Acuerdo de Procesamiento de Datos
Fecha de entrada en vigor: 1 de enero de 2025
Introducción
Este Acuerdo de Procesamiento de Datos ("APD") complementa los Términos de Servicio entre RemoteOps ("Encargado") y la organización suscriptora ("Responsable"). Este APD rige el procesamiento de datos personales por el Encargado en nombre del Responsable en relación con la plataforma RemoteOps, de acuerdo con el Artículo 28 del Reglamento General de Protección de Datos (RGPD).
Definiciones
"Responsable" significa la organización que determina los fines y medios del procesamiento de datos personales a través de la plataforma RemoteOps. "Encargado" significa RemoteOps, que procesa datos personales en nombre del Responsable. "Interesado" significa una persona física identificada o identificable cuyos datos personales se procesan. "Datos Personales" significa cualquier información relativa a un Interesado. "Tratamiento" significa cualquier operación realizada sobre datos personales, incluyendo recopilación, almacenamiento, consulta, uso, divulgación y supresión.
Alcance y Finalidad del Tratamiento
El Encargado procesa datos personales únicamente con el fin de proporcionar la plataforma de gestión de servicios de campo RemoteOps al Responsable. Las categorías de interesados incluyen empleados, técnicos, despachadores y clientes finales del Responsable. Las categorías de datos personales incluyen nombres, direcciones de correo electrónico, números de teléfono, datos de ubicación (cuando las funciones de navegación están activas), historial de órdenes de trabajo y metadatos de llamadas.
Obligaciones del Encargado
El Encargado deberá: (a) procesar datos personales únicamente según las instrucciones documentadas del Responsable; (b) garantizar que las personas autorizadas para procesar datos personales estén sujetas a obligaciones de confidencialidad; (c) implementar medidas de seguridad técnicas y organizativas apropiadas; (d) no recurrir a otro encargado sin autorización previa por escrito del Responsable; (e) asistir al Responsable en la respuesta a solicitudes de los interesados; (f) asistir al Responsable en el cumplimiento de las obligaciones del RGPD relativas a seguridad, notificación de violaciones y evaluaciones de impacto; (g) eliminar o devolver todos los datos personales tras la terminación del acuerdo; (h) poner a disposición toda la información necesaria para demostrar el cumplimiento de este APD.
Subencargados
El Encargado mantiene una lista de subencargados aprobados. El Responsable otorga autorización general para que el Encargado recurra a subencargados, sujeto a las siguientes condiciones: (a) el Encargado notificará al Responsable de cualquier adición o sustitución prevista de subencargados con al menos 30 días de antelación; (b) el Responsable podrá oponerse a un nuevo subencargado dentro de los 14 días posteriores a la notificación; (c) cada subencargado estará vinculado por obligaciones de protección de datos no menos protectoras que este APD.
Derechos de los Interesados
El Encargado asistirá al Responsable en el cumplimiento de sus obligaciones de responder a las solicitudes de los interesados bajo los Artículos 15-22 del RGPD (acceso, rectificación, supresión, portabilidad, limitación y oposición). El Encargado reenviará rápidamente al Responsable cualquier solicitud de interesados recibida directamente.
Medidas de Seguridad
El Encargado implementa medidas técnicas y organizativas apropiadas al riesgo, incluyendo: (a) cifrado de datos personales en tránsito (TLS 1.3) y en reposo (AES-256); (b) aislamiento de datos multi-arrendatario que garantiza la ausencia de acceso a datos entre arrendatarios; (c) control de acceso basado en roles con principio de mínimo privilegio; (d) evaluaciones de seguridad periódicas y escaneo de vulnerabilidades; (e) formación en concienciación de seguridad para empleados; (f) registro de accesos y pistas de auditoría.
Notificación de Violaciones de Datos
El Encargado notificará al Responsable sin dilación indebida, y en cualquier caso dentro de las 72 horas, después de tener conocimiento de una violación de datos personales. La notificación incluirá: (a) una descripción de la naturaleza de la violación; (b) las categorías y número aproximado de interesados afectados; (c) las consecuencias probables de la violación; (d) las medidas tomadas o propuestas para abordar la violación.
Transferencias de Datos
Los datos personales se almacenan y procesan principalmente dentro de la Unión Europea. Cuando las transferencias fuera de la UE sean necesarias (p. ej., para subencargados específicos), el Encargado se basa en las Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea u otros mecanismos de transferencia legalmente reconocidos bajo el Capítulo V del RGPD.
Derechos de Auditoría
El Responsable tiene derecho a realizar auditorías o designar un auditor independiente para verificar el cumplimiento del Encargado con este APD. Las auditorías requieren 30 días de aviso previo y se realizarán durante el horario laboral con mínima interrupción de las operaciones. El Encargado cooperará plenamente y proporcionará acceso a documentación, sistemas e instalaciones relevantes.
Eliminación y Devolución de Datos
Tras la terminación del acuerdo de servicio, el Encargado, a elección del Responsable, eliminará o devolverá todos los datos personales dentro de 30 días. La eliminación certificable se completará dentro de los 90 días posteriores a la terminación. El Encargado solo podrá retener datos cuando lo exija la legislación de la UE o de un estado miembro, e informará al Responsable de dicho requisito.
Duración y Terminación
Este APD entra en vigor cuando el Responsable comience a utilizar la plataforma RemoteOps y permanece vigente mientras el Encargado procese datos personales en nombre del Responsable. Las obligaciones del Encargado en materia de protección de datos sobreviven a la terminación de este APD.