CONDICIONES DE ADQUIRA COMO ENCARGADO DE TRATAMIENTO DE PROVEEDORES
Estas condiciones son parte del Contrato firmado entre las partes. No suponen novación del Contrato salvo en lo especialmente establecido en el presente, manteniéndose en vigor y siendo aplicables todas las estipulaciones de aquél salvo que este documento incluya términos distintos de los recogidos en el referido Contrato.
Como consecuencia de la firma del Contrato, ADQUIRA puede acceder a datos de carácter personal que se encuentran bajo la responsabilidad, custodia y protección del PROVEEDOR (en adelante, el “Responsable del Tratamiento”); siendo ADQUIRA Encargado del Tratamiento con respecto a los mismos (en adelante, el “Encargado del Tratamiento” o “ADQUIRA”). Las presentes condiciones recogen el tratamiento de los datos por parte del Encargado del Tratamiento
Primera. - Tipología de datos personales.
El Encargado del Tratamiento podría acceder, para gestionar el contrato, a datos de carácter personal relativos a las siguientes categorías de interesados: Clientes, Empleados y Proveedores. Los tipos de datos a los que ADQUIRA podría acceder pueden ser de carácter identificativo, académicos y profesionales y, en su caso, datos relativos al empleo.
En el supuesto de que el PROVEEDOR facilite, a través de la plataforma de ADQUIRA, otras categorías de datos distintas a las anteriormente mencionadas o categorías especiales de datos personales éste informará a ADQUIRA expresamente sobre esta circunstancia con el fin de que pueda adoptar las medidas de seguridad técnicas y organizativas oportunas.
La naturaleza de los tratamientos que el Encargado del Tratamiento podrá realizar, en su caso, por cuenta del Responsable será de almacenamiento de la información del PROVEEDOR en la plataforma. La finalidad de tratamiento será la derivada¬¬ de la prestación del servicio contratado.
Segunda. - Instrucciones del Responsable del Tratamiento.
Los datos que se conozcan u obtengan en virtud del Contrato, no podrán ser utilizados para ninguna otra finalidad distinta su ejecución, tendrán carácter confidencial y no serán publicados o puestos en conocimiento de terceros sin autorización previa y por escrito del Responsable del Tratamiento salvo en los casos expresamente autorizados por la Ley.
Tercera. – Auditorías, Inspección de la autoridad supervisora.
Si una autoridad supervisora requiere una inspección de las instalaciones de proceso de datos desde las cuales Adquira procesa los datos personales del Proveedor para supervisar el umplimiento de Adquira con las leyes de protección de datos, Adquira cooperará razonablemente con dicha auditoría. Adquira pondrá a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en este contrato y permitir y contribuir a las auditorías, incluidas las inspecciones, realizadas por el Responsable u otro auditor encargado por el Responsable. El Proveedor puede utilizar los informes de autitoría solo con el fin de cumplir con sus requisitos reglamentarios y/o confirmar el cumplimiento de los requisitos del Contrato. Los informes de auditoría son información confidencial según los términos del contrato.
Cuarta.- Registro de actividades de tratamiento.
ADQUIRA llevará un inventario por escrito y en formato electrónico de todas las categorías de actividades de tratamiento efectuadas, por cuenta del Responsable del Tratamiento, que incluirá como mínimo la siguiente información:
- Nombre y datos de contacto del responsable en materia de protección de datos del Responsable del Tratamiento y, en su caso, los del Delegado de Protección de Datos.
- Categoría del tratamiento.
- En caso de transferencia internacional, identificación del tercer país y la documentación de garantías adecuadas.
- Descripción de las medidas técnicas, organizativas, físicas y administrativas de seguridad.
Quinta. - Deber de confidencialidad.
Los datos, documentos e informaciones que obran en poder del Responsable del Tratamiento, en caso de que éstos pudieran ser conocidos por ADQUIRA en virtud del Contrato, permanecerán secretos. Tal obligación permanecerá hasta su destrucción.
ADQUIRA tomará, respecto de sus empleados, las medidas necesarias para informarles de las obligaciones que incumben a ADQUIRA como Encargada del Tratamiento y que deben respetar.
Sexta. - Régimen de subcontratación.
En el caso de que ADQUIRA recurra a subcontratistas (subencargados) para llevar a cabo determinadas actividades de tratamiento de datos personales por cuenta del PROVEEDOR, ADQUIRA deberá obtener autorización previa del PROVEEDOR. A tal efecto, ADQUIRA informará por escrito al PROVEEDOR con carácter previo de las subcontrataciones previstas, facilitando los datos de los terceros a los que pretenda subcontratar. Si el PROVEEDOR no manifestara por escrito su oposición a dicha subcontratación en el plazo de 48 horas desde la recepción de la notificación correspondiente, se entenderá que no se opone a la misma. Los mismos términos y obligaciones resultarán aplicables en el supuesto de que ADQUIRA tuviera intención de sustituir a alguno o algunos de sus subencargados.
ADQUIRA impondrá por escrito al subencargado las mismas obligaciones de protección de datos recogidas en el presente Anexo. Dichas obligaciones serán igualmente extensibles para ADQUIRA en el supuesto de que el subencargado utilice otros terceros y en el caso de existir una cadena de subcontratistas, de tal modo que ADQUIRA y cualquiera de los sucesivos subcontratistas hasta llegar al último de la cadena queden sujetos a las mismas obligaciones. ADQUIRA será plenamente responsable ante el PROVEEDOR y responderá del efectivo cumplimiento de las obligaciones en materia de protección de datos de los posibles subcontratistas que interviniesen en el tratamiento de los datos personales.
Séptima. - Medidas de seguridad.
ADQUIRA aplicará las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, habida cuenta del estado de la técnica, los costes de aplicación, la naturaleza de los datos almacenados, el alcance, contexto y fines del tratamiento, así como al impacto que esto pudiera tener sobre los derechos y libertades de las personas físicas.
En todo caso, ADQUIRA deberá implantar mecanismos para: (i) garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento; (ii) restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico; (iii) verificar, evaluar y valorar regularmente la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento. Asimismo, ADQUIRA estará obligada a cumplir con sus deberes respecto a la realización de cualesquiera evaluaciones de impacto en materia de protección de datos que estuviera obligado a llevar a cabo.
Octava. - Notificación incidentes de seguridad.
El Encargado de Tratamiento se compromete a notificar al Responsable del Tratamiento, sin dilación indebida, cualquier incidente de seguridad de los datos personales, de conformidad con la naturaleza de los datos tratados, los riesgos asociados a la pérdida, destrucción o alteración de dichos datos de carácter personal y la información de que disponga ADQUIRA a fin de que el Responsable tome las decisiones oportunas con respecto al incidente de seguridad producido, las cuales serán trasladadas a ADQUIRA.
Novena. - Derechos de los interesados.
ADQUIRA asistirá al responsable del Tratamiento, mediante las medidas técnicas y organizativas apropiadas según la naturaleza de los datos tratados, en las solicitudes de ejercicio de los derechos de los interesados. En particular, de sus derechos de acceso, rectificación, supresión (“derecho al olvido”), oposición al tratamiento, solicitud de portabilidad de datos, limitación del tratamiento, y a no ser objeto de una decisión individual automatizada, incluyendo la elaboración de perfiles. En caso de que personas físicas ejercieran sus derechos ante ADQUIRA, ésta informará de dicha circunstancia al Responsable del Tratamiento, sin dilación indebida.
Décima. - Devolución o destrucción de los datos.
Concluida la vigencia del contrato y a elección del Responsable del Tratamiento, ADQUIRA se compromete a devolver y/o destruir todos los datos personales a los que haya tenido acceso para la realización del objeto del Contrato.