Eficaz
El presente ADENDADE PROCESAMIENTO DE DATOS («APD«) se incorpora y está sujeto a los términos y condiciones del acuerdo suscrito entre el Responsable del tratamiento y el Procesador, tal y como se define en el Anexo I (conjuntamente, «las partes«), las condiciones de uso (disponibles en el enlace https://mb.wpstaging.uk/legal/#terms-of-use) o los términos y condiciones de uso de la tecnología del Procesador aceptados por el Responsable del tratamiento, que rigen el uso por parte del Responsable del tratamiento de la tecnología o los servicios de asistencia del Procesador («Acuerdo«).
Todos los términos en mayúsculas no definidos en el presente APD tendrán el significado establecido en el Acuerdo.
Cuando el Responsable utiliza la tecnología del Procesador, tanto en la fase de pruebas como en la de producción, o cuando el Responsable utiliza los servicios de asistencia del Procesador, éste procesa datos personales (definidos a continuación). Las partes acuerdan cumplir las siguientes disposiciones con respecto a cualquier tratamiento de datos personales y se acuerda lo siguiente:
Artículo 1
Definiciones
En el presente APD, los siguientes términos tendrán el significado que se indica a continuación:
a. «Responsable del tratamiento«, «Encargado del tratamiento«, «interesado«, » datospersonales «, «proceso» y «tratamiento»tendrán el significado que se les da en la Ley Europea de Protección de Datos;
b. «Ley Europea de Protección de Datos» significa (i) el Reglamento 2016/679 del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos) (el «RGPDde la UE«); y (ii) el RGPD de la UE incorporado a la legislación del Reino Unido en virtud del artículo 3 de la Ley de la Unión Europea (Retirada) del Reino Unido de 2018 (el «RGPD del Reino Unido«);
c. «Ley de Protección de Datos Aplicable» se refiere a las leyes y normativas de protección de datos y privacidad de todo el mundo, en la medida en que sean aplicables a las partes y a la naturaleza de los datos personales procesados en virtud del Acuerdo, incluidas, en su caso, la Ley Europea de Protección de Datos, la Ley de Privacidad del Consumidor de California de 2018, modificada por la Ley de Derechos de Privacidad de California de 2020 (denominadas colectivamente «CPRA»), y las leyes nacionales de protección de datos aplicables realizadas en virtud de la Ley Europea de Protección de Datos, de conformidad con ella o que se apliquen conjuntamente con ella; en cada caso, según puedan ser modificadas o sustituidas en cada momento;
d. «datos personales» significa, aparte del significado dado en la Ley Europea de Protección de Datos, cualquier información que identifique a una persona, que sea escaneada, cargada y compartida de cualquier otro modo con el Procesador utilizando la tecnología del Procesador o de conformidad con el uso de servicios de apoyo por parte del Controlador, las empresas afiliadas del Controlador, sus usuarios finales o por terceros que actúen en nombre del Controlador;
e. «violación de datos personales«: cualquier violación de la seguridad que provoque la destrucción accidental o ilícita, la pérdida, la alteración, la divulgación no autorizada o el acceso a datos personales divulgados y compartidos por el Responsable del tratamiento y tratados por el Encargado del tratamiento en virtud de la presente DPA;
f. «transferencia restringida» significa: (i) cuando se aplique el GDPR de la UE, una transferencia de datos personales desde la Unión Europea o el Espacio Económico Europeo a un país fuera de la Unión Europea o del Espacio Económico Europeo que no haya sido reconocido por la Comisión Europea como adecuado de conformidad con el artículo 45 del GDPR de la UE («tercer país»); y (ii) cuando se aplique el GDPR del Reino Unido, una transferencia de datos personales desde el Reino Unido a otro país que no se base en la normativa de adecuación de conformidad con el artículo 45 del GDPR del Reino Unido;
g. «Decisión de adecuación«: decisión formal adoptada por la UE o el Reino Unido que reconoce que otro país, territorio, sector u organización internacional proporciona un nivel de protección de los datos personales equivalente al de la UE o el Reino Unido;
h. «Cláusulas contractuales tipo» o «CCT«: las cláusulas contractuales adoptadas por la Comisión Europea en su Decisión de Ejecución (UE) 2021/914 de la Comisión, de 4 de junio de 2021, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (disponible en el enlace: https://commission.europa.eu/publications/standard-contractual-clauses-international-transfers_en);
i. «Cláusulas Contractuales Tipo Intra UE/EEE» o «CCC Intra UE/EEE«: las cláusulas contractuales adoptadas por la Comisión Europea en su Decisión de Ejecución (UE) 2021/915 de la Comisión, de 4 de junio de 2021, relativa a las cláusulas contractuales tipo entre responsables y encargados del tratamiento con arreglo al artículo 28, apartado 7, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo y al artículo 29, apartado 7, del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (disponible en el enlace: https://commission.europa.eu/publications/standard-contractual-clauses-controllers-and-processors-eueea_en);
j. «Acuerdo Internacional de Transferencia de Datos» o«IDTA» significa el acuerdo emitido por el Comisionado de Información para las Partes que realizan Transferencias Restringidas según el GDPR del Reino Unido (disponible en el enlace: https://ico.org.uk/media/for-organisations/documents/4019538/international-data-transfer-agreement.pdf);
k. «Subencargado del tratamiento» significa cualquier Encargado del tratamiento tercero contratado por el Encargado del tratamiento para tratar cualquier dato personal en su nombre en relación con la tecnología o los servicios prestados al Responsable del tratamiento.
Artículo 2
Relación de las partes
1. El Encargado del tratamiento, tal y como se define en el Anexo I de la presente DPA, tratará los datos personales por cuenta del Responsable del tratamiento, tal y como se describe en el Anexo II de la presente DPA. Cuando Microblink Ltd. (6th Floor, 9 Appold Street, Londres, Reino Unido, EC2A 2AP) o Microblink USA, LLC (10 Grand Street, STE 2400, Brooklyn, NY 11249) sea el firmante del Acuerdo y el Encargado del tratamiento, Microblink LLC (Trg Drage Iblera 10, 10000, Zagreb, República de Croacia) se considerará empresa afiliada y Subencargado del tratamiento.
2. Cada una de las partes cumplirá con las obligaciones que le correspondan en virtud de la Ley de Protección de Datos aplicable.
Artículo 3
Jerarquía
1. En caso de contradicción entre el presente APD y las disposiciones de los Acuerdos relacionados entre las Partes existentes en el momento en que se acuerde el presente APD o celebrados con posterioridad, prevalecerán las disposiciones del presente APD.
2. Cuando proceda, las disposiciones de los CEC o de los CEC intra UE/EEE o del IDTA complementarán el presente APD. En caso de contradicción entre este APD y los CEC o los CEC intra UE/EEE o el IDTA, prevalecerán las disposiciones de los CEC o los CEC intra UE/EEE o el IDTA.
3. En caso de conflicto o incoherencia entre el presente APD y el Acuerdo, prevalecerán las disposiciones de los siguientes documentos (por orden de precedencia): (a) en su caso, los CCE o los CCE intra UE/EEE o el IDTA; después (b) el presente APD; y después (c) el cuerpo principal del Acuerdo. Salvo por los cambios introducidos por el presente APD, el Acuerdo permanece inalterado y en pleno vigor y efecto.
4. Esta APD se aplica al tratamiento de datos personales especificado en el Anexo II.
5. Los Anexos I a IV forman parte integrante del presente APD.
Artículo 4
Tratamiento de datos personales según el GDPR de la UE
1. Cuando ambas partes estén sujetas al GDPR de la UE y los datos personales no se transfieran fuera de la Unión Europea, del Espacio Económico o de países sin decisiones de adecuación en virtud del artículo 45 del GDPR de la UE, se aplicarán los CCE intra-UE/EEE completados del siguiente modo:
Artículo 5
Tratamiento según el GDPR del Reino Unido
En relación con las transferencias de datos personales protegidos por el GDPR del Reino Unido, se aplicarán los CCE intra-UE/EEE con las siguientes modificaciones:
Artículo 6
Transferencias internacionales
6.1. Transferencias restringidas según el GDPR de la UE
1. Cuando la transferencia de datos personales se considere una Transferencia Restringida y el GDPR de la UE exija que se establezcan las salvaguardias adecuadas, dicha transferencia estará sujeta a las CCE, que se incorporarán por referencia y formarán parte integrante del presente APD. El módulo aplicable de las CEC se determinará en función de la ubicación del Controlador y del Procesador, y de sus funciones como exportador e importador de datos en relación con los datos personales procesados.
2. En relación con los datos personales que estén protegidos por el GDPR de la UE, cuando el Encargado del Tratamiento esté situado en la UE y actúe como exportador de datos y el Responsable del Tratamiento, que actúe como importador de datos, esté situado en un tercer país, se aplicará el Módulo Cuatro de los SCC de la siguiente manera:
3. En relación con los datos personales que estén protegidos por el GDPR de la UE, cuando el Responsable del tratamiento esté situado en la UE y actúe como exportador de datos y el Encargado del tratamiento esté situado en un tercer país y actúe como importador de datos, se aplicará el Módulo Dos de los SCC de la siguiente manera:
6.2. Transferencias internacionales según el GDPR del Reino Unido
1. Cuando el GDPR del Reino Unido se aplique al tratamiento, y cuando el Encargado del Tratamiento inicie y acuerde la transferencia de datos personales a un subencargado fuera del Reino Unido o a un país sin decisión de adecuación, el Encargado del Tratamiento firmará un Acuerdo Internacional de Transferencia de Datos con dicho subencargado y cumplirá las normas de transferencia.
2. Cuando el GDPR del Reino Unido se aplique al Responsable del Tratamiento, éste seguirá siendo responsable de todas las transferencias de datos personales que inicie o acuerde.
3. En relación con las transferencias de datos personales protegidos por el GDPR del Reino Unido, las partes reconocen que una transferencia en la que el Encargado del tratamiento devuelva al Responsable del tratamiento los datos personales tratados, siempre que haya sido iniciada y acordada por el Responsable del tratamiento, no se considera una Transferencia Restringida en virtud del GDPR del Reino Unido.
6.3. Traslados
1. El Encargado del Tratamiento no participará (ni permitirá que ningún Subencargado del Tratamiento participe) en ninguna otra Transferencia Restringida de datos personales (ya sea como exportador o como importador de los datos personales), a menos que la Transferencia Restringida se realice de conformidad con la Ley de Protección de Datos Aplicable y las disposiciones del presente APD.
2. Dichas medidas pueden incluir (sin limitación) la transferencia de los datos personales a un destinatario en un país que la Comisión Europea haya decidido que proporciona una protección adecuada de los datos personales, a un destinatario que haya conseguido la autorización de normas corporativas vinculantes de conformidad con la Ley de Protección de Datos Aplicable, o de conformidad con los CCE aplicados entre el exportador y el importador pertinentes de los datos personales.
Artículo 7
Descripción de los tratamientos
El Anexo II especifica los detalles de las operaciones de tratamiento, en particular las categorías de datos personales y los fines del tratamiento para los que se tratan los datos personales por cuenta del Responsable del Tratamiento.
Artículo 8
Obligaciones de las Partes
8.1. Instrucciones
1. El Encargado del tratamiento tratará los datos personales únicamente siguiendo instrucciones documentadas del Responsable del tratamiento, a menos que así lo exijan los requisitos legales aplicables a los que esté sujeto el Encargado del tratamiento. En este caso, el Encargado del tratamiento informará al Responsable del tratamiento de dicho requisito legal antes del tratamiento, a menos que la ley lo prohíba por motivos importantes de interés público. El Responsable también podrá dar instrucciones posteriores durante todo el tratamiento de los datos personales. Estas instrucciones deberán estar siempre documentadas.
2. El Encargado del tratamiento informará inmediatamente al Responsable del tratamiento si, en su opinión, las instrucciones dadas por el Responsable del tratamiento infringen las disposiciones de la Ley de protección de datos aplicable.
8.2. Limitación de la finalidad
El Encargado del tratamiento tratará los datos personales, de conformidad con las instrucciones documentadas del Responsable del tratamiento, únicamente para la finalidad o finalidades específicas del tratamiento, tal y como se establece en el Anexo II, a menos que reciba instrucciones adicionales del Responsable del tratamiento, reciba datos personales directamente del interesado basándose en su relación independiente del Responsable del tratamiento o si se firma documentación adicional sobre el tratamiento de datos entre las partes.
8.3. Duración del tratamiento de los datos personales
El tratamiento por parte del Procesador sólo tendrá lugar durante el tiempo especificado en el Anexo II.
8.4. Seguridad del tratamiento
1. El Encargado del Tratamiento aplicará, como mínimo, las medidas técnicas y organizativas especificadas en el Anexo III para garantizar la seguridad de los datos personales. Esto incluye la protección de los datos contra una violación de la seguridad que provoque su destrucción accidental o ilícita, pérdida, alteración, divulgación no autorizada o acceso no autorizado (violación de datos personales). Al evaluar el nivel adecuado de seguridad, las partes tendrán debidamente en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos que entraña para los interesados.
2. El Encargado del tratamiento sólo concederá acceso a los datos personales objeto de tratamiento a los miembros de su personal en la medida estrictamente necesaria para la ejecución, gestión y seguimiento del contrato. 3. El Procesador garantizará que las personas autorizadas para procesar los datos personales recibidos se han comprometido a mantener la confidencialidad o están bajo una obligación legal apropiada de confidencialidad. El Procesador se asegurará de que todas las personas autorizadas procesen los datos personales sólo en la medida necesaria para el propósito del procesamiento.
8.5. Datos sensibles
Si el tratamiento implica datos personales que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical, datos genéticos o datos biométricos destinados a identificar de manera unívoca a una persona física, datos relativos a la salud o a la vida sexual de una persona, o a su orientación sexual, o datos relativos a condenas e infracciones penales («datos sensibles»), las partes actualizarán las categorías de datos personales tratados en el Anexo II y el responsable del tratamiento aplicará restricciones específicas y/o garantías adicionales.
8.6. Documentación y cumplimiento
1. Las Partes deberán poder demostrar el cumplimiento del presente APD.
2. El Encargado del Tratamiento mantendrá registros de las actividades de tratamiento realizadas en virtud de esta APD que contengan las categorías de interesados implicados en el tratamiento y las categorías de datos personales tratados, la naturaleza, duración y finalidad del tratamiento, una lista de medidas técnicas y organizativas, y una evaluación del impacto en la protección de datos.
3. El Encargado del tratamiento atenderá rápida y adecuadamente las consultas del Responsable del tratamiento sobre el tratamiento de datos de conformidad con la presente APD.
4. El Encargado del Tratamiento pondrá a disposición del Responsable del Tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente APD y derivadas directamente de la Ley de Protección de Datos Aplicable. A petición del Responsable del tratamiento, el Encargado del tratamiento también permitirá y contribuirá a las auditorías de las actividades de tratamiento cubiertas por la presente APD a intervalos razonables o si existen indicios de incumplimiento. Al decidir sobre una revisión o una auditoría, el Responsable del Tratamiento tendrá en cuenta las certificaciones pertinentes que posea el Encargado del Tratamiento.
5. El Responsable podrá optar por realizar la auditoría por sí mismo o encargarla a un auditor independiente. Las auditorías también podrán incluir inspecciones de los locales o instalaciones físicas del Encargado del Tratamiento y, en su caso, se llevarán a cabo con un preaviso razonable de al menos 30 días.
6. Las Partes pondrán a disposición de la autoridad o autoridades de control competentes, previa solicitud, la información a que se refiere el presente artículo, incluidos los resultados de cualquier auditoría.
8.7. Uso de subprocesadores
1. El Encargado del tratamiento cuenta con la autorización general del Responsable del tratamiento para la contratación de Subencargados del tratamiento a partir de una lista acordada. El Encargado del tratamiento informará específicamente por escrito al Responsable del tratamiento de cualquier cambio previsto en dicha lista mediante la adición o sustitución de Subencargados del tratamiento con al menos 30 días de antelación, dando así al Responsable del tratamiento tiempo suficiente para poder oponerse a dichos cambios antes de la contratación del Subencargado o Subencargados en cuestión. El Encargado del tratamiento facilitará al Responsable del tratamiento la información necesaria para que éste pueda ejercer su derecho de oposición.
2. Cuando el Encargado del tratamiento contrate a un Subencargado del tratamiento para la realización de actividades específicas de tratamiento (por cuenta del Responsable del tratamiento), deberá hacerlo mediante un contrato que imponga al Subencargado del tratamiento, en esencia, las mismas obligaciones en materia de protección de datos que las impuestas al Encargado del tratamiento de conformidad con las presentes cláusulas. El Encargado del Tratamiento se asegurará de que el Subencargado del Tratamiento cumpla las obligaciones a las que está sujeto el Encargado del Tratamiento de conformidad con el presente APD y con la Ley de Protección de Datos Aplicable.
3. A petición del Responsable del tratamiento, el Encargado facilitará una copia de dicho acuerdo de Subencargado del tratamiento y de cualquier modificación posterior al Responsable del tratamiento. En la medida en que sea necesario para proteger el secreto comercial u otra información confidencial, incluidos los datos personales, el Encargado del Tratamiento podrá redactar el texto del acuerdo antes de compartir la copia.
4. El Encargado del tratamiento seguirá siendo plenamente responsable ante el Responsable del tratamiento del cumplimiento de las obligaciones del Subencargado del tratamiento de conformidad con su contrato con el Encargado del tratamiento. El Encargado del tratamiento notificará al Responsable del tratamiento cualquier incumplimiento por parte del Subencargado del tratamiento de sus obligaciones contractuales.
5. El Encargado del tratamiento acordará con el Subencargado del tratamiento una cláusula de tercero beneficiario, en virtud de la cual -en caso de que el Encargado del tratamiento haya desaparecido de hecho, haya dejado de existir jurídicamente o se haya declarado insolvente- el Responsable del tratamiento tendrá derecho a rescindir el contrato de Subencargado del tratamiento y a ordenar al Subencargado del tratamiento que borre o devuelva los datos personales.
8.8. Notificaciones al controlador
1. Además de otras notificaciones previstas en la presente APD, el encargado del tratamiento informará al responsable del tratamiento, sin demora indebida, pero sin superar los quince días hábiles, si tiene conocimiento de:
a. Cualquier incumplimiento por parte del Encargado del Tratamiento o de sus empleados de las obligaciones derivadas de la presente APD o de los requisitos de la Ley de Protección de Datos Aplicable relativos a la protección de los datos personales tratados en virtud de la presente APD;
b. Cualquier solicitud legalmente vinculante de revelación de datos personales por parte de una autoridad encargada de hacer cumplir la ley, como juzgados, tribunales o autoridades administrativas, a menos que la ley prohíba al Encargado del tratamiento informar al Responsable del tratamiento (por ejemplo, para preservar la confidencialidad de una investigación por parte de las autoridades encargadas de hacer cumplir la ley). El Encargado del tratamiento deberá estar en condiciones de facilitar información sobre la posible divulgación legalmente vinculante de los datos personales;
c. Cualquier notificación, consulta o investigación por parte de una Autoridad de Control con respecto a los datos personales compartidos por el Responsable del Tratamiento; o
d. Cualquier queja o solicitud recibida directamente de los interesados del Responsable del tratamiento. El Encargado del Tratamiento no responderá sustancialmente a ninguna solicitud de este tipo sin la autorización previa por escrito del Responsable del Tratamiento.
2. Antes de realizar cualquier revelación de datos personales o de proporcionar otra información relativa a datos personales, el Encargado del Tratamiento consultará con el Responsable del Tratamiento, salvo en las situaciones descritas en la disposición 1. b de este artículo.
8.9. Privacidad por diseño y por defecto
El procesador integrará las consideraciones de privacidad en sus actividades de procesamiento desde el principio, abarcando el diseño, desarrollo, implementación y mantenimiento continuo de sus sistemas, aplicaciones y servicios. La configuración predeterminada del Procesador para los sistemas, aplicaciones y servicios dará prioridad al nivel más alto de protección de la privacidad, limitando por defecto el tratamiento de datos personales. El Encargado del Tratamiento proporcionará mecanismos que permitan al Responsable del Tratamiento y a los interesados gestionar fácilmente sus preferencias de privacidad y ejercer sus derechos.
Artículo 9
Asistencia al Interventor
1. El Encargado del tratamiento asistirá al Responsable del tratamiento en el cumplimiento de sus obligaciones de responder a las solicitudes de los interesados para ejercer sus derechos, teniendo en cuenta la naturaleza del tratamiento.
2. El Encargado del tratamiento ayudará al Responsable del tratamiento a cumplir sus obligaciones de responder a las solicitudes de los interesados para ejercer sus derechos, teniendo en cuenta la naturaleza del tratamiento. En el cumplimiento de sus obligaciones de conformidad con (1) y (2), el Encargado del tratamiento cumplirá las instrucciones del Responsable del tratamiento.
3. Además de la obligación del Encargado del tratamiento de ayudar al Responsable del tratamiento de acuerdo con la cláusula 9.2, el Encargado del tratamiento ayudará además al Responsable del tratamiento a garantizar el cumplimiento de las siguientes obligaciones, teniendo en cuenta la naturaleza del tratamiento de datos y la información de que disponga el Encargado:
a. la obligación de llevar a cabo una evaluación del impacto de las operaciones de tratamiento previstas sobre la protección de los datos personales (una «evaluación del impacto sobre la protección de datos»), cuando sea probable que un tipo de tratamiento suponga un alto riesgo para los derechos y libertades de las personas físicas. El encargado del tratamiento prestará asistencia al responsable del tratamiento para que pueda llevar a cabo la evaluación de impacto relativa a la protección de datos. Al prestar asistencia, el Encargado del Tratamiento podrá redactar información en la medida necesaria para proteger el secreto comercial u otra información confidencial;
b. la obligación de consultar a la(s) autoridad(es) de control competente(s) antes del tratamiento cuando una evaluación de impacto sobre la protección de datos indique que el tratamiento supondría un riesgo elevado en ausencia de medidas adoptadas por el Responsable del tratamiento para mitigar el riesgo;
c. la obligación de garantizar que los datos personales sean exactos y estén actualizados, informando sin demora al Responsable del tratamiento si éste tiene conocimiento de que los datos personales que está tratando son inexactos o han quedado obsoletos;
d. las obligaciones de aplicar y mantener medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad de los datos personales adecuado al riesgo. Dichas medidas tendrán en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como el riesgo de probabilidad y gravedad variables para los derechos y libertades de las personas físicas e incluirán, según proceda:
i. la seudonimización y el cifrado de los datos personales;
ii. la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resistencia permanentes de los sistemas y servicios de procesamiento;
iii. la capacidad de restablecer oportunamente la disponibilidad y el acceso a los datos personales en caso de incidente físico o técnico;
iv. un proceso para comprobar, evaluar y valorar periódicamente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
4. Las Partes establecerán en el Anexo III las medidas técnicas y organizativas adecuadas mediante las cuales el Encargado del tratamiento deberá asistir al Responsable del tratamiento en la aplicación del presente artículo, así como el ámbito y el alcance de la asistencia requerida. 5. El Responsable del tratamiento reconoce que las medidas de seguridad están sujetas al progreso y desarrollo técnicos y que el Encargado del tratamiento puede actualizar o modificar las medidas de seguridad de vez en cuando, siempre que dichas actualizaciones y modificaciones no degraden o disminuyan la seguridad general del tratamiento.
Artículo 10
Notificación de violación de datos personales
En caso de violación de los datos personales, el Encargado del Tratamiento cooperará con el Responsable del Tratamiento y le prestará asistencia para que éste cumpla las obligaciones que le incumben en virtud de la Ley de Protección de Datos aplicable, en su caso, teniendo en cuenta la naturaleza del tratamiento y la información de que disponga el Encargado.
10.1. Violación de datos relativos a datos tratados por el Responsable del Tratamiento
En caso de violación de datos personales relativos a datos tratados por el Responsable del tratamiento, el Encargado del tratamiento asistirá al Responsable del tratamiento:
1. en notificar la violación de los datos personales a la autoridad o autoridades de control competentes, sin demora indebida desde que el Responsable del tratamiento haya tenido conocimiento de ella, cuando proceda (salvo que sea improbable que la violación de los datos personales suponga un riesgo para los derechos y libertades de las personas físicas);
2. en la obtención de la siguiente información que, se hará constar en la notificación del Interventor, y deberá incluir como mínimo:
i. la naturaleza de los datos personales, incluidas, cuando sea posible, las categorías y el número aproximado de interesados afectados y las categorías y el número aproximado de registros de datos personales afectados;
ii. las consecuencias probables de la violación de los datos personales;
iii. las medidas adoptadas o que se propone adoptar el Responsable del Tratamiento para hacer frente a la violación de los datos personales, incluidas, en su caso, las medidas para mitigar sus posibles efectos adversos.
Cuando, y en la medida en que, no sea posible facilitar toda esta información al mismo tiempo, la notificación inicial contendrá la información disponible en ese momento, y posteriormente, a medida que esté disponible, se facilitará más información sin demora indebida.
3. en el cumplimiento de la obligación de comunicar sin dilación indebida la violación de datos personales al interesado, cuando la violación de datos personales pueda entrañar un alto riesgo para los derechos y libertades de las personas físicas.
10.2. Violación de datos relativos a los datos tratados por el Procesador
1. En caso de violación de datos personales relativos a datos tratados por el Encargado del tratamiento, éste deberá notificarlo al Responsable del tratamiento sin dilación indebida una vez que haya tenido conocimiento de la violación. Dicha notificación contendrá, como mínimo:
a. una descripción de la naturaleza de la violación (incluyendo, cuando sea posible, las categorías y el número aproximado de interesados y registros de datos afectados);
b. los datos de un punto de contacto donde pueda obtenerse más información sobre la violación de datos personales;
c. sus probables consecuencias y las medidas adoptadas o que se propone adoptar para hacer frente al incumplimiento, incluso para mitigar sus posibles efectos adversos.
Cuando, y en la medida en que, no sea posible facilitar toda esta información al mismo tiempo, la notificación inicial contendrá la información disponible en ese momento, y posteriormente, a medida que esté disponible, se facilitará más información sin demora indebida.
2. Las Partes establecerán en el Anexo III otros elementos que deberá proporcionar el Encargado del Tratamiento cuando asista al Responsable del Tratamiento en el cumplimiento de las obligaciones de éste en virtud de los artículos 33 y 34 del Reglamento (UE) 2016/679.
Artículo 11
Incumplimiento de esta DPA y rescisión
1. Sin perjuicio de lo dispuesto en la legislación aplicable en materia de protección de datos, en caso de que el Encargado del tratamiento incumpla las obligaciones que le incumben en virtud del presente APD, el Responsable del tratamiento podrá ordenar al Encargado que suspenda el tratamiento de los datos personales hasta que éste cumpla el presente APD o se rescinda el Acuerdo. El Encargado del tratamiento informará sin demora al Responsable del tratamiento en caso de que no pueda cumplir el presente APD, por el motivo que sea.
2. El Responsable del tratamiento tendrá derecho a rescindir el Acuerdo en la medida en que se refiera al tratamiento de datos personales de conformidad con el presente APD si:
a. el tratamiento de datos personales por parte del Encargado haya sido suspendido por el Responsable del tratamiento de conformidad con la disposición 1. de este artículo y si no se restablece el cumplimiento de esta APD en un plazo razonable y, en cualquier caso, en el plazo de un mes tras la suspensión;
b. el Encargado del Tratamiento incumple de forma sustancial o persistente esta APD o sus obligaciones en virtud de la Ley de Protección de Datos Aplicable;
c. el Encargado del Tratamiento incumpla una decisión vinculante de un tribunal competente o de la autoridad o autoridades de control competentes en relación con sus obligaciones en virtud de la presente APD o de la Ley de Protección de Datos Aplicable.
3. El Encargado del tratamiento tendrá derecho a rescindir el Acuerdo en la medida en que se refiera al tratamiento de datos personales en virtud del presente APD cuando, tras haber informado al Responsable del tratamiento de que sus instrucciones infringen los requisitos legales aplicables de conformidad con el artículo 8.1.2, el Responsable del tratamiento insista en el cumplimiento de las instrucciones.
4. Tras la rescisión del Contrato, el Encargado del tratamiento deberá, a elección del Responsable del tratamiento, eliminar todos los datos personales tratados por cuenta del Responsable del tratamiento y certificar al Responsable del tratamiento que lo ha hecho, o bien, devolver todos los datos personales al Responsable del tratamiento y eliminar las copias existentes, a menos que la Ley de protección de datos aplicable exija la conservación de los datos personales. Para proteger al cliente de la pérdida de datos personales por un vencimiento accidental del contrato, la eliminación se retrasará 60 días tras la finalización del Contrato. Hasta que se eliminen o devuelvan los datos, el Encargado del Tratamiento seguirá garantizando el cumplimiento de esta DPA.
Artículo 12
Varios
1. Este APD es parte integrante del Acuerdo celebrado entre las partes y entra en vigor cuando ambas partes lo firman.
2. Si la Ley de Protección de Datos Aplicable u otra normativa aplicable exige que el Responsable del Tratamiento firme el APD o que firme los CCE, los CCE Intracomunitarios o el IDTA aplicables a un determinado tratamiento o transferencia restringida de datos personales al Encargado del Tratamiento como un acuerdo independiente, el Encargado del Tratamiento, a petición del Responsable del Tratamiento, ejecutará sin demora dicho documento.
3. Las partes acuerdan que este APD sustituirá a cualquier acuerdo de procesamiento de datos existente o documento similar que las partes pudieran haber suscrito previamente en relación con la tecnología y los servicios del Procesador.
4. El Controlador concede a Microblink una licencia gratuita, perpetua, irrevocable, no exclusiva, mundial, transferible y libre de regalías con el fin de desarrollar y mejorar la tecnología y los productos de Microblink, sobre las imágenes compartidas, con derecho a sublicenciar, reproducir, distribuir, transmitir, modificar, crear obras derivadas, incorporar a otras obras y utilizar y explotar comercialmente de cualquier otro modo las imágenes en cualquier medio existente en la actualidad o que se desarrolle en el futuro. En la medida en que lo permita la legislación aplicable, el Responsable acepta renunciar permanentemente a cualquier reclamación y declaración de derechos morales o de atribución con respecto a las imágenes compartidas.
5. No obstante cualquier disposición en contrario del Acuerdo y sin perjuicio de lo dispuesto en la Sección 8.2 («Limitación de la finalidad»), el Encargado del tratamiento podrá introducir periódicamente modificaciones en el presente APD que resulten necesarias para cumplir la Ley de protección de datos aplicable y para mejorar el nivel de seguridad de los datos personales. Las modificaciones de este APD se publicarán en el centro jurídico del Procesador (disponible en el enlace: https://mb.wpstaging.uk/dpa-for-the-use-of-microblink-technology-and-support-services/) y el Procesador informará al Responsable de cualquier cambio sustancial de este APD por escrito.
Controlador:
Nombre: Cliente
Dirección: Según se define en el Acuerdo ejecutado.
Nombre, cargo y datos de contacto de la persona de contacto: Según lo definido en el Acuerdo ejecutado.
Procesador:
Nombre: Microblink entidad tal y como se define en el Acuerdo ejecutado.
Dirección: Según se define en el Acuerdo ejecutado.
Datos de contacto del responsable de protección de datos: privacy@microblink.com.
Categorías de interesados cuyos datos personales se tratan
Personas físicas: usuarios finales del Controlador, incluidos, si procede, los usuarios finales de las filiales del Controlador.
(Aplicable si el Responsable del tratamiento utiliza el servicio de verificación de identidad del Responsable del tratamiento) Personas físicas – Agentes del Responsable del tratamiento que utilizan y administran la plataforma de verificación de identidad del Responsable del tratamiento.
Categorías de datos personales tratados
Dependiendo de la configuración de la tecnología del Procesador por parte del Controlador, el Procesador puede procesar datos personales presentes en el documento procesado, incluidos, entre otros, nombre, segundo nombre, apellidos, fecha de nacimiento, lugar de nacimiento, domicilio, lugar de residencia, sexo, género, nacionalidad, ciudadanía, número de documento, número de la seguridad social, número de identificación personal, código de seguridad de la tarjeta, tipo de tarjeta, fecha de emisión, fecha de caducidad, autoridad emisora, condición de donante de órganos, condición de residente, datos biométricos (en caso de prestación de servicios de verificación, extracción y apoyo, no procesados con el fin de identificar unívocamente a una persona física) como imagen facial, color de ojos, huella dactilar, firma, peso o altura, y otras categorías de datos que se encuentren en documentos de identidad transferidos, tarjetas u otros documentos compartidos con el Procesador, así como otros datos como correo electrónico, número de teléfono, SSN, dirección IP u otros datos del usuario final.
Aplicable si el Controlador utiliza el servicio de verificación de identidad del Procesador): Información sobre el agente del Responsable del tratamiento, nombre y apellidos, así como dirección de correo electrónico profesional.
Datos sensibles tratados
Aplicable si el Responsable del tratamiento utiliza los servicios de extracción, verificación y asistencia del Encargado del tratamiento: No está previsto el tratamiento de datos sensibles. Es posible que el Encargado del tratamiento trate datos personales que revelen el origen racial o étnico en función del documento escaneado. Si se transfiere algún dato sensible, el Responsable del tratamiento hará todo lo posible por notificárselo al Encargado del tratamiento y éste aplicará las restricciones y garantías necesarias.
Aplicable si el Responsable del tratamiento utiliza el servicio de verificación de identidad del Procesador: En función de la configuración de la tecnología del Responsable del tratamiento, éste podrá tratar datos biométricos para identificar de forma unívoca a una persona física, datos personales que revelen el origen racial o étnico y datos relativos a condenas e infracciones penales.
Naturaleza del tratamiento
Aplicable si el Controlador utiliza el servicio de verificación de identidad del Procesador: Utilizando la aplicación del Controlador y la tecnología del Procesador, los usuarios finales escanean su documento de identidad y (si es necesario para una mayor verificación de su identidad) capturan un elemento biométrico (rostro)» y/o realizan una comprobación de vitalidad aplicable tanto al documento como a los datos biométricos capturados o realizan comprobaciones de vitalidad por vídeo.
Esta información se envía a la infraestructura en la nube del Procesador en la región que elija el Controlador. Dependiendo de la configuración de la tecnología del Procesador por parte del Controlador, los datos pueden extraerse del escaneado, puede realizarse una comparación de rostros, puede comprobarse la presencia de elementos de seguridad en el documento, los datos enviados pueden compararse con bases de datos de subprocesadores y listas de vigilancia, determinados campos pueden anonimizarse (si procede) utilizando modelos AI/ML.
Los datos enviados se procesarán para crear diversos informes de uso para el Interventor.
El encargado del tratamiento elimina los datos de acuerdo con la configuración de la tecnología del encargado del tratamiento y la presente DPA.
El Procesador procesará los datos personales del agente del Controlador para crear, mantener y eliminar su cuenta de usuario para la plataforma del Procesador.
Aplicable si el Responsable del tratamiento utiliza el servicio de verificación del Encargado del tratamiento: Utilizando la Solución del Responsable, el interesado escanea el anverso y/o reverso del documento de identidad. Los escaneos se envían a la infraestructura en la nube del Procesador en una plataforma en la nube, donde, utilizando la tecnología del Procesador, se extraen los datos personales del escaneo, se validan las propiedades visuales del documento y las propiedades de los datos en los tipos de documentos designados y se realizan evaluaciones para determinar si la tarjeta está físicamente presente durante la sesión. Una vez completado el proceso de verificación, el Procesador devuelve la respuesta de verificación al Controlador y, una vez finalizada la sesión de verificación, los datos personales se eliminan de la infraestructura en la nube del Procesador.
Aplicable si el Controlador utiliza el servicio de extracción del Procesador: Utilizando la Solución del Responsable, el interesado escanea el anverso y/o el reverso del documento de identidad. Los escaneados se envían a la infraestructura en la nube del Encargado en una plataforma en la nube, donde, utilizando la tecnología del Encargado, se extraen los datos personales del escaneado. El Procesador envía los resultados de la extracción y/o las imágenes escaneadas al Responsable del Tratamiento cuando finaliza el proceso de extracción, y los datos personales se eliminan de la infraestructura en la nube del Procesador.
Aplicable si el Controlador utiliza los servicios de soporte del Procesador para las soluciones de extracción y verificación: Para transferir de forma segura imágenes de documentos del Responsable al Encargado del tratamiento, el Responsable utilizará la Carga segura de imágenes del Encargado del tratamiento u otro canal aprobado por el Responsable. Antes de transferir las imágenes, el Responsable del tratamiento se asegurará de que los interesados han sido informados de la intención de compartirlas y de que el Responsable del tratamiento ha determinado la base jurídica adecuada. El Encargado del tratamiento analiza la cuestión de acuerdo con la solicitud de asistencia del Responsable del tratamiento para prestar servicios de asistencia. En función de la solicitud de asistencia del Responsable del tratamiento, la prestación de servicios de asistencia puede incluir la depuración de problemas en un tipo de documento ya admitido. En función de la solicitud de soporte del Controlador, la prestación de servicios de soporte puede incluir el reentrenamiento de modelos y, en ese caso, se aplicará el Anexo V.
Aplicable si el Controlador utiliza los servicios de asistencia del Procesador para el servicio de verificación de identidad: Si el Controlador informa de un problema de verificación, el personal autorizado del equipo de asistencia al cliente del Procesador proporcionará ayuda con el problema notificado. El equipo de asistencia tendrá acceso a la(s) transacción(es) del Controlador para solucionar y/o depurar el problema de verificación. Si es necesario para proporcionar asistencia, el personal autorizado del equipo de desarrollo del Procesador puede tener acceso a las transacciones del Controlador con el fin de proporcionar una asistencia completa.
Finalidad o finalidades para las que se tratan los datos personales por cuenta del responsable del tratamiento
Aplicable si el Responsable del tratamiento utiliza el servicio de verificación de identidad del Encargado del tratamiento: La finalidad del tratamiento es realizar comprobaciones de conformidad con el Acuerdo y la configuración de la tecnología de Microblinkpor parte del Responsable del tratamiento.
Aplicable si el Controlador utiliza el servicio de verificación del Procesador: El objetivo del procesamiento es validar las propiedades visuales del documento y las propiedades de los datos en los tipos de documentos designados y realizar evaluaciones para determinar si la tarjeta está físicamente presente durante la sesión, de conformidad con el Acuerdo.
Aplicable si el Responsable del tratamiento utiliza el servicio de extracción del Encargado del tratamiento: La finalidad del tratamiento es extraer los datos del documento de identidad y enviar los resultados de la extracción al Responsable del tratamiento, de conformidad con el Acuerdo.
Aplicable si el Responsable del tratamiento utiliza los servicios de apoyo del Encargado del tratamiento: La finalidad del tratamiento es prestar servicios de apoyo al Responsable del tratamiento, de conformidad con el Acuerdo.
Duración del tratamiento
Aplicable si el Responsable utiliza el servicio de verificación de identidad del Procesador: El Responsable del tratamiento conserva los datos enviados de acuerdo con la configuración del Responsable del tratamiento de la tecnología del Responsable del tratamiento durante, como mínimo, 6 (seis) meses. El Responsable puede acordar y configurar un periodo de conservación más largo.
Aplicable si el Controlador utiliza el servicio de verificación y/o extracción del Procesador: El tratamiento es continuo (mientras el Responsable utilice la tecnología o los servicios). El Procesador conserva los datos de entrada durante las sesiones de verificación o extracción, según proceda, pero no almacena los datos procesados, a menos que se acuerde por escrito con el Responsable un periodo de conservación diferente.
Aplicable si el Responsable utiliza los servicios de asistencia del Procesador: El Procesador conserva los datos personales hasta que se resuelva el problema.
La descripción del tratamiento para los subprocesadores está disponible en el enlace: https://mb.wpstaging.uk/subprocessors-list/
Medidas para garantizar la confidencialidad, integridad, disponibilidad y resistencia permanentes de los sistemas y servicios de procesamiento
Processor tiene una política definida sobre el tratamiento de datos clasificados, que define la clasificación, divulgación y protección de los datos. Todos los empleados del Procesador están obligados a firmar cláusulas de confidencialidad que establecen que los secretos comerciales y la información confidencial tienen que permanecer confidenciales a perpetuidad y ser entregados tras la finalización del contrato, mientras que cada infracción se considera una violación grave. Además, el Procesador se asegurará de que los puntos finales web y las API estén adecuadamente protegidos y supervisados con un Cortafuegos de Aplicaciones Web y protección DDoS.
El Encargado del Tratamiento aplicará los conceptos de «menor privilegio» y «necesidad de conocer» y garantizará la separación de funciones. El Encargado del Tratamiento se asegurará de que existan procedimientos adecuados para dar de alta a nuevos usuarios / derechos de acceso adicionales y para dar de baja a usuarios. El procesador se asegurará de que la gestión del acceso privilegiado se supervisa de cerca y se revisa periódicamente, retirándose los derechos de acceso si ya no son necesarios.
Medidas para garantizar la capacidad de restablecer oportunamente la disponibilidad y el acceso a los datos personales en caso de incidente físico o técnico.
En relación con el objeto de este Acuerdo, el Procesador informará de cualquier incidente (cuasi) relacionado con la seguridad lo antes posible y de conformidad con el Acuerdo al contacto del Controlador, incluyendo las medidas de protección adoptadas para mitigar el impacto del incidente, las medidas preventivas propuestas para evitar el incidente (cuasi) en el futuro y una estimación del impacto sufrido a causa del incidente. El procesador ha definido una política de gestión de incidentes de seguridad de la información que define las funciones y responsabilidades en el proceso de gestión de incidentes. La política también describe la clasificación de incidentes y los pasos que debe dar el equipo de respuesta a incidentes, como la evaluación del incidente, la contención, la erradicación de la amenaza, la recuperación, la elaboración de informes y el aprendizaje a partir de los incidentes. El Procesador garantizará la difusión de conocimientos y experiencia para asegurar la disponibilidad de personas capacitadas incluso en caso de catástrofe.
Procesos para comprobar, evaluar y valorar periódicamente la eficacia de las medidas técnicas y organizativas a fin de garantizar la seguridad del tratamiento, y medidas para garantizar la responsabilidad
A total discreción del Procesador, éste completará un proceso periódico de autocertificación para garantizar que se siguen aplicando todas las políticas y procedimientos relacionados con la seguridad. Además, el Procesador realizará periódicamente evaluaciones de vulnerabilidad de los servicios relacionados mediante pruebas de penetración y vulnerabilidad. El Procesador cuenta con políticas internas, reglamentos y procedimientos para garantizar la responsabilidad de los empleados en el tratamiento responsable de los datos personales. El Procesador se asegura de que sus empleados estén informados sobre los requisitos y políticas de seguridad del Procesador y sobre los desarrollos en el área de la seguridad de la información. El Procesador es enteramente responsable de la conducta de sus empleados.
Medidas para garantizar la seguridad física de los lugares en los que se tratan los datos personales
Las medidas del subprocesador para la seguridad de las instalaciones físicas, que presta el servicio de infraestructura de nube privada, incluyen múltiples capas de seguridad física para proteger los centros de datos, como identificación biométrica, detección de metales, cámaras, barreras para vehículos y sistemas de detección de intrusos basados en láser.
En caso de que los datos personales se procesen en la infraestructura del Procesador o de la empresa afiliada del Procesador, el Procesador también garantizará una seguridad física adecuada mediante el uso de cámaras, tarjetas de entrada y guardias de seguridad.
Medidas para garantizar el registro de eventos
Todas las funciones de registro de sistemas y aplicaciones relacionadas con los servicios prestados por el Procesador están habilitadas y los eventos de seguridad de la información se revisan periódicamente.
Medidas para garantizar la configuración del sistema, incluida la configuración por defecto
El Procesador aplicará el endurecimiento del sistema para todos los servicios orientados a Internet mediante la gestión centralizada de la configuración, el escaneo periódico de vulnerabilidades y la revisión de la configuración.
Medidas para la gobernanza y gestión internas de la TI y la seguridad informática
El procesador mantiene un sistema eficaz de gestión de la seguridad de la información para garantizar la organización adecuada de las responsabilidades de seguridad de la información y se realiza una evaluación periódica de los riesgos de seguridad para garantizar la identificación de riesgos nuevos o modificados.
El Procesador asignará recursos y empleados con la experiencia necesaria para llevar a cabo cualquier tarea específica relacionada con sus responsabilidades de seguridad en virtud del presente Acuerdo.
El Procesador garantizará la protección adecuada de todos los activos que contengan datos personales proporcionados por el Controlador en el contexto de este Acuerdo.
Medidas de certificación/garantía de procesos y productos
A total discreción del Procesador, éste completará un proceso periódico de autocertificación para garantizar que se siguen aplicando todas las políticas y procedimientos relacionados con la seguridad.
Medidas para la identificación y autorización de usuarios
Aplicable si el Controlador utiliza el servicio de verificación, comprobación y/o extracción de identidad del Procesador: El acceso al servicio sólo se concede a usuarios autorizados mediante credenciales de cliente únicas que el Responsable del tratamiento puede revocar y renovar en cualquier momento.
Medidas de seudonimización y encriptación de datos personales y para la protección de datos durante la transmisión
Aplicable si el Responsable del tratamiento utiliza el servicio de verificación, comprobación y/o extracción de identidad del Encargado del tratamiento: El Encargado del tratamiento utilizará métodos de cifrado fuertes, como TLS (últimas versiones admitidas), para los datos en tránsito.
Aplicable si el Responsable del tratamiento utiliza la verificación de identidad del Encargado del tratamiento: El Encargado del tratamiento aplicará algoritmos hash para seudonimizar la información personal que se utilizará para formar una identificación única del interesado.
Aplicable si el Responsable utiliza los servicios de asistencia del Procesador: Para transferir de forma segura los datos personales al Procesador, el Controlador utilizará la Carga segura de imágenes del Procesador, que incluye un cifrado adicional de las imágenes con un algoritmo de cifrado simétrico (AES).
Medidas para garantizar la minimización de los datos, su conservación limitada y su supresión
Aplicable si el Responsable del tratamiento utiliza el servicio de verificación y/o extracción del Procesador: El Encargado del Tratamiento no almacena los datos personales una vez realizado el proceso de verificación.
Aplicable si el Responsable del tratamiento utiliza el servicio de verificación de identidad y/o de asistencia del Encargado del tratamiento: El Procesador aplicará calendarios de conservación de datos y los eliminará de forma irreversible de acuerdo con el calendario.
Medidas para garantizar la calidad de los datos
Aplicable si el Responsable del tratamiento utiliza la verificación de identidad del Encargado del tratamiento: El Responsable del tratamiento es responsable de los datos que se envían al Encargado del tratamiento, incluida su calidad.
Aplicable si el Responsable del tratamiento utiliza el servicio de verificación y/o extracción del Encargado del tratamiento: El Responsable del tratamiento es responsable de los datos que se envían al Encargado del tratamiento, incluida su calidad. El Encargado del tratamiento enviará al Responsable del tratamiento los datos personales extraídos de los documentos enviados por el Responsable del tratamiento, junto con los datos de información personal identificable (IPI) y los metadatos extraídos de los documentos.
Aplicable si el Responsable utiliza servicios de asistencia: El Responsable y el Encargado del tratamiento determinarán qué calidad de datos es necesario compartir para resolver el problema planteado por el Responsable.
Medidas de protección de datos durante el almacenamiento
Aplicable si el Controlador utiliza el servicio de asistencia del Procesador: Microblink utiliza el Servicio de Gestión de Claves y mecanismos fuertes de encriptación como AES-256 para los datos en reposo.
Medidas para la notificación de violaciones de datos personales
El Encargado del Tratamiento deberá disponer de una política que garantice la rápida detección de incidentes y puntos débiles de seguridad, así como la rápida reacción y respuesta ante incidentes de seguridad, incluidas las violaciones de datos. Esta política incluirá un procedimiento de respuesta a las violaciones de datos que garantice una reacción rápida y una comunicación adecuada hacia el Responsable del tratamiento, los interesados afectados o la autoridad de control.
Para las transferencias a (sub)encargados del tratamiento, también describir las medidas técnicas y organizativas específicas que adoptará el (sub)encargado del tratamiento para poder prestar asistencia al responsable del tratamiento
El Encargado del Tratamiento deberá establecer acuerdos de tratamiento de datos con los subencargados del tratamiento para garantizar la asistencia al Responsable del Tratamiento.
Descripción de las medidas técnicas y organizativas específicas que adoptará el encargado del tratamiento para poder prestar asistencia al responsable del tratamiento.
Aplicable si el Responsable del tratamiento utiliza los servicios de asistencia del Encargado del tratamiento: El Responsable del tratamiento se asegurará de que puede identificar a sus usuarios finales y, en caso de solicitud del interesado, entregará sus identificadores al Encargado del tratamiento. El Encargado del tratamiento prestará asistencia al Responsable del tratamiento para llevar a cabo la solicitud del interesado de conformidad con el procedimiento de supresión de datos.
La lista de subprocesadores autorizados puede consultarse en el enlace: https://mb.wpstaging.uk/subprocessors-list/
ANEXO V – Acuerdo de intercambio de datos
Sin perjuicio de otras disposiciones del presente Acuerdo, este Anexo V. regirá la recopilación y compartición de las imágenes descritas en la disposición siguiente. Las definiciones del presente Anexo V. tendrán el significado que se les asigna en el APD o en el Acuerdo.
1. Relación de las Partes
1. 1. Microblink y el Cliente han celebrado el Contrato cuando Microblink procesa datos personales de los interesados mediante el uso de la tecnología de Microblinkalojada en la infraestructura de Microblinky/o del Cliente; o mediante la integración por parte del Cliente del Producto o Servicio Microblink en su Aplicación y el procesamiento de datos personales de los interesados o el Cliente prueba la tecnología de Microblink.
1.2. El Cliente puede compartir datos personales para el desarrollo y avance de la tecnología de Microblinko permitir a Microblink utilizar datos personales, previamente compartidos para otro fin, para el fin indicado recabando el consentimiento de los interesados en nombre de Microblink. En tales casos, cada Parte determina individualmente los fines y medios de su tratamiento de datos personales y, por lo tanto, se considerará un responsable del tratamiento independiente o conjuntamente responsables del tratamiento conjuntos en virtud de la Ley de Protección de Datos aplicable. Microblink podrá tratar los datos personales para otro fin cuando haya obtenido el consentimiento previo del interesado, cuando sea necesario para el reconocimiento, ejercicio o defensa de reclamaciones legales en el contexto de procedimientos administrativos, reglamentarios o judiciales específicos; o cuando sea necesario para proteger los intereses vitales del interesado o de otra persona física. Microblink El tratamiento de los datos por parte de Microblink en cumplimiento de la finalidad beneficiará, a su vez, al Cliente y a los titulares de los datos al hacer que los productos y servicios de sean menos sesgados, discriminatorios y mejores para prevenir el fraude, al mejorar su precisión y ampliar el alcance de los tipos de documentos admitidos.
1.3. Microblink tratará los datos personales compartidos por el Cliente para lograr el propósito, descrito con más detalle en el Artículo 2. de este Anexo V. y será considerado Controlador en consecuencia.
1.4. Las Partes reconocen que Microblink podrá compartir datos personales con sus empresas afiliadas para perseguir el cumplimiento de la finalidad descrita en el Artículo 2. de este Anexo V. Cada Parte cumplirá con las obligaciones que le sean aplicables en virtud de la Ley de Protección de Datos aplicable con respecto al tratamiento de datos personales.
1.5. Cada Parte deberá poder demostrar el cumplimiento de sus obligaciones en virtud de estas cláusulas.
2. Descripción del intercambio y tratamiento
2.1. Permitir el tratamiento y la descripción del uso compartido por el Cliente
2.1.1. El Cliente acepta compartir los datos personales con Microblink para permitir el tratamiento posterior de los datos personales por parte de Microblink tal y como se describe en este Artículo 2. y tomará las medidas necesarias para transferir los datos personales a Microblink.
2.1.2. Microblink informará al Cliente por escrito de la cantidad, variedad y tipo de documentos necesarios para alcanzar la finalidad del tratamiento y/o el Cliente, en nombre de Microblink, recabará el consentimiento de los interesados implementando un mecanismo de recogida de consentimiento en su Aplicación, de acuerdo con las instrucciones de Microblink. Al recabar el consentimiento en nombre de Microblink, el Cliente presentará a los interesados el aviso de privacidad de Microblink(disponible en el enlace https://mb.wpstaging.uk/privacy-notice-for-microblink-customers-end-users) u otro aviso de privacidad con un nivel adecuado de transparencia conforme a la Ley de Protección de Datos aplicable.
2.1.3. El Cliente asignará un identificador único a cada interesado que coincida con el identificador de los datos personales compartidos. El Cliente pondrá el identificador único a disposición de Microblink si fuera necesario para ejecutar la solicitud de derechos del interesado de conformidad con el Artículo 3.
2.1.4. El Cliente garantiza y declara que implementará el mecanismo de recogida de consentimiento de acuerdo con las instrucciones de Microblink. El Cliente informará a Microblink en caso de que el consentimiento no sea la base jurídica adecuada, en virtud de la Ley de Protección de Datos Aplicable, para alcanzar la finalidad del tratamiento previsto.
2.1.5. A petición de Microblink, el Cliente deberá poder demostrar el cumplimiento de esta disposición. El Cliente permitirá a Microblink realizar una auditoría, a sus expensas, sobre la implementación del mecanismo de recogida de consentimiento para garantizar el cumplimiento de esta garantía, previo aviso razonable y durante el horario laboral habitual.
2.2. Descripción del tratamiento por Microblink
Categorías de interesados cuyos datos personales se transfieren Usuarios finales del Cliente/Licenciatario, incluidos, si procede, los usuarios finales de las Filiales y Sublicenciatarios del Licenciatario. El Cliente no compartirá datos personales de usuarios finales menores de edad.
Categorías de datos personales tratados: En función de los documentos compartidos, Microblink tratará los datos personales presentes en el documento tratado, incluidos, entre otros, nombre, segundo nombre, apellidos, fecha de nacimiento, lugar de nacimiento, domicilio, lugar de residencia, sexo, género, nacionalidad, ciudadanía, número de documento, número de la seguridad social, número de identificación personal, código de seguridad de la tarjeta, tipo de tarjeta, fecha de emisión, fecha de caducidad, autoridad emisora, condición de donante de órganos, condición de residente, datos biométricos como imagen facial, color de ojos, huella dactilar, firma, peso o altura, y otras categorías de datos que se encuentran en los documentos de identidad, tarjetas u otros documentos transferidos, así como otros datos como correo electrónico, número de teléfono, SSN, dirección IP u otros datos del usuario final.
La frecuencia del Procesamiento: Continua.
Finalidad y naturaleza del tratamiento por parte de Microblink: Tras entregar el aviso de privacidad a los interesados y recabar su consentimiento para compartirlos, el Cliente transferirá los datos personales a Microblink de forma segura. Los datos personales recibidos se procesarán con el fin de mejorar y desarrollar la tecnología de aprendizaje automático y visión por ordenador de Microblink, lo que puede incluir, entre otras cosas, admitir una nueva versión de un documento admitido, realizar la evaluación de la tecnología de Microblinken nombre del Cliente y compartir comentarios sobre su rendimiento, mejorar la precisión de un tipo de documento ya admitido (si el producto no funciona), admitir nuevos tipos de documentos (actualmente no admitidos), mejorar la precisión de tipos de documentos ya admitidos, mejorar la precisión de la extracción mediante la implementación de validación de resultados y corrección de errores adicionales, mejorar la precisión del modelo OCR y admitir nuevas comprobaciones de fraude de documentos. Microblink aplicará todas las medidas necesarias para proteger la seguridad y confidencialidad de los datos personales recibidos.
Conservación de datos
Los datos personales de documentos reales se conservarán durante seis (6) meses desde la recepción de las imágenes, o hasta que el interesado solicite su eliminación, lo que ocurra primero. Los datos personales de los documentos que Microblink determine que son falsos, se conservarán durante un (1) año.
Precisión y minimización de datos
Microblink tomará todas las medidas razonables para garantizar que los datos personales innecesarios, teniendo en cuenta la finalidad o finalidades del tratamiento, se supriman o rectifiquen sin demora indebida.
Transferencias a (sub)procesadores
Microblink puede compartir datos personales con sus empresas afiliadas para los fines permitidos y éstas quedarán vinculadas por las presentes Cláusulas.
3. Derechos del interesado
Microblink y el Cliente se prestarán mutuamente una asistencia razonable (cada uno a sus expensas) para poder proporcionar respuestas adecuadas a cualquier solicitud de un interesado para ejercer sus derechos en virtud de la Ley de Protección de Datos Aplicable, así como cualquier otra correspondencia, consulta o reclamación recibida de un interesado, regulador u otros terceros en relación con el Tratamiento.
En caso de que dicha solicitud, correspondencia, consulta o reclamación se dirija directamente al Cliente en relación con el tratamiento previsto en el presente Anexo V., el Cliente no responderá a dicha comunicación antes de que informe a Microblink, de forma inmediata, pero en un plazo no superior a cinco (5) días laborables, de las solicitudes de los interesados establecidas por la Ley de Protección de Datos aplicable y de sus identificadores únicos. Si el Cliente está legalmente obligado a responder a dicha solicitud, deberá, antes de responder, notificarlo a Microblink y proporcionarle una copia de la solicitud. A petición del interesado dirigida a cualquiera de las Partes, la Parte que haya recibido una solicitud deberá, en relación con el tratamiento de datos personales previsto en el presente Anexo V., proporcionar gratuitamente a la otra Parte la información pertinente relacionada con los datos tratados a tal fin.
4. Responsabilidad
Cada Parte será responsable ante la otra Parte de los daños y perjuicios que cause a la otra Parte por cualquier infracción del presente Anexo V. Cada Parte será responsable ante el interesado, y el interesado tendrá derecho a recibir una indemnización, por cualquier daño material o moral que la Parte cause al interesado por la infracción de sus derechos en virtud de las presentes cláusulas. Cuando más de una Parte sea responsable de cualquier daño causado al interesado como consecuencia de una infracción de estas cláusulas, todas las Partes responsables serán solidariamente responsables, y el interesado tendrá derecho a interponer una acción judicial contra cualquiera de estas Partes. Las Partes acuerdan que si una Parte es considerada responsable, tendrá derecho a reclamar a la otra Parte o Partes la parte de la indemnización correspondiente a la responsabilidad de la otra Parte por el daño.
5. Terminación del intercambio de datos
El Anexo V estará en vigor hasta su terminación. Las partes podrán rescindir de mutuo acuerdo el presente Anexo V en cualquier momento. Microblink seguirá teniendo derecho a utilizar y conservar los datos personales de acuerdo con los términos del consentimiento recabado, pero no más tiempo del requerido por la Ley de Protección de Datos aplicable, o hasta recibir la solicitud de supresión del interesado, tras lo cual los datos personales serán borrados o anonimizados, a menos que Microblink esté obligado a conservar algunos o todos los datos personales por la ley aplicable. En caso de incumplimiento de los términos del presente Anexo V por cualquiera de las partes, la parte no incumplidora tendrá derecho a rescindir el presente acuerdo previa notificación por escrito a la parte incumplidora. La parte incumplidora dispondrá de 30 días desde la recepción de la notificación para subsanar el incumplimiento. Si el incumplimiento no se subsana en este plazo, la parte no incumplidora podrá rescindir el presente Anexo V sin más aviso ni responsabilidad. La rescisión de estas cláusulas no eximirá a ninguna de las partes de las obligaciones o responsabilidades contraídas antes de la rescisión. Las cláusulas relativas a la ejecución de los derechos del interesado seguirán en vigor.
Eficaz
El presente ADENDA DE PROCESAMIENTO DE DATOS («APD«) se incorpora y está sujeto a los términos y condiciones del acuerdo suscrito entre el Responsable del tratamiento y el Procesador, tal y como se define en el Anexo I (conjuntamente, «las partes«), las condiciones de uso o los términos y condiciones de uso de la tecnología del Procesador aceptados por el Responsable del tratamiento, que rigen el uso por parte del Responsable del tratamiento de la tecnología o los servicios de asistencia del Procesador («Acuerdo«).
Todos los términos en mayúsculas no definidos en el presente APD tendrán el significado establecido en el Acuerdo.
Cuando el Responsable utiliza la tecnología del Procesador, tanto en la fase de pruebas como en la de producción, o cuando el Responsable utiliza los servicios de asistencia del Procesador, éste procesa datos personales (definidos a continuación). Las partes acuerdan cumplir las siguientes disposiciones con respecto a cualquier tratamiento de datos personales y se acuerda lo siguiente:
Artículo 1
Definiciones
En el presente APD, los siguientes términos tendrán el significado que se indica a continuación:
a. «Responsable del tratamiento«, «Encargado del tratamiento«, «interesado«, » datospersonales «, «proceso» y «tratamiento»tendrán el significado que se les da en la Ley Europea de Protección de Datos;
b. «Ley Europea de Protección de Datos» significa: (i) el Reglamento 2016/679 del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos) (el «RGPDde la UE«); y (ii) el RGPD de la UE incorporado a la legislación del Reino Unido en virtud del artículo 3 de la Ley de la Unión Europea (Retirada) del Reino Unido de 2018 (el «RGPD del Reino Unido«);
c. «Ley de Protección de Datos Aplicable» hace referencia a todas las leyes y normativas mundiales de protección de datos y privacidad, en la medida en que sean aplicables a las partes y a la naturaleza de los datos personales procesados en virtud del Acuerdo, incluyendo, en su caso, la Ley Europea de Protección de Datos, la Ley de Privacidad del Consumidor de California de 2018, modificada por la Ley de Derechos de Privacidad de California de 2020 (denominadas colectivamente «CPRA»), y todas y cada una de las leyes nacionales de protección de datos aplicables realizadas en virtud de la Ley Europea de Protección de Datos, de conformidad con ella o que se apliquen conjuntamente con ella; en cada caso, tal y como puedan ser modificadas o sustituidas en cada momento;
d. «datos personales» significa, aparte del significado dado en la Ley Europea de Protección de Datos, cualquier información que identifique a una persona, que sea escaneada, cargada y compartida de otro modo con el Procesador utilizando la tecnología del Procesador o de conformidad con el uso de servicios de apoyo por parte del Controlador, las empresas afiliadas del Controlador o por terceros que actúen en nombre del Controlador;
e. «violación de datos personales«: cualquier violación de la seguridad que provoque la destrucción accidental o ilícita, la pérdida, la alteración, la divulgación no autorizada o el acceso a datos personales divulgados y compartidos por el Responsable del tratamiento y tratados por el Encargado del tratamiento en virtud de la presente DPA;
f. «transferencia restringida» significa: (i) cuando se aplique el GDPR de la UE, una transferencia de datos personales desde la Unión Europea o el Espacio Económico Europeo a un país fuera de la Unión Europea o del Espacio Económico Europeo que no haya sido reconocido por la Comisión Europea como adecuado de conformidad con el artículo 45 del GDPR de la UE («tercer país»); y (ii) cuando se aplique el GDPR del Reino Unido, una transferencia de datos personales desde el Reino Unido a otro país que no se base en la normativa de adecuación de conformidad con el artículo 45 del GDPR del Reino Unido;
g. «decisión de adecuación«: una decisión formal adoptada por la UE o el Reino Unido que reconoce que otro país, territorio, sector u organización internacional proporciona un nivel de protección de los datos personales equivalente al de la UE o el Reino Unido;
h. «Cláusulas contractuales tipo» o «CCT«: las cláusulas contractuales adoptadas por la Comisión Europea en su Decisión de Ejecución (UE) 2021/914 de la Comisión, de 4 de junio de 2021, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (disponible en el enlace: https://commission.europa.eu/publications/standard-contractual-clauses-international-transfers_en);
i. «Cláusulas Contractuales Tipo Intra UE/EEE» o «CCC Intra UE/EEE«: las cláusulas contractuales adoptadas por la Comisión Europea en su Decisión de Ejecución (UE) 2021/915 de la Comisión, de 4 de junio de 2021, relativa a las cláusulas contractuales tipo entre responsables y encargados del tratamiento con arreglo al artículo 28, apartado 7, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo y al artículo 29, apartado 7, del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (disponible en el enlace: https://commission.europa.eu/publications/standard-contractual-clauses-controllers-and-processors-eueea_en);
j. «Acuerdo Internacional de Transferencia de Datos» o«IDTA» significa el acuerdo emitido por el Comisionado de Información para las Partes que realizan Transferencias Restringidas según el GDPR del Reino Unido (disponible en el enlace: https://ico.org.uk/media/for-organisations/documents/4019538/international-data-transfer-agreement.pdf);
k. «Subencargado del tratamiento» significa cualquier Encargado del tratamiento tercero contratado por el Encargado del tratamiento para tratar cualquier dato personal en su nombre en relación con la tecnología o los servicios prestados al Responsable del tratamiento.
Artículo 2
Relación de las partes
1. El Encargado del tratamiento, tal y como se define en el Anexo I de la presente DPA, tratará los datos personales por cuenta del Responsable del tratamiento, tal y como se describe en el Anexo II de la presente DPA. Donde Microblink Ltd. (6th Floor, 9 Appold Street, Londres, Reino Unido, EC2A 2AP) o Microblink USA, LLC (10 Grand Street, STE 2400, Brooklyn, NY 11249) sea el firmante del Acuerdo y el Encargado del tratamiento, Microblink LLC (Trg Drage Iblera 10, 10000, Zagreb, República de Croacia) se considerará empresa afiliada y Subencargado del tratamiento.
2. Cada una de las partes cumplirá con las obligaciones que le correspondan en virtud de la Ley de Protección de Datos aplicable.
Artículo 3
Jerarquía
1. En caso de contradicción entre el presente APD y las disposiciones de los Acuerdos relacionados entre las Partes existentes en el momento en que se acuerde el presente APD o celebrados con posterioridad, prevalecerán las disposiciones del presente APD.
2. Cuando proceda, las disposiciones de los CEC o de los CEC intra UE/EEE o del IDTA complementarán el presente APD. En caso de contradicción entre este APD y los CEC o los CEC intra UE/EEE o el IDTA, prevalecerán las disposiciones de los CEC o los CEC intra UE/EEE o el IDTA.
3. En caso de conflicto o incoherencia entre el presente APD y el Acuerdo, prevalecerán las disposiciones de los siguientes documentos (por orden de precedencia): (a) en su caso, los CCE o los CCE intra UE/EEE o el IDTA; después (b) el presente APD; y después (c) el cuerpo principal del Acuerdo. Salvo por los cambios introducidos por el presente APD, el Acuerdo permanece inalterado y en pleno vigor y efecto.
4. Esta APD se aplica al tratamiento de datos personales especificado en el Anexo II.
5. Los Anexos I a IV forman parte integrante del presente APD.
Artículo 4
Tratamiento de datos personales según el GDPR de la UE
1. Cuando ambas partes estén sujetas al GDPR de la UE y los datos personales no se transfieran fuera de la Unión Europea, del Espacio Económico o de países sin decisiones de adecuación en virtud del artículo 45 del GDPR de la UE, se aplicarán los CCE intra-UE/EEE completados del siguiente modo:
a. siempre que exista la opción de elegir un reglamento, se aplicará el Reglamento (UE) 2016/679;
b. se aplicará la Cláusula opcional 5 (Cláusula de atraque);
c. en la Cláusula 7.7. Opción 2: Se aplicará la autorización general por escrito con un plazo determinado de treinta días;
d. El Anexo I de los CCE Intra UE/EEE se considerará completado con la información establecida en el Anexo I de la presente APD;
e. El Anexo II de los CCE Intra UE/EEE se considerará completado con la información establecida en el Anexo II del presente APD;
f. El Anexo III de los CCE Intra UE/EEE se considerará completado con la información establecida en el Anexo III del presente APD; y
g. El Anexo IV de los CCE Intra UE/EEE se considerará completado con la información establecida en el Anexo IV del presente APD.
Artículo 5
Tratamiento según el GDPR del Reino Unido
En relación con las transferencias de datos personales protegidos por el GDPR del Reino Unido, se aplicarán los CCE intra-UE/EEE con las siguientes modificaciones:
a. siempre que exista la opción de elegir una normativa, se aplicará el GDPR del Reino Unido;
b. las referencias a «UE», «Unión», «Estado miembro» y «legislación del Estado miembro» se sustituyen por referencias al «Reino Unido», o a la «legislación nacional»;
c. las referencias a los «tribunales competentes» se sustituirán por referencias a los «tribunales competentes del Reino Unido»;
d. se aplicará la Cláusula opcional 5 (Cláusula de atraque);
e. en la Cláusula 7.7. Opción 2: Se aplicará la autorización general por escrito con un plazo específico de treinta días;
f. El Anexo I de los CCE Intra UE/EEE se considerará completado con la información establecida en el Anexo I de esta APD;
g. El Anexo II de los CCE Intra UE/EEE se considerará completado con la información establecida en el Anexo II del presente APD;
h. El Anexo III de los CCE Intra UE/EEE se considerará completado con la información establecida en el Anexo III del presente APD; y
i. El Anexo IV de los CCE Intra UE/EEE se considerará completado con la información establecida en el Anexo IV del presente APD.
Artículo 6
Transferencias internacionales
6.1. Transferencias restringidas según el GDPR de la UE
1. Cuando la transferencia de datos personales se considere una Transferencia Restringida y el GDPR de la UE exija que se establezcan las salvaguardias adecuadas, dicha transferencia estará sujeta a las CCE, que se incorporarán por referencia y formarán parte integrante del presente APD. El módulo aplicable de las CEC se determinará en función de la ubicación del Controlador y del Procesador, y de sus funciones como exportador e importador de datos en relación con los datos personales procesados.
2. En relación con los datos personales que estén protegidos por el GDPR de la UE, cuando el Encargado del Tratamiento esté situado en la UE y actúe como exportador de datos y el Responsable del Tratamiento que actúe como importador de datos esté situado en el tercer país, se aplicará el Módulo Cuatro de los CCE de la siguiente manera:
a. se aplicará la cláusula opcional 7 (Cláusula de atraque);
b. En la Cláusula 9, Opción 2: Se aplicará la autorización general por escrito con un plazo específico de treinta días;
c. En la cláusula 11, no se aplicará la cláusula de opción;
d. En la Cláusula 17, la ley aplicable será la ley de la República de Croacia;
e. En la Cláusula 18, para la resolución de los litigios derivados de las presentes Cláusulas serán competentes los tribunales de la República de Croacia;
f. Los Anexos I.A y I.B de los CCE de la UE se considerarán completados con la información establecida en los Anexos I y II de la presente APD y en el Anexo I.C figurará la Agencia Croata de Protección de Datos Personales como autoridad de control competente;
g. El Anexo II de las CEC de la UE se considerará completado con la información establecida en el Anexo III de la presente DPA; y
h. El Anexo III de las CEC de la UE se considerará completado con la información establecida en el Anexo IV de la presente DPA.
3. En relación con los datos personales que estén protegidos por el GDPR de la UE, cuando el Responsable del tratamiento esté situado en la UE y actúe como exportador de datos y el Encargado del tratamiento esté situado en un tercer país y actúe como importador de datos, se aplicará el Módulo Dos de los SCC de la siguiente manera:
a. se aplicará la cláusula opcional 7 (Cláusula de atraque);
b. En la Cláusula 9, Opción 2: Se aplicará la autorización general por escrito con un plazo específico de treinta días;
c. En la cláusula 11, no se aplicará la cláusula de opción;
d. En la Cláusula 17, la ley aplicable será la ley de la República de Croacia;
e. En la Cláusula 18, para la resolución de los litigios derivados de las presentes Cláusulas serán competentes los tribunales de la República de Croacia;
f. Los Anexos I.A y I.B de los CCE se considerarán completados con la información establecida en los Anexos I y II del presente APD y en el Anexo I.C figurará la Agencia Croata de Protección de Datos Personales como autoridad de control competente;
g. El Anexo II de las CEC de la UE se considerará completado con la información establecida en el Anexo III de la presente DPA; y
h. El Anexo III de las CEC de la UE se considerará completado con la información establecida en el Anexo IV de la presente DPA.
6.2. Transferencias internacionales según el GDPR del Reino Unido
1. Cuando el GDPR del Reino Unido se aplique al tratamiento, y cuando el Encargado del Tratamiento inicie y acuerde la transferencia de datos personales a un subencargado fuera del Reino Unido o a un país sin decisión de adecuación, el Encargado del Tratamiento firmará un Acuerdo Internacional de Transferencia de Datos con dicho subencargado y cumplirá las normas de transferencia.
2. Cuando el GDPR del Reino Unido se aplique al Responsable del Tratamiento, éste seguirá siendo responsable de todas las transferencias de datos personales que inicie o acuerde.
3. En relación con las transferencias de datos personales protegidos por el GDPR del Reino Unido, las partes reconocen que la transferencia en la que el Procesador devuelve los datos personales procesados al Controlador, siempre que haya sido iniciada y acordada por el Controlador, no se considera una Transferencia Restringida según el GDPR del Reino Unido.
6.3. Traslados
1. El Encargado del Tratamiento no participará (ni permitirá que ningún Subencargado del Tratamiento participe) en ninguna otra Transferencia Restringida de datos personales (ya sea como exportador o como importador de los datos personales), a menos que la Transferencia Restringida se realice de conformidad con la Ley de Protección de Datos Aplicable y las disposiciones del presente APD.
2. Dichas medidas pueden incluir (sin limitación) la transferencia de los datos personales a un destinatario en un país que la Comisión Europea haya decidido que proporciona una protección adecuada de los datos personales, a un destinatario que haya conseguido una autorización vinculante de normas corporativas de conformidad con la Ley de Protección de Datos Aplicable, o de conformidad con los CCE aplicados entre el exportador y el importador pertinentes de los datos personales.
Artículo 7
Descripción de los tratamientos
Los detalles de las operaciones de tratamiento, en particular las categorías de datos personales y los fines del tratamiento para los que se tratan los datos personales por cuenta del Responsable del Tratamiento, se especifican en el Anexo II.
Artículo 8
Obligaciones de las Partes
8.1. Instrucciones
1. El Encargado del tratamiento tratará los datos personales únicamente siguiendo instrucciones documentadas del Responsable del tratamiento, a menos que así lo exijan los requisitos legales aplicables a los que esté sujeto el Encargado del tratamiento. En este caso, el Encargado del tratamiento informará al Responsable del tratamiento de dicho requisito legal antes del tratamiento, a menos que la ley lo prohíba por motivos importantes de interés público. El Responsable del tratamiento también podrá dar instrucciones ulteriores mientras dure el tratamiento de los datos personales. Estas instrucciones deberán estar siempre documentadas.
2. El Encargado del Tratamiento informará inmediatamente al Responsable del Tratamiento si, a su juicio, las instrucciones dadas por el Responsable del Tratamiento infringen las disposiciones de la Ley de Protección de Datos aplicable.
8.2. Limitación de la finalidad
El Encargado del tratamiento tratará los datos personales, de conformidad con las instrucciones documentadas del Responsable del tratamiento, únicamente para la finalidad o finalidades específicas del tratamiento, según lo establecido en el Anexo II, a menos que reciba instrucciones adicionales del Responsable del tratamiento o si se firma documentación adicional sobre el tratamiento de datos entre las partes.
8.3. Duración del tratamiento de los datos personales
El Procesamiento por parte del Procesador sólo tendrá lugar durante el tiempo especificado en el Anexo II.
8.4. Seguridad del tratamiento
1. El Encargado del Tratamiento aplicará, como mínimo, las medidas técnicas y organizativas especificadas en el Anexo III para garantizar la seguridad de los datos personales. Esto incluye la protección de los datos contra una violación de la seguridad que provoque la destrucción, accidental o ilícita, la pérdida, la alteración, la difusión o el acceso no autorizados a los datos (violación de datos personales). Al evaluar el nivel adecuado de seguridad, las partes tendrán debidamente en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos que entraña para los interesados.
2. El Encargado del Tratamiento sólo concederá acceso a los datos personales objeto de tratamiento a los miembros de su personal en la medida estrictamente necesaria para la ejecución, gestión y seguimiento del contrato. 3. El Procesador garantizará que las personas autorizadas a procesar los datos personales recibidos se han comprometido a mantener la confidencialidad o están bajo una obligación legal apropiada de confidencialidad. El Procesador se asegurará de que todas las personas autorizadas procesen los datos personales sólo en la medida necesaria para el Propósito Permitido.
8.5. Datos sensibles
Si el tratamiento implica datos personales que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, datos genéticos o datos biométricos con el fin de identificar de manera unívoca a una persona física, datos relativos a la salud o a la vida sexual u orientación sexual de una persona, o datos relativos a condenas e infracciones penales («datos sensibles»), las partes actualizarán las categorías de datos personales tratados en el Anexo II y el responsable del tratamiento aplicará restricciones específicas y/o garantías adicionales.
8.6. Documentación y cumplimiento
1. Las Partes deberán poder demostrar el cumplimiento del presente APD.
2. El Encargado del Tratamiento mantendrá registros de las actividades de tratamiento realizadas en virtud de esta APD que contengan las categorías de interesados implicados en el tratamiento y las categorías de datos personales tratados, la naturaleza, duración y finalidad del tratamiento, la lista de medidas técnicas y organizativas, y la evaluación del impacto de la protección de datos.
3. El Encargado del tratamiento atenderá rápida y adecuadamente las consultas del Responsable del tratamiento sobre el tratamiento de datos de conformidad con la presente APD.
4. El Encargado del Tratamiento pondrá a disposición del Responsable del Tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones que se establecen en el presente APD y que se derivan directamente de la Ley de Protección de Datos Aplicable. A petición del Responsable, el Encargado también permitirá y contribuirá a las auditorías de las actividades de tratamiento cubiertas por esta APD, a intervalos razonables o si existen indicios de incumplimiento. Al decidir sobre una revisión o una auditoría, el Responsable del Tratamiento tendrá en cuenta las certificaciones pertinentes que posea el Encargado del Tratamiento.
5. El Responsable podrá optar por realizar la auditoría por sí mismo o encargarla a un auditor independiente. Las auditorías también podrán incluir inspecciones en los locales o instalaciones físicas del Encargado del Tratamiento y, en su caso, se llevarán a cabo con una antelación razonable, de al menos 30 días.
6. Las Partes pondrán a disposición de la autoridad o autoridades de control competentes, previa solicitud, la información a que se refiere el presente artículo, incluidos los resultados de cualquier auditoría.
8.7. Uso de subprocesadores
1. El Encargado del tratamiento cuenta con la autorización general del Responsable del tratamiento para la contratación de Subencargados del tratamiento a partir de una lista acordada. El Encargado del tratamiento informará específicamente por escrito al Responsable del tratamiento de cualquier cambio previsto en dicha lista mediante la adición o sustitución de Subencargados del tratamiento con al menos 30 días de antelación, dando así al Responsable del tratamiento tiempo suficiente para poder oponerse a dichos cambios antes de la contratación del Subencargado o Subencargados en cuestión. El Encargado del tratamiento facilitará al Responsable del tratamiento la información necesaria para que éste pueda ejercer su derecho de oposición.
2. Cuando el Encargado del Tratamiento contrate a un Subencargado del Tratamiento para la realización de actividades específicas de tratamiento (por cuenta del Responsable del Tratamiento), lo hará mediante un contrato que imponga al Subencargado del Tratamiento, en esencia, las mismas obligaciones en materia de protección de datos que las impuestas al Encargado del Tratamiento de conformidad con las presentes cláusulas. El Encargado del Tratamiento se asegurará de que el Subencargado del Tratamiento cumpla las obligaciones a las que está sujeto el Encargado del Tratamiento de conformidad con el presente APD y con la Ley de Protección de Datos Aplicable.
3. A petición del Responsable del tratamiento, el Encargado facilitará una copia de dicho acuerdo de Subencargado del tratamiento y de cualquier modificación posterior al Responsable del tratamiento. En la medida en que sea necesario para proteger el secreto comercial u otra información confidencial, incluidos los datos personales, el Encargado del Tratamiento podrá redactar el texto del acuerdo antes de compartir la copia.
4. El Encargado del tratamiento seguirá siendo plenamente responsable ante el Responsable del tratamiento del cumplimiento de las obligaciones del Subencargado del tratamiento de conformidad con su contrato con el Encargado del tratamiento. El Encargado del tratamiento notificará al Responsable del tratamiento cualquier incumplimiento por parte del Subencargado del tratamiento de sus obligaciones contractuales.
5. El Encargado del tratamiento acordará con el Subencargado del tratamiento una cláusula de tercero beneficiario en virtud de la cual -en caso de que el Encargado del tratamiento haya desaparecido de hecho, haya dejado de existir jurídicamente o se haya declarado insolvente- el Responsable del tratamiento tendrá derecho a rescindir el contrato de Subencargado del tratamiento y a ordenar al Subencargado del tratamiento que borre o devuelva los datos personales.
8.8. Notificaciones al controlador
1. Además de otras notificaciones previstas por esta DPA, el Procesador informará al Controlador, sin demora indebida, pero no más de cinco días hábiles, si el Procesador tiene conocimiento de:
a. Cualquier incumplimiento por parte del Encargado del tratamiento o de sus empleados de las obligaciones derivadas de la presente APD o de los requisitos de la Ley de Protección de Datos Aplicable relativos a la protección de los datos personales tratados en virtud de la presente APD;
b. Cualquier solicitud legalmente vinculante de revelación de datos personales por parte de una autoridad encargada de hacer cumplir la ley, como juzgados, tribunales o autoridades administrativas, a menos que la ley prohíba al Procesador informar al Controlador (por ejemplo, para preservar la confidencialidad de una investigación por parte de las autoridades encargadas de hacer cumplir la ley). El Encargado del tratamiento deberá estar en condiciones de facilitar información sobre la posible divulgación legalmente vinculante de los datos personales;
c. Cualquier notificación, consulta o investigación por parte de una Autoridad de Control con respecto a los datos personales compartidos por el Responsable del Tratamiento; o
d. Cualquier queja o solicitud recibida directamente de los interesados del Responsable del tratamiento. El Encargado del tratamiento no responderá sustancialmente a ninguna solicitud de este tipo sin la autorización previa por escrito del Responsable del tratamiento.
3. Antes de realizar cualquier divulgación de datos personales o de proporcionar otra información relativa a datos personales, el Encargado del tratamiento consultará con el Responsable del tratamiento, salvo en las situaciones descritas en la disposición 1.b del presente artículo.
8.9. Privacidad por diseño y por defecto
El procesador integrará las consideraciones de privacidad en sus actividades de procesamiento desde el principio, abarcando el diseño, desarrollo, implementación y mantenimiento continuo de sus sistemas, aplicaciones y servicios. La configuración por defecto de los sistemas, aplicaciones y servicios del Encargado del Tratamiento dará prioridad al máximo nivel de protección de la privacidad, limitando por defecto el tratamiento de datos personales. El Encargado del Tratamiento proporcionará mecanismos que permitan al Responsable del Tratamiento y a los interesados gestionar fácilmente sus preferencias de privacidad y ejercer sus derechos.
Artículo 9
Asistencia al Interventor
1. El Encargado del tratamiento asistirá al Responsable del tratamiento en el cumplimiento de sus obligaciones de responder a las solicitudes de los interesados para ejercer sus derechos, teniendo en cuenta la naturaleza del tratamiento.
2. El Encargado del tratamiento ayudará al Responsable del tratamiento a cumplir sus obligaciones de responder a las solicitudes de los interesados para ejercer sus derechos, teniendo en cuenta la naturaleza del tratamiento. En el cumplimiento de sus obligaciones de conformidad con (1) y (2), el Encargado del tratamiento cumplirá las instrucciones del Responsable del tratamiento.
3. Además de la obligación del Encargado del tratamiento de ayudar al Responsable del tratamiento de acuerdo con la cláusula 9.2, el Encargado del tratamiento ayudará además al Responsable del tratamiento a garantizar el cumplimiento de las siguientes obligaciones, teniendo en cuenta la naturaleza del tratamiento de datos y la información de que disponga el Encargado:
a. la obligación de llevar a cabo una evaluación del impacto de las operaciones de tratamiento previstas sobre la protección de los datos personales (una «evaluación del impacto sobre la protección de datos»), cuando sea probable que un tipo de tratamiento suponga un alto riesgo para los derechos y libertades de las personas físicas. El encargado del tratamiento prestará asistencia al responsable del tratamiento para que pueda realizar la evaluación de impacto relativa a la protección de datos. Al prestar asistencia, el Encargado del Tratamiento podrá redactar información en la medida necesaria para proteger el secreto comercial u otra información confidencial;
b. la obligación de consultar a la(s) autoridad(es) de control competente(s) antes del tratamiento cuando una evaluación de impacto sobre la protección de datos indique que el tratamiento supondría un riesgo elevado en ausencia de medidas adoptadas por el Responsable del tratamiento para mitigar el riesgo;
c. la obligación de garantizar que los datos personales sean exactos y estén actualizados, informando sin demora al Responsable del tratamiento si éste tiene conocimiento de que los datos personales que está tratando son inexactos o han quedado obsoletos;
d. las obligaciones de aplicar y mantener medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad de los datos personales adecuado al riesgo. Dichas medidas tendrán en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como el riesgo de probabilidad y gravedad variables para los derechos y libertades de las personas físicas e incluirán, según proceda:
i. la seudonimización y el cifrado de los datos personales;
ii. la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resistencia permanentes de los sistemas y servicios de procesamiento;
iii. la capacidad de restablecer oportunamente la disponibilidad y el acceso a los datos personales en caso de incidente físico o técnico;
iv. un proceso para comprobar, evaluar y valorar periódicamente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
4. Las Partes establecerán en el Anexo III las medidas técnicas y organizativas adecuadas mediante las cuales el Encargado del tratamiento deberá asistir al Responsable del tratamiento en la aplicación del presente artículo, así como el ámbito y el alcance de la asistencia requerida. 5. El Responsable del tratamiento reconoce que las medidas de seguridad están sujetas al progreso y desarrollo técnicos y que el Encargado del tratamiento puede actualizar o modificar las medidas de seguridad de vez en cuando, siempre que dichas actualizaciones y modificaciones no degraden o disminuyan la seguridad general del tratamiento.
Artículo 10
Notificación de violación de datos personales
En caso de violación de los datos personales, el Encargado del Tratamiento cooperará con el Responsable del Tratamiento y le prestará asistencia para que éste cumpla las obligaciones que le incumben en virtud de la Ley de Protección de Datos aplicable, en su caso, teniendo en cuenta la naturaleza del tratamiento y la información de que disponga el Encargado.
10.1. Violación de datos relativos a datos tratados por el Responsable del Tratamiento
En caso de violación de datos personales relativos a datos tratados por el Responsable del tratamiento, el Encargado del tratamiento asistirá al Responsable del tratamiento:
a. en notificar la violación de los datos personales a la autoridad o autoridades de control competentes, sin demora indebida desde que el Responsable del tratamiento haya tenido conocimiento de ella, cuando proceda (salvo que sea improbable que la violación de los datos personales suponga un riesgo para los derechos y libertades de las personas físicas);
b. en la obtención de la siguiente información que, se hará constar en la notificación del Interventor, y deberá incluir como mínimo:
i. la naturaleza de los datos personales, incluidas, cuando sea posible, las categorías y el número aproximado de interesados afectados y las categorías y el número aproximado de registros de datos personales afectados;
ii. las consecuencias probables de la violación de los datos personales;
iii. las medidas adoptadas o que se propone adoptar el Responsable del Tratamiento para hacer frente a la violación de los datos personales, incluidas, en su caso, las medidas para mitigar sus posibles efectos adversos.
Cuando, y en la medida en que, no sea posible facilitar toda esta información al mismo tiempo, la notificación inicial contendrá la información disponible en ese momento y, posteriormente, a medida que esté disponible, se facilitará más información sin demora indebida.
c. en el cumplimiento de la obligación de comunicar sin dilación indebida la violación de datos personales al interesado, cuando la violación de datos personales pueda entrañar un alto riesgo para los derechos y libertades de las personas físicas.
10.2. Violación de datos relativos a los datos tratados por el Procesador
1. En caso de violación de datos personales relativos a datos tratados por el Encargado del Tratamiento, éste deberá notificarlo al Responsable del Tratamiento sin dilación indebida tras haber tenido conocimiento de la violación. Dicha notificación contendrá, como mínimo:
a. una descripción de la naturaleza de la violación (incluyendo, cuando sea posible, las categorías y el número aproximado de interesados y registros de datos afectados);
b. los datos de un punto de contacto donde pueda obtenerse más información sobre la violación de datos personales;
c. sus probables consecuencias y las medidas adoptadas o que se propone adoptar para hacer frente al incumplimiento, incluso para mitigar sus posibles efectos adversos.
Cuando, y en la medida en que, no sea posible facilitar toda esta información al mismo tiempo, la notificación inicial contendrá la información disponible en ese momento y, posteriormente, a medida que esté disponible, se facilitará más información sin demora indebida.
2. Las Partes establecerán en el Anexo III todos los demás elementos que deba proporcionar el Encargado del Tratamiento cuando asista al Responsable del Tratamiento en el cumplimiento de las obligaciones de éste en virtud de los artículos 33 y 34 del Reglamento (UE) 2016/679.
Artículo 11
Incumplimiento de esta DPA y rescisión
1. Sin perjuicio de lo dispuesto en la legislación aplicable en materia de protección de datos, en caso de que el Encargado del tratamiento incumpla las obligaciones que le incumben en virtud del presente APD, el Responsable del tratamiento podrá ordenar al Encargado que suspenda el tratamiento de los datos personales hasta que éste cumpla el presente APD o se rescinda el Acuerdo. El Encargado del tratamiento informará sin demora al Responsable del tratamiento en caso de que no pueda cumplir el presente APD, por el motivo que sea.
2. El Responsable del tratamiento tendrá derecho a rescindir el Acuerdo en la medida en que se refiera al tratamiento de datos personales de conformidad con el presente APD si:
a. el tratamiento de datos personales por parte del Encargado haya sido suspendido por el Responsable del tratamiento de conformidad con la disposición 1. de este artículo y si no se restablece el cumplimiento de esta APD en un plazo razonable y, en cualquier caso, en el plazo de un mes tras la suspensión;
b. el Encargado del Tratamiento incumple de forma sustancial o persistente esta APD o sus obligaciones en virtud de la Ley de Protección de Datos Aplicable;
c. el Encargado del Tratamiento incumpla una decisión vinculante de un tribunal competente o de la autoridad o autoridades de control competentes en relación con sus obligaciones en virtud de la presente APD o de la Ley de Protección de Datos Aplicable.
3. El Encargado del tratamiento tendrá derecho a rescindir el Acuerdo en la medida en que se refiera al tratamiento de datos personales en virtud del presente APD cuando, tras haber informado al Responsable del tratamiento de que sus instrucciones infringen los requisitos legales aplicables de conformidad con el artículo 8.1.2, el Responsable del tratamiento insista en el cumplimiento de las instrucciones.
4. Tras la rescisión del Acuerdo, el Encargado del tratamiento deberá, a elección del Responsable del tratamiento, eliminar todos los datos personales tratados por cuenta del Responsable del tratamiento y certificar al Responsable del tratamiento que lo ha hecho, o bien, devolver todos los datos personales al Responsable del tratamiento y eliminar las copias existentes, a menos que la Ley de protección de datos aplicable exija la conservación de los datos personales. Hasta que se eliminen o devuelvan los datos, el Encargado del Tratamiento seguirá garantizando el cumplimiento de esta DPA.
Artículo 12
Varios
1. Este APD representa una parte integral del Acuerdo celebrado entre las partes y entra en vigor cuando ambas partes firman el Acuerdo.
2. Si la Ley de Protección de Datos Aplicable u otra normativa aplicable exige que el Responsable del Tratamiento firme el APD o que firme los CCE, los CCE Intracomunitarios o el IDTA aplicables a un determinado tratamiento o transferencia restringida de datos personales al Encargado del Tratamiento como un acuerdo independiente, el Encargado del Tratamiento, a petición del Responsable del Tratamiento, ejecutará sin demora dicho documento.
3. Las partes acuerdan que este APD sustituirá a cualquier acuerdo de procesamiento de datos existente o documento similar que las partes pudieran haber suscrito previamente en relación con la tecnología y los servicios del Procesador.
4. No obstante cualquier disposición en contrario del Acuerdo y sin perjuicio de lo dispuesto en la Sección 8.2 («Limitación de la finalidad»), el Procesador podrá realizar periódicamente modificaciones en el presente APD según sea necesario para cumplir con la Ley de Protección de Datos Aplicable y para mejorar el nivel de seguridad de los datos personales. Las modificaciones del presente APD se publicarán en el centro jurídico del Procesador (disponible en el enlace: https://mb.wpstaging.uk/dpa-for-the-use-of-microblink-technology-and-support-services/) y el Procesador informará por escrito al Responsable de cualquier cambio sustancial del presente APD.
Controlador:
Nombre: Licenciatario
Dirección: Según se define en el Acuerdo ejecutado.
Nombre, cargo y datos de contacto de la persona de contacto: Según lo definido en el Acuerdo ejecutado.
Procesador:
Nombre: Microblink entidad tal y como se define en el Acuerdo ejecutado.
Dirección: Tal y como se define en el Acuerdo ejecutado.
Datos de contacto del responsable de protección de datos: privacy@microblink.com.
Categorías de interesados cuyos datos personales se tratan
Personas físicas: usuarios finales del Controlador, incluidos, si procede, los usuarios finales de las filiales del Controlador.
Categorías de datos personales tratados
Datos personales presentes en el documento procesado, incluidos, entre otros, nombre, segundo nombre, apellidos, fecha de nacimiento, lugar de nacimiento, domicilio, lugar de residencia, sexo, género, nacionalidad, ciudadanía, número de documento, número de la seguridad social, número de identificación personal, código de seguridad de la tarjeta, tipo de tarjeta, fecha de emisión, fecha de caducidad, autoridad emisora, condición de donante de órganos, condición de residente, datos biométricos (no procesados con el fin de identificar unívocamente a una persona física) como imagen facial, color de ojos, huella dactilar, firma, peso o altura, y otras categorías de datos que se encuentren en documentos de identidad transferidos, tarjetas u otros documentos compartidos con el Procesador.
Datos sensibles tratados
No está previsto procesar datos sensibles. Si se transfiere algún dato sensible, el Responsable del tratamiento lo notificará al Encargado del tratamiento y éste aplicará las restricciones y garantías necesarias.
Naturaleza del tratamiento
Aplicable si el Controlador utiliza el servicio de verificación del Procesador: Utilizando la Solución del Responsable, el interesado escanea el anverso y/o reverso del documento de identidad. Los escaneos se envían a la infraestructura en la nube del Procesador en Google Cloud Platform, donde, utilizando la tecnología del Procesador, se extraen los datos personales del escaneado y se comprueba la presencia de elementos de seguridad y/o se realiza el análisis de los atributos físicos del documento escaneado. Una vez finalizado el proceso de verificación, el Procesador devuelve la respuesta de verificación al Controlador y, una vez finalizada la sesión de verificación, los datos personales se eliminan de la infraestructura en la nube del Procesador.
Aplicable si el Controlador utiliza el servicio de extracción del Procesador: Utilizando la Solución del Responsable, el interesado escanea el anverso y/o el reverso del documento de identidad. Los escaneados se envían a la infraestructura en la nube del Procesador en Google Cloud Platform, donde, utilizando la tecnología del Procesador, se extraen los datos personales del escaneado. El Procesador envía los resultados de la extracción y/o las imágenes escaneadas al Responsable del Tratamiento cuando finaliza el proceso de extracción, y los datos personales se eliminan de la infraestructura en la nube del Procesador.
Aplicable si el Controlador utiliza los servicios de asistencia del Procesador: Para transferir de forma segura imágenes de documentos con los que el Controlador tiene problemas al Procesador, el Controlador utiliza la Carga segura de imágenes del Procesador. El Procesador analiza el problema de acuerdo con la solicitud de soporte del Controlador para proporcionar servicios de soporte. Dependiendo de la solicitud de soporte del Controlador, la prestación de servicios de soporte puede incluir la depuración de problemas en un tipo de documento ya soportado, el soporte de una nueva versión de un documento soportado y la mejora de la precisión de un tipo de documento ya soportado, si el producto no funciona. La prestación de servicios de asistencia puede incluir, en función de la solicitud de asistencia del Controlador, el reentrenamiento de modelos.
Finalidad o finalidades para las que se tratan los datos personales por cuenta del responsable del tratamiento
Aplicable si el Controlador utiliza el servicio de verificación del Procesador: La finalidad del tratamiento es comprobar la presencia de elementos de seguridad en el documento de identidad y devolver la respuesta de verificación al Responsable del tratamiento, de conformidad con el Acuerdo.
Aplicable si el Controlador utiliza el servicio de extracción del Procesador: La finalidad del tratamiento es extraer los datos del documento de identidad y enviar los resultados de la extracción al Responsable del tratamiento, de conformidad con el Acuerdo.
Aplicable si el Responsable utiliza los servicios de apoyo del Encargado: La finalidad del tratamiento es prestar servicios de apoyo al Responsable del tratamiento, de conformidad con el Acuerdo.
Duración del tratamiento
Aplicable si el Controlador utiliza el servicio de verificación y/o extracción del Procesador: El tratamiento es continuo (mientras el Responsable utilice la tecnología o los servicios). El Procesador conserva los datos introducidos durante las sesiones de verificación o extracción, según proceda, pero no almacena los datos procesados, a menos que se acuerde por escrito con el Responsable un periodo de conservación diferente.
Aplicable si el Controlador utiliza los servicios de asistencia del Procesador: El Procesador conserva las imágenes hasta que se resuelva el problema.
Para el tratamiento por (sub)procesadores, especifica también el objeto, la naturaleza y la duración del tratamiento
Google Cloud Platform – La infraestructura en la nube de Microblink LLC en Google Cloud Platform se utilizará para ejecutar la tecnología del Responsable. El tratamiento de los datos personales se realizará de forma continua, mientras el Responsable utilice la tecnología.
Microblink LLC es una entidad proveedora de apoyo Microblink y actúa como subencargado del tratamiento cuando no es una entidad firmante del contrato. Los datos se tratarán como se ha descrito anteriormente, y se aplicarán las medidas de seguridad descritas en el Anexo III.
Medidas para garantizar la confidencialidad, integridad, disponibilidad y resistencia permanentes de los sistemas y servicios de tratamiento
Processor tiene una política definida sobre el tratamiento de datos clasificados, que define la clasificación, divulgación y protección de los datos. Todos los empleados del Procesador están obligados a firmar cláusulas de confidencialidad que establecen que los secretos comerciales y la información confidencial tienen que permanecer confidenciales a perpetuidad y entregarse tras la finalización del contrato, mientras que cada infracción se considera una violación grave. Además, el Procesador se asegurará de que la Interfaz de Programación de Aplicaciones esté adecuadamente protegida y supervisada con un Cortafuegos de Aplicaciones Web y protección DDoS.
El Encargado del Tratamiento aplicará los conceptos de «menor privilegio» y «necesidad de conocer» y garantizará la separación de funciones. El Encargado del Tratamiento se asegurará de que existen procedimientos adecuados para dar de alta a nuevos usuarios/derechos de acceso adicionales y para dar de baja a usuarios. El procesador se asegurará de que la gestión del acceso privilegiado se supervise de cerca y se base en una revisión periódica de los derechos de acceso, retirándolos si ya no son necesarios.
Medidas para garantizar la capacidad de restablecer oportunamente la disponibilidad y el acceso a los datos personales en caso de incidente físico o técnico.
En relación con el objeto de este Acuerdo, el Procesador informará de cualquier incidente (cercano) relacionado con la seguridad lo antes posible y de conformidad con el Acuerdo al contacto del Controlador, incluyendo las medidas de protección adoptadas para mitigar el impacto del incidente, las medidas preventivas propuestas para evitar el incidente (cercano) en el futuro y una estimación del impacto sufrido a causa del incidente. El procesador ha definido una política de gestión de incidentes de seguridad de la información que define las funciones y responsabilidades en el proceso de gestión de incidentes. La política también describe la clasificación de incidentes y los pasos que debe dar el equipo de respuesta a incidentes, como la evaluación del incidente, la contención, la erradicación de la amenaza, la recuperación, la elaboración de informes y el aprendizaje a partir de los incidentes. El Procesador garantizará la difusión de conocimientos y experiencia para asegurar la disponibilidad de personas capacitadas incluso en caso de catástrofe.
Procesos para comprobar, evaluar y valorar periódicamente la eficacia de las medidas técnicas y organizativas con el fin de garantizar la seguridad del tratamiento, y medidas para garantizar la responsabilidad
A total discreción del Procesador, éste completará un proceso periódico de autocertificación para garantizar que se siguen aplicando todas las políticas y procedimientos relacionados con la seguridad. Además, el Procesador realizará periódicamente evaluaciones de vulnerabilidad de los servicios relacionados mediante pruebas de penetración y vulnerabilidad. El Procesador cuenta con políticas internas, reglamentos y procedimientos para garantizar la responsabilidad de los empleados en el tratamiento responsable de los datos personales. El Procesador se asegura de que sus empleados estén informados sobre los requisitos y políticas de seguridad del Procesador y sobre los desarrollos en el área de la seguridad de la información. El Procesador es totalmente responsable de la conducta de sus empleados.
Medidas para garantizar la seguridad física de los lugares en los que se tratan datos personales
Las medidas del subprocesador (Google Cloud Platform) para la seguridad de las instalaciones físicas, que proporciona el servicio de infraestructura de nube privada, incluyen múltiples capas de seguridad física para proteger los centros de datos, como identificación biométrica, detección de metales, cámaras, barreras para vehículos y sistemas de detección de intrusos basados en láser.(https://www.google.com/about/datacenters/data-security/)
En caso de que el tratamiento de datos personales se produzca en la infraestructura del Procesador o de la empresa Afiliada del Procesador, éste también garantizará una seguridad física adecuada mediante el uso de cámaras, tarjetas de entrada y guardias de seguridad.
Medidas para garantizar el registro de eventos
Todas las funciones de registro de sistemas y aplicaciones relacionadas con los servicios prestados por el Procesador están habilitadas y los eventos de seguridad de la información se revisan periódicamente.
Medidas para garantizar la configuración del sistema, incluida la configuración por defecto
El procesador aplicará el endurecimiento del sistema para todos los servicios orientados a Internet mediante la gestión centralizada de la configuración, el escaneado periódico de vulnerabilidades y la revisión de la configuración.
Medidas para la gobernanza y gestión internas de la TI y la seguridad informática
El procesador mantiene un sistema eficaz de gestión de la seguridad de la información para garantizar una organización adecuada de las responsabilidades de seguridad de la información y se realiza una evaluación periódica de los riesgos de seguridad para garantizar la identificación de riesgos nuevos o modificados.
El Procesador asignará recursos y empleados que tengan la experiencia necesaria para llevar a cabo cualquier tarea específica en relación con sus responsabilidades de seguridad en virtud del presente Acuerdo.
El Procesador garantizará la protección adecuada de todos los activos que contengan datos personales proporcionados por el Controlador en el contexto de este Acuerdo.
Medidas de certificación/garantía de procesos y productos
A total discreción del Procesador, éste completará un proceso periódico de autocertificación para garantizar que se siguen aplicando todas las políticas y procedimientos relacionados con la seguridad.
Medidas de identificación y autorización de usuarios
Aplicable si el Controlador utiliza el servicio de verificación y/o extracción del Procesador: El acceso al servicio sólo se concede a usuarios autorizados mediante credenciales de cliente únicas que el Responsable del tratamiento puede revocar y renovar en cualquier momento.
Medidas de seudonimización y encriptación de datos personales y para la protección de datos durante la transmisión
Aplicable si el Responsable utiliza el servicio de verificación y/o extracción del Procesador: El Procesador utilizará métodos de encriptación fuertes como TLS (últimas versiones compatibles) para los datos en tránsito.
Aplicable si el Responsable utiliza los servicios de asistencia del Procesador: Para transferir de forma segura los datos personales al Procesador, el Controlador utilizará la Carga segura de imágenes del Procesador.
Medidas para garantizar la minimización de los datos, su conservación limitada y su supresión
Aplicable si el Responsable del tratamiento utiliza el servicio de verificación y/o extracción del Procesador: El Encargado del Tratamiento no almacena los datos personales una vez realizado el proceso de verificación.
Aplicable si el Responsable utiliza el servicio de asistencia del Procesador: El Procesador aplicará calendarios de conservación de datos y los eliminará de forma irreversible de acuerdo con el calendario.
Medidas para garantizar la calidad de los datos
Aplicable si el Responsable del tratamiento utiliza el servicio de verificación y/o extracción del Encargado del tratamiento: El Responsable del tratamiento es responsable de los datos que envía al Encargado del tratamiento, incluida su calidad. El Encargado del tratamiento enviará al Responsable del tratamiento los datos personales extraídos de los documentos enviados por el Responsable del tratamiento, junto con los datos de información personal identificable (IPI) y los metadatos extraídos de los documentos.
Aplicable si el Responsable del tratamiento utiliza servicios de asistencia: El Responsable y el Encargado del Tratamiento determinarán qué calidad de datos es necesario compartir para resolver el problema planteado por el Responsable.
Medidas de protección de datos durante el almacenamiento
Aplicable si el Controlador utiliza el servicio de asistencia del Procesador: Microblink utiliza el Servicio de Gestión de Claves para el cifrado de datos en reposo.
Medidas de seudonimización y encriptación de datos personales y para la protección de datos durante la transmisión
Aplicable si el Responsable utiliza el servicio de verificación y/o extracción del Procesador: El Procesador utilizará métodos de encriptación fuertes como TLS (últimas versiones compatibles) para los datos en tránsito.
Aplicable si el Responsable utiliza los servicios de asistencia del Procesador: Para transferir de forma segura los Datos Personales a Microblink, el Licenciatario utilizará Microblink’ Secure Image Upload.
Para las transferencias a (sub)encargados del tratamiento, también describir las medidas técnicas y organizativas específicas que adoptará el (sub)encargado del tratamiento para poder prestar asistencia al responsable del tratamiento
El Encargado del Tratamiento deberá establecer acuerdos de tratamiento de datos con los subencargados del tratamiento para garantizar la asistencia al Responsable del Tratamiento.
Descripción de las medidas técnicas y organizativas específicas que adoptará el encargado del tratamiento para poder prestar asistencia al responsable del tratamiento.
Aplicable si el Responsable del tratamiento utiliza los servicios de asistencia del Encargado del tratamiento: El Responsable del tratamiento se asegurará de que puede identificar a sus usuarios finales y, en caso de que el interesado lo solicite, entregará sus identificadores al Encargado del tratamiento. El Encargado del tratamiento prestará asistencia al Responsable del tratamiento para llevar a cabo la solicitud del interesado de conformidad con el procedimiento de supresión de datos.
El responsable del tratamiento ha autorizado el uso de los siguientes subencargados del tratamiento:
1. 1. Nombre: Microblink LLC (si el firmante es Microblink Ltd. o Microblink USA LLC)
Dirección: Trg Drage Iblera 10, 10000 Zagreb, Croacia
Nombre, cargo y datos de contacto de la persona de contacto: Ena Oršić, Asociada Jurídica y Responsable de Protección de Datos
Descripción del tratamiento: Prestación de servicios de apoyo.
2. Nombre: Google Cloud Platform
Dirección: Como se especifica en el siguiente enlace.
Nombre, cargo y datos de contacto de la persona de contacto: Como se especifica en el siguiente enlace.
Descripción del tratamiento: La plataforma del subprocesador se utilizará para ejecutar la tecnología del Procesador para procesar los datos personales durante la sesión de extracción y/o verificación. Una vez finalizada la sesión, los datos no se almacenarán.
Eficaz
El presente ADENDA DE PROCESAMIENTO DE DATOS («APD«) se incorpora y está sujeto a los términos y condiciones del acuerdo suscrito entre el Responsable del tratamiento y el Procesador, tal y como se define en el Anexo I (conjuntamente, «las partes«), las condiciones de uso o los términos y condiciones de uso de la tecnología del Procesador aceptados por el Responsable del tratamiento, que rigen el uso por parte del Responsable del tratamiento de la tecnología o los servicios de asistencia del Procesador («Acuerdo«).
Todos los términos en mayúsculas no definidos en el presente APD tendrán el significado establecido en el Acuerdo.
Cuando el Responsable utiliza la tecnología del Procesador, tanto en la fase de pruebas como en la de producción, o cuando el Responsable utiliza los servicios de asistencia del Procesador, éste procesa datos personales (definidos a continuación). Las partes acuerdan cumplir las siguientes disposiciones con respecto a cualquier tratamiento de datos personales y se acuerda lo siguiente:
Artículo 1
Definiciones
En el presente APD, los siguientes términos tendrán el significado que se indica a continuación:
a. «Responsable del tratamiento«, «Encargado del tratamiento«, «interesado«, » datospersonales «, «proceso» y «tratamiento»tendrán el significado que se les da en la Ley Europea de Protección de Datos;
b. «Ley Europea de Protección de Datos» significa: (i) el Reglamento 2016/679 del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos) (el «RGPDde la UE«); y (ii) el RGPD de la UE incorporado a la legislación del Reino Unido en virtud del artículo 3 de la Ley de la Unión Europea (Retirada) del Reino Unido de 2018 (el «RGPD del Reino Unido«);
c. «Ley de Protección de Datos Aplicable» hace referencia a todas las leyes y normativas mundiales de protección de datos y privacidad, en la medida en que sean aplicables a las partes y a la naturaleza de los datos personales procesados en virtud del Acuerdo, incluyendo, en su caso, la Ley Europea de Protección de Datos, la Ley de Privacidad del Consumidor de California de 2018, modificada por la Ley de Derechos de Privacidad de California de 2020 (denominadas colectivamente «CPRA»), y todas y cada una de las leyes nacionales de protección de datos aplicables realizadas en virtud de la Ley Europea de Protección de Datos, de conformidad con ella o que se apliquen conjuntamente con ella; en cada caso, tal y como puedan ser modificadas o sustituidas en cada momento;
d. «datos personales» significa, aparte del significado dado en la Ley Europea de Protección de Datos, cualquier información que identifique a una persona, que sea escaneada, cargada y compartida de otro modo con el Procesador utilizando la tecnología del Procesador o de conformidad con el uso de servicios de apoyo por parte del Controlador, las empresas afiliadas del Controlador o por terceros que actúen en nombre del Controlador;
e. «violación de datos personales«: cualquier violación de la seguridad que provoque la destrucción accidental o ilícita, la pérdida, la alteración, la divulgación no autorizada o el acceso a datos personales divulgados y compartidos por el Responsable del tratamiento y tratados por el Encargado del tratamiento en virtud de la presente DPA;
f. «transferencia restringida» significa: (i) cuando se aplique el GDPR de la UE, una transferencia de datos personales desde la Unión Europea o el Espacio Económico Europeo a un país fuera de la Unión Europea o del Espacio Económico Europeo que no haya sido reconocido por la Comisión Europea como adecuado de conformidad con el artículo 45 del GDPR de la UE («tercer país»); y (ii) cuando se aplique el GDPR del Reino Unido, una transferencia de datos personales desde el Reino Unido a otro país que no se base en la normativa de adecuación de conformidad con el artículo 45 del GDPR del Reino Unido;
g. «decisión de adecuación«: una decisión formal adoptada por la UE o el Reino Unido que reconoce que otro país, territorio, sector u organización internacional proporciona un nivel de protección de los datos personales equivalente al de la UE o el Reino Unido;
h. «Cláusulas contractuales tipo» o «CCT«: las cláusulas contractuales adoptadas por la Comisión Europea en su Decisión de Ejecución (UE) 2021/914 de la Comisión, de 4 de junio de 2021, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (disponible en el enlace: https://commission.europa.eu/publications/standard-contractual-clauses-international-transfers_en);
i. «Cláusulas Contractuales Tipo Intra UE/EEE» o «CCC Intra UE/EEE«: las cláusulas contractuales adoptadas por la Comisión Europea en su Decisión de Ejecución (UE) 2021/915 de la Comisión, de 4 de junio de 2021, relativa a las cláusulas contractuales tipo entre responsables y encargados del tratamiento con arreglo al artículo 28, apartado 7, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo y al artículo 29, apartado 7, del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (disponible en el enlace: https://commission.europa.eu/publications/standard-contractual-clauses-controllers-and-processors-eueea_en);
j. «Acuerdo Internacional de Transferencia de Datos» o«IDTA» significa el acuerdo emitido por el Comisionado de Información para las Partes que realizan Transferencias Restringidas según el GDPR del Reino Unido (disponible en el enlace: https://ico.org.uk/media/for-organisations/documents/4019538/international-data-transfer-agreement.pdf);
k. «Subencargado del tratamiento» significa cualquier Encargado del tratamiento tercero contratado por el Encargado del tratamiento para tratar cualquier dato personal en su nombre en relación con la tecnología o los servicios prestados al Responsable del tratamiento.
Artículo 2
Relación de las partes
1. El Encargado del tratamiento, tal y como se define en el Anexo I de la presente DPA, tratará los datos personales por cuenta del Responsable del tratamiento, tal y como se describe en el Anexo II de la presente DPA. Donde Microblink Ltd. (6th Floor, 9 Appold Street, Londres, Reino Unido, EC2A 2AP) o Microblink US (10 Grand Street, STE 2400, Brooklyn, NY 11249) sea el firmante del Acuerdo y el Procesador, Microblink LLC (Trg Drage Iblera 10, 10000, Zagreb, República de Croacia) se considerará empresa afiliada y Subprocesador.
2. Cada una de las partes cumplirá con las obligaciones que le correspondan en virtud de la Ley de Protección de Datos aplicable.
Artículo 3
Jerarquía
1. En caso de contradicción entre el presente APD y las disposiciones de los Acuerdos relacionados entre las Partes existentes en el momento en que se acuerde el presente APD o celebrados con posterioridad, prevalecerán las disposiciones del presente APD.
2. Cuando proceda, las disposiciones de los CEC o de los CEC intra UE/EEE o del IDTA complementarán el presente APD. En caso de contradicción entre este APD y los CEC o los CEC intra UE/EEE o el IDTA, prevalecerán las disposiciones de los CEC o los CEC intra UE/EEE o el IDTA.
3. En caso de conflicto o incoherencia entre el presente APD y el Acuerdo, prevalecerán las disposiciones de los siguientes documentos (por orden de precedencia): (a) en su caso, los CCE o los CCE intra UE/EEE o el IDTA; después (b) el presente APD; y después (c) el cuerpo principal del Acuerdo. Salvo por los cambios introducidos por el presente APD, el Acuerdo permanece inalterado y en pleno vigor y efecto.
4. Esta APD se aplica al tratamiento de datos personales especificado en el Anexo II.
5. Los Anexos I a IV forman parte integrante del presente APD.
Artículo 4
Tratamiento de datos personales según el GDPR de la UE
1. Cuando ambas partes estén sujetas al GDPR de la UE y los datos personales no se transfieran fuera de la Unión Europea, del Espacio Económico o de países sin decisiones de adecuación en virtud del artículo 45 del GDPR de la UE, se aplicarán los CCE intra-UE/EEE completados del siguiente modo:
a. siempre que exista la opción de elegir un reglamento, se aplicará el Reglamento (UE) 2016/679;
b. se aplicará la Cláusula opcional 5 (Cláusula de atraque);
c. en la Cláusula 7.7. Opción 2: Se aplicará la autorización general por escrito con un plazo determinado de treinta días;
d. El Anexo I de los CCE Intra UE/EEE se considerará completado con la información establecida en el Anexo I de la presente APD;
e. El Anexo II de los CCE Intra UE/EEE se considerará completado con la información establecida en el Anexo II del presente APD;
f. El Anexo III de los CCE Intra UE/EEE se considerará completado con la información establecida en el Anexo III del presente APD; y
g. El Anexo IV de los CCE Intra UE/EEE se considerará completado con la información establecida en el Anexo IV de la presente DPA.
Artículo 5
Tratamiento según el GDPR del Reino Unido
En relación con las transferencias de datos personales protegidos por el GDPR del Reino Unido, se aplicarán los CCE intra-UE/EEE con las siguientes modificaciones:
a. siempre que exista la opción de elegir una normativa, se aplicará el GDPR del Reino Unido;
b. las referencias a «UE», «Unión», «Estado miembro» y «legislación del Estado miembro» se sustituyen por referencias al «Reino Unido», o a la «legislación nacional»;
c. las referencias a los «tribunales competentes» se sustituirán por referencias a los «tribunales competentes del Reino Unido»;
d. se aplicará la Cláusula opcional 5 (Cláusula de atraque);
e. en la Cláusula 7.7. Opción 2: Se aplicará la autorización general por escrito con un plazo específico de treinta días;
f. El Anexo I de los CCE Intra UE/EEE se considerará completado con la información establecida en el Anexo I de esta APD;
g. El Anexo II de los CCE Intra UE/EEE se considerará completado con la información establecida en el Anexo II del presente APD;
h. El Anexo III de los CCE Intra UE/EEE se considerará completado con la información establecida en el Anexo III del presente APD; y
i. El Anexo IV de los CCE Intra UE/EEE se considerará completado con la información establecida en el Anexo IV del presente APD.
Artículo 6
Transferencias internacionales
6.1. Transferencias restringidas según el GDPR de la UE
1. Cuando la transferencia de datos personales se considere una Transferencia Restringida y el GDPR de la UE exija que se establezcan las salvaguardias adecuadas, dicha transferencia estará sujeta a las CCE, que se incorporarán por referencia y formarán parte integrante del presente APD. El módulo aplicable de las CEC se determinará en función de la ubicación del Controlador y del Procesador, y de sus funciones como exportador e importador de datos en relación con los datos personales procesados.
2. En relación con los datos personales que estén protegidos por el GDPR de la UE, cuando el Encargado del Tratamiento esté situado en la UE y actúe como exportador de datos y el Responsable del Tratamiento que actúe como importador de datos esté situado en el tercer país, se aplicará el Módulo Cuatro de los CCE de la siguiente manera:
a. se aplicará la cláusula opcional 7 (Cláusula de atraque);
b. En la Cláusula 9, Opción 2: Se aplicará la autorización general por escrito con un plazo específico de treinta días;
c. En la cláusula 11, no se aplicará la cláusula de opción;
d. En la Cláusula 17, la ley aplicable será la ley de la República de Croacia;
e. En la Cláusula 18, para la resolución de los litigios derivados de las presentes Cláusulas serán competentes los tribunales de la República de Croacia;
f. Los Anexos I.A y I.B de los CCE de la UE se considerarán completados con la información establecida en los Anexos I y II de la presente APD y en el Anexo I.C figurará la Agencia Croata de Protección de Datos Personales como autoridad de control competente;
g. El Anexo II de las CEC de la UE se considerará completado con la información establecida en el Anexo III de la presente DPA; y
h. El Anexo III de las CEC de la UE se considerará completado con la información establecida en el Anexo IV de la presente DPA.
6.2. Transferencias internacionales según el GDPR del Reino Unido
1. Cuando el GDPR del Reino Unido se aplique al tratamiento, y cuando el Encargado del Tratamiento inicie y acuerde la transferencia de datos personales a un subencargado fuera del Reino Unido o a un país sin decisión de adecuación, el Encargado del Tratamiento firmará un Acuerdo Internacional de Transferencia de Datos con dicho subencargado y cumplirá las normas de transferencia.
2. Cuando el GDPR del Reino Unido se aplique al Responsable del Tratamiento, éste seguirá siendo responsable de todas las transferencias de datos personales que inicie o acuerde.
3. En relación con las transferencias de datos personales protegidos por el GDPR del Reino Unido, las partes reconocen que la transferencia en la que el Procesador devuelve los datos personales procesados al Controlador, siempre que haya sido iniciada y acordada por el Controlador, no se considera una Transferencia Restringida según el GDPR del Reino Unido.
6.3. Traslados
1. El Encargado del Tratamiento no participará (ni permitirá que ningún Subencargado del Tratamiento participe) en ninguna otra Transferencia Restringida de datos personales (ya sea como exportador o como importador de los datos personales), a menos que la Transferencia Restringida se realice de conformidad con la Ley de Protección de Datos Aplicable y las disposiciones del presente APD.
2. Dichas medidas pueden incluir (sin limitación) la transferencia de los datos personales a un destinatario en un país que la Comisión Europea haya decidido que proporciona una protección adecuada de los datos personales, a un destinatario que haya conseguido una autorización vinculante de normas corporativas de conformidad con la Ley de Protección de Datos Aplicable, o de conformidad con los CCE aplicados entre el exportador y el importador pertinentes de los datos personales.
Artículo 7
Descripción de los tratamientos
Los detalles de las operaciones de tratamiento, en particular las categorías de datos personales y los fines del tratamiento para los que se tratan los datos personales por cuenta del Responsable del Tratamiento, se especifican en el Anexo II.
Cláusula 8
Obligaciones de las Partes
8.1. Instrucciones
1. El Encargado del tratamiento tratará los datos personales únicamente siguiendo instrucciones documentadas del Responsable del tratamiento, a menos que así lo exijan los requisitos legales aplicables a los que esté sujeto el Encargado del tratamiento. En este caso, el Encargado del tratamiento informará al Responsable del tratamiento de dicho requisito legal antes del tratamiento, a menos que la ley lo prohíba por motivos importantes de interés público. El Responsable del tratamiento también podrá dar instrucciones ulteriores mientras dure el tratamiento de los datos personales. Estas instrucciones deberán estar siempre documentadas.
2. El Encargado del Tratamiento informará inmediatamente al Responsable del Tratamiento si, a su juicio, las instrucciones dadas por el Responsable del Tratamiento infringen las disposiciones de la Ley de Protección de Datos aplicable.
8.2. Limitación de la finalidad
El Encargado del tratamiento tratará los datos personales, de conformidad con las instrucciones documentadas del Responsable del tratamiento, únicamente para la finalidad o finalidades específicas del tratamiento, según lo establecido en el Anexo II, a menos que reciba instrucciones adicionales del Responsable del tratamiento o si se firma documentación adicional sobre el tratamiento de datos entre las partes.
8.3. Duración del tratamiento de los datos personales
El tratamiento por parte del Procesador sólo tendrá lugar durante el tiempo especificado en el Anexo II.
8.4. Seguridad del tratamiento
1. El Encargado del Tratamiento aplicará, como mínimo, las medidas técnicas y organizativas especificadas en el Anexo III para garantizar la seguridad de los datos personales. Esto incluye la protección de los datos contra una violación de la seguridad que provoque la destrucción, accidental o ilícita, la pérdida, la alteración, la difusión o el acceso no autorizados a los datos (violación de datos personales). Al evaluar el nivel adecuado de seguridad, las partes tendrán debidamente en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos que entraña para los interesados.
2. El Encargado del Tratamiento sólo concederá acceso a los datos personales objeto de tratamiento a los miembros de su personal en la medida estrictamente necesaria para la ejecución, gestión y seguimiento del contrato. 3. El Procesador garantizará que las personas autorizadas a procesar los datos personales recibidos se han comprometido a mantener la confidencialidad o están bajo una obligación legal apropiada de confidencialidad. El Procesador se asegurará de que todas las personas autorizadas procesen los datos personales sólo en la medida necesaria para el Propósito Permitido.
8.5. Datos sensibles
Si el tratamiento implica datos personales que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, datos genéticos o datos biométricos con el fin de identificar de manera unívoca a una persona física, datos relativos a la salud o a la vida sexual u orientación sexual de una persona, o datos relativos a condenas e infracciones penales («datos sensibles»), las partes actualizarán las categorías de datos personales tratados en el Anexo II y el responsable del tratamiento aplicará restricciones específicas y/o garantías adicionales.
8.6. Documentación y cumplimiento
1. Las Partes deberán poder demostrar el cumplimiento del presente APD.
2. El Encargado del Tratamiento mantendrá registros de las actividades de tratamiento realizadas en virtud de esta APD que contengan las categorías de interesados implicados en el tratamiento y las categorías de datos personales tratados, la naturaleza, duración y finalidad del tratamiento, la lista de medidas técnicas y organizativas, y la evaluación del impacto de la protección de datos.
3. El Encargado del tratamiento atenderá rápida y adecuadamente las consultas del Responsable del tratamiento sobre el tratamiento de datos de conformidad con la presente APD.
4. El Encargado del Tratamiento pondrá a disposición del Responsable del Tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones que se establecen en el presente APD y que se derivan directamente de la Ley de Protección de Datos Aplicable. A petición del Responsable, el Encargado también permitirá y contribuirá a las auditorías de las actividades de tratamiento cubiertas por esta APD, a intervalos razonables o si existen indicios de incumplimiento. Al decidir sobre una revisión o una auditoría, el Responsable del Tratamiento tendrá en cuenta las certificaciones pertinentes que posea el Encargado del Tratamiento.
5. El Responsable podrá optar por realizar la auditoría por sí mismo o encargarla a un auditor independiente. Las auditorías también podrán incluir inspecciones en los locales o instalaciones físicas del Encargado del Tratamiento y, en su caso, se llevarán a cabo con una antelación razonable, de al menos 30 días.
6. Las Partes pondrán a disposición de la autoridad o autoridades de control competentes, previa solicitud, la información a que se refiere el presente artículo, incluidos los resultados de cualquier auditoría.
8.7. Uso de subprocesadores
1. El Encargado del tratamiento cuenta con la autorización general del Responsable del tratamiento para la contratación de Subencargados del tratamiento a partir de una lista acordada. El Encargado del tratamiento informará específicamente por escrito al Responsable del tratamiento de cualquier cambio previsto en dicha lista mediante la adición o sustitución de Subencargados del tratamiento con al menos 30 días de antelación, dando así al Responsable del tratamiento tiempo suficiente para poder oponerse a dichos cambios antes de la contratación del Subencargado o Subencargados en cuestión. El Encargado del tratamiento facilitará al Responsable del tratamiento la información necesaria para que éste pueda ejercer su derecho de oposición.
2. Cuando el Encargado del tratamiento contrate a un Subencargado del tratamiento para la realización de actividades específicas de tratamiento (por cuenta del Responsable del tratamiento), lo hará mediante un contrato que imponga al Subencargado del tratamiento, en esencia, las mismas obligaciones en materia de protección de datos que las impuestas al Encargado del tratamiento de conformidad con las presentes cláusulas. El Encargado del Tratamiento se asegurará de que el Subencargado del Tratamiento cumple las obligaciones a las que está sujeto el Encargado del Tratamiento de conformidad con el presente APD y con la Ley de Protección de Datos Aplicable.
3. A petición del Responsable del tratamiento, el Encargado facilitará una copia de dicho acuerdo de Subencargado del tratamiento y de cualquier modificación posterior al Responsable del tratamiento. En la medida en que sea necesario para proteger el secreto comercial u otra información confidencial, incluidos los datos personales, el Encargado del Tratamiento podrá redactar el texto del acuerdo antes de compartir la copia.
4. El Encargado del tratamiento seguirá siendo plenamente responsable ante el Responsable del tratamiento del cumplimiento de las obligaciones del Subencargado del tratamiento de conformidad con su contrato con el Encargado del tratamiento. El Encargado del tratamiento notificará al Responsable del tratamiento cualquier incumplimiento por parte del Subencargado del tratamiento de sus obligaciones contractuales.
5. El Encargado del tratamiento acordará con el Subencargado del tratamiento una cláusula de tercero beneficiario en virtud de la cual -en caso de que el Encargado del tratamiento haya desaparecido de hecho, haya dejado de existir jurídicamente o se haya declarado insolvente- el Responsable del tratamiento tendrá derecho a rescindir el contrato de Subencargado del tratamiento y a ordenar al Subencargado del tratamiento que borre o devuelva los datos personales.
8.8. Notificaciones al controlador
1. Además de otras notificaciones previstas por esta DPA, el Procesador informará al Controlador, sin demora indebida, pero no más de cinco días hábiles, si el Procesador tiene conocimiento de:
a. Cualquier incumplimiento por parte del Encargado del tratamiento o de sus empleados de las obligaciones derivadas de la presente APD o de los requisitos de la Ley de Protección de Datos Aplicable relativos a la protección de los datos personales tratados en virtud de la presente APD;
b. Cualquier solicitud legalmente vinculante de revelación de datos personales por parte de una autoridad encargada de hacer cumplir la ley, como juzgados, tribunales o autoridades administrativas, a menos que la ley prohíba al Procesador informar al Controlador (por ejemplo, para preservar la confidencialidad de una investigación por parte de las autoridades encargadas de hacer cumplir la ley). El Encargado del tratamiento deberá estar en condiciones de facilitar información sobre la posible divulgación legalmente vinculante de los datos personales;
c. Cualquier notificación, consulta o investigación por parte de una Autoridad de Control con respecto a los datos personales compartidos por el Responsable del Tratamiento; o
d. Cualquier queja o solicitud recibida directamente de los interesados del Responsable del tratamiento. El Encargado del tratamiento no responderá sustancialmente a ninguna solicitud de este tipo sin la autorización previa por escrito del Responsable del tratamiento.
3. Antes de realizar cualquier divulgación de datos personales o de proporcionar otra información relativa a datos personales, el Encargado del tratamiento consultará con el Responsable del tratamiento, salvo en las situaciones descritas en la disposición 1.b del presente artículo.
8.9. Privacidad por diseño y por defecto
El procesador integrará las consideraciones de privacidad en sus actividades de procesamiento desde el principio, abarcando el diseño, desarrollo, implementación y mantenimiento continuo de sus sistemas, aplicaciones y servicios. La configuración por defecto de los sistemas, aplicaciones y servicios del Encargado del Tratamiento dará prioridad al máximo nivel de protección de la privacidad, limitando por defecto el tratamiento de datos personales. El Encargado del Tratamiento proporcionará mecanismos que permitan al Responsable del Tratamiento y a los interesados gestionar fácilmente sus preferencias de privacidad y ejercer sus derechos.
Artículo 9
Asistencia al Interventor
1. El Encargado del tratamiento asistirá al Responsable del tratamiento en el cumplimiento de sus obligaciones de responder a las solicitudes de los interesados para ejercer sus derechos, teniendo en cuenta la naturaleza del tratamiento.
2. El Encargado del tratamiento ayudará al Responsable del tratamiento a cumplir sus obligaciones de responder a las solicitudes de los interesados para ejercer sus derechos, teniendo en cuenta la naturaleza del tratamiento. En el cumplimiento de sus obligaciones de conformidad con (1) y (2), el Encargado del tratamiento cumplirá las instrucciones del Responsable del tratamiento.
3. Además de la obligación del Encargado del tratamiento de ayudar al Responsable del tratamiento de acuerdo con la cláusula 9.2, el Encargado del tratamiento ayudará además al Responsable del tratamiento a garantizar el cumplimiento de las siguientes obligaciones, teniendo en cuenta la naturaleza del tratamiento de datos y la información de que disponga el Encargado:
a. la obligación de llevar a cabo una evaluación del impacto de las operaciones de tratamiento previstas sobre la protección de los datos personales (una «evaluación del impacto sobre la protección de datos»), cuando sea probable que un tipo de tratamiento suponga un alto riesgo para los derechos y libertades de las personas físicas. El encargado del tratamiento prestará asistencia al responsable del tratamiento para que pueda realizar la evaluación de impacto relativa a la protección de datos. Al prestar asistencia, el Encargado del Tratamiento podrá redactar información en la medida necesaria para proteger el secreto comercial u otra información confidencial;
b. la obligación de consultar a la(s) autoridad(es) de control competente(s) antes del tratamiento cuando una evaluación de impacto sobre la protección de datos indique que el tratamiento supondría un riesgo elevado en ausencia de medidas adoptadas por el Responsable del tratamiento para mitigar el riesgo;
c. la obligación de garantizar que los datos personales sean exactos y estén actualizados, informando sin demora al Responsable del tratamiento si éste tiene conocimiento de que los datos personales que está tratando son inexactos o han quedado obsoletos;
d. las obligaciones de aplicar y mantener medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad de los datos personales adecuado al riesgo. Dichas medidas tendrán en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como el riesgo de probabilidad y gravedad variables para los derechos y libertades de las personas físicas e incluirán, según proceda:
i. la seudonimización y el cifrado de los datos personales;
ii. la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resistencia permanentes de los sistemas y servicios de procesamiento;
iii. la capacidad de restablecer la disponibilidad y el acceso a los datos personales de forma oportuna en caso de incidente físico o técnico;
iv. un proceso para comprobar, evaluar y valorar periódicamente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
4. Las Partes establecerán en el Anexo III las medidas técnicas y organizativas adecuadas mediante las cuales el Encargado del tratamiento deberá asistir al Responsable del tratamiento en la aplicación del presente artículo, así como el ámbito y el alcance de la asistencia requerida. 5. El Responsable del tratamiento reconoce que las medidas de seguridad están sujetas al progreso y desarrollo técnicos y que el Encargado del tratamiento puede actualizar o modificar las medidas de seguridad de vez en cuando, siempre que dichas actualizaciones y modificaciones no degraden o disminuyan la seguridad general del tratamiento.
Cláusula 10
Notificación de violación de datos personales
En caso de violación de los datos personales, el Encargado del Tratamiento cooperará con el Responsable del Tratamiento y le prestará asistencia para que éste cumpla las obligaciones que le incumben en virtud de la Ley de Protección de Datos aplicable, en su caso, teniendo en cuenta la naturaleza del tratamiento y la información de que disponga el Encargado.
10.1. Violación de datos relativos a datos tratados por el Responsable del Tratamiento
En caso de violación de datos personales relativos a datos tratados por el Responsable del tratamiento, el Encargado del tratamiento asistirá al Responsable del tratamiento:
a. en notificar la violación de los datos personales a la autoridad o autoridades de control competentes, sin demora indebida desde que el Responsable del tratamiento haya tenido conocimiento de ella, cuando proceda (salvo que sea improbable que la violación de los datos personales suponga un riesgo para los derechos y libertades de las personas físicas);
b. en la obtención de la siguiente información que, se hará constar en la notificación del Interventor, y deberá incluir como mínimo:
i. la naturaleza de los datos personales, incluidas, cuando sea posible, las categorías y el número aproximado de interesados afectados y las categorías y el número aproximado de registros de datos personales afectados;
ii. las consecuencias probables de la violación de los datos personales;
iii. las medidas adoptadas o que se propone adoptar el Responsable del Tratamiento para hacer frente a la violación de los datos personales, incluidas, en su caso, las medidas para mitigar sus posibles efectos adversos.
Cuando, y en la medida en que, no sea posible facilitar toda esta información al mismo tiempo, la notificación inicial contendrá la información disponible en ese momento y, posteriormente, a medida que esté disponible, se facilitará más información sin demora injustificada.
c. en el cumplimiento de la obligación de comunicar sin dilación indebida la violación de datos personales al interesado, cuando la violación de datos personales pueda entrañar un alto riesgo para los derechos y libertades de las personas físicas.
10.2. Violación de datos relativos a los datos tratados por el Procesador
1. En caso de violación de datos personales relativos a datos tratados por el Encargado del Tratamiento, éste deberá notificarlo al Responsable del Tratamiento sin dilación indebida tras haber tenido conocimiento de la violación. Dicha notificación contendrá, como mínimo:
a. una descripción de la naturaleza de la violación (incluyendo, cuando sea posible, las categorías y el número aproximado de interesados y registros de datos afectados);
b. los datos de un punto de contacto donde pueda obtenerse más información sobre la violación de datos personales;
c. sus probables consecuencias y las medidas adoptadas o que se propone adoptar para hacer frente al incumplimiento, incluso para mitigar sus posibles efectos adversos.
Cuando, y en la medida en que, no sea posible facilitar toda esta información al mismo tiempo, la notificación inicial contendrá la información disponible en ese momento y, posteriormente, a medida que esté disponible, se facilitará más información sin demora injustificada.
2. Las Partes establecerán en el Anexo III todos los demás elementos que deba proporcionar el Encargado del Tratamiento cuando asista al Responsable del Tratamiento en el cumplimiento de las obligaciones de éste en virtud de los artículos 33 y 34 del Reglamento (UE) 2016/679.
Artículo 11
Incumplimiento de esta DPA y rescisión
1. Sin perjuicio de lo dispuesto en la legislación aplicable en materia de protección de datos, en caso de que el Encargado del tratamiento incumpla las obligaciones que le incumben en virtud del presente APD, el Responsable del tratamiento podrá ordenar al Encargado que suspenda el tratamiento de los datos personales hasta que éste cumpla el presente APD o se rescinda el Acuerdo. El Encargado del tratamiento informará sin demora al Responsable del tratamiento en caso de que no pueda cumplir el presente APD, por el motivo que sea.
2. El Responsable del tratamiento tendrá derecho a rescindir el Acuerdo en la medida en que se refiera al tratamiento de datos personales de conformidad con el presente APD si:
a. el tratamiento de datos personales por parte del Encargado haya sido suspendido por el Responsable del tratamiento de conformidad con la disposición 1. de este artículo y si no se restablece el cumplimiento de esta APD en un plazo razonable y, en cualquier caso, en el plazo de un mes tras la suspensión;
b. el Encargado del Tratamiento incumple de forma sustancial o persistente esta APD o sus obligaciones en virtud de la Ley de Protección de Datos Aplicable;
c. el Encargado del Tratamiento incumpla una decisión vinculante de un tribunal competente o de la autoridad o autoridades de control competentes en relación con sus obligaciones en virtud de la presente APD o de la Ley de Protección de Datos Aplicable.
3. El Encargado del tratamiento tendrá derecho a rescindir el Acuerdo en la medida en que se refiera al tratamiento de datos personales en virtud del presente APD cuando, tras haber informado al Responsable del tratamiento de que sus instrucciones infringen los requisitos legales aplicables de conformidad con el artículo 8.1.2, el Responsable del tratamiento insista en el cumplimiento de las instrucciones.
4. Tras la rescisión del Acuerdo, el Encargado del tratamiento deberá, a elección del Responsable del tratamiento, eliminar todos los datos personales tratados por cuenta del Responsable del tratamiento y certificar al Responsable del tratamiento que lo ha hecho, o bien, devolver todos los datos personales al Responsable del tratamiento y eliminar las copias existentes, a menos que la Ley de protección de datos aplicable exija la conservación de los datos personales. Hasta que se eliminen o devuelvan los datos, el Encargado del Tratamiento seguirá garantizando el cumplimiento de esta DPA.
Artículo 12
Varios
1. Este APD representa una parte integral del Acuerdo celebrado entre las partes y entra en vigor cuando ambas partes firman el Acuerdo.
2. Si la Ley de Protección de Datos Aplicable u otra normativa aplicable exige que el Responsable del Tratamiento firme el APD o que firme los CCE, los CCE Intracomunitarios o el IDTA aplicables a un determinado tratamiento o transferencia restringida de datos personales al Encargado del Tratamiento como un acuerdo independiente, el Encargado del Tratamiento, a petición del Responsable del Tratamiento, ejecutará sin demora dicho documento.
3. Las partes acuerdan que este APD sustituirá a cualquier acuerdo de procesamiento de datos existente o documento similar que las partes pudieran haber suscrito previamente en relación con la tecnología y los servicios del Procesador.
4. No obstante cualquier disposición en contrario del Acuerdo y sin perjuicio de la Sección 8.2 («Limitación de la finalidad»), el Procesador podrá realizar modificaciones periódicas a este APD según sea necesario para cumplir con la Ley de Protección de Datos Aplicable y para mejorar el nivel de seguridad de los datos personales. Las modificaciones de este APD se publicarán en el centro jurídico del Procesador (disponible en el enlace: https://mb.wpstaging.uk/dpa-for-the-use-of-microblink-technology-and-support-services/) y el Procesador informará al Responsable de cualquier cambio sustancial de este APD por escrito.
Controlador:
Nombre: Licenciatario
Dirección: Según se define en el Acuerdo ejecutado.
Nombre, cargo y datos de contacto de la persona de contacto: Según lo definido en el Acuerdo ejecutado.
Procesador:
Nombre: Microblink entidad tal y como se define en el Acuerdo ejecutado.
Dirección: Según se define en el Acuerdo ejecutado.
Datos de contacto del responsable de protección de datos: privacy@microblink.com.
Categorías de interesados cuyos datos personales se tratan
Personas físicas: usuarios finales del Controlador, incluidos, si procede, los usuarios finales de las filiales del Controlador.
Categorías de datos personales tratados
Nombre y apellidos, dirección, fecha y lugar de nacimiento, género, sexo, nacionalidad, país de residencia, firma, número de pasaporte, número de la seguridad social, número del carné de conducir, número del carné de identidad estatal o nacional, número de otro carné de identidad, número de identificación personal, imagen facial, color de ojos, peso, altura, condición de donante de órganos, otras categorías de datos que se encuentran en los documentos de identidad transferidos y datos biométricos (no utilizados para identificar de forma innegable a una persona).
Datos sensibles tratados
No está previsto procesar datos sensibles. Si se transfiere algún dato sensible, el Responsable del tratamiento lo notificará al Encargado del tratamiento y éste aplicará las restricciones y garantías necesarias.
Naturaleza del tratamiento
Aplicable si el Controlador utiliza el servicio de verificación del Procesador: Utilizando la Solución del Responsable, el interesado escanea el anverso y/o reverso del documento de identidad. Los escaneos se envían a la infraestructura en la nube del Procesador en Google Cloud Platform, donde, utilizando la tecnología del Procesador, se extraen los datos personales del escaneado y se comprueba la presencia de elementos de seguridad y/o se realiza el análisis de los atributos físicos del documento escaneado. Una vez finalizado el proceso de verificación, el Procesador devuelve la respuesta de verificación al Controlador y, una vez finalizada la sesión de verificación, los datos personales se eliminan de la infraestructura en la nube del Procesador.
Aplicable si el Controlador utiliza el servicio de extracción del Procesador: Utilizando la Solución del Responsable, el interesado escanea el anverso y/o el reverso del documento de identidad. Los escaneados se envían a la infraestructura en la nube del Procesador en Google Cloud Platform, donde, utilizando la tecnología del Procesador, se extraen los datos personales del escaneado. El Procesador envía los resultados de la extracción y/o las imágenes escaneadas al Responsable del Tratamiento cuando finaliza el proceso de extracción, y los datos personales se eliminan de la infraestructura en la nube del Procesador.
Aplicable si el Controlador utiliza los servicios de asistencia del Procesador: Para transferir de forma segura imágenes de documentos con los que el Controlador tiene problemas al Procesador, el Controlador utiliza la Carga segura de imágenes del Procesador. El Procesador analiza el problema de acuerdo con la solicitud de soporte del Controlador para proporcionar servicios de soporte. Dependiendo de la solicitud de soporte del Controlador, la prestación de servicios de soporte puede incluir la depuración de problemas en un tipo de documento ya soportado, el soporte de una nueva versión de un documento soportado y la mejora de la precisión de un tipo de documento ya soportado, si el producto no funciona. La prestación de servicios de asistencia puede incluir, en función de la solicitud de asistencia del Controlador, el reentrenamiento de modelos.
Finalidad o finalidades para las que se tratan los datos personales por cuenta del responsable del tratamiento
Aplicable si el Controlador utiliza el servicio de verificación del Procesador: La finalidad del tratamiento es comprobar la presencia de elementos de seguridad en el documento de identidad y devolver la respuesta de verificación al Responsable del tratamiento, de conformidad con el Acuerdo.
Aplicable si el Controlador utiliza el servicio de extracción del Procesador: La finalidad del tratamiento es extraer los datos del documento de identidad y enviar los resultados de la extracción al Responsable del tratamiento, de conformidad con el Acuerdo.
Aplicable si el Responsable utiliza los servicios de apoyo del Encargado: La finalidad del tratamiento es prestar servicios de apoyo al Responsable del tratamiento, de conformidad con el Acuerdo.
Duración del tratamiento
Aplicable si el Controlador utiliza el servicio de verificación y/o extracción del Procesador: El tratamiento es continuo (mientras el Responsable utilice la tecnología o los servicios). El Procesador conserva los datos introducidos durante las sesiones de verificación o extracción, según proceda, pero no almacena los datos procesados, a menos que se acuerde por escrito con el Responsable un periodo de conservación diferente.
Aplicable si el Controlador utiliza los servicios de asistencia del Procesador: El Procesador conserva las imágenes hasta que se resuelva el problema.
Para el tratamiento por (sub)procesadores, especifica también el objeto, la naturaleza y la duración del tratamiento
Google Cloud Platform – La infraestructura en la nube de Microblink LLC en Google Cloud Platform se utilizará para ejecutar la tecnología del Responsable. El tratamiento de los datos personales se realizará de forma continua, mientras el Responsable utilice la tecnología.
Microblink LLC es una entidad proveedora de apoyo Microblink y actúa como subencargado del tratamiento cuando no es una entidad firmante del contrato. Los datos se tratarán como se ha descrito anteriormente, y se aplicarán las medidas de seguridad descritas en el Anexo III.
Medidas para garantizar la confidencialidad, integridad, disponibilidad y resistencia permanentes de los sistemas y servicios de tratamiento
Processor tiene una política definida sobre el tratamiento de datos clasificados, que define la clasificación, divulgación y protección de los datos. Todos los empleados del Procesador están obligados a firmar cláusulas de confidencialidad que establecen que los secretos comerciales y la información confidencial tienen que permanecer confidenciales a perpetuidad y entregarse tras la finalización del contrato, mientras que cada infracción se considera una violación grave. Además, el Procesador se asegurará de que la Interfaz de Programación de Aplicaciones esté adecuadamente protegida y supervisada con un Cortafuegos de Aplicaciones Web y protección DDoS.
El Encargado del Tratamiento aplicará los conceptos de «menor privilegio» y «necesidad de conocer» y garantizará la separación de funciones. El Encargado del Tratamiento se asegurará de que existen procedimientos adecuados para dar de alta a nuevos usuarios/derechos de acceso adicionales y para dar de baja a usuarios. El procesador se asegurará de que la gestión del acceso privilegiado se supervise de cerca y se base en una revisión periódica de los derechos de acceso, retirándolos si ya no son necesarios.
Medidas para garantizar la capacidad de restablecer oportunamente la disponibilidad y el acceso a los datos personales en caso de incidente físico o técnico.
En relación con el objeto de este Acuerdo, el Procesador informará de cualquier incidente (cercano) relacionado con la seguridad lo antes posible y de conformidad con el Acuerdo al contacto del Controlador, incluyendo las medidas de protección adoptadas para mitigar el impacto del incidente, las medidas preventivas propuestas para evitar el incidente (cercano) en el futuro y una estimación del impacto sufrido a causa del incidente. El procesador ha definido una política de gestión de incidentes de seguridad de la información que define las funciones y responsabilidades en el proceso de gestión de incidentes. La política también describe la clasificación de incidentes y los pasos que debe dar el equipo de respuesta a incidentes, como la evaluación del incidente, la contención, la erradicación de la amenaza, la recuperación, la elaboración de informes y el aprendizaje a partir de los incidentes. El Procesador garantizará la difusión de conocimientos y experiencia para asegurar la disponibilidad de personas capacitadas incluso en caso de catástrofe.
Procesos para comprobar, evaluar y valorar periódicamente la eficacia de las medidas técnicas y organizativas con el fin de garantizar la seguridad del tratamiento, y medidas para garantizar la responsabilidad
A total discreción del Procesador, éste completará un proceso periódico de autocertificación para garantizar que se siguen aplicando todas las políticas y procedimientos relacionados con la seguridad. Además, el Procesador realizará periódicamente evaluaciones de vulnerabilidad de los servicios relacionados mediante pruebas de penetración y vulnerabilidad. El Procesador cuenta con políticas internas, reglamentos y procedimientos para garantizar la responsabilidad de los empleados en el tratamiento responsable de los datos personales. El Procesador se asegura de que sus empleados estén informados sobre los requisitos y políticas de seguridad del Procesador y sobre los desarrollos en el área de la seguridad de la información. El Procesador es enteramente responsable de la conducta de sus empleados.
Medidas para garantizar la seguridad física de los lugares en los que se tratan los datos personales
Las medidas del subprocesador (Google Cloud Platform) para la seguridad de las instalaciones físicas, que proporciona el servicio de infraestructura de nube privada, incluyen múltiples capas de seguridad física para proteger los centros de datos, como identificación biométrica, detección de metales, cámaras, barreras para vehículos y sistemas de detección de intrusos basados en láser.(https://www.google.com/about/datacenters/data-security/)
En caso de que el tratamiento de datos personales se produzca en la infraestructura del Procesador o de la empresa Afiliada del Procesador, éste también garantizará una seguridad física adecuada mediante el uso de cámaras, tarjetas de entrada y guardias de seguridad.
Medidas para garantizar el registro de eventos
Todas las funciones de registro de sistemas y aplicaciones relacionadas con los servicios prestados por el Procesador están habilitadas y los eventos de seguridad de la información se revisan periódicamente.
Medidas para garantizar la configuración del sistema, incluida la configuración por defecto
El procesador aplicará el endurecimiento del sistema para todos los servicios orientados a Internet mediante la gestión centralizada de la configuración, el escaneado periódico de vulnerabilidades y la revisión de la configuración.
Medidas para la gobernanza y gestión internas de la TI y la seguridad informática
El procesador mantiene un sistema eficaz de gestión de la seguridad de la información para garantizar la organización adecuada de las responsabilidades de seguridad de la información y se realiza una evaluación periódica de los riesgos de seguridad para garantizar la identificación de riesgos nuevos o modificados.
El Procesador asignará recursos y empleados que tengan la experiencia necesaria para llevar a cabo cualquier tarea específica en relación con sus responsabilidades de seguridad en virtud del presente Acuerdo.
El Procesador garantizará la protección adecuada de todos los activos que contengan datos personales proporcionados por el Controlador en el contexto de este Acuerdo.
Medidas de certificación/garantía de procesos y productos
A total discreción del Procesador, éste completará un proceso periódico de autocertificación para garantizar que se siguen aplicando todas las políticas y procedimientos relacionados con la seguridad.
Medidas de identificación y autorización de usuarios
Aplicable si el Controlador utiliza el servicio de verificación y/o extracción del Procesador: El acceso al servicio sólo se concede a usuarios autorizados mediante credenciales de cliente únicas que el Responsable del tratamiento puede revocar y renovar en cualquier momento.
Medidas de seudonimización y encriptación de datos personales y para la protección de datos durante la transmisión
Aplicable si el Responsable utiliza el servicio de verificación y/o extracción del Procesador: El Procesador utilizará métodos de encriptación fuertes como TLS (últimas versiones soportadas) para los datos en tránsito.
Aplicable si el Responsable utiliza los servicios de asistencia del Procesador: Para transferir de forma segura los datos personales al Procesador, el Controlador utilizará la Carga segura de imágenes del Procesador.
Medidas para garantizar la minimización de los datos, su conservación limitada y su supresión
Aplicable si el Responsable del tratamiento utiliza el servicio de verificación y/o extracción del Procesador: El Encargado del Tratamiento no almacena los datos personales una vez realizado el proceso de verificación.
Aplicable si el Responsable utiliza el servicio de asistencia del Procesador: El Procesador aplicará calendarios de conservación de datos y los eliminará de forma irreversible de acuerdo con el calendario.
Medidas para garantizar la calidad de los datos
Aplicable si el Responsable del tratamiento utiliza el servicio de verificación y/o extracción del Encargado del tratamiento: El Responsable del tratamiento es responsable de los datos que envía al Encargado del tratamiento, incluida su calidad. El Encargado del tratamiento enviará al Responsable del tratamiento los datos personales extraídos de los documentos enviados por el Responsable del tratamiento, junto con los datos de información personal identificable (IPI) y los metadatos extraídos de los documentos.
Aplicable si el Responsable del tratamiento utiliza servicios de asistencia: El Responsable y el Encargado del tratamiento determinarán qué calidad de datos es necesario compartir para resolver el problema planteado por el Responsable.
Medidas de protección de datos durante el almacenamiento
Aplicable si el Controlador utiliza el servicio de asistencia del Procesador: Microblink utiliza el Servicio de Gestión de Claves para el cifrado de datos en reposo.
Medidas de seudonimización y encriptación de datos personales y para la protección de datos durante la transmisión
Aplicable si el Responsable utiliza el servicio de verificación y/o extracción del Procesador: El Procesador utilizará métodos de encriptación fuertes como TLS (últimas versiones compatibles) para los datos en tránsito.
Aplicable si el Responsable utiliza los servicios de asistencia del Procesador: Para transferir de forma segura los Datos Personales a Microblink, el Licenciatario utilizará Microblink’ Secure Image Upload.
Para las transferencias a (sub)encargados del tratamiento, también describir las medidas técnicas y organizativas específicas que adoptará el (sub)encargado del tratamiento para poder prestar asistencia al responsable del tratamiento
El Encargado del Tratamiento deberá establecer acuerdos de tratamiento de datos con los subencargados del tratamiento para garantizar la asistencia al Responsable del Tratamiento.
Descripción de las medidas técnicas y organizativas específicas que adoptará el encargado del tratamiento para poder prestar asistencia al responsable del tratamiento.
Aplicable si el Responsable del tratamiento utiliza los servicios de asistencia del Encargado del tratamiento: El Responsable del tratamiento se asegurará de que puede identificar a sus usuarios finales y, en caso de que el interesado lo solicite, entregará sus identificadores al Encargado del tratamiento. El Encargado del tratamiento prestará asistencia al Responsable del tratamiento para llevar a cabo la solicitud del interesado de conformidad con el procedimiento de supresión de datos.
El responsable del tratamiento ha autorizado el uso de los siguientes subencargados del tratamiento:
1. 1. Nombre: Microblink LLC (si el firmante es Microblink Ltd. o Microblink USA LLC)
Dirección: Trg Drage Iblera 10, 10000 Zagreb, Croacia
Nombre, cargo y datos de contacto de la persona de contacto: Ena Oršić, Asociada Jurídica y Responsable de Protección de Datos
Descripción del tratamiento: Prestación de servicios de apoyo.
2. Nombre: Google Cloud Platform
Dirección: Como se especifica en el siguiente enlace.
Nombre, cargo y datos de contacto de la persona de contacto: Como se especifica en el siguiente enlace.
Descripción del tratamiento: La plataforma del subprocesador se utilizará para ejecutar la tecnología del Procesador para procesar los datos personales durante la sesión de extracción y/o verificación. Una vez finalizada la sesión, los datos no se almacenarán.
Exploring our solutions is just a click away. Try our products or have a chat with one of our experts to delve deeper into what we offer.
