nordpass logo

Acuerdo de tratamiento de datos (comercial)

Última actualización: 27/09/21

Número de versión: 2.0

Previous version (1.0)

Considerando lo siguiente

El Cliente («Responsable del tratamiento») y NordPass («Encargado del tratamiento»);

El Responsable del tratamiento y el Encargado del tratamiento se denominan en lo sucesivo colectivamente las «»;

  1. El Procesador de datos provee Servicios al Controlador de datos bajo NordPass Términos del servicio (Business) (“Términos”) disponible en la página web del Procesador de datos;
  2. Mientras proporciona los Servicios, el Encargado del tratamiento procesa los datos personales en nombre del Responsable del tratamiento y siguiendo sus instrucciones;
  3. Las Partes desean establecer sus derechos y obligaciones con respecto al tratamiento de datos personales descrito anteriormente;

Se concluye el presente acuerdo de tratamiento de datos (el «Acuerdo»).

Definiciones

Salvo que se indique expresamente lo contrario en el presente Acuerdo, las definiciones o palabras en mayúscula empleadas en este Acuerdo tendrán el significado que se les asigna en los Términos o como se indica a continuación:

Leyes de protección de datos aplicables: todas las leyes y reglamentos en materia de privacidad y protección de datos a escala mundial, incluido, cuando corresponda, el RGPD;

EEA: Espacio Económico Europeo (todos los Estados miembros de la Unión Europea, Reino Unido, Islandia, Noruega y Liechtenstein);

RGPD: el reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 y relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos de carácter personal y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos);

Tratamiento: cualquier operación o conjunto de operaciones que se realiza con información personal o conjuntos de información personal, ya sea por medios automatizados o no automatizados, incluida la recopilación, registro, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación por transmisión, difusión o de otro modo poner a disposición, alineación o combinación, restricción, supresión o destrucción;

Persona: persona física cuyos Datos personales se procesan;

Personal Data: cualquier información sobre una persona física identificable;

Cláusulas contractuales estándar (SCC, por sus siglas en inglés): cláusulas contractuales estándar para la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (decisión de ejecución de la Comisión 2021/914 de 4 de junio de 2021), actualizadas o reemplazadas cada cierto tiempo;

Subencargado: una entidad contratada por el Encargado del tratamiento que acepta recibir Datos personales del Encargado del tratamiento destinados exclusivamente a las actividades de Procesamiento que se llevarán a cabo como parte de los Servicios.

Aplicación del presente Acuerdo

  1. El presente Acuerdo se aplica si el Tratamiento de los Datos personales se rige por el RGPD. Si el Acuerdo se aplica, será legalmente vinculante entre las Partes y formará parte integral de los Términos.
  2. Salvo que se acuerde lo contrario en este Acuerdo (incluidas las SCC, si corresponden), los Términos se aplican entre las Partes en su totalidad.

Disposiciones y obligaciones generales

  1. El Encargado del tratamiento se compromete a Tratar los Datos personales únicamente de conformidad con las instrucciones comunicadas cada cierto tiempo por parte del Responsable del tratamiento. Las instrucciones iniciales que el Responsable del tratamiento comunica al Encargado del tratamiento con respecto al objeto y la duración del Tratamiento, la naturaleza y el propósito del Tratamiento, el tipo de Datos personales y las categorías de Personas se establecen en el presente Acuerdo.
  2. Al Tratar Datos personales en virtud del presente Acuerdo, el Responsable del tratamiento deberá cumplir con todas las leyes de protección de datos aplicables y las recomendaciones de las autoridades supervisoras competentes.
  3. El Responsable del tratamiento no tomará ninguna medida que pueda causar que el Encargado del tratamiento infrinja las leyes de protección de datos aplicables.
  4. Al firmar el Acuerdo, el Responsable del tratamiento confirma que:
    • Todos los Datos personales Tratados en virtud del presente Acuerdo se recopilan legalmente;
    • Se cumplen todas las condiciones que permiten la transferencia de Datos personales al Responsable del tratamiento fuera del EEE;
    • Todas las Personas recibieron información adecuada sobre el uso de los Servicios del Encargado del tratamiento y el Responsable del tratamiento envió a las Personas toda la información necesaria en virtud de las leyes de protección de datos aplicables.
  5. Todas las instrucciones establecidas en el presente Acuerdo son exhaustivas y reflejan la voluntad del Responsable del tratamiento. Cualquier instrucción adicional o alternativa por parte del Responsable del tratamiento se deberá acordar entre las Partes por separado y por escrito.
  6. El Encargado del tratamiento:
    • No evaluará ninguna instrucción del Responsable del tratamiento, que será responsable de que las instrucciones sean totalmente legales y cumplan con las leyes de protección de datos aplicables. Si el Encargado del tratamiento considera que alguna de las instrucciones infringe claramente las leyes de protección de datos aplicables, deberá notificarlo al Responsable del tratamiento.
    • Teniendo en cuenta la naturaleza del Tratamiento, el Encargado del tratamiento ayudará al Responsable del tratamiento, a cargo del Responsable del tratamiento, a garantizar el cumplimiento del Responsable del tratamiento con las obligaciones de conformidad con las leyes de protección de datos aplicable proporcionando la información solicitada por el Responsable del tratamiento.
    • En el improbable caso de que se produzca una infracción de seguridad, el Encargado del tratamiento deberá notificárselo al Responsable del tratamiento sin dilación indebida después de tener conocimiento de cualquier infracción de seguridad relacionada con los Datos personales Procesados en virtud del presente Acuerdo.

Instrucciones de tratamiento

  1. Los Datos personales en virtud del presente Acuerdo se Tratarán con la finalidad de prestar los Servicios al Responsable del tratamiento de conformidad con los Términos. La naturaleza, el propósito, el objeto y otros detalles de las actividades de Tratamiento realizadas como parte de los Servicios se establecen en el Anexo I del presente Acuerdo.

Divulgación de Datos personales

  1. El Encargado del tratamiento se compromete a no divulgar ningún Dato personal tratado a ningún tercero, excepto mediante el uso de Subencargados, tal y como se especifica en el presente Acuerdo, a menos que los Datos personales se revelen como parte de una solicitud de información de terceros de conformidad con la legislación vigente o como parte de solicitudes legítimas de fuerzas del orden o de otras autoridades competentes.
  2. El Responsable del tratamiento autoriza al Encargado del tratamiento a utilizar Subencargados para cumplir con sus obligaciones según los establecido en el presente Acuerdo (proporciona autorización adicional) siempre que el Encargado del tratamiento mantenga una lista de Subencargados y, al recibir una solicitud por escrito del Responsable del tratamiento, le proporcione dicha lista. En caso de que exista un nuevo Subencargado, el Encargado del tratamiento informará al Responsable del tratamiento al respecto. El Encargado del tratamiento permitirá que el Responsable del tratamiento se oponga a cualquier cambio relacionado con la incorporación o sustitución de Subencargados de la lista anteriormente mencionada. Para ello, deberá remitir al Encargado del tratamiento una objeción argumentada y específica por escrito.
  3. El Encargado del tratamiento se asegurará de que los Subencargados asuman obligaciones similares por escrito a las acordadas en el presente Acuerdo. El Encargado del tratamiento seguirá siendo plenamente responsable ante el Responsable del tratamiento de sus obligaciones en materia de protección de datos si los Subencargados no cumplen con dichas obligaciones.

Transferencia a terceros países

  1. El Encargado del tratamiento puede transferir los Datos personales a un país fuera del EEE según sea razonablemente necesario para proporcionar los Servicios, siempre que el Encargado del tratamiento garantice un nivel adecuado de protección y cumpla con otras obligaciones a las que está sujeto de conformidad con el presente Acuerdo.
  2. Cuando se requiera que las Partes suscriban las SCC de conformidad con las leyes de protección de datos aplicables, las SCC se incorporarán por la presente mediante esta referencia a este Acuerdo como legalmente vinculantes y debidamente ejecutadas entre las Partes, y:
    • El Responsable del tratamiento se considerará el «exportador de datos» y el Encargado del tratamiento se considerará el «importador de datos»;
    • Las Partes seleccionan «MÓDULO DOS: transferencia del encargado al responsable» como módulo aplicable para la relación en virtud de los Términos y el Acuerdo;
    • Las Partes incluyen la cláusula de acoplamiento opcional en las SCC. Las partes que transfieran Datos personales a la nueva parte o que reciban Datos personales de la misma asumirán las obligaciones del importador o exportador de datos, según corresponda, en relación con la nueva parte;
    • Las partes seleccionan OPCIÓN 2: AUTORIZACIÓN GENERAL POR ESCRITO para el uso de Subencargados en la cláusula 9 de las SCC y la formulan de la siguiente manera: «El importador de datos cuenta con la autorización general del exportador de datos para la contratación de subencargados de una lista acordada. El importador de datos informará específicamente al exportar de datos por escrito de cualquier cambio previsto en esa lista mediante la incorporación o sustitución de subencargados con al menos 20 días de antelación, dando así al exportador de datos tiempo suficiente para poder oponerse a dichos cambios antes de la incorporación de los subencargados. El importador de datos proporcionará al exportador de datos la información necesaria para que el exportador de datos pueda ejercer su derecho de oposición»;
    • Las partes acuerdan que la Autoridad de Protección de Datos de los Países Bajos será la autoridad supervisora competente para asuntos relacionados con transferencias de Datos personales a terceros países en virtud del presente Acuerdo. En todos los casos en los que las SCC requieran especificar un país o un Estado miembro (especialmente en las cláusulas 17 y 18), las partes acuerdan utilizar los Países Bajos como su selección principal;
    • El Anexo I del Acuerdo se considerará como Anexo I y II de las SCC.

Principios de seguridad de los Datos personales

  1. Para ayudar al Responsable del tratamiento a cumplir con las obligaciones legales, incluida, entre otras, la implementación de medidas de seguridad de Datos personales adecuadas, el Encargado del tratamiento tomará las medidas técnicas y organizativas adecuadas para proteger los Datos personales. Las medidas garantizarán un nivel de seguridad adecuado, teniendo en cuenta lo siguiente:
    • Los riesgos particulares asociados con el Tratamiento de Datos personales.
    • Los costes de las medidas.
    • Las capacidades técnicas existentes.
  2. El Encargado del tratamiento implementará suficientes medios técnicos y organizativos para garantizar un nivel de seguridad adecuado al riesgo que, en su caso, incluya:
    • la capacidad de garantizar la integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de Tratamiento de Datos personales.
    • la posibilidad de restaurar las condiciones y el acceso a los Datos personales de forma rápida en caso de incidente físico o técnico.
    • la evaluación periódica de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad, verificación, evaluación y rendimiento del Tratamiento de Datos personales.
  3. El Encargado del tratamiento se asegurará de que los Subencargados autorizados para Tratar los Datos personales se hayan comprometido a mantener la confidencialidad o estén sometidos a una obligación legal de confidencialidad adecuada.

Tramitación de las solicitudes de Personas

  1. El Responsable del tratamiento procesará y responderá a las consultas o solicitudes de cada Persona para ejercer sus derechos en virtud de las leyes de protección de datos aplicables, que incluyen, entre otras cosas, el acceso a la información que se tiene sobre la Persona, y las solicitudes para eliminar o corregir lo Datos personales o restringir el Tratamiento relacionado con la Persona.
  2. El Encargado del tratamiento remitirá al Responsable del tratamiento todas las consultas o solicitudes de las Personas para ejercer sus derechos dirigidas directamente al Encargado del tratamiento.
  3. Cuando el Responsable del tratamiento no pueda ejercer los derechos de la Persona, puede solicitar ayuda al Encargado del Tratamiento para que le proporcione información relacionada con el Tratamiento de Datos personales en virtud del presente Acuerdo.

Derecho a llevar a cabo una auditoría

  1. Cuando sea razonablemente necesario, el Responsable del tratamiento tendrá derecho a tomar medidas para verificar el cumplimiento del Encargado del tratamiento con los términos del presente Acuerdo. El Responsable del tratamiento tendrá derecho a solicitar una auditoría que llevará a cabo una empresa de auditoría externa independiente, acreditada y reconocida que acuerden ambas Partes.
  2. Esta auditoría solo se llevará a cabo cuando exista una sospecha específica y fundada de un uso indebido de los Datos personales, y solo después de que el Responsable del tratamiento haya solicitado y evaluado otros informes similares del Encargado del tratamiento y haya presentado argumentos razonables para justificar la necesidad de una auditoría por parte del Responsable del tratamiento. Dicha auditoría está justificada si los informes similares que el Encargado del tratamiento tiene disponibles brindan respuestas insuficientes o no concluyentes con respecto al cumplimiento del presente Acuerdo por parte del Encargado del tratamiento.
  3. Para evitar confusiones, ni el Responsable del tratamiento ni el auditor designado deberán ser un competidor del negocio del Encargado del tratamiento y, bajo ninguna circunstancia, el Responsable de datos o el auditor seleccionado podrán tener acceso a la información confidencial del Encargado del tratamiento, información de los demás clientes del Encargado del tratamiento ni a ninguna información de terceros con los que el Encargado del tratamiento tenga un deber de confidencialidad.
  4. Cualquier auditoría realizada por el Responsable del tratamiento se llevará a cabo durante el horario comercial habitual de una forma que no interrumpa las actividades del Encargado del tratamiento, previa notificación razonable de no menos de 2 meses al Encargado del tratamiento y sujeta a la máxima confidencialidad, tal y como se indica a continuación. El Responsable del tratamiento es responsable de todos los costes y tarifas relacionados con dicha auditoría, incluidos todos los costes y tarifas por todo el tiempo que el Encargado del tratamiento gaste para dicha auditoría, además de las tarifas por los servicios de asistencia realizados por el Encargado del tratamiento y cualquier gasto en el que incurra el Encargado del tratamiento. Antes del inicio de dicha auditoría, las Partes acordarán mutuamente el momento, la duración y el alcance de la auditoría, que no implicará el acceso físico a los servidores desde los que se proporcionan los Servicios de Tratamiento de datos. El Responsable del tratamiento notificará de inmediato al Encargado del tratamiento cualquier incumplimiento que descubra durante el curso de una auditoría. El Responsable del tratamiento no podrá auditar al Encargado del tratamiento más de una vez al año.
  5. La información descubierta en el curso de una auditoría se tratará como «Información confidencial» y estará sujeta a la Sección «Confidencialidad» de los Términos.

Período

  1. Este Acuerdo se aplicará durante todo el período en que el Encargado del tratamiento Trate Datos personales en nombre del Responsable del tratamiento.
  2. Una vez rescindido el Acuerdo, el Encargado del tratamiento deberá eliminar o devolver al Responsable del tratamiento los Datos personales según lo dispuesto en los Términos. Los Datos personales se eliminarán o se harán irrecuperables/anonimizarán, aparte de dichas copias, según lo autorizado en los Términos del presente Acuerdo, o se exigirá que se mantengan de conformidad con la legislación aplicable.

Reembolso

  1. El Encargado del tratamiento tendrá derecho a cualquier reembolso de los gastos, costes y tarifas razonables en los que haya incurrido como resultado de las instrucciones inexactas, incompletas o ilegales del Responsable del tratamiento o como resultado de la ausencia de instrucciones del Responsable del tratamiento.

Responsabilidad

  1. La responsabilidad del Encargado del tratamiento, en conjunto, que surja o esté relacionada con el presente Acuerdo, ya sea contractual, extracontractual o en virtud de cualquier otra teoría de responsabilidad, estará sujeta a las limitaciones y exclusiones establecidas en los Términos. «Responsabilidad del Encargado del tratamiento» significará la responsabilidad agregada del Encargado del tratamiento en virtud de los Términos y el presente Acuerdo de forma conjunta.

Disposiciones diversas

  1. Todas las notificaciones entre las Partes se realizarán de acuerdo con las disposiciones de los Términos.
  2. Este Acuerdo se regirá según lo dispuesto en los Términos. Asimismo, cualquier disputa o reclamación que surja del presente Acuerdo se resolverá de acuerdo con los dispuesto en los Términos.
  3. En caso de discrepancia entre el presente Acuerdo, los Términos y cualquier otro contrato que regule cuestiones de protección de datos entre las Partes, las disposiciones del presente Acuerdo prevalecerán sobre cualquier otra disposición contractual.

ANEXO I

Descripción e instrucciones para el Tratamiento

Propósitos y naturaleza del procesamiento
Para proveer Servicios al Controlador de datos tal y como se establece en los Términos o como indique el Controlador de datos.
Categorías de los sujetos
Los empleados, clientes del Controlador de datos y terceras partes (personas naturales) autorizadas por el Controlador de datos.
Categorías de datos personales
El Procesador de datos procesa información relacionada con el uso del Servicio, como información de contacto de la organización, registro de cuenta e información de inicio de sesión, correos electrónicos del usuario, información relacionada con el puesto y estatus del usuario, invitaciones, referencias, estado de la contraseña, información filtrada, información básica del dispositivo, (nombre del dispositivo, dirección IP, sistema operativo), registros de actividad y correo electrónico, intentos de autenticación, metadatos sobre los elementos dentro del almacén personal (borrado, utilizado por última vez, tipo, derechos de acceso, envíos pendientes), diagnósticos de la aplicación, otra información puede ser requerida por el Controlador de datos.
Duración y frecuencia del procesamiento
El Procesamiento se realiza de forma continuada durante el periodo de provisión de los Servicios al Controlador de datos.
Sujeto, naturaleza y duración del procesamiento de los Subprocesadores
Los Subprocesadores son parte integral de los Servicios ofrecidos al Controlador de datos. Los Subprocesadores son empleados en todas las fases de la provisión del Servicio y los Datos personales son procesados siempre que sean necesarios para ofrecer el Servicio.
Descripción de las medidas técnicas y organizacionales implementadas por el Procesador de datos

Control de activos en la infraestructura de servidores

  • La información de la empresa se mantiene en servidores cifrados seguros y físicamente inaccesibles.
  • La empresa realiza una evaluación de seguridad del centro de datos antes de incorporar un nuevo proveedor.
  • Toda la infraestructura está protegida por «firewalls» y otras medidas de seguridad.

Evaluación de vulnerabilidades y corrección

  • La seguridad de los datos de los clientes está protegida por un equipo de seguridad interno y consultores externos que realizan pruebas de penetración periódicas para los sitios web y aplicaciones de la empresa.
  • Se realizan evaluaciones de vulnerabilidad automatizadas periódicas y se toman acciones correctivas.

Gestión de acceso

  • El acceso a los datos personales solo se concede a las personas que requieren datos personales para llevar a cabo sus funciones (sobre la base de la necesidad de conocerlos).
  • Software de ACL utilizado para la detección y prevención de fraudes y la gestión de riesgos. Esto ayuda a garantizar que solo las personas adecuadas tengan acceso a la información confidencial.
  • La empresa utiliza VPN y servidores intermediarios para acceder a la infraestructura de red desde ubicaciones remotas.
  • Los privilegios de nivel de administrador para la infraestructura de la empresa están restringidos a un número limitado de empleados.
  • La empresa utiliza software de gestión de la configuración que automatiza el aprovisionamiento en la nube, la gestión de la configuración, la implementación de aplicaciones, la orquestación dentro del servicio y otras necesidades informáticas. El software tiene un motor de control de acceso basado en funciones que permite a la empresa establecer fácilmente políticas sobre quién puede gestionar determinadas automatizaciones en entornos concretos, para garantizar que solo las personas adecuadas tengan la capacidad de acceder a las máquinas y aplicar la configuración.
  • La empresa supervisa las cuentas de sus empleados para eliminar aquellas cuentas que son irrelevantes o están inactivas.

Capacidad de recuperación de datos

  • Si se produce cualquier fallo, es posible restaurar datos personales e información crítica a partir de copias de seguridad. Las copias de seguridad están cifradas y los datos se registran periódicamente en archivos de datos en distintas ubicaciones físicas fuera de las instalaciones de la empresa.

Gestión y respuesta a incidentes

  • La empresa ha establecido procedimientos para detectar incidentes, responder con precisión y mitigar los incidentes para evitar que se produzcan daños en los datos.
  • La empresa cuenta con un equipo especializado en la gestión de incidentes las 24 horas del día, los 7 días de la semana.

Control de activos de software y hardware

  • La empresa mantiene el inventario de dispositivos y puede detectar y bloquear cualquier dispositivo no autorizado.
  • Los ordenadores que la empresa proporciona a sus empleados tienen instalados sistemas de gestión de dispositivos móviles que garantizan la seguridad del equipo, el software se actualiza de forma adecuada y oportuna y los datos se destruyen de forma segura en caso de pérdida del equipo.
  • Los empleados autorizados son responsables de la seguridad de los dispositivos de la empresa: instalación y actualización de antivirus, «firewalls» y otras medidas de seguridad.
  • El Encargado del tratamiento requiere el uso de identificaciones de usuario únicas, contraseñas seguras, autenticación de dos factores en la mayoría de las aplicaciones y listas de acceso cuidadosamente supervisadas para minimizar la posibilidad de un uso no autorizado de las cuentas. Los empleados solo pueden acceder a la mayoría de los sistemas que contienen Datos personales a través de direcciones IP previamente aprobadas.
  • Los empleados acceden a la red a través de túneles cifrados (VPN). La empresa también utiliza el aislamiento del cliente para evitar que un dispositivo conectado a la red a través de una conexión inalámbrica acceda a los recursos conectados a la red mediante una conexión por cable.
  • Se realizan actualizaciones de software y firmware periódicamente. Las vulnerabilidades críticas identificadas se corrigen de inmediato.

Seguridad física

  • Solo las personas autorizadas por la empresa pueden acceder a las instalaciones de la empresa. Las visitas, socios y clientes deben registrarse al acceder a las instalaciones principales de la empresa y firmar acuerdos de confidencialidad. Las terceras personas solo pueden acceder a las instalaciones de la empresa acompañadas por empleados de la propia empresa.
  • Los empleados de la empresa solo pueden acceder a las instalaciones con tarjetas de acceso que recopilan información sobre su uso. Todas las instalaciones cuentan con sistemas de alarma operativos monitorizados por empresas de seguridad.
  • Para garantizar que únicamente las personas autorizadas accedan a las instalaciones de la empresa, la empresa dispone de servicios de videovigilancia en los puntos de entrada y pasos.
  • Los empleados deben almacenar los documentos y archivos de datos de forma adecuada y segura y abstenerse de realizar copias innecesarias. Los documentos en papel confidenciales se almacenan en taquillas o cajas fuertes.
Las medidas técnicas y organizacionales llevadas a cabo por los Subprocesadores
El Procesador de datos implementa medidas organizacionales para velar por que las prácticas de seguridad llevadas a cabo por los Subprocesadores cumplan con las medidas de protección establecidas en el Acuerdo con respecto a la protección de los Datos personales (dependiendo de la naturaleza de los servicios provistos por un Subprocesador).