El presente Contrato de tratamiento de datos (“CTD”) se incorpora y está sujeto a los términos y condiciones del contrato o contratos (“Contrato”), celebrados en relación con el uso de los servicios de software como servicio, TimeMoto Cloud, (“SaaS”), incluidos los términos y condiciones generales de TimeMoto, entre TimeMoto B.V., con domicilio social y comercial en Heliumstraat 14, 2718 SL Zoetermeer (Países Bajos), llamado en lo sucesivo (“Encargado del tratamiento”), y la entidad cliente que es parte del Contrato, llamada en lo sucesivo (“Responsable del tratamiento”); cada una de ellas llamadas en lo sucesivo (“Parte”) o, conjuntamente, (“las Partes”).

CONSIDERANDO QUE:

A.   El Responsable del tratamiento tendrá derecho a utilizar el SaaS durante la vigencia del Contrato, en virtud del cual el Encargado del tratamiento tratará Datos Personales en nombre y por cuenta del Responsable del tratamiento;

B.   El Responsable del tratamiento y el Encargado del tratamiento han confirmado sus acuerdos relativos al tratamiento de Datos Personales por parte del Encargado del tratamiento, según las instrucciones del Responsable del tratamiento, en el presente CTD.

POR LO TANTO, LAS PARTES ACUERDAN LO SIGUIENTE:

Artículo 1     Definiciones

1.1   “Datos Personales” hace referencia a cualquier información relacionada directa o indirectamente con una persona física identificada o identificable, como un nombre, un número de identificación, datos de localización, un identificador en línea o uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de dicha persona física.

1.2   “Interesado” hace referencia a cualquier persona física cuyos Datos Personales sean objeto de tratamiento.

1.3   “Responsable del tratamiento” hace referencia a la persona física o jurídica que determina la finalidad y los medios para el tratamiento de los Datos Personales. En el contexto del presente CTA, se tratará de la entidad cliente que es parte del Contrato.

1.4   “Encargado del tratamiento” hace referencia a la persona física o jurídica que trata los datos en nombre del Responsable del tratamiento. En el contexto del presente CTD, se tratará de TimeMoto B.V.

1.5     “Subencargado del tratamiento" significa cualquier tercero contratado por el Encargado del tratamiento para ayudarle a cumplir las obligaciones que le incumben en virtud del Contrato o del presente CTD. Los Subencargados del tratamiento excluirán a los empleados, contratistas o asesores del Encargado del tratamiento.

1.6   “Categorías especiales de datos personales” hace referencia a Datos Personales que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas o la afiliación sindical, así como el tratamiento de datos genéticos, datos biométricos destinados a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o a la orientación sexual del Interesado.

1.7   “Incidente de seguridad” significa cualquier violación no autorizada o ilícita de la seguridad que provoque la destrucción, pérdida o alteración accidental o ilícita de Datos Personales del Responsable del tratamiento o la divulgación o el acceso no autorizados a los mismos.

1.8     “Normativa sobre protección de datos” hace referencia a las leyes aplicables que rigen la protección de los Datos Personales y la privacidad de los datos. Esto incluye principalmente la legislación aplicable al tratamiento de Datos Personales en la UE y el Reino Unido, como el Reglamento General de Protección de Datos, la Directiva ePrivacy, la Ley de Protección de Datos de 2018, el Reglamento General de Protección de Datos del Reino Unido, el Reglamento de Privacidad y Comunicaciones Electrónicas de 2003, así como cualquier ley nacional implementada en relación con la legislación citada.

Artículo 2     Objeto del CTD

2.1   El presente CTD se aplicará a los servicios y actividades de SaaS que lleve a cabo el Encargado del tratamiento en nombre del Responsable del tratamiento en virtud del Contrato, que incluye los detalles específicos de la licencia de SaaS, las condiciones generales y las condiciones de uso.

2.2   El presente CTD sustituirá todos los acuerdos anteriores entre las Partes sobre el tratamiento de Datos Personales. Cuando alguna disposición del presente CTD contradiga o modifique acuerdos anteriores sobre el tratamiento de Datos Personales, prevalecerán las disposiciones del presente CTD, salvo disposición expresa en contrario del mismo.

2.3   De conformidad con este CTD, el Encargado del tratamiento procesará Datos Personales en nombre del Responsable del tratamiento y bajo la responsabilidad de este último. 

2.4   Todos los apéndices se adjuntarán al presente CTD y formarán parte integrante del mismo.

2.5   Todos los términos en mayúsculas no definidos en el presente CTD tendrán el significado establecido en el Contrato.

Artículo 3     Obligaciones de las Partes

3.1   El Encargado del tratamiento tratará los Datos Personales exclusivamente para los fines descritos en el Contrato y tal como se detallan en el Apéndice A.

3.2   El Encargado del tratamiento tratará los Datos Personales únicamente de conformidad con y bajo las estrictas instrucciones del Responsable del tratamiento. El Encargado del tratamiento no tendrá un control independiente de los Datos Personales que trata. El Encargado del tratamiento no podrá tratar los Datos Personales en beneficio propio, de terceros o con otros fines, salvo previa autorización por escrito del Responsable del tratamiento o cuando así lo exija la ley. Para evitar cualquier duda, este CTD no se aplicará a los casos en los que TimeMoto B.V. sea independientemente el Responsable del tratamiento de datos.

3.3   El Responsable del tratamiento podrá dar las instrucciones previstas en el presente CTD y en el Contrato, así como instrucciones adicionales. Cualquier instrucción se dará por escrito, salvo que la urgencia u otras circunstancias específicas requieran otra forma (por ejemplo, oral, electrónica). Las especificaciones o instrucciones adicionales emitidas de una forma distinta a la escrita las deberá confirmar el Responsable del tratamiento por escrito sin demora. 

3.4    El Responsable del tratamiento no proporcionará (ni hará que se proporcione) ninguna Categoría especial de datos personales al Encargado del tratamiento para su tratamiento en virtud del CTD. El Encargado del tratamiento no tendrá responsabilidad alguna por dichos Datos Personales, ya sea en relación con un Incidente de seguridad o de otro modo.

3.5    El Responsable del tratamiento se encargará de evaluar si el tratamiento de datos es legítimo y se basa en motivos jurídicos válidos, así como de garantizar los derechos de los interesados.

Artículo 4     Confidencialidad

4.1   El Encargado del tratamiento mantendrá la confidencialidad de los Datos Personales y no los revelará en modo alguno a sus empleados o terceros, excepto cuando, (i) se requiera que los empleados o terceros necesiten tener conocimiento de los Datos Personales a efectos de la ejecución del Contrato, o (ii) lo exija la ley.

4.2   El Encargado del tratamiento proporcionará a sus empleados o terceros acceso a los Datos Personales solo en la medida necesaria para realizar el tratamiento necesario para la ejecución del Contrato. El Encargado del tratamiento garantizará que todas las personas autorizadas a tratar Datos Personales estén sujetas a una obligación legal o contractual de confidencialidad adecuada.

Artículo 5     Subencargados del tratamiento

5.1   El Responsable del tratamiento autorizará de forma general al Encargado del tratamiento a añadir o sustituir a Subencargados del tratamiento existentes en las condiciones establecidas en el presente CTD. El Encargado del tratamiento informará al Responsable del tratamiento de cualquier cambio previsto relativo a la adición o sustitución de Subencargados del tratamiento que procesarán Datos Personales sujetos a este Contrato. El Responsable del tratamiento podrá oponerse a tales cambios, pero la objeción tendrá que ser razonable.

5.2    El Encargado del tratamiento elegirá diligentemente a cualquier Subencargado del tratamiento prestando especial atención a su buena fama y experiencia a la hora de prestar los servicios subcontratados y a la idoneidad de sus medidas técnicas y organizativas. El Encargado del tratamiento seguirá siendo responsable de los actos u omisiones de sus Subencargados del tratamiento del mismo modo que de sus propios actos y omisiones en virtud del presente documento. El Encargado del tratamiento celebrará un contrato escrito de tratamiento de datos con todos los Subencargados del tratamiento autorizados. El Encargado del tratamiento se asegurará de que todos los Subencargados del tratamiento estén sujetos contractualmente a obligaciones iguales o superiores con respecto al tratamiento a las que está sujeto el Encargado del tratamiento en virtud del presente CTD.

5.3   Cuando se contrate a un nuevo Subencargado del tratamiento durante la vigencia del presente CTD, el Encargado del tratamiento deberá, en un plazo razonable antes de que el nuevo Subencargado del tratamiento trate cualquier Dato Personal del Responsable del tratamiento, informar al Responsable del Tratamiento de la contratación (incluidos el nombre y la ubicación del Subencargado del tratamiento correspondiente y las actividades que llevará a cabo) poniéndose en contacto con el titular o titulares de la cuenta del Responsable del tratamiento, tal y como figuran en la cuenta configurada por el Responsable del tratamiento al registrar el producto TimeMoto.

5.4    El Responsable del tratamiento podrá oponerse por escrito a que el Encargado del tratamiento designe a un nuevo Subencargado en un plazo de cinco (5) días naturales a partir de la recepción de la notificación, siempre que dicha oposición se base en motivos razonables relacionados con la protección de datos. En tal caso, las partes discutirán dichas preocupaciones de buena fe con vistas a alcanzar una resolución razonable a escala comercial. Si no se puede llegar a dicha resolución, el Encargado del tratamiento podrá decidir, a su entera discreción, no designar a dicho Subprocesador o permitir al Responsable del tratamiento que suspenda o finalice el servicio en cuestión de conformidad con las disposiciones de finalización del contrato sin responsabilidad para ninguna de las partes (pero sin perjuicio de los honorarios en que incurra el Responsable del tratamiento antes de la suspensión o finalización)

5.5    Los Subencargados del tratamiento contratados por el Encargado del tratamiento se detallan en el Apéndice B del presente CTD.

Artículo 6     Incidente de seguridad

6.1   El Encargado del tratamiento ha aplicado las medidas de seguridad técnicas y organizativas que se detallan en el Apéndice C, incluidos los procedimientos dirigidos a detectar razonablemente los Incidentes de Seguridad y actuar en consecuencia, para garantizar un nivel adecuado de protección para el tratamiento de Datos Personales en el ámbito del Contrato.

6.2   En cuanto se tenga conocimiento de un (posible) Incidente de seguridad de los Datos Personales del Responsable del tratamiento, el Encargado del tratamiento se lo notificará al Responsable con celeridad y sin demoras indebidas a través del titular o los titulares de la cuenta del Responsable.

6.3    La notificación que se menciona en el apartado 6.2 anterior contendrá, en la medida en que esté disponible, la siguiente información: 

1.      El día y la hora en que el Encargado del tratamiento tuvo conocimiento del Incidente de seguridad;

2.      La naturaleza del Incidente de seguridad;

3.      El momento, o el momento o periodo más probable, en que se ha producido el Incidente de seguridad y cuánto ha durado;

4.      Alcance de los Datos Personales del Responsable del tratamiento (que posiblemente esté) implicado en el Incidente de seguridad;

5.      Las posibles consecuencias/riesgos del Incidente de seguridad para la intimidad de los Interesados, es decir, de los afectados;

6.      Punto(s) de contacto donde puede obtenerse más información sobre el Incidente de seguridad;

7.      Las medidas recomendadas para reducir las consecuencias negativas del Incidente de seguridad;

8.      Las medidas que el Encargado del tratamiento ha tomado o se propone tomar para solucionar el Incidente de seguridad.

9.      Cualquier otra información pertinente para evaluar el Incidente de seguridad.

6.4   Con respecto a cada Incidente de Seguridad que se menciona en el apartado 6.2 anterior, el Encargado del tratamiento proporcionará al Responsable del tratamiento toda la asistencia que se pueda esperar razonablemente del Encargado, incluido el suministro de información y apoyo adecuados con respecto al suministro de información que se menciona en el apartado 6.3 anterior, las consultas de las autoridades, la limitación del impacto de un Incidente de seguridad en la privacidad del Interesado o Interesados o la limitación de los daños del Responsable del tratamiento como resultado del Incidente de seguridad.

6.5    El Responsable del tratamiento será el único responsable de cumplir con las leyes de notificación de Incidentes de seguridad u otros incidentes aplicables al Responsable del tratamiento y de cumplir con cualquier obligación de notificación a terceros relacionada con cualquier Incidente de seguridad.

Artículo 7     Exportación de datos personales

7.1   El Encargado del tratamiento o cualquier Subencargado del tratamiento contratado por el Encargado solo transferirá Datos Personales a países fuera del Espacio Económico Europeo (EEE) y el Reino Unido, incluido para el suministro de Datos Personales, de conformidad con las normas de protección de datos establecidas por la Normativa sobre protección de datos.

Artículo 8     Derecho de auditoría

8.1   El Encargado del tratamiento pondrá a disposición del Responsable del tratamiento toda la información que sea razonablemente necesaria para demostrar el cumplimiento del presente CTD y permitirá y contribuirá a las auditorías, incluidas las inspecciones por parte del Responsable del tratamiento con el fin de evaluar el cumplimiento del presente CTD.

8.2   El Responsable del tratamiento procurará que los representantes que lleven a cabo la auditoría hagan todo lo razonablemente posible para minimizar cualquier interrupción de la actividad del Encargado del tratamiento en relación con el apoyo de este a la auditoría.

8.3    El apoyo a las auditorías podrá solicitarse como máximo una vez al año o cuando lo exija la Normativa sobre protección de datos o una autoridad de control competente.

8.4   El Responsable del tratamiento correrá con todos los gastos derivados de la auditoría o relacionados con ella, a menos que en dicha auditoría se detecte el incumplimiento por parte del Encargado del tratamiento de sus obligaciones en materia de seguridad de la información con arreglo a la legislación sobre protección de datos o al presente CTD, en cuyo caso el Encargado del tratamiento podrá participar en unos gastos razonables previa consulta con el Responsable del tratamiento. El Responsable del tratamiento podrá elaborar un informe de auditoría en el que se resuman las conclusiones y observaciones, tratándolo como información confidencial que no se revelará a terceros salvo cuando sea estrictamente necesario, por ejemplo, al asesor jurídico del Responsable del tratamiento, a sus consultores, al responsable de protección de datos, a sus empleados, a sus filiales o cuando así lo exija la ley o una autoridad de control competente, o con el consentimiento del Encargado del tratamiento para la divulgación.

8.5   El Encargado del tratamiento no estará obligado a revelar o permitir el acceso al Responsable del tratamiento o a un auditor designado a:

1.      Cualquier dato (personal) que se refiera a un cliente diferente del Encargado del tratamiento;

2.      información interna, comercial sensible o financiera del Encargado del tratamiento; o

3.      Cualquier información que, en opinión razonable del Encargado del tratamiento, pudiera comprometer la seguridad de este o de sus instalaciones, o hacer que el Encargado del tratamiento incumpla sus obligaciones legales o contractuales.

Artículo 9     Inspecciones o auditorías de las autoridades públicas

9.1   El Encargado del tratamiento someterá sus sistemas de tratamiento, instalaciones y documentación justificativa pertinentes a una inspección o auditoría relativa al Tratamiento por parte de una autoridad pública competente si ello fuera necesario para cumplir una obligación legal. En caso de inspección o auditoría, cada Parte prestará toda la asistencia razonable a la otra Parte a la hora de responder a dicha inspección o auditoría. Si una autoridad pública competente considera ilícito el Tratamiento en relación con el CTD, las Partes tomarán medidas inmediatas para garantizar el futuro cumplimiento de la legislación aplicable en materia de protección de datos.

Artículo 10   Consultas sobre cooperación y derechos del Interesado

10.1  El Responsable del tratamiento será el principal responsable de tramitar y responder a las solicitudes formuladas por los Interesados. El Responsable del tratamiento estará obligado a determinar si un Interesado tiene o no derecho a ejercer alguno de los derechos del Interesado establecidos en la Normativa sobre protección de datos y a especificar al Encargado del tratamiento en qué medida se requiere la asistencia especificada en el apartado 10.3 del presente Artículo.

10.2 Como parte del servicio prestado en virtud del Contrato, el Encargado del tratamiento proporcionará al Responsable del tratamiento una serie de funciones de autoservicio que el Responsable pueda utilizar para recuperar, corregir, eliminar o restringir el uso de los Datos Personales del usuario final, que el Responsable pueda utilizar para ayudarlo en relación con sus obligaciones con respecto a responder a las solicitudes del Interesado a través de la cuenta de cliente del Responsable sin coste adicional. Además, el Encargado del tratamiento adoptará las medidas técnicas y organizativas razonables para ayudar al Responsable del tratamiento a cumplir la obligación de responder a las solicitudes de ejercicio de los derechos del Interesado descritos en la Normativa sobre protección de datos, en la medida en que sea posible. 

10.3 En la medida de lo posible, el Encargado del tratamiento cooperará plenamente y sin demora, en última instancia en un plazo de diez (10) días laborables, con las consultas del Responsable del tratamiento relacionadas con el tratamiento en virtud del CTD, incluidas, entre otras, las reclamaciones, solicitudes o consultas recibidas de los Interesados. El Encargado del tratamiento no responderá directamente a los Interesados, salvo que el Responsable del tratamiento se lo indique específicamente.

10.4 En caso de que el Responsable del tratamiento requiera medidas técnicas y organizativas adicionales o modificadas para responder a los derechos del Interesado que vayan más allá de la asistencia prestada por el Responsable del tratamiento de conformidad con los apartados 10.2 y 10.3 anteriores, el Encargado del tratamiento informará al Responsable del tratamiento sobre los costes de implementar dichas medidas técnicas y organizativas adicionales o modificadas. Una vez que el Responsable del tratamiento haya confirmado que asumirá dichos costes, el Encargado del tratamiento aplicará dichas medidas técnicas y organizativas adicionales o modificadas para ayudar al Responsable del tratamiento a responder a las solicitudes de los Interesados.

Artículo 11   Evaluaciones del impacto de la protección de datos

11.1 El Encargado del tratamiento ayudará al Responsable del tratamiento en su obligación de llevar a cabo una evaluación de impacto sobre la protección de datos y una consulta previa con las autoridades de control en relación con los servicios prestados por el Encargado del tratamiento al Responsable del tratamiento en virtud del presente CTD proporcionando la información necesaria y disponible al Responsable del tratamiento. Si el Encargado del tratamiento tiene que incurrir en costes adicionales por ello, las partes debatirán las cuestiones de buena fe y llegarán a un acuerdo al respecto.

Artículo 12   Solicitudes de organismos públicos

12.1  El Encargado del tratamiento solo actuará a petición de un organismo gubernamental para proporcionar (acceso a) Datos Personales si así lo exige la ley y la petición cumple los requisitos legales, incluidos los principios de proporcionalidad y subsidiariedad.

12.2  El Encargado del tratamiento informará al Responsable del tratamiento de la solicitud de una agencia gubernamental para tratar Datos Personales, a menos que la solicitud de la agencia gubernamental prohíba expresamente dicha notificación. 

Artículo 13   Responsabilidad e indemnización 

13.1 Cada una de las Partes será responsable de sus obligaciones establecidas en el presente CTD y en la Normativa sobre protección de datos. Cualquier responsabilidad derivada o relacionada con el incumplimiento de las obligaciones del presente CTD o de la Normativa sobre protección de datos se regirá por las disposiciones en materia de responsabilidad establecidas en el Contrato o aplicables al mismo, salvo que se disponga lo contrario en el presente CTD. Si la responsabilidad se rige por las disposiciones en materia de responsabilidad establecidas en el Contrato o aplicables de otro modo al mismo, a efectos del cálculo de los límites de responsabilidad o de la determinación de la aplicación de otras limitaciones de responsabilidad, se considerará que la responsabilidad que se produce en virtud del presente CTD se producirá en virtud del Contrato correspondiente.

13.2  El Responsable del tratamiento defenderá, indemnizará y exonerá de responsabilidad al Encargado del tratamiento frente a cualquier reclamación, daño, responsabilidad, evaluación, pérdida, coste, multa administrativa y otros gastos (incluidos, entre otros, los honorarios razonables de abogados y gastos jurídicos) que se deriven o resulten de cualquier reclamación, alegación, demanda, pleito, acción, orden o cualquier otro procedimiento por parte de un tercero (incluidas las autoridades de control) que se derive o esté relacionado con el incumplimiento de las obligaciones del Responsable del tratamiento en virtud del presente CTD o de la Normativa sobre protección de datos.

Artículo 14   Devolución y destrucción de datos personales

14.1  Tras la rescisión del Contrato, el Responsable del tratamiento podrá descargar los Datos Personales, incluidas las copias de los mismos, a su libre albedrío. El Responsable del tratamiento podrá solicitar al Encargado del tratamiento que destruya de forma segura los Datos Personales, salvo en la medida en que el Contrato o la Normativa sobre protección de datos disponga lo contrario. En ese caso, el Encargado del tratamiento dejará de tratar los Datos Personales, excepto en la medida en que lo exija el Contrato o la Normativa sobre protección de datos. El Encargado del tratamiento proporcionará al Responsable del tratamiento una serie de funciones de autoservicio que el Responsable podrá utilizar para extraer sus datos personales de forma independiente.

14.2 En caso de que el Responsable del tratamiento requiera medidas técnicas y organizativas adicionales o modificadas para recibir Datos Personales que vayan más allá de la asistencia razonable prestada por el Encargado del tratamiento de conformidad con el apartado 14.1 anterior, el Encargado informará al Responsable de los costes de implementación de dichas medidas técnicas y organizativas adicionales o modificadas. Una vez que el Responsable del tratamiento haya confirmado que correrá con dichos gastos, el Encargado del tratamiento aplicará dichas medidas técnicas y organizativas adicionales o modificadas para ayudar al Responsable a recibir una copia de sus Datos Personales.

14.3  Si el Responsable del tratamiento no solicita, en un plazo de treinta (30) días a partir de la finalización del CTD, que el Encargado del tratamiento devuelva o destruya los Datos Personales, este podrá destruir los Datos Personales. En tal caso, el Encargado del tratamiento destruirá los Datos Personales a más tardar en un plazo de noventa (90) días a partir de la terminación del CTD.

Artículo 15   Duración y rescisión

15.1  El presente CTD entrará en vigor en cuanto el Encargado del tratamiento inicie el tratamiento de Datos Personales por cuenta del Responsable del tratamiento tras la aceptación del CTD.

15.2  El presente CTD estará en vigor mientras se mantenga el Contrato. En caso de rescisión del Contrato, el presente CTD finalizará de pleno derecho.

15.3  Todas las obligaciones derivadas del presente CTD que, por su naturaleza, deban subsistir tras la rescisión del Contrato, seguirán aplicándose tras la rescisión.

Artículo 16   Cambios y renegociaciones

16.1  El Encargado del tratamiento podrá realizar cambios regularmente a estos términos. Si se realiza algún cambio, se proporcionará al Responsable del tratamiento un aviso de dichos cambios a través del propietario o propietarios de la cuenta del Responsable del tratamiento u ofreciendo una notificación dentro del producto u otro canal de comunicación práctico. A menos que el Encargado del tratamiento indique lo contrario en la notificación, las condiciones modificadas entrarán en vigor en el momento en que se renueve el Contrato del Responsable del tratamiento. La renovación del Contrato confirmará la aceptación de los cambios por parte del Responsable del tratamiento. Si el Responsable del tratamiento no acepta las condiciones modificadas, deberá dejar de utilizar los servicios del Encargado del tratamiento rescindiendo el Contrato de conformidad con los derechos de rescisión.

16.2  Por la presente, las Partes aceptan de antemano los cambios en el CTD que se deriven de cambios en el marco jurídico de protección de Datos Personales que sean estrictamente necesarios para el cumplimiento de las leyes y reglamentos pertinentes o la interpretación de los mismos o de las políticas de las autoridades.

Artículo 17   Personas de contacto

17.1  Para cualquier pregunta o reclamación en relación con este CTD, podrá ponerse en contacto con el servicio de atención al cliente del Encargado del tratamiento a través de los datos de contacto que se indican a continuación:

Rol: Atención al cliente

Página de contacto: https://www.timemoto.com/contact-sales  

Artículo 18   Varios

18.1  El presente CTD se regirá por la legislación neerlandesa.

18.2  Los litigios derivados del presente CTD se someterán por exclusión al organismo competente para conocer y resolver los litigios derivados del Contrato. En su defecto, el tribunal competente acordado en el Contrato tendrá jurisdicción exclusiva.

18.3  Los términos y condiciones estándar del Responsable del tratamiento no serán aplicables al presente CTD y el Encargado del tratamiento los rechaza explícitamente. En caso de conflicto entre el presente CTD y el Contrato, prevalecerá el CTD.

APÉNDICE A - INFORMACIÓN SOBRE EL TRATAMIENTO

A.1. El Encargado del tratamiento ha definido, diseñado y desarrollado una solución de control del tiempo denominada TimeMoto que utiliza sistemas de fichaje inteligentes. La solución facilita el registro del tiempo de forma sencilla y segura e incluye TimeMoto Cloud, que permite a las organizaciones gestionar los datos en tiempo real, incluidos los horarios de trabajo, las horas extraordinarias y las ausencias. La(s) finalidad(es) del tratamiento de Datos Personales por parte del Encargado del Tratamiento por cuenta del Responsable del Tratamiento es:

-            Creación y configuración de cuentas de usuario final.

-            Registros de horarios y programación.

-            Registro de ausencias y horas extraordinarias.

-            Generación de informes.

A.2. El tratamiento incluye los siguientes tipos de Datos Personales:

·      Acerca de los terminales para fichar TimeMoto

Huella dactilar e identificación facial, PIN, identificación de placa.

TimeMoto B.V. no tratará estos datos en calidad de Encargado del Tratamiento y, por lo tanto, quedará fuera del ámbito de aplicación del presente CTD. TimeMoto no tendrá acceso a estos datos.

·      Acerca de TimeMoto Cloud

Nombre y apellidos, registros de tiempo, dirección de correo electrónico, contraseña de la cuenta, ID de usuario final del terminal de fichar, zona horaria, idioma, número de empleado / segundo número de empleado, número de placa (número de la placa que el usuario final podría utilizar para identificarse en el terminal o terminales de fichar), estado del usuario final, fechas de actividad, plantilla de pago (que contiene toda la información sobre las normas de pago y horas extraordinarias del empleado), horario de trabajo, tarifa horaria, perfil de vacaciones / días festivos, otros motivos de baja (por ejemplo, enfermedad) sin revelar información específica sobre la enfermedad o la salud, Flexibank indicando las bajas acumuladas, miembro del equipo de emergencias (los miembros del equipo de emergencias tienen autoridad para activar las llamadas de aviso de incendios para alertar al personal del Responsable del tratamiento in situ en caso de emergencia), departamento, lugares en los que los empleados pueden utilizar terminales de fichar para registrar su tiempo de trabajo, privilegios del usuario final, lugar de fichaje.

A.3. El tratamiento incluye las siguientes categorías de Interesados:

-            Empleados del Responsable del tratamiento,

-            Consultores, profesionales interinos, becarios o cualquier otra persona a la que el Responsable del tratamiento pueda conceder acceso.

APÉNDICE b - SUBENCARGADOS DEL TRATAMIENTO

Nombre:       Microsoft Azure

Rol:              Subencargado del tratamiento

Actividades: El servicio de alojamiento para los clientes de la UE y el Reino Unido está en la UE (Países Bajos).

Nombre:       Utilus

Rol:              Subencargado del tratamiento

Actividades: Desarrollo de productos y mantenimiento del software y la infraestructura.

Nombre:       Sendgrid

Rol:              Subencargado del tratamiento

Actividades: Envío de correos electrónicos transaccionales (acceso a datos de correo electrónico) como activación, restablecimiento de contraseña, informes de notificaciones.

Nombre:       Hibernating Rhinos

Rol:              Subencargado del tratamiento

Actividades: Servicios de bases de datos.

APÉNDICE c - MEDIDAS DE SEGURIDAD TÉCNICAS Y ORGANIZATIVAS

El Encargado del tratamiento adoptará las medidas técnicas y organizativas adecuadas para proteger los Datos Personales contra su pérdida o cualquier forma de tratamiento ilícito. Estas medidas, los costes de implementación, así como la naturaleza, el tamaño, el contexto y los objetivos del tratamiento, ofrecen un nivel de seguridad adecuado. Las medidas también tienen por objeto evitar la recogida y el tratamiento ulterior innecesarios de Datos Personales. Entre las medidas de seguridad figuran las siguientes:  

A.   Confidencialidad de los Datos: 

1.    Medidas para el acceso físico al hardware 

Las aplicaciones del Encargado del tratamiento se alojan en centros de datos de alta seguridad situados en la UE (Países Bajos). Los centros de datos están equipados con estrictos controles de acceso físico, como: 

-       El acceso físico a los centros de datos solo se concederá al personal designado y registrado de los clientes y los centros de datos;

-       Los visitantes deberán anunciarse por adelantado a la dirección del centro de datos para que autorice su acceso;

-       Los visitantes de los centros de datos deberán identificarse con un documento de identidad válido legal y una tarjeta de acceso personal expedida a su nombre;

-       Se mantendrá un registro de todas las visitas;

-       Los bastidores en los que estén montados los servidores estarán cerrados. Se aplicará una gestión de llaves;

-       Medidas de prevención de intrusiones y conexión con la central de alarmas.

2.    Medidas para el acceso físico a la oficina del socio informático externo del Encargado del tratamiento 

-       Las visitas deberán anunciarse por adelantado a la dirección del socio informático;

-       Los visitantes a las instalaciones del socio informático deberán ir acompañados en todo momento por un miembro del personal del socio informático;

-       No se guardará ningún dato de producción en las instalaciones del socio informático; 

-       Medidas de prevención de intrusiones y conexión con la central de alarmas.

3.    Medidas de control de acceso a nivel de servidor 

-       El acceso a los servidores a través de VPN (Red Privada Virtual) requerirá credenciales individuales y la VPN solo será accesible en sistemas cliente en una red exclusiva para la que se requiere una autenticación de red basada en contraseña. Solo el personal autorizado dispondrá de las credenciales necesarias y se aplicará una matriz de autorización;     

-       La gestión de la VPN se realizará a través de un sistema de gestión de red independiente al que solo podrá acceder el personal autorizado. Se aplicará una matriz de autorización;          

-       El acceso a los servidores quedará registrado y será rastreable.

4.    Medidas de control de acceso a nivel de datos  

-       El acceso a los datos requerirá claves de autorización, cuyas credenciales se gestionarán mediante una matriz de autorización;

-       Se aplicarán protocolos de control de versiones de software y DTAP (Diseño, Prueba, Aceptación y Producción).

5.    Medidas de seguridad y métodos de copia 

-       Todas las copias de seguridad se cifrarán y guardarán en un lugar separado;

-       Todas las contraseñas y credenciales se cifrarán y almacenarán de forma segura, con una estructura y jerarquía claras y solo accesibles al personal autorizado;

-       Todos los miembros pertinentes del personal habrán firmado un contrato de confidencialidad y habrán aceptado el código de conducta relativo a la seguridad e integridad de los datos;

-       Todos los servidores tendrán certificados SSL válidos;

-       Los túneles VPN seguros se cifrarán con estándares de cifrado como AES256 o 3DES y PFS (véase A.3);

-       Se aplicarán cortafuegos para proteger los servidores de ataques externos;

-       Los datos biométricos siempre se cifrarán de forma segura en cadenas de texto hash que no se podrán rastrear a los datos biométricos individuales. No se guardarán datos biométricos maestros en ningún producto del paquete TimeMoto;

-       Solo determinados roles tendrán los derechos dentro del sistema para eliminar perfiles;

-       Un registro de actividad de quién inició la eliminación de un perfil; en situaciones en las que una copia de seguridad se elimina de forma intencionada y posiblemente maliciosa, el sistema permitirá tener un registro de quién realizó la eliminación.

B.   Integridad de los datos: 

-        Las interfaces entre terminales y servidores estarán protegidas con conexiones HTTPS;

-        Solo se tratarán aquellos datos personales que se requieran para una correcta ejecución de la finalidad del Contrato (nombres y apellidos, direcciones de correo electrónico y datos de registro horario (presencia, ausencia, horas de proyecto, días libres, vacaciones, absentismo));

-        Se aplicarán túneles VPN para acceder a los servidores (véase A.3);

-        Se aplicarán registros rastreables de la comunicación entre el terminal y el servidor, el acceso al servidor y el acceso a la base de datos.

C.   Disponibilidad de datos: 

-        Los servidores tendrán un tiempo de actividad del 99,95 %;

-        Se ejecutarán restauraciones de prueba periódicas de las copias de seguridad;

-        Se contará con hardware y conexiones redundantes;

-        Los centros de datos estarán equipados con varios SAI (sistemas de alimentación ininterrumpida) y generadores diésel de apoyo para garantizar la redundancia energética.