Acuerdo de tratamiento de datos

Artículo 1 – Objeto

El presente acuerdo sobre el tratamiento de datos personales (en adelante, el «Acuerdo») forma parte integrante del Contrato.

El Acuerdo tiene por objeto definir las condiciones en las que KBINE se compromete a efectuar los tratamientos de datos personales facilitados en el marco de la ejecución de los Servicios, de conformidad con el artículo 28 del Reglamento (UE) 2016/679 (en adelante, el «RGPD»).

El presente Acuerdo entra en vigor a partir de la firma del Contrato al que se adjunta y permanece vigente durante toda la relación contractual entre KBINE y el Cliente.

Artículo 2 – Definiciones

Todos los términos en mayúsculas que no se definan en el presente Acuerdo tendrán el significado que se les atribuye aquí.

El término «Subencargado ulterior» designa a los subcontratistas contratados por KBINE para tratar los datos personales del cliente.

Los términos «Empresa», «Responsable del tratamiento», «Interesado», «Datos personales», «Información personal», «Encargado del tratamiento», «Tratamiento», «Venta», «Vender», «Proveedor de servicios» y «Compartir» tienen el significado que se les atribuye en la normativa aplicable en materia de protección de la privacidad. Si y en la medida en que dicha normativa aplicable no los defina, se aplicarán las definiciones previstas en la Ley de Protección de Datos.

Artículo 3 – Descripción de los tratamientos

Exclusivamente para las necesidades de ejecución del Contrato, el Cliente autoriza a KBINE a realizar por su cuenta los tratamientos de datos personales (en adelante, los «Tratamientos encomendados») necesarios para prestar los Servicios.

La naturaleza de las operaciones realizadas sobre los datos personales incluye la recogida, extracción, registro, organización, conservación, adaptación, modificación, archivo, consulta, comunicación por transmisión, cotejo, anonimización y supresión de los datos personales.

La finalidad del tratamiento es la ejecución de los Servicios tal y como se describen en el Contrato.

Los datos personales tratados son todos los datos necesarios para la ejecución de los Servicios. Se consideran pertinentes, en principio, los datos incluidos en los comentarios de las aplicaciones, los datos de identificación de los interesados listados más adelante y los datos de conexión que den cuenta de las acciones de los Usuarios en la Plataforma.

Las categorías de interesados son todas las personas cuyos datos personales deben ser tratados para asegurar la ejecución de los Servicios, es decir, los Usuarios.

Artículo 4 – Calificación de las partes

Para el conjunto de los tratamientos encomendados en el marco de la ejecución del Contrato, las Partes reconocen expresamente que el Cliente es el Responsable del tratamiento y que KBINE es un Encargado.

KBINE está autorizada por el Cliente a tratar, por cuenta del Responsable, los datos personales necesarios para la prestación de los Servicios.

Artículo 5 – Selección de los servicios

El Cliente es el único responsable de la elección de los Servicios y debe asegurarse de que los Servicios contratados para sus actividades profesionales cuentan con las características y condiciones requeridas por el Responsable.

KBINE pone a disposición del Cliente, en las condiciones previstas en el artículo «Auditorías», la información relativa a las medidas de seguridad implantadas en los Servicios, a fin de que el Cliente pueda evaluar la conformidad de tales medidas con los Tratamientos encomendados.

Artículo 6 – Conformidad con la normativa aplicable

Cada Parte se compromete a ejecutar el Contrato de conformidad con las Leyes y reglamentos aplicables en materia de protección de datos personales y a respetar en todo momento, en el marco de la ejecución del Contrato, las obligaciones que le sean aplicables, en particular las disposiciones del RGPD.

Artículo 7 – Obligaciones del Cliente como responsable del tratamiento

El Cliente, en su condición de Responsable del tratamiento, debe cumplir las obligaciones que le incumben en aplicación del RGPD. En particular, es el único responsable de:

(i) la licitud de los tratamientos encomendados, en especial respecto a los principios y obligaciones previstos por la normativa de protección de datos, entre ellos la base legal de los tratamientos y la información a los interesados;

(ii) el uso de la Plataforma, los Servicios y los documentos que complete, suba, almacene, archive, consulte y descargue en la Plataforma;

(iii) el mantenimiento del registro de las actividades de tratamiento; y

(iv) en su caso, la realización de las formalidades previas a la implementación del tratamiento.

El Cliente se compromete además a facilitar a KBINE los datos previstos en las características del tratamiento encomendado y a supervisar dicho tratamiento, incluso mediante auditorías según lo indicado en el artículo «Auditorías».

El Cliente es igualmente responsable del uso de los Servicios, en particular de la protección y seguridad de los datos personales en tránsito desde y hacia la Plataforma.

Artículo 8 – Obligaciones de KBINE como encargado del tratamiento

8.1 – Respeto de las instrucciones

KBINE se compromete a tratar los datos personales únicamente con los fines descritos en el presente Acuerdo o, en su caso, en el marco de las instrucciones lícitas del Cliente.

Si KBINE considera que una instrucción constituye una infracción del RGPD o de cualquier otra disposición de las leyes aplicables en materia de protección de datos, informará inmediatamente al Cliente.

Se precisa que la obligación de KBINE se limita a la prestación de los Servicios y al alojamiento de la Plataforma. Desde el momento en que el Responsable introduce datos personales en la Plataforma, debe cumplir las prescripciones legales en materia de protección de datos, en particular la información y, en su caso, el consentimiento de los interesados.

8.2 – Confidencialidad

KBINE reserva el acceso a los datos personales encomendados únicamente a aquellas personas, entre sus empleados y subencargados, que necesiten acceder a ellos para el desempeño de sus funciones en el marco de la ejecución del Contrato. KBINE se compromete a que todos los destinatarios estén sujetos a obligaciones de confidencialidad respecto a los datos personales encomendados.

8.3 – Seguridad de los tratamientos encomendados

KBINE se compromete a adoptar y mantener medidas técnicas y organizativas apropiadas para proteger los datos personales frente a cualquier violación. KBINE podrá modificar o actualizar dichas medidas de seguridad a su entera discreción, siempre que dicha modificación no reduzca el nivel de seguridad.

8.4 – Subencargados ulteriores

KBINE dispone de una autorización general del Cliente que le permite recurrir a los subencargados ulteriores listados aquí. KBINE se compromete a informar por escrito a cada Cliente con treinta (30) días de antelación sobre cualquier cambio previsto relativo a la incorporación o sustitución de subencargados ulteriores.

Si el Cliente tiene motivos legítimos y razonables para oponerse a la designación de un nuevo subencargado ulterior, deberá motivar inmediatamente su reclamación a KBINE mediante un aviso escrito al servicio de soporte, en el plazo de treinta (30) días siguientes a la notificación emitida por KBINE; en caso contrario, se considerará que el Cliente ha aprobado los cambios.

Tras las discusiones y a falta de acuerdo entre KBINE y el Cliente, el Cliente podrá, en un plazo de treinta (30) días desde la notificación, resolver la parte del Contrato afectada por la actualización.

En cualquier caso, KBINE se compromete a actuar con la debida diligencia en la evaluación, designación y supervisión de las actividades de tratamiento de los subencargados ulteriores. Estos deberán presentar garantías suficientes respecto a las obligaciones aplicables en materia de seguridad del tratamiento y confidencialidad de los datos personales encomendados, y estar sujetos frente a KBINE a obligaciones idénticas o equivalentes a las previstas en el presente Acuerdo.

Si el subencargado ulterior incumple sus obligaciones en materia de protección de datos, KBINE seguirá siendo plenamente responsable, frente al Cliente, del cumplimiento de sus propias obligaciones.

8.5 – Transferencias de datos

Si, en aplicación del Contrato, se transfieren datos personales fuera de la Unión Europea a un país que no cuenta con una decisión de adecuación, se implementará un acuerdo de transferencia conforme a las Cláusulas contractuales tipo o, a discreción de KBINE, cualquier otra garantía apropiada prevista en el Capítulo V del RGPD.

Asimismo, si KBINE está obligada, en virtud del derecho de la Unión o del Estado miembro aplicable, a transferir datos personales a un tercer país o a una organización internacional, informará al Cliente de esta obligación antes del tratamiento, salvo que dicho derecho prohíba tal información por motivos importantes de interés público.

8.6 – Derechos de los interesados

Corresponde al Responsable del tratamiento atender las solicitudes de los interesados relativas a sus datos personales. En la medida de lo posible, KBINE, como encargado y a solicitud del Responsable, podrá asistirle para atender las solicitudes de ejercicio de los derechos de los interesados: derechos de acceso, rectificación, supresión y oposición, derecho de limitación del tratamiento, derecho a la portabilidad de los datos y derecho a no ser objeto de decisiones individuales automatizadas (incluida la elaboración de perfiles).

Si un interesado contacta directamente con KBINE para ejercer uno de sus derechos, KBINE se compromete a reorientarlo hacia el Responsable del tratamiento a la mayor brevedad para que este pueda atender su solicitud. KBINE podrá asistir al Responsable en lo razonablemente necesario, pero es el Responsable quien queda al frente de la respuesta a tales solicitudes.

8.7 – Notificación de violaciones de datos personales

KBINE se compromete a notificar por escrito al Cliente cualquier violación de datos personales en cuanto la detecte y, en cualquier caso, en un plazo máximo de 72 horas desde que haya tenido conocimiento de la misma, de conformidad con el artículo 33 del Reglamento (UE) 2016/679 (RGPD).

Si, por motivos objetivos y debidamente justificados, esta notificación no puede realizarse en el plazo de 72 horas, KBINE informará inmediatamente al Cliente indicando los motivos del retraso y la fecha prevista de la notificación completa. La notificación irá acompañada de toda la documentación útil que permita al Cliente, en su caso, informar a la autoridad de control competente.

8.8 – Registro de actividades de tratamiento

KBINE declara mantener por escrito un registro de todas las categorías de tratamientos efectuados por cuenta del Responsable, conforme al RGPD.

8.9 – Información y asistencia al Responsable del tratamiento

A solicitud escrita del Cliente, KBINE proporcionará una asistencia razonable para la realización de evaluaciones de impacto relativas a la protección de datos y para la consulta previa a la autoridad de control competente, previstas por el RGPD. KBINE pondrá a disposición del Responsable toda la información necesaria sobre los tratamientos encomendados para asistirle en el cumplimiento de sus obligaciones legales.

Artículo 9 – Auditorías

A fin de asegurar el cumplimiento de las disposiciones del presente Acuerdo, el Responsable podrá realizar o hacer realizar a sus expensas auditorías organizativas o técnicas, en el respeto de las condiciones previstas en este artículo y en el límite de una (1) auditoría al año y de tres (3) días laborables máximo; el tiempo dedicado por el personal de KBINE se facturará al Responsable.

La auditoría deberá desarrollarse conforme a las normas y requisitos de seguridad de KBINE. Ninguna auditoría estará autorizada, por cualquier motivo, sin el acuerdo previo y por escrito de KBINE. KBINE podrá rechazar a un auditor por ausencia de independencia o conflicto de intereses. En tal caso, el Responsable notificará a KBINE el nombre de otro auditor.

Cada auditoría deberá ser objeto de un convenio de auditoría, puesto a disposición por escrito por el Responsable y aprobado formalmente por KBINE al menos treinta (30) días antes del inicio de la misma. El convenio detallará el perímetro exacto, los límites, exclusiones, objetivos, la naturaleza de las pruebas y la metodología a seguir por los auditores, las fechas y horarios, el procedimiento de escalado en caso de incidente durante la auditoría y los datos de contacto de todas las partes interesadas.

La información obtenida durante la auditoría constituye información confidencial y deberá tratarse como tal por el Responsable. Si la auditoría la realiza un auditor externo, el Responsable se compromete a que este presente garantías suficientes de confidencialidad respecto a la naturaleza de la información a la que podría acceder.

El Responsable se compromete a comunicar gratuita y sistemáticamente el informe de auditoría completo a KBINE, que podrá formular observaciones. Si el informe pone de manifiesto un incumplimiento de las obligaciones del presente Acuerdo, KBINE determinará, con base en sus políticas internas, el plazo desde la recepción de la versión final del informe para corregir los incumplimientos y/o no conformidades detectados.

Artículo 10 – Conservación, supresión y devolución de los datos personales

KBINE se compromete a respetar el periodo de conservación de los datos personales aplicable a los fines para los que fueron recogidos o facilitados y a suprimirlos/anonimizarlos cuando tales fines dejen de existir, sin perjuicio de las obligaciones legales.

KBINE se compromete a mantener a disposición del Cliente, durante toda la vigencia del Contrato, una copia de los datos personales encomendados durante la ejecución del Contrato.

Al finalizar los Servicios, el Cliente podrá recuperar los datos personales encomendados en el marco de la prestación de los Servicios, en las condiciones previstas en el Contrato. Estos datos se pondrán a disposición del Cliente en un formato que garantice su interoperabilidad.

Al finalizar los Servicios y en las condiciones previstas en el Contrato, KBINE se compromete asimismo a destruir los datos personales, sin perjuicio de las obligaciones legales de conservación a las que KBINE pudiera estar sujeta.

Artículo 11 – Responsabilidad

De conformidad con el artículo 82 del RGPD, KBINE es responsable, incluso por actos de sus subencargados, de los daños materiales o morales derivados de un tratamiento encomendado cuando

(i) incumpla las obligaciones que le incumben en virtud del presente Acuerdo, del RGPD o de cualquier otra normativa de protección de datos aplicable, o

(ii) actúe fuera o en contra de las instrucciones lícitas y documentadas del Responsable;

en tales supuestos, y siempre que el Responsable demuestre un nexo causal directo y no haya contribuido al daño, KBINE indemnizará al Responsable por cualquier pérdida, condena, sanción administrativa, gastos o costes razonables resultantes, en los límites permitidos por el derecho aplicable.

Artículo 12 – Integridad del acuerdo

El presente Acuerdo constituye la totalidad del acuerdo entre las Partes respecto a su objeto y sustituye a todos los acuerdos anteriores o simultáneos entre las Partes con el mismo objeto, incluida cualquier versión anterior de acuerdo sobre protección de datos personales firmada entre el Cliente y KBINE.

Artículo 13 – Contacto

Para cualquier pregunta relativa a los tratamientos encomendados en el marco del presente Acuerdo, el Cliente puede contactar con KBINE mediante el formulario de contacto disponible a tal efecto en el sitio de KBINE, o contactando con el servicio de soporte.

KBINE SAS, situada en Francia, es el establecimiento principal de Kabeen en el sentido del artículo 4 del RGPD. La autoridad principal para los tratamientos transfronterizos en el sentido del artículo 56 del RGPD respecto a KBINE es la CNIL.

Artículo 14 – Ley aplicable

EL ACUERDO SE RIGE E INTERPRETA CONFORME A LA LEGISLACIÓN NACIONAL APLICABLE AL RESPONSABLE DEL TRATAMIENTO.