Acuerdo de Encargado de Tratamiento

Última actualización: 19 de noviembre de 2021

PRIMERO: A los efectos del presente documento se entienden por:

 Datos personales: aquella información sobre una persona física identificada o identificable que PARTEE debe tratar para prestar el servicio contratado al CLIENTE, los cuales se detallan en la Política de Privacidad[1] de PARTEE.

Interesado: es la persona física identificada o identificable.

Tratamiento: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

Responsable de Tratamiento o responsable: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento. En este caso el CLIENTE del cualesquiera servicios de PARTEE.

Encargado de Tratamiento o encargado: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del Responsable de Tratamiento. En este caso YNEEDS, YOUR INTELLIGENT IMAGING COMPANY, S.L.U., en adelante PARTEE.

Violación de la seguridad de los datos personales: toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

SEGUNDO.- Que a los efectos del presente documento, el Responsable de Tratamiento ha encomendado al Encargado de Tratamiento la prestación del servicio de check-in de huéspedes, con el fin principal de facilitar el cumplimiento de la normativa sobre libros-registro y partes de entrada de viajeros, y cualquier otra actividad relacionada con el servicio contratado.

TERCERO.- Que para la correcta prestación de los servicios relacionados en el expositivo SEGUNDO, el Responsable de Tratamiento pondrá a disposición del Encargado de Tratamiento datos de carácter personal que contienen datos personales.

CUARTO.- Que en cumplimiento de la normativa vigente en materia de Protección de Datos de Carácter Personal, ambas partes acuerdan libremente regular el acceso y tratamiento de los datos de carácter personal mencionados, en base a los siguientes

ACUERDOS

 PRIMERO.- Objeto: el tratamiento de los datos de carácter personal que el Responsable de Tratamiento pone a disposición del Encargado de Tratamiento para que este pueda prestar los servicios identificados en el expositivo SEGUNDO.

SEGUNDO.- Duración: el presente acuerdo estará en vigor mientras EL CLEINTE sea suscriptor del servicio PARTEE.

TERCERO.- Finalidad del tratamiento: el tratamiento de los datos personales por parte del Encargado de Tratamiento será el exclusivamente necesario para prestar el servicio contratado por el CLIENTE, el cual viene detallado en la Política de Privacidad[2] de PARTEE.

CUARTO.- PARTEE declara que:

– Cuenta con suficiente capacidad técnica para prestar el servicio al CLIENTE cumpliendo con sus obligaciones en relación con la normativa en materia de protección de datos de carácter personal, pudiéndose comprometer, en la medida en que la prestación de los servicios lo requiera, al cumplimiento de las exigencias del RGPD.

– Mantendrá el secreto y la confidencialidad de los datos de carácter personal responsabilidad del CLIENTE, a los que tendrá acceso y tratará los mismos exclusivamente por cuenta del CLIENTE.

– Destinará los citados datos únicamente a la prestación de los servicios contratados por EL CLIENTE, y a no utilizarlos o aplicarlos de ninguna forma que exceda dicha finalidad. En caso de que el CLIENTE solicite algún tratamiento que exceda de la prestación del servicio, lo detallará por escrito a través de las correspondientes instrucciones.

– No comunicará a terceros, ni siquiera para su conservación, los datos a los que tenga acceso en virtud de la prestación de los servicios, ni tampoco las elaboraciones, evaluaciones o procesos similares que lleve a cabo con dichos datos, ni duplicará o reproducirá toda o parte de la información, resultados o relaciones sobre dichos datos, exceptuando aquellos supuestos en que legalmente resulte exigible, o en los supuestos necesarios para la prestación del servicio.

– Pondrá a disposición del CLIENTE la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que razonablemente realice el CLIENTE, u otro auditor en su nombre.

– De ser legalmente necesario, tendrá designado un delegado de protección de datos, o un responsable de la llevanza de esta área y cumplimiento de la legislación de protección de datos, y comunicará su identidad y datos de contacto al CLIENTE.

– Las personas autorizadas en PARTEE para tratar datos personales se comprometerán, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes. – PARTEE proporcionará la formación necesaria en materia de protección de datos personales a las personas autorizadas.

– Dará el apoyo necesario al CLIENTE en la realización de las evaluaciones de impacto y de las consultas previas a la autoridad de control, cuando proceda y sea razonablemente necesario.

– En caso de que PARTEE considere que el cumplimiento de una determinada instrucción del CLIENTE pudiese comportar un incumplimiento del RGPD o de cualesquiera otras normas aplicables que lo modifiquen o complementen, PARTEE lo comunicará inmediatamente al CLIENTE y solicitará que retire, enmiende o confirme la instrucción pertinente. PARTEE podrá suspender la aplicación de la instrucción pertinente a la espera de la decisión del CLIENTE que corresponda respecto a la retirada, enmienda o confirmación de la instrucción correspondiente.

– Al finalizar la prestación de los servicios, CLIENTE suprimirá todos los datos personales, y suprimirá las copias existentes a menos que se requiera la conservación de los datos personales en virtud del Derecho de la Unión o de los Estados miembros;

– Implantará los mecanismos para: (i) garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento; (ii) restaurar la disponibilidad y el acceso a los datos de forma rápida, en caso de incidente físico o técnico; (iii) verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento; y (iv) pseudonimizar y cifrar los datos, en su caso.

– Notificará, como encargado del tratamiento, sin dilación indebida, y en cualquier caso antes del plazo máximo de 24 horas, y a través de correo electrónico, cualquier incidente, sospechado o confirmado, relativo a la protección de los datos, cualquier tratamiento de datos que pueda considerarse ilícito o no autorizado, cualquier pérdida, destrucción o daño de datos de carácter personal dentro del área de responsabilidad de PARTEE (causada por PARTEE, su personal, agentes o subcontratistas) y cualquier incidente que pueda ser considerado una vulneración de seguridad de los datos, junto con toda la información relevante para la documentación y comunicación de la incidencia a las autoridades o a los interesados afectados. Asimismo, asistirá al CLIENTE, en caso de producirse una violación de la seguridad de los datos personales, de manera que se garantice el cumplimiento de las obligaciones de notificación de una violación de la seguridad de los datos personales de acuerdo con el RGPD (en particular, arts. 33 y 34 del RGPD) y de cualesquiera otras normas aplicables que lo modifiquen, complementen o que en el futuro puedan promulgarse.

– Asistirá al CLIENTE cuando éste le requiera mediante solicitud razonable, proporcionándole información y/o documentación que precise para la adecuada respuesta al ejercicio de los derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento y/o portabilidad de datos que pudiera recibir de los interesados, todo ello en plazos razonables.

– En aquellos supuestos que PARTEE recibiera directamente una solicitud de acceso, rectificación, supresión, oposición, limitación del tratamiento y/o portabilidad por el afectado, titular de los datos objeto de tratamiento, se compromete a dar traslado de dicha solicitud al CLIENTE inmediatamente, al objeto de que éste pueda atenderla en los plazos legalmente establecidos.

– No subcontratará los servicios a tercera parte alguna, salvo que sean servicios auxiliares que PARTEE necesita para prestar sus servicios de manera correcta, como por ejemplo los servicios de hosting. En caso de que PARTEE necesite subencargar un tratamiento, informará al CLIENTE de los servicios y tratamientos que pretende subcontratar, de la identidad del subcontratista y de sus datos de contacto. Esta notificación deberá realizarse por escrito por PARTEE con al menos dos semanas de antelación a la firma de la subcontratación.

– No llevará a cabo transferencias internacionales de los datos de carácter personal a los que tenga acceso responsabilidad del CLIENTE, salvo que cuente con la autorización previa y por escrito del CLIENTE o se encuentren debidamente regularizadas.

– Dispondrá de una descripción general de las medidas técnicas y organizativas de seguridad relativas a (i) la seudonimización y el cifrado de datos personales, en su caso; (ii) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento; (iii) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico; y (iv) el proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

– Implementará todas aquellas medidas técnicas y organizativas en materia de seguridad que resulten aplicables de conformidad con lo previsto en el RGPD (en particular y con carácter no limitativo, las previstas en su artículo 32) y en cualesquiera otras normas aplicables que lo modifiquen, complementen o sustituyan. Las medidas de seguridad podrán actualizarse si fuera obligatorio por cualquier norma que en el futuro pudiera promulgarse, si ello afectase de forma relevante a los costes de los servicios contratados, las partes acordarán las medidas oportunas para solventar dicha situación.

– Llevará un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de un responsable que contenga:

1. a) el nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado, y, en su caso, del representante del responsable o del encargado, y del delegado de protección de datos;
2. b) las categorías de tratamientos efectuados por cuenta de cada responsable;
3. c) en su caso, las transferencias de datos personales a un tercer país u organización internacional, y, en el caso necesario, la documentación de garantías adecuadas para dicha transferencia;
4. d) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 30, apartado 1 del RGPD.

Anexo I – Medidas de Seguridad

1. En relación a los proveedores de hosting que utilizamos:
   1. Contratamos únicamente proveedores de hosting situados en el EEE. En la actualidad, los servidores que dan servicio a Partee se encuentran alojados en CPDs ubicados en España.
   2. Son homologados de forma previa para asegurarnos de que cumplen con la normativa de privacidad.
   3. Establecemos acuerdos de encargo de tratamiento de datos con ellos.
2. Confidencialidad permanente de los sistemas y servicios de tratamiento.
   1. Solamente el personal autorizado puede acceder a los datos personales tratados.
   2. El personal solamente puede acceder a los datos personales correspondientes a la naturaleza de las funciones desempeñadas.
   3. La comunicación de datos entre cliente y servidor, o entre servidores, se produce mediante protocolos HTTPS, y por lo tanto encriptados por certificados SSL.
   4. Generamos contraseñas pseudoaleatorias, de longitud superior a 15 caracteres, y cambiamos las contraseñas cada 3 meses.
   5. Nos apoyamos en redes VPN para crear conexiones seguras entre nuestros ordenadores remotos.
3. Resiliencia permanente de los sistemas y servicios de tratamiento.
   1. Actualizamos el software a las últimas versiones disponibles y aplicamos los parches de seguridad que se vayan publicando para minimizar vulnerabilidades, tanto en servidores como en computadoras locales.
   2. Además de los sistemas de control que establecen los proveedores de hosting, PARTEE implementa controles de seguridad adicionales como:
      1. Antivirus
      2. Firewalls
      3. Bloqueadores de IP maliciosas
   3. Detección de software malicioso:
      1. En caso de detectarse un ataque a un sistema, éste se aislará de la red para evitar su extensión.
      2. En dicho caso, además, se enviarán los archivos infectados a cuarentena, y, posteriormente, o se eliminará el código malicioso, o se eliminarán completamente los archivos infectados.
4. Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
   1. Usamos combinación de sistemas de backup proporcionados por los proveedores de hosting y propios, por redundancia.
   2. Disponemos de tecnologías para facilitar una rápida y flexible restauración de los sistemas e informaciones respaldados.
5. Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para la seguridad del tratamiento.
   1. Ejecutamos periódicamente análisis de los sistemas.
   2. Revisamos las comunicaciones en materia de seguridad y alertas emitidas para los sistemas que empleados.
   3. Seguimos las recomendaciones de nuestros proveedores de hosting en cuanto a seguridad.
   4. Realizamos pruebas previas a las actualizaciones, así como copias de seguridad previas a las mismas.
   5. Revisamos periódicamente nuestras políticas, guías y protocolos.

[1] https://partee.es/politica-de-privacidad/

[2] https://partee.es/politica-de-privacidad/