El encargado del tratamiento de datos se compromete a:

Tratar los datos sólo para los fines para los que se subcontrata

Tratar los datos de acuerdo con la descripción del servicio comunicada al responsable del tratamiento en el anexo de este contrato. Si el encargado del tratamiento está obligado a transferir los datos a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o del Derecho del Estado miembro al que esté sujeto, deberá informar al responsable del tratamiento de sus obligaciones legales antes del tratamiento, a menos que la ley en cuestión prohíba dicha información por razones importantes de interés público.

Garantizar la confidencialidad de los datos personales tratados en el marco de este contrato

Garantizar que las personas autorizadas a tratar datos personales en el marco de este contrato: se comprometan a respetar la confidencialidad o estén sujetas a un deber legal de confidencialidad adecuado, reciban la formación necesaria en materia de protección de datos personales

Subcontratación: El encargado del tratamiento puede contratar a otro encargado (véase más en adelante «el encargado del tratamiento») para que realice actividades específicas de tratamiento. En este caso, el encargado del tratamiento informará al responsable del tratamiento por adelantado y por escrito de cualquier cambio previsto en relación con la adición o la sustitución de otros encargados. Esta información indicará claramente las actividades de tratamiento subcontratadas, la identidad y los datos de contacto del encargado y las fechas de la subcontratación. El responsable del tratamiento tendrá un mínimo de 15 días a partir de la fecha de recepción de esta información para presentar sus objeciones. Dicha subcontratación sólo podrá llevarse a cabo si el responsable del tratamiento no se ha opuesto en el plazo acordado.

Derecho a la información de los interesados: Dependiendo de si la información es recogida por el responsable o el encargado del tratamiento, es responsabilidad del responsable o del encargado, respectivamente, proporcionar la información a los interesados de las operaciones de tratamiento en el momento de la recopilación de los datos.

Ejercicio de los derechos personales: En la medida de lo posible, el encargado del tratamiento debe ayudar al responsable del tratamiento a cumplir su obligación de responder a las solicitudes de ejercicio de los derechos de los interesados: derecho de acceso, rectificación, supresión y oposición, derecho a la limitación del tratamiento, derecho a la portabilidad de los datos, derecho a no ser objeto de una decisión individual automatizada (incluida la elaboración de perfiles). Cuando los interesados soliciten al encargado del tratamiento el ejercicio de sus derechos, éste deberá dirigir dichas solicitudes, una vez recibidas, por correo electrónico a una persona de contacto del responsable del tratamiento cuyos datos figuran en el anexo del contrato.

Notificación de violaciones de datos personales: el encargado del tratamiento notificará al responsable del tratamiento cualquier violación de datos personales en un plazo máximo de 24 horas desde que tenga conocimiento de la misma y mediante un correo electrónico enviado a un contacto del responsable cuyos datos figuran en el Anexo del Contrato. . Esta notificación irá acompañada de toda la documentación útil que permita al responsable del tratamiento, en caso necesario, notificar la violación a la autoridad de control competente.

Después del previo acuerdo del responsable del tratamiento, el encargado del tratamiento informará a la autoridad de control competente (la CNIL), en nombre y por cuenta del responsable del tratamiento, de las violaciones de los datos personales lo antes posible y, si es posible, a más tardar 72 horas después de tener conocimiento de la violación, a menos que la violación en cuestión pueda crear un riesgo para los derechos y las libertades de las personas.

La notificación contendrá como mínimo:

• Una descripción de la naturaleza de la violación de los datos personales, incluyendo, si es posible, las categorías y el número aproximado de personas afectadas por la violación y las categorías y el número aproximado de registros de datos personales afectados;
• El nombre y los datos de contacto del responsable de la protección de datos u otro punto de contacto del que pueda obtenerse más información;
• Una descripción de las consecuencias probables de la violación de los datos personales;
• Una descripción de las medidas adoptadas o que propone adoptar el responsable del tratamiento para remediar la violación de los datos personales, incluidas, las medidas para mitigar las consecuencias negativas. Si y en la medida en que no sea posible proporcionar toda esta información al mismo tiempo, la información puede ser proporcionada en etapas sin demora injustificada.

Asistencia del encargado del tratamiento en el cumplimiento de las obligaciones del responsable del tratamiento: El encargado del tratamiento asistirá al responsable en el cumplimiento:

• Evaluaciones de impacto de la protección de datos
• Consulta previa a la autoridad de control.

Medidas de seguridad: El encargado del tratamiento se compromete a aplicar las siguientes medidas de seguridad:

• Los datos personales almacenados en la base de datos están encriptados mediante AES256.
• Los datos almacenados en forma de imagen en el sistema de archivos se encriptan utilizando AES256.
• Tan pronto como los datos dejen de ser necesarios, se eliminarán inmediatamente.
• Los rastros técnicos no contienen ninguna información personal.
• Los datos en tránsito están protegidos por conexiones TLS.
• El acceso externo al servicio está protegido por equipos de seguridad cuyas configuraciones se auditan periódicamente.
• Los datos que se conservan en la base de datos (mientras dure su procesamiento o mientras los utilice el responsable del tratamiento) se mantienen en una base de datos replicada que permite volver a montar el servicio en caso de que falle uno de los nodos. En caso de que se produzca un fallo en todos los nodos, se activa un plan de continuidad del negocio utilizando la última copia de seguridad diaria de los datos encriptados.
• Los nodos de procesamiento de datos son redundantes para que el servicio pueda prestarse incluso si uno de los nodos falla.
• Todo el servicio se supervisa en tiempo real y existe un sistema de alerta automático para informar a los administradores del sistema de cualquier anomalía en la prestación del servicio.
• El acceso a los servidores está limitado al personal identificado. Todas sus acciones en estos servidores se registran en historiales inalterables.
• Una auditoría anual del servicio verifica el cumplimiento de los procedimientos y las medidas de vigilancia.

Nota: los datos no están anonimizados / seudonimizados porque el objetivo del servicio es validar la identidad del usuario final

Destino de los datos: Al finalizar el servicio prestado para el tratamiento de estos datos, el encargado del tratamiento se compromete a devolver y posteriormente destruir todos los datos personales al responsable del tratamiento.

• La devolución debe ir acompañada de la destrucción de todas las copias existentes en los sistemas de información del encargado del tratamiento.
• Como el encargado del tratamiento utiliza algoritmos de aprendizaje y procesamiento de máquinas que desarrolla él mismo, está autorizado por el responsable a almacenar datos con el fin de mejorar dichos algoritmos. Los datos almacenados son utilizados por un equipo especializado del encargado del tratamiento, cuyos miembros han firmado un acuerdo de confidencialidad específico. Los datos almacenados no son accesibles fuera del sistema de información interno del encargado del tratamiento.

Responsable de la protección de datos: el encargado del tratamiento comunica al responsable del tratamiento el nombre y los datos de contacto de su delegado de la protección de datos, si ha designado uno, de conformidad con el artículo 37 del Reglamento Europeo de Protección de Datos.

Registro de categorías de actividades de tratamiento: El encargado del tratamiento declara llevar un registro escrito de todas las categorías de actividades de tratamiento realizadas por cuenta del responsable, incluyendo:

• El nombre y los datos de contacto del responsable en cuyo nombre actúan, de los encargados del tratamientoy, en su caso, del delegado de la protección de datos;
• Las categorías de tratamiento realizadas por cuenta del responsable;
• En su caso, las transferencias de datos personales a un tercer país o a una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias a que se refiere el artículo 49, apartado 1, párrafo segundo, del Reglamento Europeo de Protección de Datos, los documentos que acrediten la existencia de garantías adecuadas
• En la medida de lo posible, una descripción general de las medidas de seguridad técnicas y organizativas, que incluya, entre otras cosas, lo siguiente:
  • Pseudonimización y encriptación de datos personales; o medios para garantizar la confidencialidad, integridad, disponibilidad y resistencia continuas de los sistemas y servicios de procesamiento;
  • Medios para restablecer la disponibilidad y el acceso a los datos personales en el plazo apropiado en caso de incidente físico o técnico; o un procedimiento para probar, analizar y evaluar periódicamente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

Documentación: El encargado del tratamiento facilitará al responsable del tratamiento la documentación necesaria para demostrar el cumplimiento de todas sus obligaciones y para permitir la realización de auditorías, incluidas las inspecciones, por parte del responsable o de otro auditor designado por éste, así como para contribuir a dichas auditorías.