Acuerdo de Tratamiento de Datos

1. Preámbulo

El presente documento, adjunto e integrante del contrato de licencia del programa “Order Sender Business”, se considera transcrito al final del mismo y, por lo tanto, se consideran aplicables todas las definiciones y cláusulas, las cuales se entienden como conocidas por todas las Partes del Contrato.

2. Acuerdo

En cumplimiento con el Reglamento (UE) 2016/679 sobre la protección de datos personales (en adelante, «GDPR»), se informa que todas las actividades de tratamiento de datos personales relacionadas con el uso del Programa son realizadas por Cosmobile en nombre del Cliente, quien actúa como responsable del tratamiento. Por lo tanto, Cosmobile asume el rol de encargado del tratamiento.

Se reconoce, en particular, que el uso del Programa puede implicar el tratamiento de datos personales según lo descrito en este documento.

Con la firma del Contrato, Cosmobile es designada como encargada del tratamiento, garantizando la implementación de medidas técnicas y organizativas adecuadas para asegurar el cumplimiento de los requisitos del GDPR y la protección de los derechos y libertades fundamentales de los interesados.

Las Partes acuerdan mantener indemne y exonerar de responsabilidad a la otra parte frente a cualquier daño, coste, gasto o reclamación de terceros derivados de una posible infracción de la normativa vigente en materia de protección de datos personales, cuando dicha infracción sea atribuible a cada Parte. En este sentido, el Cliente actúa como responsable del tratamiento y Cosmobile como encargado del tratamiento, incluyendo cualquier actividad realizada por otros encargados autorizados (subencargados).

De acuerdo con el artículo 30, apartado 2, letra a) del GDPR, los datos de contacto del responsable del tratamiento que deben incluirse en el registro de actividades de tratamiento son los proporcionados por el Cliente durante el registro y la activación del período de prueba o la Suscripción. En caso de que el Cliente haya designado un delegado de protección de datos (DPO), se compromete a comunicar su nombre y datos de contacto a Cosmobile en un plazo de 5 (cinco) días desde la firma del Contrato.

El responsable del tratamiento se obliga a notificar cualquier cambio en sus datos de contacto o en los datos del delegado de protección de datos de manera inmediata y a través de un medio verificable.

3. Tratamiento de datos

3.1. Naturaleza y finalidad del tratamiento

Los datos personales serán tratados exclusivamente para garantizar el correcto uso del Programa.

En concreto, la finalidad del tratamiento incluye: recopilación y almacenamiento con fines contractuales, comerciales y/o fiscales; procesamiento y comunicación para fines contractuales, comerciales, fiscales y de contacto; recopilación, almacenamiento y perfilado con fines estadísticos.

3.2. Modalidades del tratamiento

El tratamiento se llevará a cabo de forma automatizada, semiautomatizada y manual, exclusivamente en formato electrónico.

3.3. Categorías de interesados

Los datos personales tratados pueden pertenecer al Cliente, sus representantes legales, sus empleados, sus colaboradores, sus proveedores, sus clientes y clientes potenciales, así como a contactos previamente recopilados directamente por el Cliente.

3.4. Tipo de datos personales

El tratamiento realizado por Cosmobile en nombre del Cliente se limita exclusivamente a datos personales comunes (nombre, apellidos, código de identificación fiscal, datos bancarios, datos salariales, etc.). Cosmobile no asume ninguna responsabilidad por el tratamiento – no autorizado ni previsto en el presente Acuerdo – de datos pertenecientes a categorías especiales según los artículos 9 y 10 del GDPR.

3.5. Duración del tratamiento

El presente Acuerdo tiene la misma duración y validez que el Contrato; por lo tanto, al finalizar el Contrato, este documento también perderá su validez. No obstante, incluso después de la finalización del Contrato, Cosmobile garantiza la máxima confidencialidad de los datos personales y de la información adquirida durante la vigencia del mismo.

En caso de que el Cliente adquiera una nueva licencia para el uso del Programa sin interrupción, el presente Acuerdo se considerará prorrogado y el tratamiento de datos personales continuará sin cambios.

Al vencimiento natural del Acuerdo, salvo prórrogas, Cosmobile conservará los datos personales durante un período de 60 (sesenta) días, tras lo cual procederá a su eliminación segura. Los datos personales podrán conservarse más allá de este período únicamente por solicitud expresa del Cliente o en los casos en que lo exija una disposición legal, una orden judicial o cualquier otra justificación válida para su retención adicional.

4. Obligaciones de Cosmobile

4.1. Obligaciones generales

Cosmobile, como responsable del tratamiento, se compromete a:

  1. Tratar los datos personales proporcionados o puestos a disposición por el Cliente, o adquiridos durante la ejecución del Contrato, exclusivamente con fines de prestación y uso del Programa.
  2. Tratar los datos personales únicamente en base a las instrucciones documentadas proporcionadas por el Cliente, incluso en caso de transferencia de datos personales a entidades establecidas en países fuera de la Unión Europea, lo cual solo podrá realizarse previa autorización del Cliente y según sus instrucciones, adoptando las garantías adecuadas de acuerdo con la normativa europea y nacional vigente y las indicaciones del Cliente, las cuales deben mantenerse documentadas y proporcionarse, si se solicita.
  3. No divulgar ni hacer públicos los datos personales adquiridos como resultado del uso del Programa, y adoptar las medidas necesarias para asegurar la máxima confidencialidad de los datos obtenidos.
  4. Adoptar las medidas adecuadas y necesarias para asegurar la máxima seguridad, conforme al artículo 32 del GDPR, de los datos tratados como consecuencia del uso del Programa, tal como se describe en el siguiente punto 4.3.
  5. Identificar a las personas autorizadas para tratar los datos personales, incluidas las personas administradoras del sistema, que operan bajo la autoridad de Cosmobile, y adoptar medidas para (i) garantizar que dichas personas asuman obligaciones de confidencialidad adecuadas en relación con los datos personales tratados, (ii) proporcionarles instrucciones adecuadas y documentadas sobre el cumplimiento, en particular, de las medidas de seguridad de los datos, y (iii) supervisar que las personas autorizadas sigan las instrucciones dadas para el tratamiento de los datos personales y las disposiciones normativas vigentes sobre protección de datos personales.
  6. Adoptar todas las medidas requeridas por las disposiciones de la Autoridad de Protección de Datos Personales con respecto a los administradores del sistema, hasta su posible modificación, reemplazo y derogación, como se detalla en el siguiente punto 4.4.
  7. Asegurar, en relación con el uso del Programa, el cumplimiento correcto de las obligaciones previstas en las disposiciones del GDPR, según las modalidades, procedimientos y formularios que el Cliente indique de manera continua.
  8. Asistir al Cliente con medidas técnicas y organizativas adecuadas, en la medida en que sea posible, para cumplir con la obligación del Cliente de atender las solicitudes para el ejercicio de los derechos de los interesados según el Capítulo III del GDPR.
  9. Asistir al Cliente en garantizar el cumplimiento, en cuanto a su competencia, de las obligaciones relativas a la seguridad, la evaluación del impacto sobre la protección de datos y la consulta previa, según los artículos 32, 35 y 36 del GDPR, teniendo en cuenta la naturaleza del tratamiento y la información disponible para Cosmobile, así como las instrucciones documentadas proporcionadas continuamente por el Cliente en relación con el cumplimiento de estas obligaciones.
  10. Asistir al Cliente en garantizar el cumplimiento, en cuanto a su competencia, de las obligaciones de notificación a la autoridad de cualquier violación de datos personales y, cuando corresponda, de su comunicación a los interesados, conforme a los artículos 33 y 34 del GDPR, como se detalla en el siguiente punto 4.5.
  11. Informar de manera inmediata al Cliente en caso de recibir solicitudes de información o documentos, inspecciones y auditorías por parte de la Autoridad de Protección de Datos Personales u otras autoridades judiciales o de policía judicial, en relación con el tratamiento de datos personales vinculado al uso del Programa, y colaborar con el Cliente en la preparación de los informes, actos, documentos o comunicaciones correspondientes.
  12. Eliminar o devolver al Cliente, a su solicitud, todos los datos personales una vez que haya finalizado el periodo de licencia del Programa, y eliminar las copias existentes, salvo que la normativa europea o nacional vigente o el Contrato establezcan la conservación de los datos por parte de Cosmobile.
  13. Proporcionar al Cliente toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en este documento y la legislación vigente sobre protección de datos personales.
  14. Permitir y colaborar en las actividades de verificación e inspección realizadas por el Cliente o los sujetos designados por este, incluso en el lugar (en las instalaciones donde se realiza el tratamiento), tras un aviso adecuado y durante el horario laboral habitual, sin interrumpir la continuidad de las actividades laborales.

Con respecto al tratamiento de datos personales relacionado con el uso del Programa, Cosmobile está autorizada, desde este momento, a recurrir a otros responsables del tratamiento (sub-responsables), cuyo listado completo estará disponible para el Cliente a simple solicitud.

Este listado será actualizado periódicamente por el responsable del tratamiento, quien comunicará cualquier cambio, especialmente en lo que respecta a la adición y/o sustitución, dentro de los 30 (treinta) días siguientes al mismo.

El Cliente tendrá derecho a oponerse a los cambios realizados (adición y/o sustitución de uno o más sub-responsables) mediante una carta enviada por correo certificado con acuse de recibo a la dirección legal de Cosmobile o por correo electrónico certificado a la dirección digital de Cosmobile, dentro de los 15 (quince) días siguientes a la fecha de comunicación del cambio. Se entiende que, transcurrido dicho plazo sin respuesta o sin objeción, el listado actualizado se considerará definitivamente aceptado y aprobado por el Cliente, incluso si los mencionados sub-responsables deben ser eliminados y reincorporados en el futuro.

Cosmobile declara y garantiza que los sub-responsables presentan garantías suficientes para implementar medidas técnicas y organizativas adecuadas para garantizar el cumplimiento de las disposiciones del GDPR y se compromete, en el marco de los contratos y acuerdos celebrados con los sub-responsables, a:

  1. Vincularlos al cumplimiento de las mismas obligaciones en materia de protección de datos personales asumidas por Cosmobile frente al Cliente, cuando sean aplicables y pertinentes respecto a las actividades encomendadas a los mismos;
  2. Custodiar una copia de los contratos, acuerdos o documentos que regulan las obligaciones en materia de protección de datos personales, firmados para su conocimiento y aceptación por parte de los sub-responsables y proporcionar una copia al Cliente, en caso de que este lo solicite;
  3. Asumir frente al Cliente toda responsabilidad en relación con el cumplimiento de dichas obligaciones por parte de los sub-responsables.

4.2. Seguridad del tratamiento

Teniendo en cuenta el estado de la técnica y los costes de implementación, así como la naturaleza, objeto, contexto y finalidades del tratamiento, y el riesgo de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, así como las propiedades de confidencialidad, integridad y disponibilidad de los datos, Cosmobile define y pone en práctica medidas técnicas y organizativas para garantizar un nivel adecuado de seguridad de los datos personales tratados, que pueden incluir, si es aplicable y a discreción del responsable:

  1. La seudonimización y/o cifrado de los datos personales;
  2. La capacidad de garantizar de forma permanente la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas y servicios de tratamiento;
  3. La capacidad de restaurar de manera rápida la disponibilidad y el acceso a los datos personales en caso de un incidente físico o técnico-lógico;
  4. Un procedimiento para probar, verificar y evaluar regularmente la eficacia de las medidas técnicas y organizativas definidas e implementadas, con el fin de garantizar la seguridad del tratamiento.

Al evaluar el nivel adecuado de seguridad, se tiene especialmente en cuenta los riesgos derivados del tratamiento, particularmente la destrucción, pérdida, modificación, divulgación no autorizada o el acceso accidental o ilegal a datos personales transmitidos, almacenados o tratados de cualquier otra forma.

De acuerdo con los artículos 40 y 42 del Reglamento, se puede adherir a un código de conducta o a un mecanismo de certificación. Estas adhesiones pueden utilizarse como elementos para demostrar el cumplimiento de las disposiciones del GDPR.

El responsable del tratamiento también garantiza que cualquier persona que actúe bajo su autoridad y tenga acceso a los datos personales no los tratará a menos que haya sido instruida para hacerlo, salvo que lo exija el derecho de la Unión Europea o de los Estados miembros.

Con respecto a las medidas técnicas y organizativas, Cosmobile se compromete a proporcionar la lista y la documentación que demuestre la adopción de dichas medidas a solicitud explícita del Cliente.

4.3. Administradores de Sistema

El responsable del tratamiento identifica y designa por escrito a los administradores de sistema, teniendo en cuenta las actividades realizadas, las competencias y los perfiles profesionales, así como a partir de una evaluación cuidadosa de sus características subjetivas.

Cosmobile mantendrá un registro de los administradores de sistema y se asegurará de que se mantenga y actualice al menos anualmente y/o siempre que sea necesario (por ejemplo, después de cambios organizativos).

Todos los accesos por parte de los administradores de sistema deben ser registrados mediante registros específicos (access log), y estos deben ser conservados según lo requerido por las disposiciones correspondientes, asegurando la integridad y la capacidad de verificación de los mismos.

4.4. Violación de Datos Personales (Data Breach)

El responsable del tratamiento se compromete a informar al Cliente de cualquier violación de la seguridad de los datos personales tratados, sin demora y en todo caso no más de 48 horas después de haber tenido conocimiento de la violación. Cosmobile prestará la colaboración necesaria al Cliente para cumplir con las notificaciones a la autoridad de control en un plazo no superior a 72 horas y, si es necesario, a los interesados.

5. Obligaciones del Cliente

5.1. Obligaciones Generales

El Cliente, en el marco del presente acuerdo, se compromete a colaborar activamente con el responsable del tratamiento para que este pueda cumplir correctamente con sus obligaciones en materia de protección de datos personales.

En particular, el Cliente se compromete a:

  1. Comunicar por escrito, dentro de un plazo no superior a 7 (siete) días desde la firma del Contrato, las instrucciones detalladas necesarias para tratar los datos personales de acuerdo con las disposiciones vigentes en materia de protección de datos, según lo dispuesto en el artículo 29 del GDPR, incluso en el caso de una posible transferencia de datos personales a entidades establecidas en países fuera de la Unión Europea.
  2. No obstaculizar las actividades realizadas por el responsable del tratamiento, respetando la autonomía contractual otorgada al mismo y en cuanto sean compatibles con las obligaciones previstas por la normativa vigente.
  3. Eximir y mantener indemne a Cosmobile de cualquier carga, acción, disputa, daño o consecuencia derivada del cumplimiento de las instrucciones mencionadas.
  4. Reembolsar a Cosmobile los costos adicionales que esta deba asumir debido a las instrucciones proporcionadas y como consecuencia del cumplimiento de las disposiciones de los artículos 32 y siguientes del GDPR, así como de las solicitudes realizadas por el Cliente.
  5. Eximir a Cosmobile de la adopción de cualquier medida, y de las responsabilidades consecuentes por la no adopción, prevista por la normativa vigente y/o solicitada por el Cliente, en caso de que el Cliente no abone al responsable del tratamiento, dentro de los 7 (siete) días desde la comunicación de la estimación preventiva, la suma establecida como costo presumible de adaptación.
  6. Garantizar que ha recopilado y tratado los datos de acuerdo con una o más bases legales, recopilando, en su caso, el consentimiento explícito de los interesados.

En cuanto al cumplimiento de las disposiciones anteriores, el Cliente declara estar consciente de que, en ausencia de instrucciones específicas y documentadas, Cosmobile tratará los datos personales de acuerdo con la normativa vigente y conforme a los principios establecidos en el Reglamento Europeo 2016/679, ratificando desde ya la actuación del responsable del tratamiento, incluso en lo que respecta a posibles transferencias de datos personales fuera de la Unión Europea.

En particular, salvo indicación diferente por parte de las partes, las decisiones técnicas y organizativas, así como las medidas de seguridad adoptadas por el responsable del tratamiento y comunicadas al momento de la firma del contrato, serán consideradas como un cumplimiento exacto de las instrucciones proporcionadas por el Cliente, hasta que se demuestre lo contrario, responsabilidad que recaerá sobre el mismo Cliente.