipo entre responsables y encargados del tratamiento contempladas en el artículo 28, apartado 7, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo.
ANEXO
Cláusulas contractuales tipo
SECCIÓN I
Cláusula 1
Finalidad y ámbito de aplicación
(a) La finalidad de las presentes cláusulas contractuales tipo (en lo sucesivo, «pliego de cláusulas») es garantizar que se cumpla el artículo 28, apartados 3 y 4, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
(b) Los responsables y encargados del tratamiento enumerados en el anexo I han dado su consentimiento a vincularse por el presente pliego de cláusulas a fin de garantizar el cumplimiento del artículo 28, apartados 3 y 4, del Reglamento (UE) 2016/679.
(c) El presente pliego de cláusulas se aplica al tratamiento de datos personales especificado en el anexo II.
(d) Los anexos I a IV forman parte del pliego.
(e) El presente pliego de cláusulas se entiende sin perjuicio de las obligaciones a las que esté sujeto el responsable en virtud del Reglamento (UE) 2016/679.
(f) El presente pliego de cláusulas no garantiza por sí mismo el cumplimiento de las obligaciones relativas a las transferencias internacionales contempladas en el capítulo V del Reglamento (UE) 2016/679.
Cláusula 2
Invariabilidad del pliego de cláusulas
(a) Las partes se comprometen a no modificar el pliego de cláusulas, excepto para añadir o actualizar información en los anexos.
(b) Esto no es óbice para que las partes incluyan en un contrato más amplio las cláusulas contractuales tipo que contiene el presente pliego, ni para que añadan otras cláusulas o garantías adicionales siempre que no contradigan, directa o indirectamente, el pliego de cláusulas ni perjudiquen los derechos o libertades fundamentales de los interesados.
Cláusula 3
Interpretación
(a) Cuando en el presente pliego de cláusulas se utilizan términos definidos en el Reglamento (UE) 2016/679, se entiende que tienen el mismo significado que en el Reglamento correspondiente.
(b) El presente pliego de cláusulas deberá leerse e interpretarse con arreglo a las disposiciones del Reglamento (UE) 2016/679.
(c) No se podrán realizar interpretaciones del presente pliego de cláusulas que entren en conflicto con los derechos y obligaciones establecidos en el Reglamento (UE) 2016/679 y/o que perjudiquen los derechos o libertades fundamentales de los interesados.
Cláusula 4
Jerarquía
En caso de contradicción entre el presente pliego de cláusulas y las disposiciones de acuerdos conexos entre las partes que estuvieren en vigor en el momento en que se pactare o comenzare a aplicarse el presente pliego de cláusulas, prevalecerá el presente pliego de cláusulas.
Cláusula 5 (opcional)
Cláusula de incorporación
(a) Cualquier entidad que no sea parte en el presente pliego de cláusulas podrá, previo consentimiento de todas las partes, adherirse al presente pliego de cláusulas en cualquier momento, ya sea como responsable o como encargado, cumplimentando los anexos y firmando el anexo I.
(b) Una vez se hayan cumplimentado y firmado los anexos a que se refiere la letra a), la entidad que se adhiera será tratada como parte en el presente pliego de cláusulas y tendrá los derechos y obligaciones de un responsable o encargado, según la categoría en la que se haya inscrito en el anexo I.
(c) La entidad que se adhiera no adquirirá derechos y obligaciones del presente pliego de cláusulas derivados del período anterior a la adhesión.
SECCIÓN II
OBLIGACIONES DE LAS PARTES
Cláusula 6
Descripción del tratamiento o tratamientos
En el anexo II se especifican los pormenores de las operaciones de tratamiento y, en particular, las categorías de datos personales y los fines para los que se tratan los datos personales por cuenta del responsable.
Cláusula 7
Obligaciones de las partes
7.1 Instrucciones
(a) El encargado tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable, salvo que esté obligado a ello en virtud del Derecho de la Unión o de los Estados miembros que se aplique al encargado. En tal caso, el encargado informará al responsable de esa exigencia legal previa al tratamiento, salvo que tal Derecho lo prohíba por razones importantes de interés público. El responsable también podrá dar instrucciones ulteriores en cualquier momento del período de tratamiento de los datos personales. Dichas instrucciones deberán estar siempre documentadas.
(b) El encargado informará inmediatamente al responsable si las instrucciones dadas por el responsable infringen, a juicio del encargado, el Reglamento (UE) 2016/679 o las disposiciones aplicables del Derecho de la Unión o de los Estados miembros en materia de protección de datos.
7.2. Limitación de la finalidad
El encargado tratará los datos personales únicamente para los fines específicos del tratamiento indicados en el anexo II, salvo cuando siga instrucciones adicionales del responsable.
7.3. Duración del tratamiento de datos personales
El tratamiento por parte del encargado solo se realizará durante el período especificado en el anexo II.
7.4. Seguridad del tratamiento
(a) El encargado aplicará, como mínimo, las medidas técnicas y organizativas especificadas en el anexo III para garantizar la seguridad de los datos personales. Una de estas medidas podrá consistir en la protección contra violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales, o la comunicación o acceso no autorizados a dichos datos («violación de la seguridad de los datos personales»). A la hora de determinar un nivel adecuado de seguridad, las partes tendrán debidamente en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y los fines del tratamiento, y los riesgos que entraña el tratamiento para los interesados.
(b) El encargado solo concederá acceso a los datos personales tratados a los miembros de su personal en la medida en que sea estrictamente necesario para la ejecución, la gestión y el seguimiento del contrato. El encargado garantizará que las personas autorizadas para tratar los datos personales recibidos se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria.
7.5. Datos sensibles
Si el tratamiento afecta a datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, datos genéticos o datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física, o datos relativos a condenas e infracciones penales («datos sensibles»), el encargado aplicará restricciones específicas y/o garantías adicionales.
7.6. Documentación y cumplimiento
(a) Las partes deberán poder demostrar el cumplimiento del presente pliego de cláusulas.
(b) El encargado resolverá con presteza y de forma adecuada las consultas del responsable relacionadas con el tratamiento con arreglo al presente pliego de cláusulas.
(c) El encargado pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones contempladas en el presente pliego de cláusulas y que deriven directamente del Reglamento (UE) 2016/679. A instancia del responsable, el encargado permitirá y contribuirá a la realización de auditorías de las actividades de tratamiento cubiertas por el presente pliego de cláusulas, a intervalos razonables o si existen indicios de incumplimiento. Al decidir si se realiza un examen o una auditoría, el responsable podrá tener en cuenta las certificaciones pertinentes que obren en poder del encargado.
(d) El responsable podrá optar por realizar la auditoría por sí mismo o autorizar a un auditor independiente. Las auditorías también podrán consistir en inspecciones de los locales o instalaciones físicas del encargado y, cuando proceda, realizarse con un preaviso razonable.
(e) Las partes pondrán a disposición de las autoridades de control competentes, a instancia de estas, la información a que se refiere la presente cláusula y, en particular, los resultados de las auditorías.
7.7. Recurso a subencargados
(a) El encargado cuenta con una autorización general del responsable para contratar a subencargados que figuren en una lista acordada. El encargado informará al responsable específicamente y por escrito de las adiciones o sustituciones de subencargados previstas en dicha lista con al menos 2 semanas de antelación, de modo que el responsable tenga tiempo suficiente para formular objeción a tales cambios antes de que se contrate al subencargado o subencargados de que se trate. El encargado del tratamiento proporcionará al responsable la información necesaria para que pueda ejercer su derecho a formular objeción.
(b) Cuando el encargado contrate a un subencargado para llevar a cabo actividades de tratamiento específicas (por cuenta del responsable), lo hará por medio de un contrato que imponga al subencargado, en esencia, las mismas obligaciones en materia de protección de datos que las impuestas al encargado en virtud del presente pliego de cláusulas. El encargado se asegurará de que el subencargado cumpla las obligaciones a las que esté sujeto en virtud del presente pliego de cláusulas y del Reglamento (UE) 2016/679.
(c) El encargado proporcionará al responsable, a instancia de este, una copia del contrato con el subencargado y de cualquier modificación posterior del mismo. En la medida en que sea necesario para proteger secretos comerciales u otro tipo de información confidencial, como datos personales, el encargado podrá expurgar el texto del contrato antes de compartir la copia.
(d) El encargado seguirá siendo plenamente responsable ante el responsable del cumplimiento de las obligaciones que imponga al subencargado su contrato con el encargado. El encargado notificará al responsable los incumplimientos por parte del subencargado de las obligaciones que le atribuya dicho contrato.
(e) El encargado pactará con el subencargado una cláusula de tercero beneficiario en virtud de la cual, en caso de que el encargado desaparezca de facto, cese de existir jurídicamente o sea insolvente, el responsable tendrá derecho a rescindir el contrato del subencargado y ordenar a este que suprima o devuelva los datos personales.
7.8. Transferencias internacionales
(a) Las transferencias de datos a un tercer país o a una organización internacional por parte del encargado solo podrán realizarse siguiendo instrucciones documentadas del responsable o en virtud de una exigencia expresa del Derecho de la Unión o del Estado miembro al que esté sujeto el encargado; se llevarán a cabo de conformidad con el capítulo V del Reglamento (UE) 2016/679.
(b) El responsable se aviene a que, cuando el encargado recurra a un subencargado de conformidad con la cláusula 7.7 para llevar a cabo actividades de tratamiento específicas (por cuenta del responsable) y dichas actividades conlleven una transferencia de datos personales en el sentido del capítulo V del Reglamento (UE) 2016/679, el encargado y el subencargado puedan garantizar el cumplimiento del capítulo V del Reglamento (UE) 2016/679 utilizando cláusulas contractuales tipo adoptadas por la Comisión, con arreglo al artículo 46, apartado 2, del Reglamento (UE) 2016/679, siempre que se cumplan las condiciones para la utilización de dichas cláusulas contractuales tipo.
Cláusula 8
Ayuda al responsable del tratamiento
(a) El encargado notificará con presteza al responsable las solicitudes que reciba del interesado. No responderá a dicha solicitud por sí mismo, a menos que el responsable le haya autorizado a hacerlo.
(b) El encargado ayudará al responsable a cumplir sus obligaciones al responder a las solicitudes de ejercicio de derechos de los interesados teniendo en cuenta la naturaleza del tratamiento. En el cumplimiento de las obligaciones que le atribuyen las letras a) y b), el encargado cumplirá las instrucciones del responsable.
(c) Además de la obligación del encargado de ayudar al responsable en virtud de la cláusula 8, letra b), el encargado también ayudará al responsable a garantizar el cumplimiento de las obligaciones siguientes teniendo en cuenta la naturaleza del tratamiento y la información de que disponga el encargado: (1) la obligación de llevar a cabo una evaluación del impacto de las operaciones de tratamiento sobre la protección de datos personales («evaluación de impacto relativa a la protección de datos») cuando un tipo de tratamiento entrañe probablemente un alto riesgo para los derechos y las libertades de las personas físicas; (2) la obligación de consultar a las autoridades de control competentes previa al tratamiento cuando una evaluación de impacto relativa a la protección de datos indique que el tratamiento entrañaría un alto riesgo si el responsable no adoptara medidas para mitigarlo; (3) la obligación de garantizar la exactitud y actualización de los datos personales comunicando al responsable sin dilación si el encargado llegara a saber que los datos personales objeto de tratamiento son inexactos o han quedado obsoletos; (4) las obligaciones derivadas del artículo 32 del Reglamento (UE) 2016/679.
(d) Las partes establecerán en el anexo III medidas técnicas y organizativas apropiadas que obliguen al encargado a ayudar al responsable a aplicar la presente cláusula, así como el objeto y el alcance de la ayuda requerida.
Cláusula 9
Notificación de violaciones de la seguridad de los datos personales
En caso de violación de la seguridad de los datos personales, el encargado colaborará con el responsable y le ayudará a cumplir las obligaciones que le atribuyen los artículos 33 y 34 del Reglamento (UE) 2016/679, en su caso, teniendo en cuenta la naturaleza del tratamiento y la información de que disponga el encargado.
9.1. Violación de la seguridad de datos personales tratados por el responsable
En caso de violación de la seguridad de los datos personales en relación con los datos tratados por el responsable, el encargado ayudará al responsable en lo siguiente.
(a) Notificar la violación de la seguridad de los datos personales a las autoridades de control competentes sin dilación indebida una vez tenga constancia de ella, si procede (a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas).
(b) Recabar la información siguiente, que, de conformidad con el artículo 33, apartado 3, del Reglamento (UE) 2016/679, deberá figurar en la notificación del responsable, que debe incluir como mínimo: (1) la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos afectados; (2) el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información; (3) sus consecuencias probables; (4) las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
Cuando y en la medida en que no se pueda proporcionar toda la información al mismo tiempo, en la notificación inicial se proporcionará la información de que se disponga en ese momento y, a medida que se vaya recabando, la información adicional se irá proporcionando sin dilación indebida.
(c) Cumplir, con arreglo al artículo 34 del Reglamento (UE) 2016/679, la obligación de comunicar sin dilación indebida al interesado la violación de la seguridad de los datos personales cuando sea probable que la violación de la seguridad entrañe un alto riesgo para los derechos y libertades de las personas físicas.
9.2. Violación de la seguridad de datos personales tratados por el encargado
En caso de violación de la seguridad de datos personales tratados por el encargado, este lo notificará al responsable sin dilación indebida una vez que el encargado tenga constancia de ella. Dicha notificación deberá incluir como mínimo:
(a) una descripción de la naturaleza de la violación de la seguridad (inclusive, cuando sea posible, las categorías y el número aproximado de interesados y de registros de datos afectados);
(b) los datos de un punto de contacto en el que pueda obtenerse más información sobre la violación de la seguridad de los datos personales;
(c) sus consecuencias probables y las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad, incluyendo las medidas adoptadas para mitigar los posibles efectos negativos.
Cuando y en la medida en que no se pueda proporcionar toda la información al mismo tiempo, en la notificación inicial se proporcionará la información de que se disponga en ese momento y, a medida que se vaya recabando, la información adicional se irá proporcionando sin dilación indebida.
Las partes establecerán en el anexo III los demás elementos que deberá aportar el encargado cuando ayude al responsable a cumplir las obligaciones que le atribuyen los artículos 33 y 34 del Reglamento (UE) 2016/679.
SECCIÓN III
DISPOSICIONES FINALES
Cláusula 10
Incumplimiento de las cláusulas y resolución del contrato
(a) Sin perjuicio de lo dispuesto en el Reglamento (UE) 2016/679, en caso de que el encargado del tratamiento incumpla las obligaciones que le atribuye el presente pliego de cláusulas, el responsable podrá ordenar al encargado que suspenda el tratamiento de datos personales hasta que este vuelva a dar cumplimiento al presente pliego de cláusulas, o resolver el contrato. El encargado informará con presteza al responsable en caso de que no pueda dar cumplimiento al presente pliego de cláusulas por cualquier motivo.
(b) El responsable estará facultado para resolver el contrato en lo que se refiera al tratamiento de datos personales en virtud del presente pliego de cláusulas cuando: (1) el responsable haya suspendido el tratamiento de datos personales por parte del encargado de conformidad con la letra a) y no se restablezca el cumplimiento del presente pliego de cláusulas en un plazo razonable y, en cualquier caso, en el plazo de un mes tras la suspensión; (2) el encargado incumple de manera sustancial o persistente el presente pliego de cláusulas o sus obligaciones en virtud del Reglamento (UE) 2016/679; (3) el encargado no cumple una resolución vinculante de una autoridad de control competente o de un tribunal respecto de las obligaciones que le atribuye el presente pliego de cláusulas o el Reglamento (UE) 2016/679.
(c) El encargado estará facultado para resolver el contrato en lo que se refiera al tratamiento de datos personales en virtud del presente pliego de cláusulas cuando, tras haber informado al responsable de que sus instrucciones infringen los requisitos jurídicos exigidos por la cláusula 7.1, letra (b), el responsable insiste en que se sigan dichas instrucciones.
(d) Tras la resolución del contrato, el encargado suprimirá, a petición del responsable, todos los datos personales tratados por cuenta del responsable y acreditará al responsable que lo ha hecho, o devolverá todos los datos personales al responsable y suprimirá las copias existentes, a menos que el Derecho de la Unión o de los Estados miembros exija el almacenamiento de los datos personales. Hasta que se destruyan o devuelvan los datos, el encargado seguirá garantizando el cumplimiento con el presente pliego de cláusulas.
ANEXO I
LISTA DE PARTES
Responsable(s): [Identidad y datos de contacto del responsable o responsables del tratamiento y, en su caso, del delegado de protección de datos]
- 1. Nombre: …
- Dirección: …
- Nombre, cargo y datos de contacto de la persona de contacto: …
- Firma y fecha de adhesión: …
Encargado(s): [Identidad y datos de contacto del encargado o encargados del tratamiento y, en su caso, del delegado de protección de datos]
- 2. Nombre: Amberlo Limited
- Dirección: Ground Floor, 71 Lower Baggot St. Dublin, D02 P593 – Ireland
- E-Mail : office@amberlo.io
- Firma y fecha de adhesión:
ANEXO II
DESCRIPCIÓN DEL PROCESAMIENTO
Categorías de interesados cuyos datos personales son tratados:
- 1. Clientes
- 2. Mandatos
- 3. Partes interesadas
- 4. Empleados
- 5. Proveedores
Categorías de datos personales tratados:
- 1. Datos personales maestros
- 2. Número de cliente
- 3. Datos de comunicación (por ejemplo, teléfono, correo electrónico)
- 4. Datos bancarios
- 5. Datos en línea (por ejemplo, dirección IP, navegador utilizado)
- 6. Acceso de usuarios y direcciones IP en la nube
- 7. Datos maestros del contrato (relación contractual, intereses contractuales del producto)
- 8. Historial del cliente
- 9. Datos de facturación y pago del contrato
- 10. Afiliación sindical de los clientes
- 11. Datos sanitarios de los clientes
- 12. Origen racial y étnico de los clientes
- 13. Mandato y datos procedimentales
- 14. Información del acreedor y datos bancarios
- 15. Datos estadísticos sobre procedimientos de insolvencia
Datos sensibles tratados (si procede) y restricciones o salvaguardias aplicadas que tienen plenamente en cuenta la naturaleza de los datos y los riesgos que entrañan, como, por ejemplo, la limitación estricta de la finalidad, las restricciones de acceso (incluido el acceso exclusivo para el personal que haya recibido formación especializada), el mantenimiento de un registro de acceso a los datos, las restricciones a las transferencias posteriores o las medidas de seguridad adicionales.
- Naturaleza del tratamiento
- Procesamiento exclusivamente electrónico
- Finalidad o finalidades para las que se tratan los datos personales en nombre del responsable del tratamiento.
- Cumplimiento de los servicios contractuales del encargado del tratamiento al responsable del tratamiento.
- Duración del tratamiento
- La duración del tratamiento depende de la relación contractual entre el responsable del tratamiento y el encargado del tratamiento.
La duración del tratamiento por parte de los subencargados del tratamiento depende de la relación contractual entre el responsable del tratamiento y el encargado del tratamiento correspondiente.
ANEXO III
Medidas técnicas y organizativas, en especial medidas técnicas y organizativas para garantizar la seguridad de los datos
NOTA ACLARATORIA:
Las medidas técnicas y organizativas deben describirse de manera concreta y no de manera genérica.
Descripción de las medidas de seguridad técnicas y organizativas aplicadas por los encargados del tratamiento (inclusive las certificaciones pertinentes) para garantizar un nivel adecuado de seguridad, teniendo en cuenta la naturaleza, el alcance, el contexto y la finalidad del tratamiento, así como los riesgos para los derechos y libertades de las personas físicas. Ejemplos de medidas posibles:
(1) Medidas de seudonimización y cifrado de datos personales.
Los dispositivos móviles de almacenamiento de datos de uso externo están encriptados (véase «Control de acceso»). Los datos se almacenan en diferentes ubicaciones dentro de la estructura del programa para mostrar toda la información únicamente a través del programa y los derechos de acceso almacenados.
(2) Medidas para garantizar la confidencialidad, integridad, disponibilidad y resiliencia continuas de los sistemas y servicios de tratamiento.
Todos los ordenadores están equipados con un antivirus actualizado. La red interna está protegida contra el acceso externo mediante un cortafuegos. Si es necesario, se realiza diariamente una copia de seguridad completa de todos los datos, a menos que esto pueda ser realizado únicamente por el controlador en el lado del sistema. Los datos se eliminan una vez finalizado el proyecto.
(3) Medidas para garantizar la capacidad de restablecer la disponibilidad y el acceso a los datos personales de manera oportuna en caso de incidente físico o técnico.
Existe un plan de emergencia y medios de respaldo descentralizados a los que se puede acceder en poco tiempo si es necesario. Todas las computadoras están equipadas con protección antivirus actualizada. La red interna está protegida del acceso externo por un cortafuegos. Si es necesario, se realiza diariamente una copia de seguridad completa de todos los datos, a menos que esto pueda ser realizado únicamente por el controlador en el lado del sistema. Los datos se eliminan una vez finalizado el proyecto.
(4) Procesos para comprobar, evaluar y valorar periódicamente la eficacia de las medidas técnicas y organizativas con el fin de garantizar la seguridad del tratamiento.
Evaluación y valoración periódicas de la eficacia de las medidas técnicas y organizativas.
(5) Medidas para la identificación y autorización de los usuarios.
El acceso a las instalaciones del procesador sin supervisión especial solo se concede a los titulares de llaves o tarjetas de acceso registrados. El acceso a la sala de servidores solo se concede al director general y a los administradores.
(6) Medidas para la protección de datos durante la transmisión.
Los métodos de transmisión de datos individuales deben acordarse previamente con el responsable del tratamiento.
(7) Medidas para la protección de datos durante el almacenamiento
Todos los ordenadores están equipados con un antivirus actualizado. La red interna está protegida contra el acceso externo mediante un cortafuegos. Si es necesario, se realiza diariamente una copia de seguridad completa de todos los datos, a menos que esto pueda ser realizado únicamente por el controlador en el lado del sistema. Los datos se eliminan una vez finalizado el proyecto.
(8) Medidas para garantizar la seguridad física de los lugares en los que se tratan datos personales.
El acceso a la sala de servidores climatizada solo se concede al director general y a los administradores. Todas las puertas de acceso a las instalaciones del procesador están equipadas con tarjetas magnéticas y sistemas de llaves. La emisión de tarjetas magnéticas y llaves queda documentada por el departamento de RR. HH., que incluye el número y el tipo de tarjeta magnética, el nombre del empleado, la fecha y la firma del empleado. El acceso a las instalaciones del procesador por parte de personas externas solo se permite bajo la supervisión de un empleado del procesador en las instalaciones del procesador.
(9) Medidas para garantizar el registro de eventos.
Procesos de protección de datos y seguridad de la información implementados
(10) Medidas para garantizar la configuración del sistema, incluida la configuración predeterminada.
Procesos de seguridad de la información implementados, privacidad por defecto.
(11) Medidas para la gobernanza y la gestión interna de TI y la seguridad de TI.
Procesos de seguridad de la información implementados, certificación ISO 27001.
(12) Medidas para la certificación/garantía de procesos y productos.
Certificación ISO9001
(13) Medidas para garantizar la minimización de datos.
Privacidad por defecto, privacidad desde el diseño, concienciación de los empleados, concepto de eliminación.
(14) Medidas para garantizar la calidad de los datos.
El mantenimiento de los datos lo lleva a cabo el encargado del tratamiento.
(15) Medidas para garantizar la retención limitada de datos.
Privacidad por defecto, privacidad desde el diseño, concepto de eliminación
(16) Medidas para garantizar la rendición de cuentas.
Procesos de protección de datos y seguridad de la información, obligaciones de confidencialidad y secreto de los empleados.
(17) Medidas para permitir la portabilidad de los datos y garantizar su supresión.
La portabilidad de los datos está disponible como función del programa o previa solicitud al procesador. Los datos serán eliminados por el responsable del tratamiento o tras la rescisión del contrato, de conformidad con el concepto de eliminación.
En el caso de las transferencias a (sub)encargados del tratamiento, describa también las medidas técnicas y organizativas específicas que deberá adoptar el (sub)encargado del tratamiento para poder prestar asistencia al responsable del tratamiento.
Consulte los TOM del subcontratista y, si es necesario, solicítelos al profesor.
Descripción de las medidas técnicas y organizativas específicas que debe adoptar el encargado del tratamiento para poder prestar asistencia al responsable del tratamiento.
El nivel de protección de datos del subencargado del tratamiento no es inferior al nivel de protección del encargado del tratamiento.
ANEXO IV
Lista de subencargados del tratamiento
NOTA ACLARATORIA:
El responsable del tratamiento ha autorizado el uso de los subencargados del tratamiento utilizados en la pestaña «Apéndice IV de las Cláusulas Contractuales Tipo (SCC) de la UE» del sitio web:
