Skip to main navigation Skip to main content Skip to page footer
Solicita una demo

Acuerdo de Tratamiento de Datos

 

1. PROPÓSITO DEL TRATAMIENTO DE DATOS Y BASE LEGAL

Propósito:

El presente Contrato de Encargo de Tratamiento (“DPA”) rige el tratamiento de datos personales por parte del Proveedor (en adelante, el “Encargado de Tratamiento” o “Encargado”) en nombre del Cliente (en adelante, el “Responsable del Tratamiento de Datos” o “Responsable”) como consecuencia de la ejecución del Contrato de Licencia de Software y Servicios (el “Contrato”).

Base jurídica:

La prestación de los Servicios implica el tratamiento de datos personales para alcanzar la finalidad acordada (es decir, la prestación de los Servicios) y durante el tiempo necesario para cumplir con las obligaciones establecidas en el mismo, siendo la base jurídica para el tratamiento la ejecución del Contrato y el cumplimiento de las obligaciones legales derivadas del mismo.

En cumplimiento del artículo 28 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 («RGPD»), el Proveedor, como Encargado del Tratamiento, asume los siguientes compromisos en relación con el tratamiento de los datos personales comunicados por el Cliente, como Responsable del Tratamiento, para la prestación de los Servicios.

2. ACTIVIDADES DE TRATAMIENTO

El Encargado de Tratamiento procesará, en nombre del Responsable del Tratamiento de Datos, los datos personales necesarios para la prestación de los servicios en virtud del Contrato de Licencia y Prestación de Servicios, que puede incluir las siguientes actividades de procesamiento: Acceso, recopilación, registro, organización, estructuración, retención, almacenamiento, consulta, comunicación, interconexión de datos entre módulos o integraciones del sistema, modificación, actualización, eliminación, borrado o bloqueo de datos durante la ejecución del Contrato.

3. CATEGORÍAS DE INTERESADOS Y DATOS PERSONALES

El Encargado del Tratamiento podrá procesar las siguientes categorías de datos personales en nombre del Responsable del Tratamiento:

3.1 Categorías de Sujetos:

Empleados y/o usuarios autorizados del Cliente.

Personal administrativo o directivo del Cliente con derechos de acceso a la plataforma.

3.2 Categorías de Datos Personales:

Datos de identificación: nombre, apellidos, correo electrónico, número de empleado, puesto de trabajo, identificador de usuario y fotografía, si procede.

Datos de contacto profesional: dirección, teléfono y correo electrónico corporativo.

Datos laborales: información sobre horarios, asistencia, rendimiento, formación, evaluaciones, etc.

Datos de acceso y uso del sistema (registros, IP, actividad en la aplicación).

Las categorías especiales de datos personales no se tratarán salvo que el Cliente lo solicite expresamente y se hayan obtenido los consentimientos y garantías necesarios conforme al RGPD.

4. COMPROMISOS DEL ENCARGADO

4.1 Compromisos Generales:

i) Utilizar los datos personales objeto del tratamiento únicamente para la finalidad del presente Contrato.

ii) Tratar los datos de conformidad con las instrucciones del Responsable del Tratamiento. Si el Encargado del Tratamiento considera que alguna de estas instrucciones infringe alguna normativa de protección de datos, deberá informar inmediatamente al Responsable del Tratamiento.

iii) Mantener un registro de las actividades de tratamiento realizadas en nombre del Responsable del Tratamiento, que contenga la información exigida por la normativa vigente en materia de protección de datos.

iv) No divulgar los datos a terceros, salvo autorización expresa del Responsable del Tratamiento o, en su caso, del interesado, en circunstancias legalmente admisibles.

v) No subcontratar otros servicios que formen parte del objeto del presente Contrato e impliquen el tratamiento de datos personales, salvo los servicios auxiliares necesarios para el correcto funcionamiento de los Servicios del Encargado del Tratamiento. El subcontratista, que también tendrá la condición de encargado del tratamiento, estará igualmente obligado a cumplir las obligaciones establecidas en el presente Contrato de Tratamiento de Datos.

vi) Prestará asistencia razonable al Responsable del Tratamiento en la realización de Evaluaciones de Impacto en la Protección de Datos (EIPD) y consultas previas con las autoridades de control cuando sea necesario.

vii) Mantendrá el deber de confidencialidad respecto de los datos personales a los que haya tenido acceso en virtud del Contrato, incluso después de su finalización, y garantizará que las personas autorizadas para tratar datos personales se comprometan a respetar la confidencialidad y a cumplir con las medidas de seguridad correspondientes, que deberán serles debidamente comunicadas.

viii) Garantizará que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir con las medidas de seguridad correspondientes, que deberán serles debidamente comunicadas.

ix) Garantizará que las personas autorizadas para tratar datos personales conozcan sus funciones y obligaciones en relación con el tratamiento de los mismos, de conformidad con los requisitos del RGPD o, en su caso, que hayan recibido formación específica al respecto.

x) Notificar por escrito al Responsable del Tratamiento la recepción de cualquier solicitud para ejercer los derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad de los datos, oposición, derecho a no ser objeto de decisiones basadas únicamente en el tratamiento automatizado, o cualquier otro derecho establecido en la legislación aplicable, en un plazo no superior a tres (3) días hábiles desde la recepción de la solicitud, junto con la información pertinente para su resolución.

xi) Notificar por escrito al Responsable del Tratamiento cualquier violación de seguridad de datos personales que suponga un riesgo para los derechos y libertades de las personas físicas del que tenga conocimiento, sin dilación indebida y, en cualquier caso, en un plazo máximo de 48 (cuarenta y ocho) horas, junto con la información y documentación pertinente del incidente.

xii) Proporcionar al Responsable del Tratamiento toda la información necesaria para demostrar el cumplimiento de sus obligaciones, incluyendo la realización de auditorías, revisiones e inspecciones, previa solicitud por escrito del Responsable del Tratamiento.

xiii) Implementar las medidas de seguridad necesarias, en función de la naturaleza, el alcance, el contexto y las finalidades del tratamiento, que, considerando el estado de la técnica, garanticen un nivel de seguridad adecuado al riesgo, incluyendo, entre otras:

a) Pseudonimización y cifrado.

b) La capacidad de garantizar la confidencialidad, la integridad, la disponibilidad y la resiliencia continuas de los sistemas y servicios de tratamiento.

c) La capacidad de restablecer la disponibilidad y el acceso a los datos personales de forma oportuna en caso de incidente físico o técnico.

d) Un proceso para probar, evaluar y valorar periódicamente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. Estas medidas se describen en el Anexo A.

xiv) Eliminar o devolver al Responsable del Tratamiento todos los datos personales que obren en su poder (independientemente del soporte) al finalizar el Contrato, previa solicitud por escrito del Responsable del Tratamiento. No obstante, el Encargado del Tratamiento podrá conservarlos, debidamente bloqueados, mientras existan responsabilidades derivadas de la ejecución del Contrato.

4.2 Sub-encargados:

El Proveedor podrá subcontratar la prestación del Servicio cuando sea necesario para su ejecución. Cuando dichos subcontratistas traten los Datos Personales del Cliente en nombre del Proveedor, este deberá garantizar que (i) exista un acuerdo por escrito que imponga obligaciones de confidencialidad y protección de datos con un nivel de protección no inferior al establecido en este Acuerdo, y (ii) el subcontratista actúe exclusivamente siguiendo las instrucciones documentadas del Proveedor. El Proveedor será siempre responsable del desempeño de sus subcontratistas. Sin perjuicio de la información proporcionada en este Contrato de Encargo de Tratamiento de de Datos, se facilitará al Cliente, previa solicitud, una lista de los subcontratistas que participan actualmente en la prestación del Servicio.

El Responsable del Tratamiento autoriza al Encargado del Tratamiento a utilizar los subencargados que se enumeran a continuación, exclusivamente para la prestación de los servicios auxiliares necesarios (por ejemplo, alojamiento de datos, soporte técnico, comunicaciones o análisis). El Encargado del Tratamiento mantendrá una lista actualizada de los subencargados del tratamiento, incluyendo su identidad, ubicación y función.

Los subencargados autorizados actualmente incluyen, entre otros, los siguientes:

Microsoft Azure (servicios de alojamiento y almacenamiento – UE o EEE).

Hastee Europe S.L. (servicios de anticipo de nómina, sujetos a autorización explícita del Cliente).

Signaturit (servicios de gestión de firmas).

RoSPA, PREVINTEGRA, MINDTOOLS (servicios de formación).

Amazon Web Services (AWS) (servicios de infraestructura en la nube – UE o EEE).

Intellum Evolve (servicios de creación de contenido para e-learning).

Zendesk (servicio de asistencia técnica).

La anterior lista no es acumulativa, dependiendo los Paquetes de Software y/o los Servicios solicitados por el Cliente podrán no estar involucrados en la prestación de los mismos todos los subencargados anteriores.

5. CONSERVACIÓN Y ELIMINACIÓN DE CERTIFICADOS DE FORMACIÓN Y DATOS PERSONALES

5.1 Función del proveedor como Encargado del Tratamiento:

El Proveedor actuará en todo momento como Encargado del Tratamiento de Datos, procesando los datos personales asociados a la formación, incluidos certificados, resultados y acreditaciones, únicamente durante la vigencia del Contrato y de conformidad con las instrucciones documentadas del Cliente, según lo dispuesto en el artículo 28 del Reglamento (UE) 2016/679 (RGPD).

5.2 Retención y exportación de datos:

Tras la finalización del Contrato, el Encargado permitirá al Cliente exportar o descargar, en un formato estructurado, de uso común y legible por máquina, los certificados y los datos personales asociados disponibles en la Plataforma. Una vez transcurrido el plazo autorizado para dicha exportación, y en ausencia de instrucciones adicionales del Cliente, el Encargado eliminará de forma segura los datos, salvo aquellos cuya conservación sea legalmente obligatoria.

5.3 Periodos de retención:

El Proveedor no será responsable de determinar ni de cumplir con los plazos de conservación legales o contractuales de los certificados de formación, según lo indique el Cliente o terceros. Esta responsabilidad recae exclusivamente en el Cliente o en el Proveedor emisor correspondiente, salvo que la normativa sectorial exija su conservación.

5.4 Gestión de certificados emitidos por proveedores externos:

- PREVINTEGRA: Conservará los certificados durante cinco (5) años a partir de su emisión. El Proveedor no conservará los certificados emitidos por PREVINTEGRA tras la finalización del Contrato y podrá informar al Cliente para que este los solicite directamente.

- RoSPA Qualifications: No estará obligada a conservar copias de los certificados ni de los datos personales de los alumnos más allá de lo estrictamente necesario para cumplir con sus propios requisitos operativos, contractuales o legales. El Proveedor, como Encargado del Tratamiento de Datos, no asumirá responsabilidad alguna por la custodia, la sustitución o la recuperación de dichos certificados o datos.

- INTELLUM EVOLVE: Actuará como subencargado del tratamiento y será la única responsable del almacenamiento y la disponibilidad de los certificados de acuerdo con sus propias políticas.

- Mindtools: Conservará todos los registros de formación, certificados y el progreso del aprendizaje durante la vigencia del Contrato y durante al menos seis (6) años después de su finalización, de conformidad con la normativa aplicable. El Encargado podrá exportar estos datos en formatos electrónicos de uso común sin coste adicional, sin contraer ninguna obligación de conservarlos más allá de sus propios fines internos.

5.5 Limitación general de responsabilidad:

Tras la finalización de la relación contractual, o cuando los certificados dependan de proveedores o subcontratistas externos, el Encargado no asumirá ninguna obligación de almacenar, reemplazar o recuperar los certificados o los datos personales asociados, sin perjuicio de las obligaciones legales aplicables en materia de protección de datos.

6. COMPROMISOS CON EL CLIENTE

i. Declara la licitud del tratamiento de los datos personales a los que el Proveedor tenga acceso en la prestación de los Servicios objeto del Contrato, especialmente los datos relativos a empleados y colaboradores, garantizando que dichos datos se han obtenido de conformidad con todos los requisitos establecidos en el RGPD.

ii. Se compromete a cumplir en todo momento con la normativa vigente en materia de Protección de Datos Personales en relación con todos los datos personales tratados como consecuencia de la prestación de los Servicios.

iii. Se compromete a informar al Proveedor de la rectificación o supresión de los datos personales a los que el Proveedor tenga acceso en virtud del Contrato, así como de la limitación de su tratamiento, tan pronto como sea posible tras la solicitud del interesado y siempre dentro de los plazos legalmente establecidos.

iv. Informará a los interesados ​​sobre los aspectos relacionados con el tratamiento de sus datos de conformidad con lo dispuesto en el artículo 13 del RGPD.

v. Proporcionará al Encargado del Tratamiento los datos necesarios para la prestación de los servicios objeto del Contrato. vi. Realizará las consultas previas necesarias.

vi. Supervisará el tratamiento de datos, incluyendo la realización de inspecciones y auditorías.

vii. Además, el Cliente autoriza al Encargado del Tratamiento a contratar un proveedor de servicios de alojamiento para los servidores necesarios para la prestación de los Servicios. Estos servidores solo podrán estar ubicados en países del Espacio Económico Europeo (los países de la Unión Europea más Liechtenstein, Islandia y Noruega) o, en su caso, en países que la Comisión Europea haya declarado que cuentan con un nivel de protección adecuado. El Encargado del Tratamiento se compromete a suscribir acuerdos de tratamiento de datos con estos proveedores de conformidad con el artículo 28 del RGPD y en los mismos términos que el Acuerdo de Protección de Datos (APD).

viii. El Cliente también autoriza al Encargado del Tratamiento a utilizar o contratar a cualquier otro encargado del tratamiento que se considere un servicio auxiliar necesario para el funcionamiento normal de los servicios del Encargado del Tratamiento.

ix. Asimismo, el Cliente autoriza al Encargado del Tratamiento a compartir los datos personales facilitados por el Cliente con empresas de su grupo, exclusivamente con el fin de prestar los Servicios contratados. El Encargado del Tratamiento de Datos también está obligado a formalizar acuerdos de tratamiento de datos, en los mismos términos que el presente Acuerdo de Protección de Datos (APD), con todas las empresas del grupo que participen en la prestación de los servicios, de conformidad con el artículo 28 del RGPD.

x. Mediante esta cláusula, el Cliente declara que, en caso de solicitar y contratar servicios de anticipo de nómina con Hastee Europe S.L., NIF B67374504, informará a todos sus empleados de la necesaria transferencia de sus datos a este proveedor para que puedan utilizar el servicio de anticipo de nómina contratado, y que ha obtenido los consentimientos necesarios para tal fin. Si algún empleado no desea que se transfieran sus datos o no tiene intención de utilizar el servicio de anticipo de nómina, deberá comunicarlo al Proveedor lo antes posible.

xi. Si, en relación con un Servicio solicitado por el Cliente, es necesario que las partes interesadas (por ejemplo, empleados y/o colaboradores del Cliente) accedan a una aplicación a través de su teléfono móvil, dicha aplicación contendrá sus "Condiciones de Uso" y su "Política de Privacidad" con respecto a la parte interesada.

xii. La plataforma no está configurada para almacenar datos que puedan considerarse categorías especiales de datos personales según el RGPD; por lo tanto, el Cliente se compromete a no almacenar este tipo de información en ella.

El Cliente será responsable ante el Proveedor del cumplimiento de todo lo anterior y de cualquier sanción o daño que se le pueda imponer o causar como consecuencia del incumplimiento. El Cliente exime al Proveedor de toda responsabilidad que pudiera derivarse de cualquier infracción cometida por el Cliente en virtud del Reglamento de Protección de Datos Personales, especialmente en relación con los datos personales que almacena en la Plataforma y/o en los Servicios.

7. TRANSFERENCIAS INTERNACIONALES DE DATOS

El Cliente autoriza expresamente al Encargado del Tratamiento a realizar transferencias internacionales de datos personales a los países en los que el Encargado del Tratamiento y/o sus proveedores prestan servicios, cuando sea necesario para la prestación de los Servicios objeto del Contrato. Estas transferencias se realizarán cuando sea necesario utilizar servicios tecnológicos prestados por terceros (proveedores de servicios de infraestructura, análisis web, marketing o gestión de relaciones con el cliente) cuyos servidores o equipos de soporte se encuentren fuera del Espacio Económico Europeo (EEE), como por ejemplo en Estados Unidos u otros países.

El Proveedor, en su calidad de Encargado del Tratamiento y, en determinados sistemas, de Responsable del Tratamiento, garantiza que todas las transferencias internacionales de datos se realizan con las garantías adecuadas, de conformidad con los artículos 44 a 49 del Reglamento (UE) 2016/679 (RGPD). En particular, el Proveedor podrá aplicar una o varias de las siguientes garantías:

- La existencia de una decisión de adecuación emitida por la Comisión Europea relativa al país de destino.

- La formalización de las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea con el proveedor receptor.

- El cumplimiento por parte del proveedor del Marco de Protección de Datos UE-EE. UU., cuando corresponda.

- La implementación de medidas técnicas y organizativas adicionales, cuando sea necesario, para proteger los datos personales.

El Proveedor también actúa como Responsable del Tratamiento de los datos gestionados directamente en sus sistemas corporativos y de servicios, incluyendo, entre otros:

- CRM / Dynamics

- Microsoft Azure

- MAPAL OS y sus bases de datos asociadas

- Plataformas de correo electrónico y colaboración corporativas (Microsoft 365, Teams, SharePoint)

- Otros sistemas y servicios donde se almacenan datos de Clientes, empleados o colaboradores del Cliente.

El Proveedor garantiza que todas las transferencias se realizarán únicamente a proveedores que cumplan con las obligaciones establecidas en el RGPD y el presente Acuerdo de Protección de Datos, y evaluará y verificará la idoneidad de las garantías aplicadas antes de realizar cualquier transferencia, para asegurar un nivel de protección equivalente al exigido por el RGPD.

Para obtener más información sobre transferencias internacionales de datos, el Cliente puede contactar con: dpo@mapal-os.com.

8. DECLARACIÓN DEL PROVEEDOR (ENCARGADO DEL TRATAMIENTO) SOBRE EL CUMPLIMIENTO DEL RGPD

De conformidad con el artículo 28.1 del RGPD, que exige la selección únicamente de encargados del tratamiento que ofrezcan garantías suficientes para implementar medidas técnicas y organizativas adecuadas, asegurando que el tratamiento cumpla con los requisitos de este Reglamento y garantice la protección de los derechos del interesado, el Encargado del Tratamiento declara que cumple con las siguientes estipulaciones:

1) Que cumple, en función de sus actividades, con las obligaciones y principios establecidos en el Reglamento General de Protección de Datos (UE 2016/679).

2) Que mantiene un registro de las actividades de tratamiento de datos realizadas bajo su responsabilidad.

3) Que ha realizado el análisis de riesgos correspondiente, que determina las medidas de seguridad técnicas y organizativas que debe implementar para cumplir con el RGPD.

4) Que ha adoptado las medidas de seguridad necesarias para garantizar:

a) El control físico de sus instalaciones donde trata los datos del Responsable del Tratamiento.

b) Que el acceso a sus sistemas informáticos se concede mediante nombres de usuario y contraseñas individuales.

c) Que el acceso a los datos del Responsable del Tratamiento se limita exclusivamente a los usuarios que lo requieren.

d) Que mantiene copias de seguridad, cuando corresponda, de los datos personales tratados por el Responsable del Tratamiento.

e) En caso de gestionar soportes o documentos que contengan datos personales del Responsable del Tratamiento, estos se encuentran debidamente protegidos con cerraduras o dispositivos de seguridad equivalentes.

f) Que cuenta con sistemas de protección perimetral y antivirus para proteger sus sistemas informáticos.

g) Que mantiene un registro de incidentes de seguridad.

h) Que ha establecido mecanismos y procedimientos para la notificación de incidentes de seguridad.

5) Que se compromete a mantener la confidencialidad, incluso después de la finalización de la relación, y a garantizar que las personas autorizadas a tratar los datos también se comprometan a cumplir con estas medidas de seguridad.

6) Que realiza auditorías periódicas de forma proactiva para verificar el cumplimiento de las obligaciones y medidas de seguridad técnicas y organizativas que garantizan el cumplimiento del RGPD.

9. TRATAMIENTO DE LOS DATOS DE CONTACTO DE LAS PARTES

En lo que respecta a los datos personales de los firmantes de este contrato, a los que las partes puedan tener acceso como consecuencia de su ejecución, dichos datos solo podrán ser tratados, utilizados y destinados a formalizar y gestionar la relación contractual, cumplir y ejecutar las obligaciones derivadas del mismo y, en su caso, enviar información comercial por medios electrónicos.

La base jurídica para el tratamiento de los datos personales y la información de contacto corporativa de los firmantes es la ejecución de este contrato y el cumplimiento de las obligaciones legales derivadas del mismo, así como el interés legítimo de mantenerse informados sobre los productos y/o servicios de ambas partes.

El Proveedor actúa como Responsable del Tratamiento respecto de la información de contacto mencionada y podrá realizar transferencias internacionales de datos personales cuando sea necesario para la gestión de la relación contractual, por ejemplo, mediante el uso de herramientas corporativas o sistemas tecnológicos proporcionados por terceros cuyos servidores o equipos de soporte se encuentren fuera del Espacio Económico Europeo. Estas transferencias se realizarán siempre de conformidad con los artículos 44 a 49 del Reglamento (UE) 2016/679 (RGPD), aplicando las garantías adecuadas para asegurar un nivel de protección equivalente al exigido por la legislación europea de protección de datos.

Las partes podrán oponerse al envío de información y ejercer sus derechos legalmente garantizados de acceso, rectificación, supresión, oposición, portabilidad de los datos y limitación del tratamiento, y se comprometen a informar a la otra parte del contenido de esta estipulación. Asimismo, las partes reconocen que los interesados ​​tienen derecho a presentar una reclamación ante la autoridad de control competente.

Además, el Proveedor designará un Delegado de Protección de Datos para el Cliente, quien no solo supervisará todo el tratamiento de datos realizado por el Proveedor, sino que también resolverá cualquier cuestión relacionada con dicho tratamiento. Los datos de contacto del Delegado de Protección de Datos del Proveedor son: dpo@mapal-os.com.

10. INTEGRACIONES

El software del proveedor ofrece la posibilidad de integración, a solicitud del cliente, con otro software proporcionado por terceros (otros proveedores del cliente que no son parte de este contrato). Si dicha integración se realiza a solicitud del cliente, y solo si el tratamiento de datos personales es necesario para la ejecución de dicha integración de software, el tratamiento consistirá en la comunicación de datos personales entre dos encargados del tratamiento con un responsable del tratamiento común, sobre la base jurídica de la ejecución de los contratos de servicios formalizados entre el cliente y ambos proveedores. El cliente se compromete a confirmar que dicho contrato de servicios con el proveedor externo incluye las cláusulas correspondientes al tratamiento de datos de conformidad con el artículo 28 del RGPD.

11. USO DE HERRAMIENTAS DE INTELIGENCIA ARTIFICIAL (“HERRAMIENTAS DE IA”)

Las Partes reconocen que los Servicios prestados a través de la Plataforma pueden incorporar ciertas funcionalidades de inteligencia artificial (las “Herramientas de IA”) diseñadas para respaldar la gestión operativa, el análisis de datos y las interacciones con los usuarios. Dichas Herramientas de IA tienen como único fin ayudar en la prestación de los Servicios conforme a este Acuerdo y proporcionar apoyo a la toma de decisiones, información relevante y recomendaciones operativas, sin que el Responsable del Tratamiento determine los fines o los medios del tratamiento de datos personales de forma independiente.

Las Herramientas de IA utilizadas en nuestra Plataforma pueden incluir, entre otras:

a) Asistentes conversacionales que permiten a los usuarios acceder, consultar y sintetizar información de la Plataforma.

b) Sistemas de recomendación que ofrecen orientación sobre flujos de trabajo, programación de empleados y formación. El Encargado del Tratamiento garantizará que los Datos Personales proporcionados por el Cliente y tratados mediante las Herramientas de IA no se utilicen para entrenar o mejorar modelos de IA externos o de terceros, ni para ningún fin ajeno a la prestación de los Servicios conforme a este Acuerdo, salvo autorización expresa por escrito del Cliente.

c) Modelos de análisis predictivo que ofrecen previsiones e información operativa basada en los datos disponibles en la Plataforma.

d) Funcionalidades de flujo de trabajo automatizadas que estructuran las tareas, supervisan el progreso y destacan las mejores prácticas de acuerdo con los procedimientos documentados del Cliente. No se realiza ningún tratamiento automatizado que afecte a los derechos de los interesados. Las Partes reconocen que las Herramientas de IA proporcionadas en los Servicios no realizan ninguna toma de decisiones totalmente automatizada que produzca efectos jurídicos o que afecte de forma similar y significativa a ningún interesado, de conformidad con el artículo 22 del RGPD. Cualquier recomendación o información generada por las Herramientas de IA deberá ser revisada y aplicada por personal autorizado del Cliente, quien conserva la plena responsabilidad de las decisiones tomadas en relación con los Datos Personales.

El Encargado del Tratamiento garantizará que todos los usos de las Herramientas de IA:

i) Se realicen estrictamente de acuerdo con las instrucciones documentadas del Responsable del Tratamiento.

ii) Se utilicen exclusivamente para proporcionar, mantener y mejorar los Servicios en virtud del presente Acuerdo; y

iii) Se sometan a las mismas garantías técnicas y organizativas aplicables a todos los Datos Personales tratados en virtud del presente Acuerdo de Protección de Datos, incluidas la confidencialidad, la seguridad y las restricciones de acceso.

Los Datos Personales tratados por o a través de las Herramientas de IA estarán sujetos a las siguientes condiciones:

i) Tratamiento exclusivo dentro del ámbito de los Servicios y las instrucciones del Responsable del Tratamiento.

ii) Cumplimiento de todas las obligaciones aplicables en virtud del presente Acuerdo de Protección de Datos, incluidos los artículos 28 y 32 del RGPD; y

iii) Acceso exclusivo para los usuarios autorizados de los Servicios con el fin de desempeñar sus funciones.

Las Herramientas de IA están destinadas únicamente a servir como mecanismos de apoyo a la toma de decisiones. Las Partes reconocen que no sustituyen la toma de decisiones humanas ni determinan de forma independiente los fines o los medios del tratamiento de Datos Personales. El Cliente sigue siendo el Responsable del Tratamiento de todos los Datos Personales tratados en la Plataforma, y ​​el Encargado del Tratamiento está obligado a actuar exclusivamente conforme a las instrucciones documentadas del Cliente.

El Responsable del Tratamiento tendrá derecho a revisar, previa solicitud, los resultados generados por las Herramientas de IA, incluidos los registros, las recomendaciones y la información operativa, con el fin de verificar el cumplimiento de las instrucciones proporcionadas al Encargado del Tratamiento y de la legislación aplicable en materia de protección de datos. El Encargado del Tratamiento facilitará dicho acceso de forma oportuna, sujeto a las limitaciones operativas razonables.

12. PLAZO

El presente Acuerdo de Tratamiento de Datos permanecerá vigente únicamente durante la vigencia del Contrato entre las partes, del cual forma parte integrante. La rescisión, resolución o vencimiento del Contrato dará por terminado automáticamente el presente Acuerdo de Tratamiento de Datos sin necesidad de previo aviso, sin perjuicio de las obligaciones que pudieran subsistir tras su terminación, en particular las relativas a la confidencialidad, la devolución o la supresión de datos personales.

13. PREVALENCIA

En caso de contradicción entre este Acuerdo de Protección de Datos y el Contrato, prevalecerán las disposiciones de este Contrato de Protección de Datos en todos los asuntos relacionados con el tratamiento de datos personales.

APÉNDICE A: MEDIDAS DE SEGURIDAD

Este Anexo forma parte integrante del Contrato de Licencia y Prestación de Servicios suscrito entre el Proveedor y el Cliente y establece las medidas de seguridad que el Proveedor, en su calidad de Encargado del Tratamiento de Datos, deberá cumplir en relación con la información, los sistemas y los recursos proporcionados o gestionados en el marco de los Servicios.

De conformidad con la Sección 4 del Contrato de Tratamiento de Datos, el Encargado del Tratamiento de Datos declara haber implementado medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad acorde con el riesgo, teniendo en cuenta el estado de la técnica, los costes de implementación y la naturaleza de los datos tratados.

Dichas medidas incluyen, entre otras:

• Capacitación y Sensibilización

El Proveedor garantizará que todo el personal asignado al Servicio reciba la capacitación y sensibilización adecuadas en materia de seguridad de la información, adaptadas a sus funciones y responsabilidades.

• Medidas de Confidencialidad

El Proveedor implementará las medidas contractuales, organizativas y técnicas necesarias para preservar la confidencialidad de toda la información procesada en el marco del Servicio.

• Operación Segura de Entornos Informáticos

El Proveedor operará y gestionará entornos informáticos seguros, ya sean en la nube o alojados en sus instalaciones, en particular aquellos que contengan aplicaciones web y almacenamiento de datos de clientes. Esto incluye configurar la infraestructura subyacente de acuerdo con los estándares de seguridad reconocidos del sector, así como supervisar dichos entornos para detectar actividades sospechosas o potencialmente maliciosas.

• Devolución y/o Eliminación Segura de la Información del Cliente

Al finalizar el Servicio, el Proveedor devolverá y/o eliminará de forma segura la información del Cliente mediante procedimientos de borrado de datos conformes a los estándares del sector, siempre que dicha eliminación haya sido revisada y autorizada expresamente por el departamento legal competente del Proveedor.

• Mantenimiento de las Políticas de Seguridad de la Información

El Proveedor mantendrá políticas de seguridad de la información, asegurándose de que todas las políticas y medidas asociadas se revisen periódicamente y se mejoren cuando sea necesario. • Controles de seguridad de datos.

El proveedor implementará controles de seguridad de datos, incluyendo la segregación lógica de datos, el acceso restringido (p. ej., acceso basado en roles), la monitorización continua y el uso de tecnologías de cifrado estándar de la industria disponibles comercialmente, incluyendo copias de seguridad cifradas.

• Controles de acceso lógico

El proveedor implementará controles de acceso lógico que regulen el acceso electrónico a los datos y las funcionalidades del sistema según los niveles de autorización y las responsabilidades laborales. Dichos controles incluirán otorgar acceso estrictamente según el principio de necesidad de saber y mínimo privilegio, el uso de identificadores de usuario y contraseñas únicos, revisiones periódicas de acceso y la revocación o modificación inmediata de los derechos de acceso al finalizar la relación laboral o al cambiar de puesto.

• Controles de contraseñas

El proveedor aplicará controles de contraseñas diseñados para gestionar y regular la seguridad y el uso de estas, incluyendo la prohibición de compartirlas. Todas las cuentas de usuario con privilegios requerirán contraseñas seguras y la autenticación multifactorial será obligatoria.

• Controles operativos para tecnología y sistemas

El proveedor mantendrá procedimientos y controles operativos para la configuración, monitorización y mantenimiento de la tecnología y los sistemas de información, de acuerdo con los estándares internos establecidos y los estándares de la industria adoptados. Estos controles incluirán la eliminación segura de sistemas y soportes para garantizar que toda la información o los datos que contengan sean irrecuperables o indescifrables antes de su eliminación final o su retirada de la posesión del Proveedor.

• Procedimientos de Gestión de Cambios

El Proveedor mantendrá procedimientos de gestión de cambios y mecanismos de seguimiento diseñados para probar, aprobar y supervisar todos los cambios en los activos tecnológicos y de información.

• Gestión de Incidentes y Problemas

El Proveedor implementará procedimientos de gestión de incidentes y problemas que permitan la investigación, respuesta, mitigación y notificación de eventos relacionados con los activos tecnológicos y de información.

• Gestión de Vulnerabilidades y Tecnologías de Protección

El Proveedor implementará evaluaciones de vulnerabilidad, gestión de parches, tecnologías de protección contra amenazas y procedimientos de monitorización programados diseñados para identificar, evaluar, mitigar y proteger contra las amenazas de seguridad, virus y otros códigos maliciosos identificados.

• Revisiones de Seguridad y Pruebas de Penetración

El Proveedor realizará revisiones de seguridad y, cuando corresponda, pruebas de penetración de aplicaciones e infraestructuras al menos anualmente. Dichas actividades serán realizadas exclusivamente por el Proveedor o por terceros designados y gestionados directamente por este. Todos los informes, resultados y documentación relacionada serán estrictamente confidenciales y no se divulgarán a terceros. La corrección de las vulnerabilidades identificadas se priorizará según su criticidad y se gestionará de acuerdo con los procedimientos de seguridad internos del Proveedor.