Acuerdo de procesamiento de datos Eventtia
Eventtia se verá obligada a tratar datos personales de cuyo tratamiento es responsable el Cliente y actuará en consecuencia en base a las únicas instrucciones del Cliente, conforme al papel de subcontratista de Eventtia en virtud de la reglamentación aplicable en materia de protección de datos de carácter personal.
Se especifica sin embargo que Eventtia Inc., firmante del presente Contrato, sociedad de derecho americano, no dispone de ningún equipo ni personal ubicado en los Estados Unidos que pueda acceder a los datos personales. En efecto, el conjunto de las operaciones efectuadas con respecto a los datos personales del Cliente será efectuado por la filial francesa de Eventtia ubicada en Francia o por Eventtia SAS, ubicada en Colombia así como por los prestatarios de Eventtia, detallados más ampliamente a continuación.
Para las necesidades del presente contrato, los términos “tratamiento”, “Responsable de tratamiento”, “subcontratista”, “personas concernidas”, y “datos de carácter personal” tienen el sentido dado por el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo del 27 de abril de 2016 relativo a la protección de las personas físicas con respecto al tratamiento de los datos de carácter personal y a la libre circulación de estos datos (en adelante, el “RGPD”).
1. Descripción del tratamiento que es objeto de la subcontratación
Puesta a disposición de una plataforma de gestión de eventos
Recogida y gestión de los datos personales de las personas concernidas por los eventos del Cliente
Notificación y cuestionario a los participantes en los eventos
Naturaleza de los tratamientos: Recogida, registro, consulta, comunicación y borrado
Tipos de datos de carácter personal tratados: Datos de identificación, datos de contacto, respuestas a cuestionarios y retornos de experiencia sobre los eventos gestionados por el Cliente, datos de conexión
Categorías de personas concernidas: Personas concernidas por los eventos organizados por el Cliente
Duración de los tratamientos subcontratados: Duración del contrato + tiempo eventual de restitución de los datos de carácter personal o a contar desde la supresión de los datos que se pueda sin embargo realizar en cualquier momento por el Cliente. El Cliente es responsable del respeto de los períodos de conservación aplicables a los tratamientos subcontratados a través de la supresión.
2. Obligaciones generales de Eventtia en su calidad de subcontratista conforme al RGPD con respecto al Cliente
En su calidad de subcontratista, Eventtia se compromete a implementar las medidas necesarias que permitan al Cliente cumplir con el RGPD y la reglamentación aplicable en materia de protección de los datos de carácter personal.
Estos datos personales serán conservados por Eventtia únicamente durante el período del Contrato y, a petición del Cliente, serán destruidos o restituidos a su término, a menos que Eventtia tenga la obligación legal de conservarlos.
El encargado del tratamiento solo procesará los datos personales de acuerdo con las instrucciones documentadas del responsable del tratamiento, a menos que una ley de la Unión o de un Estado miembro a la que esté sujeto el encargado del tratamiento lo exija. En tal caso, el encargado del tratamiento deberá informar al responsable del tratamiento sobre dicho requisito legal antes del procesamiento, salvo que la ley prohíba dicha comunicación por razones importantes de interés público.
A este respecto Eventtia se compromete a:
Tratar los datos de carácter personal en el marco estricto y necesario de los servicios previstos en concepto del Contrato y, de una manera general, a actuar solamente en base a las instrucciones escritas y documentadas del Cliente;
Informar inmediatamente al Cliente si una de sus instrucciones constituye un incumplimiento de la reglamentación aplicable en materia de protección de datos de carácter personal y suspender la ejecución de dicha instrucción hasta confirmación o modificación de la instrucción por el Cliente;
Asegurarse de que las personas autorizadas a acceder a los datos de carácter personal tienen conocimiento de las instrucciones del Cliente y se comprometen a tratarlos solamente dentro del estricto cumplimiento de éstas;
Procurar que las personas autorizadas para acceder a los datos de carácter personal reciban la formación necesaria en materia de protección de datos de carácter personal;
No conceder, alquilar, ceder o comunicar de cualquier otra forma a ninguna persona, todos o parte de los datos de carácter personal, incluso a título gratuito, así como, más generalmente, no utilizar los datos de carácter personal para fines que no sean estrictamente los previstos en el Contrato;
En su caso, ayudar al Cliente a la realización de análisis de impacto relativos a la protección de los datos de carácter personal;
En su caso, ayudar al Cliente a la realización de consultas previas de la autoridad de control;
3. Subcontratación posterior / Transferencias de datos fuera de Europa
Con el fin de suministrar los servicios previstos en el Contrato, Eventtia puede también recurrir a determinados prestatarios terceros, que puedan tener acceso en el marco de su actividad a los datos personales entregados por el Cliente.
Los servicios suministrados por dichos prestatarios son necesarios para el funcionamiento de la Aplicación tales como, en particular, el alojamiento de los datos, el enrutamiento de emails, la gestión de los logs de conexión así como, más generalmente, el soporte y la asistencia técnica suministrados a los usuarios de la Aplicación.
Algunos de sus prestatarios así como la filial colombiana de Eventtia están ubicados en países fuera del Espacio Económico Europeo, más específicamente los Estados Unidos y Colombia. En una situación de este tipo, el Cliente autoriza que se suscriban, en su nombre y representación con la sociedad concernida, las cláusulas contractuales tipo aprobadas por la Comisión Europea que enmarcan la transferencia de los datos personales hacia un país tercero en el Espacio Económico Europeo. .
Conforme al RGPD, estas filiales de Eventtia y estos prestatarios tienen la calidad de subcontratistas posteriores de Eventtia.
Eventtia puede recurrir a otro subcontratista durante el Contrato (en adelante, “el subcontratista posterior”) para realizar actividades de tratamiento específicas. En este caso, Eventtia informará previamente y por escrito al Cliente de cualquier cambio contemplado con respecto al añadido o a la sustitución de otros subcontratistas. Esta información debe indicar claramente las actividades de tratamiento subcontratadas, la identidad y los datos del subcontratista y las fechas del contrato de subcontratación. El Cliente dispone de un plazo máximo de un (1) mes a contar desde la fecha de recepción de esta información para presentar sus objeciones. Dicha subcontratación sólo puede ser efectuada si el responsable de tratamiento no ha emitido ninguna objeción durante el plazo acordado.
Eventtia se asegurará de que cualquier subcontratista posterior presente las mismas garantías suficientes en lo que se refiere a la implementación de medidas técnicas y organizativas apropiadas de tal manera que el tratamiento responda a las exigencias del RGPD. Eventtia sigue siendo en cualquier caso plenamente responsable ante el Cliente de la ejecución por cualquier otro subcontratista de sus obligaciones.
4. Derecho de información y ejercicio de los derechos de las personas concernidas
En la medida de lo posible, Eventtia ayudará al Cliente a cumplir con su obligación de atender a las demandas de ejercicio de los derechos de las personas concernidas: derecho de acceso, de rectificación, de borrado y de oposición, derecho a la limitación del tratamiento, derecho a la portabilidad de los datos, derecho de no ser objeto de una decisión individual automatizada (incluyendo la elaboración de perfiles). Cuando las personas concernidas ejercen ante Eventtia demandas de ejercicio de sus derechos, Eventtia remitirá estas demandas en cuanto las reciba por correo electrónico al Cliente a la dirección indicada en el Presupuesto.
5. Notificación de los incumplimientos de datos de carácter personal
6. Medidas de seguridad tomadas con respecto al tratamiento
Eventtia implanta por otra parte las medidas específicas siguientes para asegurar la seguridad de los datos de carácter personal que le han sido confiados por el Cliente:
– Tecnología de encriptación para las transferencias de datos,
– Verificación de la actividad en la Aplicación gracias a un sistema de logs y de análisis,
– Tests de la Aplicación por los prestatarios de Eventtia con el fin de verificar la seguridad de la misma (tests de penetración, scans de seguridad, detección de amenazas…)
– Revisión de los códigos y procedimientos de cambios para verificar la conformidad de cualquier cambio en los procedimientos de seguridad,
– Cifrado de las contraseñas.
– Los servidores están situados en infraestructuras protegidos que garantizan:
Un cifrado de los datos alojados,
Medios que permiten garantizar la confidencialidad, la integridad, la disponibilidad y la resiliencia constantes de los sistemas y de los servicios de tratamiento,
Medios que permiten restablecer la disponibilidad de los datos de carácter personal y el acceso a los mismos en unos plazos adecuados y como máximo en veinticuatro horas en caso de incidente físico o técnico,
Procedimientos destinados a testar, a analizar y a valorar con regularidad la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
7. Asistencia y Auditoría
Se aclara sin embargo que estas auditorías se realizarán a cargo del Cliente y quedan estrictamente limitadas a la auditoría de las medidas tomadas en materia de protección de datos de carácter personal, dentro del límite de una auditoría por año y que se notificará por adelantado a Eventtia.