Addendum ES | Ava Review

ANEXO DEL CONTROLADOR DE DATOS

NOMBRAMIENTO DEL RESPONSABLE DEL TRATAMIENTO
El Usuario (en adelante «Responsable del Tratamiento» o «Cliente» o «Responsable del tratamiento»), con aceptación expresa de los Términos y Condiciones de AVA REVIEW (en adelante «Proveedor» o el «Encargado del tratamiento»),
acepta la presente adenda sobre el tratamiento de datos personales, que forma parte integrante de la relación entre las Partes. Este Anexo está firmado de conformidad con el Artículo 28 del Reglamento 679/2016 y regula los métodos con los que el Procesador de datos procesará los datos personales en nombre del Controlador de datos. El Controlador de datos y el Procesador de datos, también pueden denominarse individualmente como la «Parte» y conjuntamente como las «Partes».

MIENTRAS.
– las operaciones de procesamiento de datos personales llevadas a cabo por el Controlador de datos se enumeran en el registro de tratamientos mantenido por el Controlador de datos;
– para algunas operaciones de procesamiento, el Controlador de datos se vale de la colaboración del Proveedor;
– el Proveedor, como parte de los servicios ofrecidos al Controlador de datos, como se detalla mejor en el contrato específico vigente, puede procesar datos personales en nombre del Controlador de datos;
-el Controlador de datos y el Proveedor han firmado un acuerdo para el suministro de una web y tableta integradas para la creación, gestión y envío de solicitudes de revisión («Servicio»), del cual este documento es parte integral;
-con referencia al Servicio puesto a disposición por el Proveedor, este último puede procesar datos personales en poder del Controlador de datos y, más precisamente, datos comunes (nombre, apellidos, datos de contacto) de los clientes finales del Controlador de datos;
– el propósito del procesamiento es proporcionar una solución tecnológica que permita al Controlador de datos utilizar el Servicio;
-de conformidad con el artículo 28.1 del Reglamento (UE) 2016/679, Reglamento General de Protección de Datos (en adelante, «GDPR»), «si un procesamiento debe llevarse a cabo en nombre del Controlador de datos, este último utiliza exclusivamente procesadores de datos».
-el Controlador de datos ha verificado que el Proveedor, nuevamente de conformidad con el Artículo 28.1 del GDPR, presenta «garantías suficientes para implementar medidas técnicas y organizativas adecuadas para que el procesamiento cumpla con los requisitos del Reglamento y asegure la protección de los derechos de la parte interesada».
El Controlador de datos designa al Proveedor como «RESPONSABLE DEL PROCESAMIENTO DE DATOS PERSONALES» (en adelante también simplemente «Administrador» o «Procesador de datos»), con respecto a los datos personales que el Proveedor puede procesar en el desempeño de sus actividades y aquellos que pueden confiarse al Proveedor en el futuro.

De conformidad con el RGPD, la actividad realizada por el Encargado del tratamiento se regirá de la siguiente manera:

1. DURACIÓN. Este nombramiento será efectivo durante toda la duración de la relación del Administrador con el Controlador de datos y se revocará automáticamente en caso de terminación del mismo.

2. FINALIDAD DEL TRATAMIENTO. Los datos que se confían al Administrador, como parte de las actividades que se le confían para el uso del Servicio, pueden procesarse solo para los fines indicados en el mandato encomendado y / o en el contrato estipulado con el Controlador de datos. En particular, los datos serán tratados por el Proveedor con la única finalidad de poder garantizar la prestación del Servicio al Responsable del Tratamiento que, en todo caso, seguirá siendo el único sujeto obligado a comunicar al cliente final las finalidades y obtener el consentimiento para el tratamiento, así como la comunicación de datos a terceros.

3. MÉTODOS DE PROCESAMIENTO. Los datos pueden procesarse en papel o digitalmente, dependiendo de las actividades realizadas, siempre que las herramientas estén debidamente identificadas e inventariadas por el Procesador de datos y comunicadas sistemáticamente al Controlador de datos para su consentimiento. En particular, los datos se procesarán a través de la plataforma de software AVA REVIEW.

4. DEBERES Y DEBERES DE LA PERSONA RESPONSABLE. El Procesador de datos, según lo requerido por el Artículo 28 del GDPR, se compromete a:

(a) procesar los datos personales confiados solo bajo instrucciones documentadas del Controlador de datos, incluso en el caso de transferencia de datos personales a un tercer país, a menos que la ley disponga lo contrario. En este caso, el Procesador de datos está obligado en cualquier caso a informar al Controlador de datos;

b) garantizar que las personas autorizadas para tratar el tratamiento se han comprometido a guardar confidencialidad o tienen una obligación legal adecuada de confidencialidad. A tal efecto, el Encargado del Tratamiento verifica periódicamente que los responsables: (i) llevan a cabo el tratamiento de manera lícita y correcta, exclusivamente con la finalidad de prestar los servicios objeto de la relación contractual entre las Partes; (ii) procesar datos personales únicamente para fines relacionados con las tareas que se les encomiendan; (iii) no comunicar o difundir datos personales sin la autorización previa del Controlador de datos; (iv) verificar, incluso en caso de interrupción temporal del trabajo, que los datos personales procesados no son accesibles a terceros no autorizados; (v) mantener y mantener las credenciales de autenticación estrictamente confidenciales; (vi) cumplir con las medidas de seguridad requeridas por el Controlador de datos y / o el Controlador de datos;

(c) garantizar una formación adecuada y probada para las personas autorizadas a procesar de conformidad con el artículo 29 del RGPD;

d) adoptará, de conformidad con el artículo 32 del RGPD, todas las medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad adecuado al riesgo, teniendo en cuenta el estado de la técnica y los costes de aplicación, así como la naturaleza, el objeto, el contexto y los fines del tratamiento, así como el riesgo de probabilidad y gravedad variables de los derechos y libertades de las personas físicas, con el fin de minimizar los riesgos de destrucción o pérdida, incluso accidental de los datos, acceso no autorizado o procesamiento que no está permitido o no cumple con los fines de la recopilación

e) informar al Controlador de datos, de conformidad con el Artículo 28 GDPR, si es necesario utilizar otro Procesador de datos;

f) ayudar al Responsable del tratamiento en el cumplimiento de las obligaciones legales previstas en los artículos 32 (Seguridad del tratamiento), 33 (Notificación de la violación de la seguridad de los datos personales a la autoridad de control), 34 (Notificación de una violación de la seguridad de los datos personales al interesado), 35 (Evaluación de impacto de la protección de datos), 36 (Consulta previa), teniendo en cuenta la naturaleza del tratamiento y la información de que dispone el responsable del tratamiento.

g) prever la actualización, modificación, corrección de los datos personales si es necesario en relación con los fines del procesamiento, y eliminar o devolver de inmediato, a petición del Controlador de datos, todos los datos personales y copias existentes de los cuales el Procesador de datos esté en posesión sin poder conservar ninguna copia, a menos que se acuerde expresamente lo contrario o se exija por ley. En cualquier caso, eliminar y/o destruir, según lo exija la ley (como la «eliminación» de datos digitales), los datos personales cuando los fines para los que se recopilaron y procesaron los datos se hayan logrado en ausencia de una obligación legal o la necesidad de un almacenamiento adicional;

h) permitir que el Controlador de datos ejerza el poder de control mencionado en el Artículo 28 GDPR: en este contexto, poner a disposición del Controlador de datos toda la información necesaria para demostrar el cumplimiento de las obligaciones de este Anexo y para demostrar el cumplimiento de las obligaciones legales y permitir actividades de verificación (Auditoría), llevadas a cabo por el Controlador de datos o por terceros designados por el Controlador de datos, con el fin de determinar el cumplimiento de estos métodos de procesamiento de datos y el cumplimiento de los requisitos legales. El Controlador de datos tendrá derecho a verificar, con un aviso de al menos 20 (veinte) días hábiles, también en la sede del Controlador de datos, la conformidad de los procedimientos adoptados por este último con lo indicado en este Anexo o requerido por la ley;

i) se comprometen a cumplir con la Disposición General del Garante para la Protección de Datos Personales de 27 de noviembre de 2008 «Medidas y expedientes prescritos para los propietarios de tratamientos realizados con instrumentos electrónicos en relación con las atribuciones de las funciones de administrador del sistema» modificada por la Ordenanza del Garante de 25 de junio de 2009 «Enmiendas a la disposición de 27 de noviembre de 2008 que contiene prescripciones para controladores de datos realizadas con instrumentos electrónicos con con respecto a las funciones del administrador del sistema y la prórroga de los plazos para su cumplimiento», posiblemente modificadas o sustituidas por el mismo Garante, y cualquier otra disposición pertinente de la Autoridad;

j) colaborar para la aplicación exacta de la ley, también a través de reuniones periódicas y actuar dentro del alcance y dentro de los límites de sus funciones, de forma autónoma, pero siempre de acuerdo con las directrices establecidas por el Controlador de datos.

5. SUPERVISIÓN. El Controlador de datos puede monitorear el cumplimiento oportuno de las instrucciones dadas en este documento al Procesador de datos y verificará el cumplimiento de los requisitos de experiencia, capacidad y confiabilidad que han influido en la designación del Procesador de datos.

6. INCUMPLIMIENTO. Se informa al Procesador de datos que en caso de violación de las disposiciones de la ley al determinar independientemente los propósitos y medios del Procesamiento, o ignorar las instrucciones recibidas del Controlador de datos, se considerará el Controlador de datos en cuestión;

7. ASISTENCIA AL CONTROLADOR DE DATOS EN CASO DE VIOLACIÓN. En caso de violación de datos personales, el Proveedor se compromete a informar al Controlador de datos sin demora indebida desde el momento en que tenga conocimiento de la violación. El Proveedor ayudará al Controlador de datos iniciando un análisis preliminar destinado a recopilar datos relacionados con la anomalía y completar un formulario de evento, que contiene toda la información recopilada y disponible en ese momento, como, a modo de ejemplo y no limitado a:
– Fecha del evento, también la fecha presunta de ocurrencia de la violación (en cuyo caso debe especificarse)
– Fecha y hora en que se tuvo conocimiento de la violación;
– Fuente de notificación;
– Tipo de violación e información involucrada;
– Descripción del evento anómalo;
– Número de partes interesadas implicadas;
– Numerosos datos personales que se presume que han sido violados;
– Indicación de la fecha, incluida la supuesta fecha, de la violación y cuándo se convirtió en
Conocimiento;
– Indicación del lugar donde se produjo la violación de datos, especificando también si se produjo
como resultado de la pérdida de dispositivos o medios portátiles;
– Descripción resumida de los sistemas de tratamiento o almacenamiento de datos implicados, indicando
su ubicación.

8. CONFIDENCIALIDAD. El Procesador de datos se compromete a mantener estrictamente confidencial y confidencial y a utilizar solo para el cumplimiento de las obligaciones derivadas del contrato, cualquier información relacionada con la otra Parte y / o aquellos involucrados en el procesamiento de datos personales y
/ o productos, servicios, organización, estrategia comercial o técnica recibida de la otra Parte o de la que tengan conocimiento durante la ejecución del contrato relacionado con el Servicio (de en adelante, «Información confidencial»). El Procesador se compromete a no utilizar la Información confidencial fuera de los fines establecidos en este acuerdo, ni a divulgarla a personas no cubiertas por este acuerdo, sin la aprobación por escrito del Propietario. El Administrador tomará todas las medidas necesarias para no divulgar o poner a disposición de terceros de ninguna manera la Información confidencial del Controlador de datos y / o partes interesadas, y en cualquier caso será directamente responsable ante el Propietario por cualquier violación por parte de sus empleados y / o subcontratistas de las obligaciones de confidencialidad mencionadas en este artículo. Las disposiciones de este artículo no se aplican ni dejan de aplicarse a la información individual que el Propietario pueda demostrar: (i) ya ha entrado en el dominio público por razones distintas a la violación por parte del propio Propietario; (ii) ya eran conocidos antes de ser recibidos por el Controlador de datos; (iii) ha sido divulgado o divulgado de conformidad con una orden legal de cualquier autoridad o en virtud de una obligación legal. La Información confidencial divulgada seguirá siendo propiedad del Controlador de datos. Previa solicitud por escrito del Controlador de datos, dicha información será devuelta o destruida por el Procesador de datos.

9. CAMBIOS Y ADICIONES. Las Partes tienen el derecho de realizar los cambios y ajustes a este Acuerdo que puedan ser necesarios en cualquier momento, incluso para cumplir con cualquier actualización regulatoria. Cualquier solicitud de modificación debe ser comunicada al Administrador por carta certificada con acuse de recibo o correo electrónico certificado. Tras la solicitud de modificación antes mencionada, el Administrador tendrá 60 días para rescindir el contrato. Después de este período, los cambios se considerarán aceptados por el Procesador de datos. Para todo lo no previsto expresamente en este acuerdo, consulte las disposiciones generales vigentes en materia de protección de datos personales.

10. LEYES APLICABLES. En caso de cualquier disputa relacionada con la validez, interpretación, ejecución y terminación de este Anexo, las Partes acuerdan buscar una solución justa y amistosa entre ellas. Si la disputa no se resuelve de manera amistosa, se considerará que cae dentro de la jurisdicción exclusiva de la Autoridad Judicial del Tribunal de Roma. Para la resolución de cualquier disputa relacionada con la validez, interpretación, ejecución y terminación de este contrato, se aplicará la ley italiana.

Se entiende que dicho nombramiento no implica ningún derecho del Proveedor a ninguna compensación y / o compensación y / o reembolso específico derivado de dicho nombramiento, más allá de lo ya previsto en los términos y condiciones.