Acuerdo de procesamiento de datos
Metasecurity Solutions®, INC. Acuerdo de procesamiento de datos
El presente Acuerdo de Tratamiento de Datos (“Acuerdo”) se celebra entre usted (“Responsable del Tratamiento”), y Metasecurity Solutions Inc., con domicilio social en el estado de Delaware (“Encargado del Tratamiento”).
CONSIDERANDO que el Procesador de Datos acepta procesar Datos Personales en nombre del Controlador de Datos en relación con los Servicios Gestionados de Ciberseguridad y Consultoría;
Y CONSIDERANDO QUE Las partes pretenden aplicar un acuerdo de tratamiento de datos que cumpla con los requisitos del marco jurídico vigente en relación con el tratamiento de datos y con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).;
SE ACUERDA lo siguiente:
1. Definiciones
1.1.1 “Contrato” significa este Contrato de Procesamiento de Datos y todos los Anexos;
1.1.2 “Datos Personales” significa cualquier Dato Personal Procesado por un Procesador de Datos en nombre del Controlador de conformidad con o en conexión con el Acuerdo Principal;
1.1.3 Por “Encargado del Tratamiento” se entenderá Metasecurity Solutions, en la medida en que trate Datos Personales por cuenta del Responsable del Tratamiento.;
1.1.4 “Tratamiento” incluye cualquier operación realizada sobre los Datos Personales, como la recogida, el almacenamiento, el uso y la transmisión.
1.1.5 Por “leyes de protección de datos” se entenderán las leyes de protección de datos de la UE y, en la medida en que sean aplicables, las leyes de protección de datos o privacidad de cualquier otro país;
1.1.6 “EEE” significa el Espacio Económico Europeo;
1.1.7 “Leyes de protección de datos de la UE” significa la Directiva 95/46/CE de la UE, tal como se transpuso a la legislación nacional de cada Estado miembro y tal como se modificó, sustituyó o reemplazó de vez en cuando, incluido por el RGPD y las leyes que implementan o complementan el RGPD;
1.1.8 “RGPD” significa Reglamento General de Protección de Datos de la UE 2016/679;
1.1.9 “Transferencia de datos” significa:
1.1.9.1 una transferencia de Datos Personales del Responsable del Tratamiento al Encargado del Tratamiento; o
1.1.9.2 una transferencia ulterior de Datos Personales del Encargado del Tratamiento a un Encargado del Tratamiento subcontratado, o entre dos establecimientos del Encargado del Tratamiento, en cada caso, cuando dicha transferencia estuviera prohibida por las Leyes de Protección de Datos (o por los términos de los acuerdos de transferencia de datos establecidos para abordar las restricciones de transferencia de datos de las Leyes de Protección de Datos);
1.1.10 “Servicios” se refiere a los servicios de consultoría y gestión de ciberseguridad que presta el Procesador.
1.1.11 Por “Subencargado del tratamiento” se entenderá toda persona designada por el Encargado del tratamiento o en su nombre para tratar Datos Personales en nombre del Responsable del tratamiento en relación con el Contrato.
2. Ámbito de aplicación y finalidad
- El Encargado del Tratamiento tratará los Datos Personales con el único fin de prestar servicios de ciberseguridad, incluidos, entre otros, la formación en materia de concienciación sobre ciberseguridad, los informes de evaluación de la madurez de la ciberseguridad, la detección y respuesta de puntos finales, la supervisión de sistemas tecnológicos y la prestación de asistencia.
3. Obligaciones del procesador
- El Encargado del Tratamiento se compromete a:
- Tratar los Datos Personales de conformidad con las instrucciones documentadas del Responsable del Tratamiento.
- Garantizar que las personas autorizadas a tratar los Datos Personales se han comprometido a mantener la confidencialidad.
- Aplicar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.
- Ayudar al Controlador de Datos a garantizar el cumplimiento de sus obligaciones en virtud del RGPD.
- Suprimir o devolver todos los Datos Personales al Responsable del Tratamiento una vez finalizada la prestación de servicios, a menos que la ley obligue a conservar los Datos Personales.
3.1 Seguridad Teniendo en cuenta el estado de la técnica, los costes de implementación y la naturaleza, el alcance, el contexto y los fines del Procesamiento, así como el riesgo de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el Procesador implementará, en relación con los Datos Personales de la Compañía, medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado a ese riesgo, incluidas, según corresponda, las medidas mencionadas en el artículo 32, apartado 1, del RGPD.
3.1.1 A la hora de evaluar el nivel de seguridad adecuado, el encargado del tratamiento tendrá en cuenta, en particular, los riesgos que presenta el tratamiento, especialmente los derivados de una violación de los datos personales.
3.2 Personal del procesador. El Procesador tomará las medidas razonables para garantizar la fiabilidad de cualquier empleado, agente o contratista de cualquier Procesador Contratado que pueda tener acceso a los Datos Personales, asegurando en cada caso que el acceso esté estrictamente limitado a aquellas personas que necesiten conocer / acceder a los Datos Personales pertinentes, según sea estrictamente necesario para los fines del Acuerdo Principal, y para cumplir con la Legislación Aplicable en el contexto de las obligaciones de dicha persona con el Procesador Contratado, garantizando que todas estas personas estén sujetas a compromisos de confidencialidad u obligaciones profesionales o estatutarias de confidencialidad.
3.3 El procesador deberá:
3.3.1 notificar inmediatamente a la Empresa si recibe una solicitud de un Sujeto de Datos en virtud de cualquier Ley de Protección de Datos con respecto a los Datos Personales de la Empresa; y
3.3.2 se asegurará de no responder a dicha solicitud salvo siguiendo las instrucciones documentadas de la Empresa o según lo exijan las Leyes Aplicables a las que esté sujeto el Procesador, en cuyo caso el Procesador deberá, en la medida en que lo permitan las Leyes Aplicables, informar a la Empresa de dicho requisito legal antes de que el Procesador Contratado responda a la solicitud..
4. Obligaciones del responsable del tratamiento
- El Responsable del Tratamiento se compromete a:
- Garantizar que el Tratamiento de Datos Personales en virtud del presente Acuerdo sea lícito.
- Proporcionar al Encargado del Tratamiento instrucciones claras y documentadas sobre el Tratamiento de Datos Personales.
- Informar sin demora indebida al Responsable del Tratamiento de cualquier inexactitud en los Datos Personales.
5. Subprocesadores
- El Encargado del Tratamiento no contratará a otro Encargado del Tratamiento (Subencargado del Tratamiento) sin la previa autorización específica o general por escrito del Responsable del Tratamiento.
6. Transferencia de datos
6.1 El Procesador no transferirá Datos Europeos a ningún país o destinatario que no esté reconocido como proveedor de un nivel adecuado de protección de Datos Personales (en el sentido de las Leyes Europeas de Protección de Datos aplicables), a menos que primero tome todas las medidas necesarias para garantizar que la transferencia cumple con las Leyes Europeas de Protección de Datos aplicables. Dichas medidas pueden incluir (sin limitación) (i) transferir dichos datos a un destinatario que esté cubierto por un marco adecuado u otro mecanismo de transferencia legalmente adecuado reconocido por las autoridades o tribunales pertinentes por proporcionar un nivel adecuado de protección de los Datos Personales, incluido el Marco de Privacidad de Datos; (ii) a un destinatario que haya obtenido la autorización de normas corporativas vinculantes de conformidad con la legislación europea sobre protección de datos; o (iii) a un destinatario que haya ejecutado las Cláusulas Contractuales Tipo en cada caso, adoptadas o aprobadas de conformidad con las Leyes Europeas de Protección de Datos aplicables.
- Derechos del interesado
7.1 Teniendo en cuenta la naturaleza del Tratamiento, el Encargado del Tratamiento asistirá al Responsable del Tratamiento mediante la aplicación de las medidas técnicas y organizativas adecuadas, en la medida en que ello sea posible, para el cumplimiento de las obligaciones del Responsable del Tratamiento, según entienda razonablemente el Responsable del Tratamiento, para responder a las solicitudes de ejercicio de los derechos de los Interesados en virtud de las Leyes de Protección de Datos.