El objetivo de estas cláusulas es definir las condiciones en las que el encargado del tratamiento se compromete a realizar el tratamiento de los datos personales definidos a continuación por cuenta del responsable. En el marco de su relación contractual, las partes se comprometen a cumplir con la normativa vigente aplicable al tratamiento de datos personales y, en particular, con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016. aplicable a partir del 25 de mayo de 2018 (véase más adelante, «Reglamento Europeo de Protección de Datos»).
El encargado del tratamiento de datos está autorizado a tratar en nombre del responsable del tratamiento los datos personales necesarios para prestar los servicios que se detallan a continuación:
Servicio | Verificación de los documentos de identidad (DNI, pasaporte, permiso de residencia y otros documentos personales (RIB, comprobante de domicilio, nómina, notificación de impuestos, permiso de conducir, etc.) |
---|---|
Naturaleza de las operaciones | Captura de la imagen del documento, recepción, extracción de los datos del documento, control sobre la base de reglas definidas, restitución de los resultados del control. |
Finalidad del tratamiento | Comprobación de los documentos aportados por los clientes finales. |
Categorías de personas afectadas | Clientes finales |
Información puesta a disposición del encargado del tratamiento por el responsable para la realización del servicio prestado de este contrato | Imagen del DNI o del documento, posiblemente adquirida directamente del cliente final. |
Servicio | Reconocimiento facial para identificar al titular del DNI |
---|---|
Naturaleza de las operaciones | Tómese un selfie, reciba el selfie y compárelo automáticamente con el rostro que se encuentra en el documento de identidad. |
Finalidad del tratamiento | Comprobación de los documentos aportados por los clientes finales. |
Categorías de personas afectadas | Clientes finales |
Información puesta a disposición del encargado del tratamiento por el responsable para la realización del servicio prestado de este contrato | Imagen del documento de identidad y selfie del cliente final, posiblemente adquirida directamente del cliente final. |
Este contrato es válido para el periodo de servicio como definido en el contrato.
El encargado del tratamiento de datos se compromete a:
Tratar los datos sólo para los fines para los que se subcontrata
Tratar los datos de acuerdo con la descripción del servicio comunicada al responsable del tratamiento en el anexo de este contrato. Si el encargado del tratamiento está obligado a transferir los datos a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o del Derecho del Estado miembro al que esté sujeto, deberá informar al responsable del tratamiento de sus obligaciones legales antes del tratamiento, a menos que la ley en cuestión prohíba dicha información por razones importantes de interés público.
Garantizar la confidencialidad de los datos personales tratados en el marco de este contrato
Garantizar que las personas autorizadas a tratar datos personales en el marco de este contrato: se comprometan a respetar la confidencialidad o estén sujetas a un deber legal de confidencialidad adecuado, reciban la formación necesaria en materia de protección de datos personales
Subcontratación: El encargado del tratamiento puede contratar a otro encargado (véase más en adelante «el encargado del tratamiento») para que realice actividades específicas de tratamiento. En este caso, el encargado del tratamiento informará al responsable del tratamiento por adelantado y por escrito de cualquier cambio previsto en relación con la adición o la sustitución de otros encargados. Esta información indicará claramente las actividades de tratamiento subcontratadas, la identidad y los datos de contacto del encargado y las fechas de la subcontratación. El responsable del tratamiento tendrá un mínimo de 15 días a partir de la fecha de recepción de esta información para presentar sus objeciones. Dicha subcontratación sólo podrá llevarse a cabo si el responsable del tratamiento no se ha opuesto en el plazo acordado.
Derecho a la información de los interesados: Dependiendo de si la información es recogida por el responsable o el encargado del tratamiento, es responsabilidad del responsable o del encargado, respectivamente, proporcionar la información a los interesados de las operaciones de tratamiento en el momento de la recopilación de los datos.
Ejercicio de los derechos personales: En la medida de lo posible, el encargado del tratamiento debe ayudar al responsable del tratamiento a cumplir su obligación de responder a las solicitudes de ejercicio de los derechos de los interesados: derecho de acceso, rectificación, supresión y oposición, derecho a la limitación del tratamiento, derecho a la portabilidad de los datos, derecho a no ser objeto de una decisión individual automatizada (incluida la elaboración de perfiles). Cuando los interesados soliciten al encargado del tratamiento el ejercicio de sus derechos, éste deberá dirigir dichas solicitudes, una vez recibidas, por correo electrónico a una persona de contacto del responsable del tratamiento cuyos datos figuran en el anexo del contrato.
Notificación de violaciones de datos personales: el encargado del tratamiento notificará al responsable del tratamiento cualquier violación de datos personales en un plazo máximo de 24 horas desde que tenga conocimiento de la misma y mediante un correo electrónico enviado a un contacto del responsable cuyos datos figuran en el Anexo del Contrato. . Esta notificación irá acompañada de toda la documentación útil que permita al responsable del tratamiento, en caso necesario, notificar la violación a la autoridad de control competente.
Después del previo acuerdo del responsable del tratamiento, el encargado del tratamiento informará a la autoridad de control competente (la CNIL), en nombre y por cuenta del responsable del tratamiento, de las violaciones de los datos personales lo antes posible y, si es posible, a más tardar 72 horas después de tener conocimiento de la violación, a menos que la violación en cuestión pueda crear un riesgo para los derechos y las libertades de las personas.
La notificación contendrá como mínimo:
Asistencia del encargado del tratamiento en el cumplimiento de las obligaciones del responsable del tratamiento: El encargado del tratamiento asistirá al responsable en el cumplimiento:
Medidas de seguridad: El encargado del tratamiento se compromete a aplicar las siguientes medidas de seguridad:
Nota: los datos no están anonimizados / seudonimizados porque el objetivo del servicio es validar la identidad del usuario final
Destino de los datos: Al finalizar el servicio prestado para el tratamiento de estos datos, el encargado del tratamiento se compromete a devolver y posteriormente destruir todos los datos personales al responsable del tratamiento.
Responsable de la protección de datos: el encargado del tratamiento comunica al responsable del tratamiento el nombre y los datos de contacto de su delegado de la protección de datos, si ha designado uno, de conformidad con el artículo 37 del Reglamento Europeo de Protección de Datos.
Registro de categorías de actividades de tratamiento: El encargado del tratamiento declara llevar un registro escrito de todas las categorías de actividades de tratamiento realizadas por cuenta del responsable, incluyendo:
Documentación: El encargado del tratamiento facilitará al responsable del tratamiento la documentación necesaria para demostrar el cumplimiento de todas sus obligaciones y para permitir la realización de auditorías, incluidas las inspecciones, por parte del responsable o de otro auditor designado por éste, así como para contribuir a dichas auditorías.
El responsable del tratamiento se compromete a: