Data Processing Agreement

NOMBRAMIENTO COMO RESPONSABLE DEL TRATAMIENTO DE DATOS

El presente nombramiento como responsable del tratamiento de datos (en adelante “Nombramiento“) se añade y adjunta a los términos y condiciones de SEO Tester Online (en adelante “Acuerdo“).

POR CUANTO:

  1. el cliente reconoce que está calificado como titular (en adelante “Titular“) del tratamiento (en adelante “Tratamiento“) de los datos personales (en adelante “Datos“);
  2. Quarzio S.r.l. asume la condición de responsable del tratamiento de datos (en adelante, “Responsable del Tratamiento“), de acuerdo con lo dispuesto en el art. 28 del RGPD, para tratar los datos por cuenta del Responsable del Tratamiento;
  3. la ejecución del Contrato requiere el tratamiento de Datos de personas físicas (en adelante “Sujetos de Datos“) e información que no puede ser rastreada hasta personas individuales;
  4. tanto los datos como la información deben considerarse información confidencial del responsable del tratamiento y están cubiertos por una obligación de confidencialidad entre el responsable del tratamiento y el encargado del mismo;
  5. el contrato vincula al responsable del tratamiento, que decide la duración del tratamiento, la naturaleza y la finalidad del mismo, el tipo de datos y las categorías de interesados;
  6. el Responsable presenta garantías suficientes para poner en marcha las medidas técnicas y organizativas adecuadas para que el tratamiento cumpla con los requisitos del GDPR y la confidencialidad;
  7. el Procesador de Datos se compromete a procesar los Datos y la información relacionada con el objeto del Contrato de forma legal y correcta, de acuerdo con el GDPR, los procedimientos del Controlador, así como las obligaciones e instrucciones adicionales subyacentes;
  8. el Responsable del Tratamiento y el Encargado del Tratamiento se denominarán conjuntamente las Partes.

Dicho esto, el Responsable del Tratamiento y el Encargado del Tratamiento estipulan lo siguiente:

1. Finalidad y datos tratados

  1. Los locales forman parte integrante del nombramiento.
  2. Los Datos serán tratados por el Procesador de Datos únicamente con el fin de ejecutar el Contrato y el Nombramiento.
  3. Por lo tanto, el tratamiento de los Datos será estrictamente necesario para la ejecución del propio Contrato y se realizará respetando la confidencialidad y el GDPR, así como cumpliendo con las obligaciones dictadas por este Nombramiento.
  4. Cuando sea necesario para la ejecución del Contrato, el tratamiento se extenderá también a los Datos de carácter especial o relativos a las condenas e infracciones penales, según lo dispuesto en los artículos 9 y 10 del RGPD.
  5. Los datos tratados son los siguientes:
    – Nombre y apellidos
    – Dirección de correo electrónico
    – Número de teléfono

1. Medidas de seguridad

  1. El Encargado del Tratamiento adoptará todas las medidas de seguridad exigidas por el artículo 32 del Reglamento de la UE, aplicando las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado a los riesgos derivados, en particular, de la destrucción, pérdida, alteración, divulgación no autorizada o acceso, accidental o ilícito, a los datos transmitidos, almacenados o tratados de otro modo.
  2. Las Personas Autorizadas y los Administradores del Sistema que hayan sido designados deberán recibir instrucciones al respecto.
  3. En particular, el Controlador de Datos reconoce que el Procesador de Datos utiliza las siguientes medidas de seguridad:
TIPOLOGÍA DESCRIPCIÓN
Controles de acceso físico El responsable toma medidas para evitar el acceso no autorizado a los puestos de trabajo y a los dispositivos en los que se almacenan los datos personales, tanto durante las horas de trabajo, garantizando la presencia de al menos una persona para vigilar el lugar de trabajo, como por la noche, teniendo en cuenta que la oficina está cerrada y la alarma antirrobo está activada durante las horas no laborables.
Controles de acceso virtuales El gestor toma medidas para evitar el acceso no autorizado a los entornos virtuales donde se almacenan los datos personales mediante antivirus, cortafuegos y servidores proxy.

Además, el gestor se asegura de que el acceso a los entornos de trabajo virtuales sólo se conceda a las personas con las que ha establecido una relación, como las personas autorizadas, los subgestores y los administradores del sistema.
Comprobación de la integridad de los datos El responsable del tratamiento toma medidas para evitar que los datos sean accedidos por personas no autorizadas, copiados, alterados o perdidos.

En particular, los dispositivos electrónicos del Responsable del Tratamiento están protegidos mediante encriptación y los empleados están obligados a mantener la confidencialidad. Además, se guardan archivos de registro para el acceso.
Comprobación de la disponibilidad de los datos El responsable del tratamiento toma medidas para evitar la pérdida o destrucción accidental de los datos.

En particular, el responsable de la protección de datos adopta políticas de copia de seguridad en la nube y de recuperación en caso de catástrofe, asegurándose de que el proveedor cuenta con las medidas de seguridad adecuadas, tal como se establece en el artículo 32 del RGPD.
Medidas técnicas y organizativas El directivo actualiza constantemente la documentación de su organización y regula cualquier relación, interna o externa, con un documento adecuado.

Además, la Persona Responsable realiza constantes comprobaciones de su infraestructura técnica para garantizar que no se incumpla el GDPR.

1. Recurso a otro procesador

  1. Para la realización de las actividades de tratamiento de los Datos Contractuales, el Responsable del Tratamiento concede una autorización general al Encargado del Tratamiento para utilizar otro procesador de datos externo (“Subencargado“). El responsable del tratamiento reconoce que dicha actividad puede implicar la transferencia de datos a países fuera de la Unión Europea.
  2. El responsable del tratamiento se compromete a facilitar la lista de subprocesadores a petición del responsable del tratamiento.
  3. El Responsable del Tratamiento garantizará en todo caso, con respecto a dichas Personas Subresponsables, los cumplimientos establecidos en los apartados 3, 4 y 5 del artículo 28 del Reglamento de la UE.
  4. Si un subreponsable no cumple con sus obligaciones en materia de protección de datos, el responsable inicial retendrá frente al responsable del tratamiento toda la responsabilidad del cumplimiento de las obligaciones de dicho subreponsable.

1. Personas autorizadas a procesar

  1. Antes de iniciar cualquier operación de tratamiento, el responsable del tratamiento identificará a cada persona física que actúe bajo su autoridad directa y que participe en la ejecución del contrato (en adelante, la “persona autorizada“).
  2. Para cada Persona Autorizada, identificará con precisión el alcance del acceso a los datos, el tratamiento permitido, especialmente en lo que respecta al tratamiento de datos de carácter especial o relativos a condenas e infracciones penales, y dará instrucciones (escritas y no escritas) que, obviamente, también serán coherentes con las establecidas en este documento.
  3. Las personas autorizadas recibirán instrucciones detalladas con referencia específica a lo siguiente

 

  • Confidencialidad de la información, las Personas Autorizadas estarán obligadas a respetar la confidencialidad de los Datos y de la información;
  • Cumplimiento de los principios del Art. 5 del Reglamento de la UE en cuanto a la necesidad de equidad, legalidad y transparencia, limitación de la finalidad, minimización de los datos, exactitud, limitación del almacenamiento, integridad y confidencialidad, así como las instrucciones a seguir para la custodia de los datos y la seguridad del tratamiento.

 

1. Evaluación de impacto, consulta previa, solicitudes de los interesados y violación de datos

  1. Teniendo en cuenta la naturaleza de la operación de tratamiento y la información de que dispone, el responsable debe ayudar al responsable del tratamiento a garantizar el cumplimiento de las obligaciones de evaluación de impacto y consulta previa prescritas por los artículos 35 y 36 del Reglamento de la UE.
  2. El Encargado del Tratamiento no utilizará, por iniciativa propia, nuevas tecnologías, herramientas, métodos y, en cualquier caso, realizará operaciones de tratamiento que requieran una evaluación de impacto o una consulta previa, sin haberlo notificado al Responsable del Tratamiento y haber obtenido su autorización previa por escrito.
  3. El encargado del tratamiento deberá asistir al responsable del tratamiento con las medidas técnicas y organizativas adecuadas, transmitiendo rápidamente al responsable del tratamiento la información que posea y que sea necesaria para que el responsable del tratamiento pueda cumplir con su obligación de cumplir, en el plazo previsto por el Reglamento de la UE, con las solicitudes realizadas por los interesados sobre la base de sus derechos en virtud del capítulo III del Reglamento de la UE, como por ejemplo: el acceso a los datos, la rectificación, la supresión, el olvido, la limitación del tratamiento, la portabilidad de los datos.
  4. El encargado del tratamiento ayudará al responsable del tratamiento a garantizar el cumplimiento de las obligaciones de seguridad y, en caso de que se produzca una violación de los datos personales, informará al responsable del tratamiento sin demora indebida, facilitándole la información prescrita por los artículos 33 y 34 del Reglamento de la UE, necesaria para que pueda cumplir, en el plazo previsto por el Reglamento de la UE, la obligación de notificar la violación a la Autoridad de Protección de Datos y, en su caso, de comunicarla a los interesados.

1. Derecho de control del responsable del tratamiento

  1. El responsable del tratamiento estará obligado a mantener un control constante sobre si el tratamiento de los datos es lícito, justo y, en cualquier caso, conforme al RGPD, incluido el perfil de seguridad.
  2. Además, estará obligado a informar inmediatamente al Responsable del Tratamiento comunicando cualquier situación de la que tenga conocimiento que pueda exponer al Responsable del Tratamiento a violaciones de la ley o que pueda generar un tratamiento ilícito o poner en peligro la confidencialidad e integridad de los datos o que, en cualquier caso, pueda suponer un riesgo para la protección de datos.
  3. El Controlador de Datos llevará a cabo, directamente o a través de otra persona designada, actividades de revisión para verificar que los Datos son procesados por el Controlador de Datos de acuerdo con el GDPR, las obligaciones y las instrucciones proporcionadas al Controlador de Datos, incluso a través de inspecciones en los locales del Controlador de Datos.
  4. El Procesador de Datos contribuirá a las actividades de auditoría, y pondrá a disposición del Controlador de Datos toda la información necesaria para demostrar el cumplimiento del GDPR aplicable, las obligaciones e instrucciones establecidas en el Acuerdo y este Documento Complementario.
  • Exclusión de responsabilidad
  1. El Responsable no será responsable de los hechos que no le sean imputables tales como, pero no limitados a, impedimento, mal funcionamiento o dificultad en cuanto a las herramientas técnicas, cables, electrónica, hardware, transmisión y conexión, línea telefónica, otras averías del servidor, omisiones o errores que puedan contener las informaciones e imágenes insertadas durante el desarrollo a petición del Propietario, no conformidad y/o obsolescencia de los equipos con los que está dotado.
  2. Asimismo, el interventor no será responsable de los retrasos causados por hechos que no le sean imputables.

1. Conclusión del tratamiento y eliminación de datos

  1. El presente nombramiento se considerará terminado si el contrato deja de estar en vigor entre las partes. La conclusión tendrá efecto inmediato en este Nombramiento.
  2. En caso de rescisión, Quarzio S.r.l. no será considerada más responsable. El mismo principio se aplicará a los Subresponsables designados para cumplir las obligaciones del Contrato y del Nombramiento.
  3. Una vez concluido el Tratamiento, el Subresponsable devolverá los Datos al Responsable del Tratamiento y eliminará las copias. La misma acción se llevará a cabo si el interventor lo solicita explícitamente.
  4. Los datos no se borrarán en caso de que exista una obligación legal de conservar los datos en virtud de la legislación nacional o internacional que obligue al responsable del tratamiento a conservarlos.
  • Disposiciones finales
  1. El presente Acuerdo constituye la manifestación completa del entendimiento entre las Partes en relación con su objeto y sustituye y anula cualquier acuerdo anterior entre las Partes.
  2. Cada una de las Partes será independiente y autónoma de la otra y, como tal, no tendrá el poder de obligar o comprometer a la otra Parte excepto de acuerdo con las disposiciones de este Acuerdo.
  3. El Contrato no se interpretará como el establecimiento de cualquier otra relación entre las Partes que no esté prevista en este Contrato.
  4. Las Partes reconocen mutuamente que los artículos de este Contrato que violen las disposiciones de la ley sólo serán efectivos en la medida de dichas violaciones, sin invalidar los artículos restantes o el Contrato en su totalidad.
  5. Cualquier renuncia por una de las Partes, expresa o implícita, a cualquiera de los pactos contenidos en el presente Contrato, o cualquier aquiescencia a cualquier incumplimiento o violación de cualquier pacto, no se considerará en ningún caso una renuncia a las disposiciones de dicho pacto y no impedirá a dicha Parte solicitar el cumplimiento del mismo o de cualquier otro pacto y actuar en virtud del mismo o como consecuencia de cualquier otro incumplimiento o violación en cualquier momento.
  6. Cualquier modificación del presente Acuerdo deberá ser ultimada por escrito y firmada por ambas Partes.
  7. Las Partes no cederán el Contrato y los derechos y obligaciones que se derivan del mismo, en todo o en parte, a ningún tercero sin el consentimiento previo por escrito de cada una de ellas.
  8. El Propietario puede comunicarse con el Gestor a través del siguiente contacto:
  • privacy@quarzio.com

 

  • Legislación y jurisdicción aplicables
  1. El presente contrato se regirá por la legislación italiana.
  2. Todas las disputas que surjan de o en relación con el presente Contrato, incluidas las relativas a su interpretación, ejecución y/o terminación, se remitirán a la jurisdicción exclusiva del Tribunal de Catania.

Última actualización: 17 de enero de 2023.