Acuerdo de encargo del tratamiento de datos (DPA)

1. Partes

Responsable del tratamiento (Cliente): el cliente profesional que suscribe y utiliza Fire-Ops para sus necesidades profesionales.

Encargado del tratamiento (Konity): EURL Konity, SIREN 908779259 / 908 779 259 R.C.S. Lyon, editora del servicio Fire-Ops.

Cada una de las partes podrá denominarse individualmente como «Parte» y, conjuntamente, como las «Partes».

2. Definiciones

Los términos «datos de carácter personal», «tratamiento», «responsable del tratamiento», «encargado del tratamiento», «interesado», «violación de la seguridad de los datos» y «autoridad de control» tienen el sentido que les atribuye el RGPD.

Datos del Cliente: todos los datos (incluidos los datos de carácter personal) transmitidos, introducidos, importados, generados o almacenados en Fire-Ops por el Cliente y sus Usuarios.

Servicio: la solución Fire-Ops prestada en modalidad SaaS.

Subencargado: cualquier encargado contratado por Konity para realizar la totalidad o parte de los tratamientos por cuenta del Cliente.

3. Objeto y alcance del DPA

El presente DPA tiene por objeto definir las condiciones en las que Konity, en su calidad de encargado del tratamiento, se compromete a llevar a cabo por cuenta del Cliente las operaciones de tratamiento de datos personales necesarias para la prestación del Servicio.

El Cliente sigue siendo el responsable del tratamiento de los datos confiados a Konity a través del Servicio, salvo en los casos particulares expresamente definidos en los que Konity actúa como responsable (por ejemplo, gestión de su relación comercial, facturación, seguridad de su plataforma, prospección, obligaciones legales propias).

La descripción de los tratamientos encargados (objeto, duración, finalidades, categorías de datos e interesados) figura en el Anexo 1.

4. Instrucciones documentadas del Cliente

Konity trata los datos personales únicamente conforme a las instrucciones documentadas del Cliente, incluso en lo relativo a las transferencias de datos a un tercer país u organización internacional, salvo que Konity esté obligada a ello por el Derecho de la Unión Europea o el Derecho francés aplicable; en tal caso, Konity informará previamente al Cliente de dicha obligación legal, salvo prohibición legal.

Las instrucciones del Cliente están constituidas por:

• el presente DPA;
• las CGS/CGV y la documentación del Servicio;
• los parámetros configurados por el Cliente en el Servicio;
• las solicitudes escritas adicionales del Cliente.

Si Konity considera que una instrucción constituye una infracción de la normativa aplicable, lo comunicará al Cliente sin dilación indebida.

5. Obligaciones del Cliente

El Cliente se compromete, en particular, a:

• tratar los datos de carácter personal de forma lícita, leal y transparente;
• disponer de las bases legales necesarias para los tratamientos efectuados a través del Servicio;
• informar a los interesados conforme a los artículos 12 a 14 del RGPD;
• asegurarse de que los datos transmitidos a Konity sean adecuados, pertinentes y limitados a lo necesario;
• no utilizar el Servicio para tratar datos sensibles o categorías especiales de datos (art. 9 RGPD), salvo configuración y acuerdo escrito específico;
• responder a las solicitudes de los interesados, con la asistencia de Konity cuando sea necesario conforme al presente DPA;
• asegurar que sus Usuarios estén autorizados y formados para el uso del Servicio.

6. Confidencialidad

Konity vela por que las personas autorizadas a tratar los datos personales (empleados, proveedores, administradores técnicos) estén sujetas a una obligación de confidencialidad adecuada (contractual o legal) y solo accedan a los datos en la medida necesaria para la ejecución del Servicio.

7. Medidas de seguridad (técnicas y organizativas)

Konity aplica las medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad apropiado al riesgo, teniendo en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos para los derechos y libertades de los interesados.

Estas medidas incluyen, en particular, según los casos:

• control de acceso lógico y gestión de permisos;
• autenticación de usuarios y políticas de contraseñas;
• registro de accesos y acciones sensibles;
• cifrado en tránsito (TLS);
• medidas de copia de seguridad y restauración;
• segmentación lógica de los datos / aislamiento entre clientes;
• medidas de seguridad de los entornos de alojamiento;
• gestión de vulnerabilidades y actualizaciones;
• procedimientos de gestión de incidentes;
• limitación de los accesos administrativos y trazabilidad.

Una descripción más detallada de las medidas de seguridad puede figurar en el Anexo 2 (medidas de seguridad), susceptible de evolucionar para mantener un nivel de seguridad al menos equivalente.

8. Subencargados

El Cliente autoriza a Konity a recurrir a subencargados para prestar el Servicio (alojamiento, base de datos, correo electrónico, pago, supervisión, etc.), siempre que Konity imponga a dichos subencargados obligaciones de protección de datos al menos equivalentes a las previstas en el presente DPA, en particular en materia de seguridad y confidencialidad.

La lista de los subencargados habituales figura en el Anexo 3 y/o en la documentación del Servicio.

En caso de incorporación o sustitución de un subencargado que pueda afectar sustancialmente al tratamiento, Konity informará al Cliente por un medio razonable (por ejemplo, correo electrónico, notificación in-app, documentación) y le concederá un plazo razonable para formular una objeción motivada.

En caso de objeción razonable y documentada, las Partes buscarán de buena fe una solución. A falta de acuerdo, el Cliente podrá resolver el Servicio respecto del ámbito afectado, según las modalidades contractuales aplicables.

9. Transferencias fuera del EEE / garantías adecuadas

Cuando se transfieran datos personales fuera del Espacio Económico Europeo (EEE) en el marco de la ejecución del Servicio, Konity velará por que dichas transferencias estén amparadas por un mecanismo de transferencia válido en el sentido de la normativa aplicable (por ejemplo, decisión de adecuación, cláusulas contractuales tipo de la Comisión Europea u otro mecanismo apropiado).

A petición razonable del Cliente, Konity podrá facilitar información sobre el mecanismo de transferencia aplicable al subencargado correspondiente, sin perjuicio de las obligaciones de confidencialidad.

10. Asistencia al Cliente (derechos de los interesados, conformidad, seguridad)

Teniendo en cuenta la naturaleza del tratamiento y en la medida de lo posible, Konity asiste al Cliente con medidas técnicas y organizativas adecuadas para permitirle cumplir con sus obligaciones relativas a:

• el ejercicio de los derechos de los interesados (acceso, rectificación, supresión, limitación, oposición, portabilidad, etc.);
• la seguridad de los tratamientos;
• la notificación de violaciones de la seguridad de los datos;
• las evaluaciones de impacto (EIPD) y, en su caso, las consultas previas a la autoridad de control.

Salvo que la obligación de asistencia se derive de un incumplimiento de Konity, el tiempo dedicado y los costes razonables de asistencia podrán facturarse según las tarifas vigentes o mediante presupuesto.

11. Solicitudes de los interesados

Si Konity recibe directamente una solicitud de un interesado relativa a datos tratados por cuenta del Cliente (por ejemplo, solicitud de acceso o supresión), Konity la transmitirá al Cliente a la mayor brevedad posible, salvo prohibición legal o imposibilidad manifiesta de identificar al Cliente correspondiente.

Konity no responderá directamente al fondo de la solicitud, salvo instrucción documentada del Cliente u obligación legal.

12. Notificación de violaciones de la seguridad de los datos

Konity notificará al Cliente, a la mayor brevedad tras tener conocimiento de la misma, cualquier violación de la seguridad de los datos personales que afecte a los datos tratados por cuenta del Cliente, y le comunicará la información disponible y razonablemente útil para permitirle cumplir con sus obligaciones legales.

La notificación inicial podrá ser progresiva si no se dispone de toda la información de forma inmediata.

La notificación dirigida al Cliente no implica reconocimiento de culpa por parte de Konity.

13. Documentación, auditorías y demostración del cumplimiento

Konity pondrá a disposición del Cliente la información necesaria para demostrar el cumplimiento de sus obligaciones como encargado en virtud del presente DPA, en particular a través de la documentación del Servicio, descripciones de medidas de seguridad, políticas internas o certificaciones disponibles.

Con un preaviso razonable de al menos 15 días, el Cliente podrá, como máximo una vez por período de doce (12) meses (salvo incidente grave de seguridad u obligación legal), solicitar una auditoría o revisión de cumplimiento limitada a los tratamientos que le conciernan.

Dicha auditoría se realizará:

• durante el horario laboral;
• de forma que no perturbe excesivamente la actividad de Konity;
• sometida a obligaciones de confidencialidad adecuadas; y
• limitada a la información razonablemente necesaria para verificar el cumplimiento del presente DPA.

En lugar de una auditoría in situ, Konity podrá proponer pruebas alternativas razonables (cuestionario de seguridad, informe de auditoría externa, certificados, videoconferencia de revisión, documentación) si permiten dar respuesta adecuada a la solicitud del Cliente.

Salvo que la auditoría se justifique por un incumplimiento acreditado e imputable a Konity, los gastos de auditoría (incluido el tiempo dedicado por Konity) serán por cuenta del Cliente.

14. Destino de los datos al término del contrato (devolución / supresión)

A la expiración o resolución del contrato principal, Konity devolverá al Cliente o pondrá a su disposición una exportación de los datos según las funcionalidades de reversibilidad previstas en el Servicio y/o las CGS/CGV, y posteriormente suprimirá los datos personales tratados por cuenta del Cliente en un plazo razonable, salvo obligación legal de conservación o necesidad de conservación temporal por motivos de copias de seguridad.

Las modalidades prácticas (formatos, plazos, alcance, costes eventuales) son las previstas en las CGS/CGV, las condiciones particulares o la documentación del Servicio.

15. Cooperación con la autoridad de control

Konity cooperará, en la medida exigida por la normativa aplicable, con la autoridad de control competente para los tratamientos correspondientes a su rol de encargado.

Salvo prohibición legal, Konity informará al Cliente de cualquier requerimiento de una autoridad relativo específicamente a los datos tratados por su cuenta.

16. Responsabilidad y articulación con las CGS/CGV

La responsabilidad de cada Parte en virtud del presente DPA se rige por las estipulaciones de responsabilidad previstas en las CGS/CGV y/o en las Condiciones Particulares, sin perjuicio de las disposiciones imperativas de la normativa aplicable en materia de protección de datos.

Ninguna estipulación del presente DPA podrá interpretarse en el sentido de limitar los derechos de los interesados ni las obligaciones imperativas que la normativa aplicable imponga a las Partes.

17. Duración del DPA

El presente DPA entra en vigor en la fecha de su aceptación por el Cliente y permanece aplicable durante toda la duración de los tratamientos de datos personales realizados por Konity por cuenta del Cliente en el marco del Servicio.

18. Legislación aplicable y jurisdicción competente

El presente DPA se rige por la legislación francesa. Cualquier litigio relativo a su validez, interpretación, ejecución o terminación será competencia de los órganos jurisdiccionales designados en las CGS/CGV, salvo disposiciones imperativas en contrario.