DPA - Acuerdo de procesamiento de datos

DPA - Acuerdo de procesamiento de datos Magileads

Acuerdo de procesamiento de datos

Este acuerdo de procesamiento de datos o Acuerdo de procesamiento de datos (DPA) define las condiciones bajo las cuales Magileads, como subcontratista, procesa datos personales siguiendo las instrucciones del Cliente. En este DPA, Magileads se basa en las cláusulas contractuales tipo de la Comisión Europea (accesibles en la siguiente dirección: https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32021D0915 ).

Completa el contrato entre Magileads y el Cliente y queda incorporado al Contrato formado por la aceptación por parte del Cliente de las Condiciones Generales de Uso (accesibles en la siguiente dirección: https://www.magileads.com/cgu-conditions- generales-d -usage/ ), incluida la Política de Confidencialidad de Magileads (accesible en la siguiente dirección: https://www.magileads.com/accord-de-confidentialite/ ).

En caso de contradicción con el Contrato, prevalece el DPA.

Magileads actuando como subcontratista, se presume que el Cliente actúa como Responsable del Tratamiento para todas las operaciones de tratamiento distintas de las realizadas por Magileads para sus propias necesidades, detalladas en la Política de Privacidad de Magileads.

Si él mismo actúa como subcontratista que procesa datos por orden de un tercero Responsable del tratamiento, el Cliente se compromete a:

  • Obtener todas las autorizaciones que permitan la celebración de este DPA del Responsable del tratamiento;
  • Declarar a Magileads como subencargado del Responsable del tratamiento;
  • Haber celebrado un contrato con el Responsable del tratamiento de conformidad con el artículo 28 del RGPD y de conformidad con este DPA y el Contrato celebrado entre Magileads y el Cliente;
  • Dar a Magileads instrucciones coherentes con las que recibió del Responsable del tratamiento, sin que Magileads reciba instrucciones directamente del Responsable del tratamiento, excepto en los casos en que el Cliente haya transferido sus derechos y obligaciones al Responsable del tratamiento que aporte prueba
  • Poner esta DPA a disposición del Responsable del tratamiento.

El Cliente sigue siendo totalmente responsable ante Magileads por la aplicación de este DPA por parte del Controlador de datos. El Cliente libera a Magileads de cualquier responsabilidad por cualquier incumplimiento por parte del Responsable del tratamiento de la legislación aplicable, así como por cualquier acción, reclamación o queja del Responsable del tratamiento en relación con este DPA, el Contrato celebrado entre Magileads y el Cliente, o las instrucciones. entregado por el Cliente a Magileads.

SECCIÓN I

Cláusula 1
Objeto y alcance
  1. Las presentes cláusulas contractuales tipo (en adelante las “cláusulas”) tienen por objeto garantizar el cumplimiento del artículo 28, apartados 3 y 4, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de dichos datos, y por la que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
  2. Los responsables y encargados del tratamiento han aceptado estas cláusulas con el fin de garantizar el cumplimiento de lo dispuesto en el artículo 28, apartados 3 y 4, del Reglamento (UE) 2016/679.
  3. Estas cláusulas se aplican al procesamiento de datos personales como se describe en el Anexo I.
  4. Los anexos I a III forman parte integrante de las cláusulas.
  5. Estas cláusulas se entienden sin perjuicio de las obligaciones a las que está sujeto el responsable del tratamiento en virtud del Reglamento (UE) 2016/679.
  6. Las cláusulas por sí solas no son suficientes para garantizar el cumplimiento de las obligaciones relativas a las transferencias internacionales de conformidad con el capítulo V del Reglamento (UE) 2016/679.

 Cláusula 2

Invariabilidad de cláusulas
  1. Las partes se comprometen a no modificar las cláusulas, salvo en lo que respecta a añadir información a los anexos o actualizar la información contenida en los mismos.
  2. Sin embargo, las partes no están impedidas de incluir las cláusulas contractuales tipo definidas en estas cláusulas en un contrato más amplio, ni de añadir otras cláusulas o garantías adicionales, siempre que no contradigan directa o indirectamente las cláusulas o que no las infrinjan. los derechos y libertades fundamentales de las personas interesadas.

Cláusula 3

Interpretación
  1. Cuando en las cláusulas aparezcan términos definidos respectivamente en el Reglamento (UE) 2016/679, se entenderán como en el reglamento de que se trate.
  2. Estas cláusulas deben leerse e interpretarse a la luz de lo dispuesto en el Reglamento (UE) 2016/679.
  3. Estas cláusulas no deben interpretarse de forma contraria a los derechos y obligaciones previstos en el Reglamento (UE) 2016/679 ni de forma que afecte negativamente a los derechos o libertades fundamentales de los interesados.

Cláusula 4

Jerarquía

En caso de cualquier contradicción entre estas cláusulas y las disposiciones de acuerdos relacionados que existan entre las partes en el momento en que se acuerden estas cláusulas o que se celebren posteriormente, estas cláusulas prevalecerán.

Cláusula 5

Cláusula de amarre
  1. Cualquier entidad que no sea parte en estas cláusulas podrá, con el acuerdo de todas las partes, adherirse a ellas en cualquier momento, ya sea como responsable del tratamiento o como subcontratista, mediante la cumplimentación de los anexos.
  2. Una vez cumplimentados y firmados los anexos mencionados en el punto a), la entidad adherida se considera parte en las presentes cláusulas y goza de los derechos y queda sujeta a las obligaciones de un responsable del tratamiento o de un encargado del tratamiento.
  3. Estas cláusulas no crean para el adherente ningún derecho u obligación durante el período anterior a la membresía.

SECCIÓN II – OBLIGACIONES DE LAS PARTES

Cláusula 6

Descripción del(los) tratamiento(s)

Los detalles de las operaciones de procesamiento y, en particular, las categorías de datos personales y los fines del procesamiento para los cuales se procesan los datos personales por cuenta del controlador, se especifican en el Anexo I.

Cláusula 7

Obligaciones de las partes
7.1. Instrucciones
  1. El procesador procesará datos personales únicamente siguiendo instrucciones documentadas del controlador, a menos que así lo exija la legislación de la Unión o la ley del Estado miembro al que se somete el procesamiento. En este caso, el encargado informa al responsable de esta obligación legal antes del procesamiento, a menos que la ley lo prohíba por razones importantes de interés público. El responsable del tratamiento también podrá dar instrucciones posteriormente durante la duración del tratamiento de los datos personales. Estas instrucciones siempre deben estar documentadas.
  2. El encargado informará inmediatamente al responsable del tratamiento si, en su opinión, una instrucción dada por el responsable del tratamiento constituye una violación del Reglamento (UE) 2016/679 u otras disposiciones del derecho de la Unión o de los estados miembros relativas a la protección de datos.
7.2. Limitación de propósito

El procesador procesa datos personales únicamente para los fines específicos del procesamiento, tal como se define en el Anexo I, a menos que el controlador indique lo contrario.

7.3. Duración del tratamiento de datos personales

El tratamiento por parte del encargado del tratamiento solo tendrá lugar durante el tiempo especificado en el anexo I.

7.4. Seguridad del tratamiento
  1. El procesador implementa al menos las medidas técnicas y organizativas especificadas en el Anexo II para garantizar la seguridad de los datos personales. Estas medidas incluyen la protección de los datos contra cualquier violación de seguridad que resulte, accidental o ilegalmente, en la destrucción, pérdida, alteración, divulgación no autorizada de datos personales o acceso no autorizado a dichos datos (violación de datos personales). Al evaluar el nivel adecuado de seguridad, las partes tendrán debidamente en cuenta el estado de los conocimientos, los costes de implementación y la naturaleza, alcance, contexto y finalidades del tratamiento, así como los riesgos para los afectados.
  2. El subcontratista sólo concede a los miembros de su personal acceso a los datos personales objeto de tratamiento en la medida estrictamente necesaria para la ejecución, gestión y seguimiento del contrato. El procesador garantizará que las personas autorizadas para procesar datos personales se comprometan a respetar la confidencialidad o estén sujetas a una obligación legal adecuada de confidencialidad.
7.5. Datos sensibles

Si el tratamiento se refiere a datos personales que revelen origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas o afiliación sindical, así como datos genéticos o datos biométricos con el fin de identificar de forma única a una persona física, datos relativos a la salud o datos relativos al sexo. vida u orientación sexual de una persona física, o datos relativos a condenas y delitos penales ("datos sensibles"), el procesador aplica limitaciones específicas y/o garantías adicionales.

7.6 Documentación y cumplimiento
  1. Las partes deben poder demostrar el cumplimiento de estas cláusulas.
  2. El Procesador atenderá de manera oportuna y adecuada las solicitudes del Responsable en relación con el procesamiento de datos de conformidad con estas cláusulas.
  3. El subcontratista pone a disposición del responsable del tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en las presentes cláusulas y que se derivan directamente del Reglamento (UE) 2016/679. A petición del responsable del tratamiento, el encargado del tratamiento también permite que se realicen auditorías de las actividades de tratamiento cubiertas por estas cláusulas y contribuye a ellas, a intervalos razonables o en presencia de indicios de incumplimiento. Al decidir sobre una revisión o auditoría, el responsable del tratamiento podrá tener en cuenta las certificaciones pertinentes que posea el encargado.
  4. El responsable del tratamiento podrá decidir realizar él mismo la auditoría o designar a un auditor independiente. Las auditorías también pueden incluir inspecciones en las instalaciones o instalaciones físicas del subcontratista y, cuando corresponda, se llevan a cabo con un aviso razonable.
  5. Las Partes pondrán a disposición de la(s) autoridad(es) de control competente(s), previa solicitud, la información establecida en esta cláusula, incluidos los resultados de cualquier auditoría.
7.7. Uso de subcontratistas
  1. El encargado tiene la autorización general del responsable para la contratación de subencargados sobre la base de una lista acordada. El encargado informa específicamente al responsable por escrito de cualquier propuesta de modificación de esta lista mediante la incorporación o sustitución de subencargados con al menos 30 (treinta) días de antelación, dando así al responsable tiempo suficiente para poder oponerse a estos cambios antes de la contratación de el subprocesador en cuestión. El encargado del tratamiento proporciona al responsable del tratamiento la información necesaria para permitirle ejercer su derecho de oposición.
  2. Cuando el encargado contrata a un subencargado para que lleve a cabo actividades de procesamiento específicas (en nombre del responsable), lo hace mediante un contrato que impone al subencargado, en esencia, las mismas obligaciones de protección de datos que las impuestas a al subcontratista conforme a estas cláusulas. El subcontratista garantiza que cumple con las obligaciones a las que él mismo está sujeto en virtud de las presentes cláusulas y del Reglamento (UE) 2016/679.
  3. A petición del responsable, el encargado proporcionará al responsable una copia de este contrato celebrado con el subencargado y de cualquier modificación que se le haya realizado posteriormente. En la medida necesaria para proteger secretos comerciales u otra información confidencial, incluidos datos personales, el procesador puede redactar el texto del contrato antes de publicar una copia.
  4. El encargado sigue siendo plenamente responsable ante el responsable del cumplimiento de las obligaciones del subencargado de conformidad con el contrato celebrado con el subencargado. El encargado informará al responsable de cualquier incumplimiento por parte del subencargado de sus obligaciones contractuales.
  5. El encargado acuerda con el subencargado una cláusula de tercero beneficiario según la cual, en caso de que el subcontratista haya desaparecido materialmente, haya dejado de existir jurídicamente o se haya declarado insolvente, el responsable del tratamiento tiene derecho a rescindir el contrato celebrado con el subencargado. subprocesador e instruir al subprocesador para que borre o devuelva los datos personales.
 7.8. Transferencias internacionales
  1. Cualquier transferencia de datos a un tercer país o a una organización internacional por parte del encargado del tratamiento solo se lleva a cabo sobre la base de instrucciones documentadas del responsable del tratamiento o para satisfacer un requisito específico del Derecho de la Unión o del Derecho del Estado miembro al que se encuentra el subcontratista. materia y se lleva a cabo de conformidad con el Capítulo V del Reglamento (UE) 2016/679.
  2. El Responsable acepta que cuando el Procesador contrata a un subprocesador de conformidad con la cláusula 7.7 para llevar a cabo actividades de procesamiento específicas (en nombre del Responsable) y esas actividades de procesamiento implican una transferencia de datos de carácter personal en el sentido del Capítulo V del Reglamento (UE ) 2016/679, el encargado y el subencargado podrán garantizar el cumplimiento del capítulo V del Reglamento (UE) 2016/679 utilizando las cláusulas contractuales tipo adoptadas por la Comisión sobre la base del artículo 46, apartado 2, del Reglamento (UE). 2016/679, siempre que se cumplan las condiciones para el uso de estas cláusulas contractuales tipo.

Cláusula 8

Asistencia al responsable del tratamiento
  1. El encargado informará sin demora al responsable del tratamiento de cualquier solicitud que haya recibido del interesado. Él mismo no responde a esta solicitud, a menos que el responsable del tratamiento le haya autorizado a hacerlo.
  2. El encargado ayudará al responsable del tratamiento a cumplir su obligación de responder a las solicitudes de los interesados ​​para ejercer sus derechos, teniendo en cuenta la naturaleza del tratamiento. En el cumplimiento de sus obligaciones en virtud de las letras a) y b), el encargado deberá cumplir las instrucciones del responsable del tratamiento.
  3. Además de la obligación del Procesador de ayudar al Controlador según la Cláusula 8(b), el Procesador deberá ayudar al Controlador a garantizar el cumplimiento de las siguientes obligaciones, teniendo en cuenta la naturaleza del procesamiento y la información disponible para el procesador:
  4. La obligación de llevar a cabo una evaluación del impacto de las operaciones de procesamiento previstas en la protección de datos personales (“evaluación de impacto de la protección de datos”) cuando un tipo de procesamiento pueda presentar un alto riesgo para los derechos y libertades de las personas físicas;
  5. La obligación de consultar a la(s) autoridad(es) de control competente antes del procesamiento cuando una evaluación de impacto de la protección de datos indique que el procesamiento presentaría un alto riesgo si el controlador no tomara las medidas adecuadas para mitigar el riesgo;
  6. La obligación de garantizar que los datos personales son exactos y están actualizados, informando sin demora al responsable del tratamiento si el encargado tiene conocimiento de que los datos personales que trata son inexactos o han quedado obsoletos;
  7. Las obligaciones previstas en el artículo 32 del Reglamento (UE) 2016/679. 
  8. Las Partes definen en el Anexo II las medidas técnicas y organizativas apropiadas mediante las cuales el Encargado debe brindar asistencia al Responsable en la aplicación de esta cláusula, así como el alcance y extensión de la asistencia requerida.

Cláusula 9

Notificación de violaciones de datos personales

En caso de violación de datos personales, el procesador cooperará con el controlador y lo ayudará a cumplir con sus obligaciones en virtud de los artículos 33 y 34 del Reglamento (UE) 2016/679, teniendo en cuenta la naturaleza del procesamiento y la información disponible para el subcontratista.

9.1 Violación de datos en relación con los datos tratados por el responsable del tratamiento

En caso de violación de los datos personales relacionados con los datos tratados por el responsable del tratamiento, el encargado del tratamiento ayudará al responsable del tratamiento a:

  1. a los efectos de notificar la violación de datos personales a la(s) autoridad(es) de control competente(s), tan pronto como sea posible después de que el controlador tenga conocimiento de ella, cuando corresponda (a menos que sea poco probable que la violación de datos personales cree un riesgo para los derechos y libertades de personas físicas); 
  2. a los efectos de obtener la siguiente información que, de conformidad con el artículo 33.3 del Reglamento (UE) 2016/679, deberá incluirse en la notificación del responsable, e incluir, al menos:
  3. la naturaleza de los datos personales, incluidas, cuando sea posible, las categorías y el número aproximado de personas afectadas por la violación y las categorías y el número aproximado de registros de datos personales afectados; 
  4. las probables consecuencias de la violación de datos personales;  
  5. las medidas adoptadas o las medidas que el responsable del tratamiento propone adoptar para remediar la violación de datos personales, incluidas, en su caso, medidas para mitigar posibles consecuencias negativas. 

Cuando y en la medida en que no sea posible proporcionar toda la información al mismo tiempo, la notificación inicial contendrá la información disponible en ese momento y, a medida que esté disponible, se proporcionará información adicional lo antes posible;

  1. a efectos de cumplir, de conformidad con el artículo 34 del Reglamento (UE) 2016/679, la obligación de comunicar la violación de los datos personales al interesado lo antes posible, cuando el personal de la violación de los datos personales pueda crear un riesgo elevado para los derechos y libertades de las personas físicas.

9.2 Violación de datos en relación con los datos tratados por el encargado del tratamiento

En caso de violación de datos personales relacionados con datos tratados por el subcontratista, este último informará al responsable del tratamiento lo antes posible después de tener conocimiento de ello. Esta notificación contiene al menos:

  1. una descripción de la naturaleza de la infracción encontrada (incluyendo, cuando sea posible, las categorías y el número aproximado de personas afectadas por la infracción y los registros de datos personales afectados);
  2. datos de contacto de un punto de contacto desde el que se puede obtener más información sobre la violación de datos personales;
  3. sus probables consecuencias y las medidas adoptadas o propuestas para remediar la infracción, incluida la mitigación de posibles consecuencias negativas.

Cuando y en la medida en que no sea posible proporcionar toda la información al mismo tiempo, la notificación inicial contendrá la información disponible en ese momento y, a medida que esté disponible, se proporcionará información adicional lo antes posible.

Las Partes definen en el anexo III todos los demás elementos que el encargado debe comunicar al prestar asistencia al responsable del tratamiento a efectos del cumplimiento de las obligaciones de este último en virtud de los artículos 33 y 34 del Reglamento (UE) 2016/679.

SECCIÓN III – DISPOSICIONES FINALES

Cláusula 10 

Incumplimiento de cláusulas y rescisión
  1. Sin perjuicio de lo dispuesto en el Reglamento (UE) 2016/679, en caso de incumplimiento por parte del encargado del tratamiento de sus obligaciones derivadas de las presentes cláusulas, el responsable del tratamiento podrá ordenar al encargado que suspenda el tratamiento de los datos de carácter personal hasta que este último haya cumplido estas cláusulas o hasta que se resuelva el contrato. El encargado informará inmediatamente al responsable si no puede cumplir con estas cláusulas, por cualquier motivo.
  2. El responsable del tratamiento tiene derecho a rescindir el contrato en lo que se refiere al tratamiento de datos personales de conformidad con estas cláusulas si:
  3. el tratamiento de datos personales por parte del encargado haya sido suspendido por el responsable del tratamiento de conformidad con la letra a) y no se restablezca el cumplimiento de estas cláusulas en un plazo razonable y, en cualquier caso, en el plazo de un mes desde la suspensión;
  4. el subcontratista incumple grave o persistentemente estas cláusulas o sus obligaciones en virtud del Reglamento (UE) 2016/679; 
  5. el procesador no cumple con una decisión vinculante de un tribunal competente o autoridad(es) de control competente(s) con respecto a sus obligaciones en virtud de estas cláusulas o del Reglamento (UE) 2016/679.
  6. El procesador tiene derecho a rescindir el contrato en lo que se refiere al procesamiento de datos personales en virtud de estas cláusulas cuando, después de haber informado al controlador de que sus instrucciones contravienen los requisitos legales aplicables de conformidad con la cláusula 7.1 (b), el controlador insiste en que sus instrucciones ser seguido.
  7. Tras la rescisión del contrato, el encargado del tratamiento eliminará, a elección del responsable del tratamiento, todos los datos personales tratados por cuenta del responsable del tratamiento y certificará al responsable del tratamiento que ha llevado a cabo dicha eliminación, o devolverá todos los datos personales al responsable del tratamiento y destruirá los existentes. copias, a menos que la legislación nacional o de la Unión exija su conservación durante un período más largo. El procesador continúa garantizando el cumplimiento de estas cláusulas hasta que los datos sean eliminados o devueltos. 

ANEXO I

Descripción de tratamientos

Categorías de datos personales tratados y interesados

El tipo de Datos personales y las categorías de personas interesadas son determinados y controlados por el Cliente, a su exclusivo criterio, mediante el uso de la Plataforma Magileads.

Para garantizar la seguridad de la Plataforma, la gestión de errores y el registro de acceso, Magileads deberá procesar los siguientes datos personales en nombre del Cliente: dirección IP y Agente de Usuario de las conexiones a la Plataforma (incluido el acceso a las aplicaciones alojadas en la Plataforma). Plataforma por parte del Cliente), las direcciones de los recursos a los que se accede (URL).

Naturaleza de los tratamientos

Las operaciones de procesamiento realizadas por Magileads en relación con Datos personales pueden incluir el cálculo, clasificación, organización de datos, almacenamiento, seguridad y/o cualquier otro procesamiento realizado por el Cliente en el contexto de su uso de la plataforma Magileads.

Duración de los tratamientos

El procesamiento cubierto por este DPA se lleva a cabo durante la duración del contrato, o por cualquier duración más corta, bajo el control exclusivo del Cliente.

ANEXO II

Medidas técnicas y organizativas, incluidas medidas técnicas y organizativas para garantizar la seguridad de los datos.

Magileads implementa medidas organizativas y técnicas para garantizar la seguridad y confidencialidad de los datos tratados por cuenta del Cliente. Estas medidas incluyen el uso de:

  1. Medidas de cifrado de datos en tránsito y durante el almacenamiento;
  2. Medidas de seguridad física (incluida la verificación de identidad) y control lógico de los derechos de acceso a los servidores de Magileads y a las salas del centro de datos que albergan dichos servidores;
  3. Procesos de autenticación reforzados para todos los accesos a Magileads y los datos de sus clientes;
  4. Aislamiento físico y/o lógico de datos personales y no personales de diferentes clientes de Magileads;
  5. Procedimientos para aplicar sistemáticamente parches de seguridad documentados por CERT-FR en los plazos más breves posibles;
  6. Compromisos de confidencialidad exigidos a todos los empleados y proveedores de servicios que actúan en nombre de Magileads;
  7. Registro de acciones realizadas en los sistemas de información de Magileads.
  8.  

En adelante designado el responsable del tratamiento.
Francois KOLLI DPO – dpo@magileads.eu
Empresa KA-Groupe – MAGILEADS
40 Rue de Plaisance, 75014 París

Número RC / Siret: número 848746632
Código APE: 7022Z

Prueba gratis