{"id":5694,"date":"2019-10-24T14:59:34","date_gmt":"2019-10-24T14:59:34","guid":{"rendered":"https:\/\/www.webgains.com\/public\/?p=5694"},"modified":"2021-11-29T10:45:57","modified_gmt":"2021-11-29T10:45:57","slug":"acuerdo-de-tratamiento-de-datos-personales","status":"publish","type":"post","link":"https:\/\/www.webgains.com\/public\/es\/acuerdo-de-tratamiento-de-datos-personales\/","title":{"rendered":"Acuerdo de tratamiento de datos personales"},"content":{"rendered":"

Acuerdo de tratamiento de datos personales <\/strong><\/p>\n

en nombre de<\/p>\n

 <\/p>\n

(en lo sucesivo, \u00abAnunciante\u00bb o \u00abresponsable del tratamiento\u00bb)<\/p>\n

 <\/p>\n

por parte de<\/p>\n

 <\/p>\n

ad pepper media Spain SA,<\/p>\n

Avda. Alberto Alcocer, 46. 1\u00baA,<\/p>\n

28016 Madrid (Espa\u00f1a)<\/p>\n

)<\/p>\n

 <\/p>\n

 <\/p>\n

(en lo sucesivo, \u00abWebgains\u00bb o \u00abencargado del tratamiento\u00bb)<\/p>\n

 <\/p>\n

ambos denominados en los sucesivo, seg\u00fan sea el caso, \u00abparte\u00bb o \u00abpartes\u00bb<\/p>\n

 <\/p>\n

 <\/p>\n

Al marcar la casilla \u00abEstoy conforme con el acuerdo de tratamiento de datos personales\u00bb, las partes ejecutan el contrato siguiente sobre el tratamiento de datos personales por parte del encargado en nombre del Anunciante.<\/p>\n

 <\/p>\n

Pre\u00e1mbulo<\/strong><\/p>\n

 <\/p>\n

Este acuerdo de tratamiento de datos personales (en lo sucesivo, \u00abacuerdo\u00bb) expone las obligaciones de las partes asociadas con el tratamiento de datos personales (en lo sucesivo, \u00abdatos personales\u00bb)\u00a0 que hace Webgains\u00a0 en nombre del Anunciante como responsable, en relaci\u00f3n con el Plan de Comisiones\u00a0 y las condiciones generales de servicio para Anunciantes que ocasionalmente se ejecutan entre las partes (en conjunto, \u00abcontrato del Anunciante\u00bb). Sus normas se aplicar\u00e1n a todas las actividades de tratamiento de datos personales asociadas con el contrato del Anunciante, en cuyo \u00e1mbito los empleados del encargado del tratamiento procesan los datos personales del responsable en nombre del Anunciante.<\/p>\n

 <\/p>\n

    \n
  1. Objeto, tipo, finalidad y alcance del tratamiento de datos personales <\/strong><\/li>\n<\/ol>\n

     <\/p>\n

    (1) El objeto del presente acuerdo es el tratamiento de datos personales por parte de Webgains\u00a0 en nombre del Anunciante y bajo sus instrucciones. Las obligaciones de las partes en virtud de este acuerdo se desprenden del contrato del Anunciante, del que el presente acuerdo y las instrucciones individuales constituyen un ap\u00e9ndice. En vista de lo anterior, y de conformidad con los principios del Reglamento General de Protecci\u00f3n de Datos de la UE (en lo sucesivo, \u00abRGPD\u00bb), Webgains asume el papel de encargado del tratamiento y el Anunciante el de responsable del tratamiento.<\/p>\n

     <\/p>\n

    (2) La naturaleza y la finalidad del tratamiento de datos previsto, as\u00ed como los datos personales pertinentes y el grupo de interesados se especifican en el anexo 1.<\/p>\n

     <\/p>\n

     <\/p>\n

      \n
    1. Obligaciones del encargado del tratamiento<\/strong><\/li>\n<\/ol>\n

      \u00a0<\/strong><\/p>\n

      (1) El encargado del tratamiento solo procesar\u00e1 datos personales dentro del marco del presente acuerdo y bajo las instrucciones espec\u00edficas del responsable del tratamiento. El encargado no procesar\u00e1 los datos personales del responsable de ninguna manera que contradiga estos requisitos.<\/p>\n

       <\/p>\n

      (2) El apartado 1 est\u00e1 limitado por el Derecho de la Uni\u00f3n Europea o del Estado miembro al que est\u00e9 sujeto el encargado del tratamiento. En este caso, el encargado del tratamiento tendr\u00e1 la obligaci\u00f3n de informar al responsable antes de procesar los datos, a menos que ello se oponga al inter\u00e9s p\u00fablico, como las obligaciones de informaci\u00f3n fiscal o comercial.<\/p>\n

       <\/p>\n

      (3) El responsable del tratamiento o un representante autorizado emitir\u00e1n las instrucciones por correo electr\u00f3nico o a trav\u00e9s del sistema de asistencia t\u00e9cnica en l\u00ednea de la plataforma de Webgains. Las instrucciones verbales ser\u00e1n confirmadas a la mayor brevedad por correo electr\u00f3nico o a trav\u00e9s del mismo sistema de asistencia t\u00e9cnica.<\/p>\n

       <\/p>\n

      (4) El encargado del tratamiento no corregir\u00e1, eliminar\u00e1 ni bloquear\u00e1 datos personales, a menos que se hayan emitido las instrucciones pertinentes o si la eliminaci\u00f3n se efect\u00faa con base en la cl\u00e1usula\u00a014 del presente acuerdo (terminaci\u00f3n del acuerdo). Las aplicaciones del cliente\/usuario para corregir, eliminar o bloquear datos personales ser\u00e1n transferidas puntualmente al responsable del tratamiento, quien, a su vez, emitir\u00e1 instrucciones al encargado del tratamiento de inmediato.<\/p>\n

       <\/p>\n

      (5) El tratamiento de los datos tendr\u00e1 lugar exclusivamente en un Estado miembro de la UE o del EEE y en el Reino Unido (en caso de que este ya no pertenezca a la UE). Cualquier tratamiento en un tercer pa\u00eds requiere el consentimiento del responsable del tratamiento. Si este da su consentimiento, se deber\u00e1n garantizar est\u00e1ndares de seguridad m\u00ednimos.<\/p>\n

       <\/p>\n

      (6) El encargado del tratamiento llevar\u00e1 un registro de todas las categor\u00edas de actividades de tratamiento realizadas en nombre del responsable, que contendr\u00e1 toda la informaci\u00f3n que se expone en el art\u00edculo\u00a030, apartado\u00a02 del RGPD. El encargado del tratamiento pondr\u00e1 a disposici\u00f3n del responsable toda la informaci\u00f3n requerida para llevar este registro a su petici\u00f3n, con un plazo de preaviso razonable.<\/p>\n

       <\/p>\n

       <\/p>\n

       <\/p>\n

        \n
      1. Personas con derecho a emitir instrucciones <\/strong><\/li>\n<\/ol>\n

         <\/p>\n

        (1) Si se deben emitir instrucciones o notificaciones en virtud del presente acuerdo frente a la otra parte, dichas instrucciones o notificaciones se dirigir\u00e1n a las personas de referencia especificadas en el contrato del Anunciante y, en su defecto, a las personas responsables de llevar a cabo el programa publicitario del Anunciante en la plataforma de Webgains (para Webgains, el gestor de cuentas o Account Manager).<\/p>\n

         <\/p>\n

        (2) Cada una de las partes podr\u00e1 cambiar a las personas de contacto especificadas enviando un aviso por escrito a la otra parte, por correo electr\u00f3nico o a trav\u00e9s del sistema de asistencia t\u00e9cnica en l\u00ednea de Webgains. Dichos cambios se har\u00e1n efectivos inmediatamente cuando se reciba el aviso del cambio.<\/p>\n

         <\/p>\n

         <\/p>\n

          \n
        1. Derechos y obligaciones del responsable del tratamiento<\/strong><\/li>\n<\/ol>\n

           <\/p>\n

          (1) El responsable del tratamiento ser\u00e1 el \u00fanico responsable de evaluar la admisibilidad legal seg\u00fan las disposiciones del RGPD, tal y como se ejecuten de conformidad con el presente acuerdo.<\/p>\n

           <\/p>\n

           <\/p>\n

            \n
          1. Empleados del encargado del tratamiento vinculados por las instrucciones y obligados a respetar la confidencialidad<\/strong><\/li>\n<\/ol>\n

            \u00a0<\/strong><\/p>\n

            (1) El encargado del tratamiento garantiza que todos los empleados implicados en el tratamiento de los datos personales del responsable no estar\u00e1n autorizados a procesar datos personales fuera del \u00e1mbito de este acuerdo y del contrato del Anunciante.<\/p>\n

             <\/p>\n

            (2) El encargado del tratamiento tomar\u00e1 medidas para garantizar que todo el personal contratado cumpla las disposiciones legales en materia de protecci\u00f3n de datos.<\/p>\n

             <\/p>\n

            (3) Asimismo, el encargado del tratamiento garantiza que cualquier persona con derecho a procesar datos personales en nombre del responsable del tratamiento se ha sometido a un compromiso de confidencialidad o est\u00e1 sujeta a una obligaci\u00f3n legal de confidencialidad apropiada.<\/p>\n

             <\/p>\n

             <\/p>\n

              \n
            1. Nombramiento de un DPD (delegado de protecci\u00f3n de datos)<\/strong><\/li>\n<\/ol>\n

               <\/p>\n

              (1) El encargado del tratamiento nombrar\u00e1 \u2014siempre que est\u00e9 obligado a ello en virtud del RGPD\u2014 a un delegado de protecci\u00f3n de datos, cuyos datos de contacto figurar\u00e1n en el sitio web del encargado y se podr\u00e1n consultar en https:\/\/www.webgains.com\/public\/es\/privacidad\/<\/p>\n

               <\/p>\n

              (2) Si el responsable del tratamiento no est\u00e1 establecido en ninguno de los Estados miembros de la Uni\u00f3n Europea o del EEE, designar\u00e1 a un representante en la UE, de conformidad con el art\u00edculo\u00a027, apartado\u00a01 del RGPD, y lo comunicar\u00e1 de manera adecuada.<\/p>\n

               <\/p>\n

               <\/p>\n

                \n
              1. Preguntas de los interesados<\/strong><\/li>\n<\/ol>\n

                 <\/p>\n

                El encargado informar\u00e1 al responsable del tratamiento por correo electr\u00f3nico de cualquier pregunta o solicitud que reciba de una autoridad de control de protecci\u00f3n de datos respecto al objeto del presente acuerdo. El encargado del tratamiento tomar\u00e1 las medidas apropiadas para ofrecer informaci\u00f3n para el ejercicio de los derechos de los interesados, tal y como se estipula en el art\u00edculo 12a\u00a0y sig. del RGPD. Si un interesado reclama la rectificaci\u00f3n, eliminaci\u00f3n o acceso frente al encargado del tratamiento, este transmitir\u00e1 dicha reclamaci\u00f3n del interesado al responsable del tratamiento sin dilaci\u00f3n indebida. El responsable tomar\u00e1 inmediatamente todas las medidas necesarias de conformidad con el RGPD. Las partes se apoyar\u00e1n mutuamente, siempre que sea posible y con base en las instrucciones del responsable del tratamiento, en la medida acordada.<\/p>\n

                 <\/p>\n

                 <\/p>\n

                  \n
                1. Subcontratistas<\/strong><\/li>\n<\/ol>\n

                   <\/p>\n

                  (1) El encargado del tratamiento est\u00e1 autorizado a contratar a subcontratistas (encargados adicionales) para procesar los datos personales. El encargado informar\u00e1 al responsable del tratamiento de cualquier cambio previsto respecto a la adici\u00f3n o al reemplazo se subcontratistas, dando as\u00ed al responsable la oportunidad de oponerse a dichos cambios. Si el responsable del tratamiento no se opone en un plazo de siete d\u00edas, su consentimiento ser\u00e1 impl\u00edcito. En caso de que el responsable del tratamiento se oponga a dicho cambio \u2014dicha oposici\u00f3n deber\u00e1 ir acompa\u00f1ada de las razones que la motiven\u2014, las partes discutir\u00e1n de buena fe medidas razonables para que el responsable tenga la oportunidad de realizar cambios en los servicios, de manera que se evite que el nuevo subencargado del tratamiento haga uso de los datos personales. Si las partes no llegan a ning\u00fan acuerdo sobre estas medidas en un plazo de 60 d\u00edas desde que Webgains recibiera la objeci\u00f3n, cualquiera de ellas podr\u00e1 terminar el presente acuerdo y el contrato del Anunciante con un plazo de preaviso de 60 d\u00edas.<\/p>\n

                   <\/p>\n

                  (2) En caso de que se realice la subcontrataci\u00f3n, el encargado del tratamiento seleccionar\u00e1 al subcontratista con la diligencia debida y elaborar\u00e1 los acuerdos contractuales de un modo que garantice que respeten los requisitos de protecci\u00f3n de datos personales en las relaciones contractuales entre el responsable y el encargado del tratamiento.<\/p>\n

                   <\/p>\n

                  (3) El encargado pondr\u00e1 a disposici\u00f3n del responsable del tratamiento la lista actual de subencargados para los servicios, tal y como se enumeran en el anexo 2 de este acuerdo, en\u00a0https:\/\/www.webgains.com\/public\/es\/lista-de-subencargados\/.<\/p>\n

                   <\/p>\n

                  (4) Los servicios complementarios quedan excluidos del requisito de consentimiento. Esto cubre, en particular, los servicios de telecomunicaci\u00f3n, incluida la ayuda al usuario, servicios de mantenimiento, servicios de auditor\u00eda y eliminaci\u00f3n de soportes de datos. Webgains podr\u00e1 designarlos a su discreci\u00f3n.<\/p>\n

                   <\/p>\n

                   <\/p>\n

                    \n
                  1. Definici\u00f3n de las medidas t\u00e9cnicas y organizativas<\/strong><\/li>\n<\/ol>\n

                     <\/p>\n

                    (1) El encargado del tratamiento ha sido elegido con base en la expectativa de que tomar\u00e1 las medidas t\u00e9cnicas y organizativas apropiadas para su \u00e1mbito de responsabilidad, con el fin de garantizar el cumplimiento de las disposiciones de protecci\u00f3n de datos personales.<\/p>\n

                     <\/p>\n

                    (2) El encargado del tratamiento garantizar\u00e1 la confidencialidad, la integridad, la disponibilidad y la capacidad suficiente de los sistemas de tratamiento de datos personales. En caso de que se produzcan incidentes f\u00edsicos o t\u00e9cnicos, restaurar\u00e1 el acceso a los datos personales y su disponibilidad inmediatamente por medio de procesos de encriptaci\u00f3n para la transmisi\u00f3n y el almacenamiento de los datos personales. El encargado del tratamiento tomar\u00e1 las medidas t\u00e9cnicas y organizativas apropiadas para su \u00e1mbito de responsabilidad siguiendo las reglas que se enumeran en el anexo 3<\/strong>.<\/p>\n

                     <\/p>\n

                    (3) Si se le solicita, el encargado del tratamiento confirmar\u00e1 el cumplimiento de las medidas de seguridad definidas, que se enumeran en el anexo 3, <\/strong>proporcionadas por un auditor independiente (seguridad inform\u00e1tica, delegado de protecci\u00f3n de datos, auditor o similar) por carta, fax o correo electr\u00f3nico.<\/p>\n

                     <\/p>\n

                    (4) Las medidas t\u00e9cnicas y organizativas est\u00e1n sujetas al progreso t\u00e9cnico y a desarrollos futuros. En este sentido, el encargado del tratamiento se reserva el derecho de implementar medidas adecuadas alternativas y a actualizarlas de forma razonable de vez en cuando.<\/p>\n

                     <\/p>\n

                     <\/p>\n

                      \n
                    1. Obligaciones de control y notificaci\u00f3n del encargado del tratamiento<\/strong><\/li>\n<\/ol>\n

                       <\/p>\n

                      (1) En caso de que el encargado del tratamiento crea que una instrucci\u00f3n del responsable del tratamiento infringe el RGPD u otras disposiciones de protecci\u00f3n de datos personales, el encargado lo notificar\u00e1 al responsable de inmediato. El encargado del tratamiento tendr\u00e1 el derecho de suspender la implementaci\u00f3n de las instrucciones en cuesti\u00f3n hasta que el responsable del tratamiento las haya confirmado o cambiado, sea cual fuere el caso.<\/p>\n

                       <\/p>\n

                      (2) En caso de que el encargado del tratamiento crea que las instrucciones emitidas por el responsable del tratamiento son insuficientes para cumplir las normas de protecci\u00f3n de datos personales, el encargado lo notificar\u00e1 al responsable sin dilaci\u00f3n y este \u00faltimo tomar\u00e1 de inmediato todas las medidas necesarias para cumplir el RGPD.<\/p>\n

                       <\/p>\n

                       <\/p>\n

                        \n
                      1. Notificaci\u00f3n de infracciones por parte del encargado del tratamiento<\/strong><\/li>\n<\/ol>\n

                        \u00a0<\/strong><\/p>\n

                        (1) El encargado notificar\u00e1 al responsable del tratamiento cualquier infracci\u00f3n de datos personales perpetrada en su propia organizaci\u00f3n sin dilaci\u00f3n indebida tras llegar dicha infracci\u00f3n a su conocimiento.<\/p>\n

                         <\/p>\n

                        (2) En el caso de una infracci\u00f3n de datos personales sujeta a notificaci\u00f3n por parte del responsable del tratamiento a una autoridad de control, el encargado del tratamiento la notificar\u00e1 sin dilaci\u00f3n indebida cuando no se puedan descartar la p\u00e9rdida, la divulgaci\u00f3n ilegal o el acceso il\u00edcito a los datos personales. Las partes cooperar\u00e1n de buena fe para alcanzar el cumplimiento con el RGPD sin dilaci\u00f3n indebida.<\/p>\n

                         <\/p>\n

                        (3) En caso de que se produzca una infracci\u00f3n real o presunta de la protecci\u00f3n de datos personales, como la p\u00e9rdida, la modificaci\u00f3n il\u00edcita o el acceso a una cantidad significativa de datos personales (\u00abviolaciones de la seguridad de los datos personales\u00bb), la parte afectada la notificar\u00e1 a la otra inmediatamente por escrito. El aviso describir\u00e1, en un lenguaje claro y simple, la naturaleza de la violaci\u00f3n de la seguridad de los datos personales, incluidas las consecuencias probables. El encargado del tratamiento documentar\u00e1 todas las violaciones de la seguridad de los datos personales y garantizar\u00e1 su disponibilidad si se lo solicita el responsable del tratamiento, en caso de que los datos personales de este \u00faltimo est\u00e9n implicados.<\/p>\n

                         <\/p>\n

                         <\/p>\n

                          \n
                        1. Derechos de supervisi\u00f3n del responsable del tratamiento<\/strong><\/li>\n<\/ol>\n

                           <\/p>\n

                          (1) El responsable del tratamiento tiene derecho a realizar auditor\u00edas (directamente o a trav\u00e9s de un auditor profesional encargado) una vez por a\u00f1o natural sobre el cumplimiento del encargado del tratamiento de las disposiciones legales en materia de protecci\u00f3n de datos, as\u00ed como sobre el cumplimiento del presente acuerdo, tambi\u00e9n en la sede del negocio del proveedor, en particular, obteniendo informaci\u00f3n e inspeccionando los datos almacenados y los programas de tratamiento de datos en las instalaciones del encargado del tratamiento. El responsable del tratamiento dar\u00e1 un preaviso por escrito de 20 d\u00edas laborables sobre dicha inspecci\u00f3n o auditor\u00eda.<\/p>\n

                           <\/p>\n

                          (2) Las partes acuerdan que el delegado de protecci\u00f3n de datos del encargado del tratamiento sea contratado por el responsable del tratamiento para realizar dicha auditor\u00eda antes de contratar a otra persona. Si el informe de auditor\u00eda del delegado de protecci\u00f3n de datos del encargado del tratamiento resulta insuficiente o incompleto, el responsable del tratamiento podr\u00e1 contratar a otro auditor para realizar las inspecciones.<\/p>\n

                           <\/p>\n

                           <\/p>\n

                          (3) Durante la auditor\u00eda, el encargado del tratamiento estar\u00e1 obligado a proporcionar informaci\u00f3n y a cooperar como corresponda. El encargado ayudar\u00e1 al responsable del tratamiento, en particular, en caso de que se efect\u00faen comprobaciones en materia de protecci\u00f3n de datos por parte de la autoridad de control, en la medida en que se vea afectado el tratamiento de datos en virtud del presente acuerdo.<\/p>\n

                          \u00a0<\/strong><\/p>\n

                           <\/p>\n

                           <\/p>\n

                            \n
                          1. Duraci\u00f3n del acuerdo y derechos de terminaci\u00f3n <\/strong><\/li>\n<\/ol>\n

                             <\/p>\n

                            (1) Este acuerdo tendr\u00e1 la misma duraci\u00f3n que el contrato del Anunciante.<\/p>\n

                            (2) Cualquiera de las partes podr\u00e1 terminar este acuerdo y, por consiguiente, el contrato del Anunciante en cualquier momento si la otra parte comete una infracci\u00f3n grave del acuerdo o de las disposiciones del RGPD y no enmienda dicha infracci\u00f3n en un plazo de 30 d\u00edas a partir de la recepci\u00f3n del aviso de la parte no infractora.<\/p>\n

                             <\/p>\n

                             <\/p>\n

                              \n
                            1. Cumplimiento de \u00f3rdenes y terminaci\u00f3n de la relaci\u00f3n contractual<\/strong><\/li>\n<\/ol>\n

                               <\/p>\n

                              (1) Al t\u00e9rmino del presente acuerdo, el encargado del tratamiento dejar\u00e1 de procesar datos personales en nombre del responsable del tratamiento inmediatamente. Si se le solicita, el encargado del tratamiento entregar\u00e1 al responsable una copia de los datos personales que tenga en su posesi\u00f3n. El encargado del tratamiento se reserva el derecho de archivar los datos personales de conformidad con las disposiciones legales o para demostrar sus servicios en virtud del contrato del Anunciante.<\/p>\n

                               <\/p>\n

                               <\/p>\n

                                \n
                              1. Anexos<\/strong><\/li>\n<\/ol>\n

                                 <\/p>\n

                                Los anexos siguientes constituyen una parte integral del presente acuerdo.<\/p>\n

                                 <\/p>\n

                                  \n
                                • Anexo 1: descripci\u00f3n de las obligaciones del contratista, incluida la descripci\u00f3n de la naturaleza de los datos personales y del grupo de interesados<\/strong><\/li>\n
                                • Anexo 2: lista de subencargados<\/strong><\/li>\n
                                • Anexo 3: requisitos de seguridad de los datos<\/strong><\/li>\n<\/ul>\n

                                   <\/p>\n

                                   <\/p>\n

                                   <\/p>\n

                                   <\/p>\n

                                   <\/p>\n

                                   <\/p>\n

                                  Anexo 1<\/u><\/strong><\/p>\n

                                   <\/p>\n

                                  Datos Personales y el prop\u00f3sito de su procesamiento por parte de Webgains en nombre del Anunciante:<\/p>\n

                                   <\/p>\n

                                  La lista debe indicar el alcance, la naturaleza y el prop\u00f3sito de cualquier recopilaci\u00f3n, procesamiento y uso contemplados de los Datos Personales, as\u00ed como el tipo de Datos y las personas y sujetos interesados.<\/p>\n

                                   <\/p>\n

                                  Tipos de Datos Personales<\/p>\n

                                   <\/p>\n

                                    \n
                                  • Direcci\u00f3n IP<\/li>\n
                                  • Detalles del Pedido<\/li>\n
                                  • ID de Transacci\u00f3n<\/li>\n<\/ul>\n

                                     <\/p>\n

                                    Interesado<\/p>\n

                                     <\/p>\n

                                      \n
                                    • Cliente<\/li>\n
                                    • Visitante<\/li>\n<\/ul>\n

                                       <\/p>\n

                                      Prop\u00f3sito del procesamiento del uso de datos personales<\/p>\n

                                       <\/p>\n

                                        \n
                                      • Provisi\u00f3n de servicios acordes al contrato principal<\/li>\n
                                      • Controlador<\/li>\n<\/ul>\n

                                         <\/p>\n

                                         <\/p>\n

                                         <\/p>\n

                                         <\/p>\n

                                        Anexo 2: lista de subencargados <\/u><\/strong><\/p>\n

                                         <\/p>\n

                                          \n
                                        • Experian Information Solutions, Inc. (41st Parameter): detecci\u00f3n y prevenci\u00f3n del fraude<\/li>\n
                                        • Afilias Technologies Limited (DeviceAtlas): huellas digitales para todas las operaciones en la red<\/li>\n
                                        • QuBit Digital Limited (sucursal del Reino Unido): soluci\u00f3n de Container Tag e identificadores de transacci\u00f3n<\/li>\n
                                        • Tech Essence Ltd.: soluci\u00f3n de rastreo<\/li>\n
                                        • Neory GmbH: soluci\u00f3n de Container Tag e identificadores de transacci\u00f3n<\/li>\n
                                        • Amazon Web Services, Inc.: servicio de alojamiento<\/li>\n
                                        • OVH: servicio de alojamiento<\/li>\n
                                        • Pulsant Ltd.: servicio de alojamiento<\/li>\n
                                        • Periscope, Inc.: herramienta de informes empresariales<\/li>\n
                                        • Cubed – Herramienta para medir la atribuci\u00f3n<\/li>\n
                                        • Cloudfind \u2013 Herramienta para descubrir y comparar<\/li>\n<\/ul>\n

                                           <\/p>\n

                                           <\/p>\n

                                           <\/p>\n

                                          Anexo 3<\/u><\/strong><\/p>\n

                                           <\/p>\n

                                          Medidas t\u00e9cnicas y organizativas implementadas de conformidad con el art\u00edculo 32 del RGPD:<\/strong><\/p>\n

                                           <\/p>\n

                                          El encargado del tratamiento implementar\u00e1 las medidas t\u00e9cnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo de los datos personales procesados en virtud del presente acuerdo. Dichas medidas tendr\u00e1n en cuenta la \u00faltima tecnolog\u00eda, los costes de implementaci\u00f3n y la naturaleza, el alcance, el contexto y la finalidad del tratamiento, as\u00ed como el riesgo de distinta probabilidad y gravedad para los derechos y las libertades de las personas f\u00edsicas. Estas medidas deber\u00e1n garantizar la confidencialidad, integridad, disponibilidad y resiliencia continuas de los sistemas y servicios de tratamiento.<\/p>\n

                                           <\/p>\n

                                           <\/p>\n

                                            \n
                                          1. Proceso de control de la seguridad inform\u00e1tica <\/strong><\/li>\n<\/ol>\n

                                             <\/p>\n

                                            El encargado del tratamiento implementar\u00e1 un proceso para probar, evaluar y valorar regularmente la efectividad de las medidas t\u00e9cnicas y organizativas con el fin de garantizar la seguridad del tratamiento.<\/p>\n

                                             <\/p>\n

                                             <\/p>\n

                                              \n
                                            1. Medidas t\u00e9cnicas y organizativas para garantizar la seguridad del tratamiento <\/strong><\/li>\n<\/ol>\n

                                               <\/p>\n

                                              El encargado del tratamiento implementar\u00e1 las medidas t\u00e9cnicas y organizativas siguientes para garantizar la seguridad de los datos personales. Asimismo, supervisar\u00e1 su cumplimiento a trav\u00e9s de medidas organizativas de vigilancia:<\/p>\n

                                               <\/p>\n

                                               <\/p>\n

                                              Objetivo: confidencialidad<\/strong><\/p>\n

                                               <\/p>\n

                                              Ninguna persona f\u00edsica \u2014empleado o tercero\u2014 tomar\u00e1 nota de los datos personales en virtud del presente acuerdo, a menos que est\u00e9 autorizado para hacerlo.<\/p>\n

                                               <\/p>\n

                                               <\/p>\n

                                              1\u00a0\u00a0 Control de entradas:<\/strong><\/p>\n

                                               <\/p>\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n
                                              Solicitudes<\/em><\/strong><\/td>\n<\/tr>\n
                                              Se implementar\u00e1 un control de entradas para personas externas, p.\u00a0ej., por medio de los puntos siguientes:<\/td>\n<\/tr>\n
                                              \n
                                                \n
                                              • Documentaci\u00f3n y registro del acceso y la salida de personas o visitantes externos<\/li>\n<\/ul>\n<\/td>\n<\/tr>\n
                                              \n
                                                \n
                                              • \u00c1rea de recepci\u00f3n central (recepci\u00f3n o guarda en la puerta)<\/li>\n<\/ul>\n<\/td>\n<\/tr>\n
                                              \n
                                                \n
                                              • Se reparten pases para visitantes.<\/li>\n<\/ul>\n<\/td>\n<\/tr>\n
                                              \n
                                                \n
                                              • Las personas externas solo pueden acceder a las instalaciones si van acompa\u00f1adas de miembros del personal.<\/li>\n<\/ul>\n<\/td>\n<\/tr>\n
                                              \n
                                                \n
                                              • Los permisos de autorizaci\u00f3n se retirar\u00e1n inmediatamente tras su vencimiento.<\/li>\n<\/ul>\n<\/td>\n<\/tr>\n
                                              Se implementar\u00e1 un control de entradas para los miembros del personal, p.\u00a0ej., por medio de los puntos siguientes:<\/td>\n<\/tr>\n
                                              \n
                                                \n
                                              • Documentaci\u00f3n del acceso y la salida de los empleados<\/li>\n<\/ul>\n<\/td>\n<\/tr>\n
                                              \n
                                                \n
                                              • Teclado con c\u00f3digo con cambios regulares del c\u00f3digo<\/li>\n<\/ul>\n<\/td>\n<\/tr>\n
                                              \n
                                                \n
                                              • Tarjetas con chip y funciones de registro<\/li>\n<\/ul>\n<\/td>\n<\/tr>\n
                                              Implementaci\u00f3n de normas de autorizaci\u00f3n para la sala de ordenadores\/servidores<\/td>\n<\/tr>\n
                                              Implementaci\u00f3n de medidas de autorizaci\u00f3n de acceso para la sala de ordenadores\/servidores<\/td>\n<\/tr>\n
                                              Uso de contenedores con cerradura para los empleados<\/td>\n<\/tr>\n
                                              Pol\u00edtica de llaves (puertas cerradas con llave, entrega de llaves solo a personas autorizadas y uso y almacenamiento de una llave maestra)<\/td>\n<\/tr>\n
                                              \u00c1reas\/medidas de seguridad para la protecci\u00f3n de la propiedad (p.\u00a0ej., protecci\u00f3n de ventanas y vigilancia de la propiedad)<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

                                              \u00a0<\/strong><\/p>\n

                                              \u00a0<\/strong><\/p>\n

                                              \u00a0<\/strong><\/p>\n

                                              2\u00a0\u00a0 Control de acceso:<\/strong><\/p>\n

                                              \u00a0<\/strong><\/p>\n\n\n\n\n\n\n\n\n\n
                                              Solicitudes<\/em><\/strong><\/td>\n<\/tr>\n
                                              Medidas de identificaci\u00f3n para el acceso de usuarios a los sistemas de tratamiento de datos personales, es decir, identificaci\u00f3n mediante palabra clave, contrase\u00f1a o medios de identificaci\u00f3n biom\u00e9tricos<\/td>\n<\/tr>\n
                                              Implementaci\u00f3n de una pol\u00edtica de contrase\u00f1as<\/p>\n

                                              \u00b7\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Contrase\u00f1a individual (asignada por el propio usuario)<\/p>\n

                                              \u00b7\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Al menos diez elementos, incluidos caracteres especiales y n\u00fameros<\/p>\n

                                              \u00b7\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Asignaci\u00f3n por parte del usuario<\/p>\n

                                              \u00b7\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Expiraci\u00f3n tras un plazo de tiempo predefinido (pasados seis meses a m\u00e1s tardar)<\/p>\n

                                              \u00b7\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Las cuentas se bloquean despu\u00e9s de tres intentos fallidos como m\u00e1ximo.<\/p>\n

                                              \u00b7\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 No se comunicar\u00e1 a terceros<\/p>\n

                                              \u00b7\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Normas de ausencia (vacaciones, enfermedad, etc.)<\/p>\n

                                              \u00b7\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Prohibici\u00f3n de las \u00faltimas cinco contrase\u00f1as utilizadas<\/td>\n<\/tr>\n

                                              Bloqueo de acceso inmediato a los sistemas de protecci\u00f3n de datos personales con la jubilaci\u00f3n de los empleados<\/td>\n<\/tr>\n
                                              Evaluaci\u00f3n de los derechos de acceso regularmente, al menos una vez al a\u00f1o<\/td>\n<\/tr>\n
                                              Activaci\u00f3n autom\u00e1tica de un salvapantallas protegido con contrase\u00f1a (intervalos de tiempo de entre 5 y 15 minutos, en funci\u00f3n del riesgo de uso indebido)<\/td>\n<\/tr>\n
                                              Protecci\u00f3n de las redes internas contra ataques externos mediante la implementaci\u00f3n de cortafuegos, encriptaci\u00f3n, redes privadas virtuales (VPN), etc.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

                                               <\/p>\n

                                               <\/p>\n

                                              3\u00a0\u00a0 Control de autorizaci\u00f3n de acceso:<\/strong><\/p>\n

                                              \u00a0<\/strong><\/p>\n\n\n\n\n\n\n\n\n\n\n\n\n\n
                                              Solicitudes<\/em><\/strong><\/td>\n<\/tr>\n
                                              Implementaci\u00f3n de perfiles de usuario, es decir, normas de autorizaci\u00f3n de acceso<\/td>\n<\/tr>\n
                                              Normas de autorizaci\u00f3n espec\u00edficas para la lectura, modificaci\u00f3n y eliminaci\u00f3n de datos personales<\/td>\n<\/tr>\n
                                              Asignaci\u00f3n de autorizaciones para empleados y ayudantes de acuerdo con el principio de minimizaci\u00f3n; el acceso a las aplicaciones y a los componentes del sistema solo se permitir\u00e1 cuando sea necesario para la actividad concreta de los empleados.<\/td>\n<\/tr>\n
                                              Establecimiento de un plan de autorizaci\u00f3n<\/p>\n
                                                \n
                                              • Implementaci\u00f3n de derechos de administrador<\/li>\n
                                              • Gesti\u00f3n de las normas de autorizaci\u00f3n por parte del administrador del sistema<\/li>\n<\/ul>\n<\/td>\n<\/tr>\n
                                              Separaci\u00f3n del modo de prueba y producci\u00f3n<\/td>\n<\/tr>\n
                                              Configuraci\u00f3n de los componentes inform\u00e1ticos para garantizar la desactivaci\u00f3n en cuanto los componentes ya no sean necesarios para realizar las tareas contractuales. Revisi\u00f3n anual de la correcta configuraci\u00f3n<\/td>\n<\/tr>\n
                                              Eliminaci\u00f3n de los soportes de datos personales y desecho de acuerdo con los principios vigentes de la protecci\u00f3n de datos personales y la \u00faltima tecnolog\u00eda (DIN 66399:2012), o bien el nombramiento de un proveedor de servicios especializado en desechar soportes de datos utilizando el mismo nivel de seguridad. Los soportes de datos cuya eliminaci\u00f3n est\u00e9 prevista estar\u00e1n sujetos a un almacenamiento y un transporte seguros.<\/td>\n<\/tr>\n
                                              Normativa escrita para las medidas relativas a la copia de datos personales<\/td>\n<\/tr>\n
                                              Desactivaci\u00f3n de puertos USB y otros medios port\u00e1tiles en estaciones de trabajo en las que se pueda acceder a los datos personales del cliente<\/td>\n<\/tr>\n
                                              Implementaci\u00f3n de medidas contra flujos de datos no autorizados (restricci\u00f3n de puertos USB, software de detecci\u00f3n, prevenci\u00f3n y protecci\u00f3n contra filtraciones de datos, etc.)<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

                                               <\/p>\n

                                               <\/p>\n

                                              4\u00a0\u00a0 Control de la finalidad: <\/strong><\/p>\n

                                              \u00a0<\/em><\/strong><\/p>\n\n\n\n\n\n
                                              Solicitudes<\/em><\/strong><\/td>\n<\/tr>\n
                                              Implementaci\u00f3n de un plan de autorizaci\u00f3n que especifique los derechos de acceso<\/td>\n<\/tr>\n
                                              Base de datos con capacidad para varios clientes<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

                                               <\/p>\n

                                               <\/p>\n

                                               <\/p>\n

                                               <\/p>\n

                                              Objetivo: integridad<\/strong><\/p>\n

                                               <\/p>\n

                                              El proveedor deber\u00e1 garantizar que los procesos y sistemas inform\u00e1ticos cumplan en todo momento las especificaciones codificadas. Los datos personales permanecer\u00e1n intactos, \u00edntegros y actualizados.<\/p>\n

                                               <\/p>\n

                                              5\u00a0\u00a0 Control de los procesos de transferencia:<\/strong><\/p>\n

                                              \u00a0<\/strong><\/p>\n\n\n\n\n\n
                                              Solicitudes<\/em><\/strong><\/td>\n<\/tr>\n
                                              Documentaci\u00f3n de los destinatarios de los datos, las rutas de transporte, las personas autorizadas para la transferencia de datos y los datos que han sido transferidos<\/td>\n<\/tr>\n
                                              Encriptaci\u00f3n de los datos personales antes de la transferencia en caso de que las rutas de transferencia no sean seguras<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

                                               <\/p>\n

                                               <\/p>\n

                                              6\u00a0\u00a0 Control de introducci\u00f3n de datos:<\/strong><\/p>\n

                                               <\/p>\n\n\n\n\n\n\n\n
                                              Solicitudes<\/em><\/strong><\/td>\n<\/tr>\n
                                              Todas las entradas de datos personales estar\u00e1n registradas mediante pruebas de auditor\u00eda y derechos de acceso por escrito.<\/td>\n<\/tr>\n
                                              Registro de las entradas, modificaciones y eliminaciones de datos personales<\/td>\n<\/tr>\n
                                              Existen derechos de acceso a los datos registrados.<\/td>\n<\/tr>\n
                                              Existen normas respecto a la eliminaci\u00f3n de los datos registrados.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

                                              \u00a0<\/strong><\/p>\n

                                              \u00a0<\/strong><\/p>\n

                                              Objetivo: disponibilidad<\/strong><\/p>\n

                                               <\/p>\n

                                              7\u00a0\u00a0 Control de la disponibilidad de los datos:<\/strong><\/p>\n

                                               <\/p>\n\n\n\n\n\n\n\n\n\n
                                              Solicitudes<\/em><\/strong><\/td>\n<\/tr>\n
                                              Proceso de aprobaci\u00f3n formalizado para la implementaci\u00f3n de nuevos sistemas de tratamiento de datos personales y la implementaci\u00f3n de cambios considerables respecto al sistema antiguo<\/td>\n<\/tr>\n
                                              Todos los sistemas alimentados mediante un sistema de alimentaci\u00f3n ininterrumpida (SAI)<\/td>\n<\/tr>\n
                                              Detectores de humo y fuego autom\u00e1ticos<\/td>\n<\/tr>\n
                                              Extintores en las salas de servidores<\/td>\n<\/tr>\n
                                              Copia de seguridad de las bases de datos<\/p>\n
                                                \n
                                              • Plan de conservaci\u00f3n del statu quo<\/em><\/li>\n
                                              • Almacenamiento de copias de seguridad en un lugar seguro (salida de stock)<\/li>\n
                                              • Compilaci\u00f3n de las copias de seguridad a intervalos apropiados de acuerdo con el principio de generaci\u00f3n<\/li>\n<\/ul>\n<\/td>\n<\/tr>\n
                                              Reconstrucci\u00f3n de bases de datos<\/p>\n