Encargado de tratamiento

De acuerdo con la normativa de protección de datos, un contrato de tratamiento de datos vincula a cada parte responsable que tenga datos personales procesados en nombre del CLIENTE. Tan pronto como almacene o procese datos personales en nuestros sistemas, se protegen legalmente de acuerdo con el art. 28 del Reglamento General de Protección de Datos (RGPD) y 33 de la Ley Orgánica de Protección de datos y garantía de los derechos digitales (LOPDGDD).

Por esta razón, en INNOVACIÓN RIOJANA DE SOLUCIONES IT, SL (en adelante IR SOLUCIONES) ofrecemos a nuestros CLIENTES las garantías contractuales necesarias en los servicios que puedan existir accesos a datos personales; y que básicamente, corresponde a alguno de los siguientes:

• Servicio Soluciones de Software.
• Servicio Soluciones de Sistemas.

Las ventajas para usted

• IR SOLUCIONES confirma la implementación de los requisitos legales de protección de datos conforme a la ley.
• IR SOLUCIONES garantiza a sus CLIENTES que los datos se procesan de forma segura.

Objeto del contrato

IR SOLUCIONES sólo trata los datos conforme a las instrucciones documentadas del CLIENTE responsable del tratamiento, y no los utiliza para fin distinto al que figura en las condiciones contractuales de aplicación.

Cumplida la prestación de los servicios los datos son destruidos, al igual que cualquier soporte o documentos en los que conste algún dato de carácter personal o cualquier tipo de información que se haya generado durante, para y/o por la prestación de los servicios. No obstante, IR SOLUCIONES podrá mantener debidamente bloqueados los citados datos durante el período en el cual se puedan derivar responsabilidades de su relación con el CLIENTE.

En el caso de que IR SOLUCIONES destine los datos a otra finalidad o los comunique o utilice incumpliendo del presente contrato será considerado también responsable del tratamiento.

El CLIENTE autoriza a IR SOLUCIONES, en su calidad de encargado del tratamiento, a subcontratar con terceros, en nombre y por cuenta del CLIENTE, los servicios que fueran necesarios para posibilitar la prestación de los servicios contratados, respetando en todo caso las obligaciones impuestas por el RGPD y su normativa de desarrollo. En cualquier momento, el CLIENTE puede dirigirse a IR SOLUCIONES para conocer la identidad de las entidades subcontratadas para la prestación de los servicios indicados, las cuales actúan de conformidad con los términos previstos en este documento y previa formalización con IR SOUCIONES de un contrato de tratamiento de datos conforme a la normativa vigente.

Obligaciones del encargado de tratamiento

El encargado del tratamiento y todo su personal se obliga a:

• Informar inmediatamente al responsable si considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos.
• Mantener el deber de secreto respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice el contrato.
• No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles.
• Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente.
• Mantener a disposición del responsable la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior.
• Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.
• Notificar las violaciones de la seguridad de los datos: El encargado del tratamiento notificará al responsable del tratamiento, sin dilación indebida y a través del medio que le indique el responsable, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia.

Se facilitará, como mínimo, la información siguiente:

• Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
• Datos de la persona de contacto para obtener más información.
• Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.
• Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
• Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.
• Poner disposición del responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el responsable u otro auditor autorizado por él.
• Auxiliar al responsable de tratamiento a implantar las medidas de seguridad necesarias para:
• Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
• Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
• Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento.
• Que el responsable pueda cumplir con su obligación de responder a las solicitudes relativas al ejercicio de derecho, siempre que sea posible.
• A llevar a cabo el tratamiento de los datos personales en dispositivos portátiles únicamente por los usuarios o perfiles de usuarios asignados a la prestación de los servicios.

IR SOLUCIONES no se hace responsable del incumplimiento de las obligaciones derivadas del RGPD o de la normativa correspondiente en materia de protección de datos por parte del CLIENTE en lo que a su actividad le corresponda y que se encuentre relacionado con la ejecución del contrato o relaciones comerciales que les unan. Cada parte hará frente a la responsabilidad que se derive de su propio incumplimiento de las obligaciones contractuales y de la propia normativa.

Obligaciones del responsable del tratamiento

Corresponde al responsable del tratamiento:

• Entregar al encargado las instrucciones necesarias para la prestación del servicio de acuerdo al objeto del contrato.
• Facilitar al encargado el acceso a los dispositivos e instalaciones a fin de prestar el servicio contratado.
• Velar, de forma previa y durante todo el tratamiento, por el cumplimiento del RGPD por parte del encargado.
• Supervisar el tratamiento, incluida la realización de inspecciones y auditorías.

Medidas de seguridad

Las medidas de seguridad adoptadas por IR SOLUCIONES en el tratamiento de los datos de carácter personal por cuenta del CLIENTE son:

1. Medidas organizativas
Todo el personal con acceso a los datos personales tiene conocimiento y ha sido informado de sus obligaciones; en especial de confidencialidad y secreto que persiste incluso cuando finalice la relación del colaborador con la empresa.

2. Medidas técnicas  
Se dispone de perfiles con derechos de administración para la instalación y configuración del sistema y usuarios sin privilegios o derechos de administración para el acceso a los datos personales.

Se garantiza la existencia de contraseñas para el acceso a los datos personales almacenados en sistemas electrónicos. Para el acceso a datos de distintas personas se dispone de un usuario y contraseña específicos (identificación inequívoca). Se garantiza la confidencialidad de las contraseñas, evitando que queden expuestas a terceros.

3. Medidas técnicas de salvaguarda
MALWARE: En los ordenadores y otros dispositivos donde se realice el tratamiento automatizado de los datos personales se dispone de un sistema de antivirus para evitar en la medida posible el robo y destrucción de los datos personales.

CORTAFUEGOS O FIREWALL: Se dispone de un sistema de firewall activado en los ordenadores y dispositivos en los que se realiza el almacenamiento y/o tratamiento de datos personales, para evitar accesos remotos indebidos.

ACTUALIZACIÓN: Los programas, aplicaciones, sistema operativo, dispositivos y ordenadores utilizados para el almacenamiento y el tratamiento de los datos personales se mantienen actualizados.

REGISTRO DE SOPORTES: Existe un registro para identificar, anotar y almacenar todos los soportes que contengan datos de carácter personal y se establecen las medidas suficientes para que en su transporte, reutilización o desecho evitar que se produzca un acceso no autorizado a los datos que contienen.

CIFRADO DE DATOS: Los equipos en tránsito se protegen con un método de encriptación con contraseña para garantizar la confidencialidad de los datos personales en caso de acceso indebido a la información.

COPIA DE SEGURIDAD: Periódicamente se realiza una copia de seguridad en un soporte distinto del que se utiliza para el trabajo diario. La copia se almacena en lugar seguro y distinto al de tratamiento de datos con el fin de permitir la recuperación de los datos personales en caso de pérdida de información.

Las medidas de seguridad son revisadas de forma periódica.

El CLIENTE declara haber sido informado de las condiciones sobre protección de datos de carácter personal, aceptando y consintiendo el tratamiento de los mismos por parte de INNOVACIÓN RIOJANA DE SOLUCIONES IT, SL (IR SOLUCIONES), en la forma y para las finalidades indicadas en estas condiciones de contratación.