Acuerdo de tratamiento de datos personales

Este Acuerdo de Tratamiento de Datos (“ATD”) aplica a todos los tratamientos de datos personales que Numintec lleva a cabo por cuenta de sus clientes en calidad de encargado de tratamiento de datos.

Este Acuerdo de Tratamiento de Datos («ATD») es un acuerdo entre Numintec Comunicaciones S.L. (“NUMINTEC”) y la entidad que contrata sus servicios (“Cliente”) y establece las obligaciones de ambas partes con respecto al tratamiento y la seguridad de los datos personales de los que es responsable el Cliente en relación con el uso de los servicios de Numintec

Este ATD complementa los Términos y Condiciones de Contratación de los servicios de Numintec, disponible en https://www.numintec.com/acuerdo-de-tratamiento-de-datos-personales/ u otro acuerdo entre el Cliente y Numintec que rige el uso por parte del Cliente de los servicios prestados por Numintec cuando en el uso de estos servicios sea de aplicación el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (“RGPD”). 

DEFINICIONES

Para el propósito de este Acuerdo de Tratamiento de Datos Personales:

“Ley de protección de datos aplicable” significa las leyes y regulaciones aplicables donde se realiza el tratamiento de datos, que se aplican a los términos de este ATD y que pueden variar con el paso del tiempo. Comprende tanto el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (“RGPD”), como las leyes locales aplicables donde se lleva a cabo el tratamiento, tales como, por ejemplo, en España es la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (“LOPD GDD”).

«Responsable» o “Responsable del tratamiento” significa la persona física o jurídica, autoridad pública, agencia u otro organismo que, solo o conjuntamente con otros, determina los fines y medios del tratamiento de datos personales.

«Encargado» o “Encargado del tratamiento” significa una persona física o jurídica, autoridad pública, agencia u otro organismo que procesa datos personales en nombre del responsable del tratamiento;

“Interesado” significa una persona que es el sujeto de los datos personales;

“ATD”, “este ATD”, “este acuerdo ATD” es este Acuerdo de Tratamiento de Datos Personales;

«Datos personales» significa toda información sobre una persona física identificada o identificable (“el interesado”); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;

“Autoridad supervisora” significa una autoridad independiente establecida por un estado miembro que se ocupa de la supervisión del procesamiento de datos personales con el fin de proteger los derechos y las libertades fundamentales de las personas físicas en lo que respecta al tratamiento de sus datos;

“Datos del Cliente” son todos los datos personales (incluidos todos los archivos de texto, sonido, video o imagen) que las personas autorizadas del Cliente incorporan a las bases de datos y sistemas de alojamiento de cada servicio, así como aquellos que se puedan generar y conservar mediante el uso de los servicios de NUMINTEC. El Cliente es el responsable del tratamiento de estos datos personales.

«Contrato de Servicio» significa la Aceptación del Pedido y los Términos y Condiciones de Contratación junto con la correspondiente Orden de Pedido, la(s) Descripción(es) del Servicio, cualesquiera Términos y Condiciones Específicos del Servicio que sean de aplicación y la Garantía de Nivel de Servicio, en todo caso en la versión existente en la fecha de la Orden de Pedido;

“Numintec”, «nosotros», «nuestro(s)» y todas las derivaciones de estas palabras significan Numintec Comunicaciones S.L., sociedad constituida de conformidad con las leyes de España, con CIF n° B63003636 y domicilio social en C/ Diputació, 279-283, Entlo. 2º, 08007 – Barcelona (España);

“Servicios”, “Servicios NUMINTEC”  son los servicios de Software como servicio (SaaS). Son los servicios prestados a través de internet por NUMINTEC a favor del Cliente, en relación con el uso del servicio contratado, a través de la plataforma de NUMINTEC y dentro de la infraestructura de computación en la nube;

“Subencargados” son aquellos encargados del tratamiento que NUMINTEC utiliza para tratar los Datos del Cliente, tal como se describe en el artículo 28 del RGPD.

TÉRMINOS

SECCIÓN I

Cláusula 1. Finalidad y ámbito de aplicación

  1. La finalidad de las cláusulas de este ATD (en lo sucesivo, «pliego de cláusulas») es garantizar que se cumpla el artículo 28, apartados 3 y 4, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
  2. Los responsables y encargados del tratamiento enumerados en el anexo I han dado su consentimiento a vincularse por el presente pliego de cláusulas a fin de garantizar el cumplimiento del artículo 28, apartados 3 y 4, del Reglamento (UE) 2016/679.
  3. El presente pliego de cláusulas se aplica al tratamiento de datos personales especificado en el anexo II.
  4. Los anexos I a IV forman parte del pliego.
  5. El presente pliego de cláusulas se entiende sin perjuicio de las obligaciones a las que esté sujeto el responsable en virtud del Reglamento (UE) 2016/679.
  6. El presente pliego de cláusulas no garantiza por sí mismo el cumplimiento de las obligaciones relativas a las transferencias internacionales contempladas en el capítulo V del Reglamento (UE) 2016/679.
  7. El pliego de cláusulas de este ATD está alineado con la Decisión de Ejecución (UE) 2021/915 de la Comisión de 4 de junio de 2021 sobre cláusulas contractuales estándar entre controladores y procesadores.
  8. Este ATD, incluidas sus definiciones, considerandos y anexos, es un documento independiente que no incorpora términos comerciales que deben haber sido establecidos por las partes en acuerdos comerciales separados.

Cláusula 2. Invariabilidad del pliego de cláusulas

  1. Las partes se comprometen a no modificar el pliego de cláusulas, excepto para añadir o actualizar información en los anexos.
  2. Esto no es óbice para que las partes añadan otras cláusulas o garantías adicionales siempre que no contradigan, directa o indirectamente, el pliego de cláusulas ni perjudiquen los derechos o libertades fundamentales de los interesados.

Cláusula 3. Interpretación

  1. Cuando en el presente pliego de cláusulas se utilizan términos definidos en el Reglamento (UE) 2016/679, se entiende que tienen el mismo significado que en el Reglamento correspondiente.
  2. El presente pliego de cláusulas deberá leerse e interpretarse con arreglo a las disposiciones del Reglamento (UE) 2016/679.
  3. No se podrán realizar interpretaciones del presente pliego de cláusulas que entren en conflicto con los derechos y obligaciones establecidos en el Reglamento (UE) 2016/679 y/o que perjudiquen los derechos o libertades fundamentales de los interesados.

Cláusula 4. Jerarquía

En caso de contradicción entre el presente pliego de cláusulas y las disposiciones de acuerdos conexos entre las partes que estuvieren en vigor en el momento en que se pacte o comience a aplicarse el presente pliego de cláusulas, prevalecerá el presente pliego de cláusulas.

SECCIÓN II. OBLIGACIONES DE LAS PARTES

Cláusula 5. Descripción del tratamiento o tratamientos

En el anexo II se especifican los pormenores de las operaciones de tratamiento y, en particular, las categorías de datos personales y los fines para los que se tratan los datos personales por cuenta del responsable.

Cláusula 6. Obligaciones de las partes

6.1.   Instrucciones

  1. El responsable del tratamiento instruirá al encargado para que trate los datos personales de la manera que sea razonablemente necesaria para que el encargado lleve a cabo el tratamiento de conformidad con este ATD y de conformidad con el Reglamento (UE) 2016/679.
  2. El encargado tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable de acuerdo con los términos establecidos en el Contrato de Servicio del cual este ATD forma parte, salvo que esté obligado a ello en virtud del Derecho de la Unión o de los Estados miembros que se aplique al encargado. En tal caso, el encargado informará al responsable de esa exigencia legal previa al tratamiento, salvo que tal Derecho lo prohíba por razones importantes de interés público. El responsable también podrá dar instrucciones ulteriores en cualquier momento del período de tratamiento de los datos personales. Dichas instrucciones deberán estar siempre documentadas.
  3. El responsable del tratamiento se abstendrá de proporcionar instrucciones que no se ajusten a las leyes aplicables, incluido el Reglamento (UE) 2016/679 y, en caso de que se den dichas instrucciones, el encargado del tratamiento tiene derecho a desistir de llevarlas a cabo.
  4. El encargado informará inmediatamente al responsable si las instrucciones dadas por el responsable infringen, a juicio del encargado, el Reglamento (UE) 2016/679 o las disposiciones aplicables del Derecho de la Unión o de los Estados miembros en materia de protección de datos.
  5. El encargado no divulgará ningún dato personal a un tercero bajo ninguna circunstancia que no sea por solicitud escrita específica del responsable, a menos que dicha divulgación sea necesaria para cumplir con las obligaciones del Contrato de Servicio o sea requerido en virtud del Derecho de la Unión o de los Estados miembros que se aplique al encargado.

6.2.   Limitación de la finalidad

El encargado tratará los datos personales únicamente para los fines específicos del tratamiento indicados en el anexo II, salvo cuando siga instrucciones adicionales del responsable.

6.3.   Duración del tratamiento de datos personales

El tratamiento por parte del encargado solo se realizará durante el período especificado en el anexo II.

6.4.   Seguridad del tratamiento

  1. El encargado aplicará, como mínimo, las medidas técnicas y organizativas especificadas en el Anexo III para garantizar la seguridad de los datos personales. Una de estas medidas podrá consistir en la protección contra violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales, o la comunicación o acceso no autorizados a dichos datos («violación de la seguridad de los datos personales»). A la hora de determinar un nivel adecuado de seguridad, las partes tendrán debidamente en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y los fines del tratamiento, y los riesgos que entraña el tratamiento para los interesados.
  2. El encargado solo concederá acceso a los datos personales tratados a los miembros de su personal en la medida en que sea estrictamente necesario para la ejecución, la gestión y el seguimiento del contrato. 
  3. El encargado garantizará que las personas autorizadas para tratar los datos personales recibidos se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria. El encargado deberá mantener a disposición del responsable del tratamiento todos los registros documentados del cumplimiento de la obligación de confidencialidad.
  4. El encargado deberá asegurarse de que todas las personas autorizadas para procesar datos personales reciban la formación necesaria en protección de datos personales.

6.5.   Datos sensibles

Si el tratamiento afecta a datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, datos genéticos o datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física, o datos relativos a condenas e infracciones penales («datos sensibles»), el encargado aplicará restricciones específicas y/o garantías adicionales.

6.6.   Documentación y cumplimiento

  1. Las partes deberán poder demostrar el cumplimiento del pliego de cláusulas de este ATD.
  2. El encargado resolverá con presteza y de forma adecuada las consultas del responsable relacionadas con el tratamiento con arreglo al presente pliego de cláusulas.
  3. El encargado designará en el Anexo I un punto de contacto dentro de su organización autorizada para responder a las consultas relacionadas con el procesamiento de los Datos Personales y cooperará con el controlador, el Interesado y la Autoridad de Supervisión con respecto a todas estas consultas dentro de un tiempo razonable.
  4. El encargado pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones contempladas en el presente pliego de cláusulas y que deriven directamente del Reglamento (UE) 2016/679. 
  5. A instancia del responsable, el encargado permitirá y contribuirá a la realización de auditorías de las actividades de tratamiento cubiertas por el presente pliego de cláusulas, a intervalos razonables o si existen indicios de incumplimiento. Al decidir si se realiza un examen o una auditoría, el responsable podrá tener en cuenta las certificaciones pertinentes que obren en poder del encargado.

Estas auditorías se solicitarán con un aviso razonable y se realizarán durante el horario laboral normal. La solicitud puede estar sujeta a cualquier consentimiento o aprobación necesarios de una autoridad supervisora dentro del país del responsable del tratamiento.

  1. El responsable podrá optar por realizar la auditoría por sí mismo o autorizar a un auditor independiente. Las auditorías también podrán consistir en inspecciones de los locales o instalaciones físicas del encargado y, cuando proceda, realizarse con un preaviso razonable.
  2. Las partes pondrán a disposición de las autoridades de control competentes, a instancia de estas, la información a que se refiere la presente cláusula y, en particular, los resultados de las auditorías.
  3. El encargado cooperará con la Autoridad de Supervisión en relación con cualquier actividad llevada a cabo por el encargado.
  4. El encargado notificará al responsable del tratamiento cualquier solicitud de información por parte de la Autoridad supervisora.
  5. El encargado notificará al controlador de cualquier queja, notificación o comunicación recibida que se relacione directa o indirectamente con el procesamiento de los datos personales u otras actividades relacionadas, o que se relacione directa o indirectamente con el cumplimiento del encargado y/o el responsable con la ley aplicable pertinente, incluida la ley de protección de datos aplicable.

6.7.   Recurso a subencargados

  1. El encargado cuenta con la autorización del responsable para contratar a subencargados que figuren en una lista acordada documentada en el anexo IV. El encargado informará al responsable específicamente y por escrito de las adiciones o sustituciones de subencargados previstas en dicha lista con al menos con 1 mes de antelación, de modo que el responsable tenga tiempo suficiente para formular objeción a tales cambios antes de que se contrate al subencargado o subencargados de que se trate. El encargado del tratamiento proporcionará al responsable la información necesaria para que pueda ejercer su derecho a formular objeción.
  2. Cuando el encargado contrate a un subencargado para llevar a cabo actividades de tratamiento específicas (por cuenta del responsable, lo hará por medio de un contrato que imponga al subencargado, en esencia, las mismas obligaciones en materia de protección de datos que las impuestas al encargado en virtud del presente pliego de cláusulas. El encargado se asegurará de que el subencargado cumpla las obligaciones a las que esté sujeto en virtud del presente pliego de cláusulas y del Reglamento (UE) 2016/679.
  3. El encargado proporcionará al responsable, a instancia de este, una copia del contrato con el subencargado y de cualquier modificación posterior del mismo. En la medida en que sea necesario para proteger secretos comerciales u otro tipo de información confidencial, como datos personales, el encargado podrá expurgar el texto del contrato antes de compartir la copia.
  4. El encargado seguirá siendo plenamente responsable ante el responsable del cumplimiento de las obligaciones que imponga al subencargado su contrato con el encargado. El encargado notificará al responsable los incumplimientos por parte del subencargado de las obligaciones que le atribuya dicho contrato.
  5. El encargado pactará con el subencargado una cláusula de tercero beneficiario en virtud de la cual, en caso de que el encargado desaparezca de facto, cese de existir jurídicamente o sea insolvente, el responsable tendrá derecho a rescindir el contrato del subencargado y ordenar a este que suprima o devuelva los datos personales.

6.8.   Transferencias internacionales

  1. Las transferencias de datos a un tercer país o a una organización internacional por parte del encargado solo podrán realizarse siguiendo instrucciones documentadas del responsable o en virtud de una exigencia expresa del Derecho de la Unión o del Estado miembro al que esté sujeto el encargado; se llevarán a cabo de conformidad con el capítulo V del Reglamento (UE) 2016/67.
  2. El responsable se aviene a que, cuando el encargado recurra a un subencargado de conformidad con la cláusula 6.7 para llevar a cabo actividades de tratamiento específicas (por cuenta del responsable) y dichas actividades conlleven una transferencia de datos personales en el sentido del capítulo V del Reglamento (UE) 2016/679, el encargado y el subencargado puedan garantizar el cumplimiento del capítulo V del Reglamento (UE) 2016/679, en cuyo caso se realiza únicamente cuando el subencargado trate los datos en países que ofrecen un nivel adecuado de protección o que ofrezcan las garantías adecuadas tal como normas corporativas vinculantes o utilizando cláusulas contractuales tipo adoptadas por la Comisión, con arreglo al artículo 46, apartado 2, del Reglamento (UE) 2016/679, siempre que se cumplan las condiciones para la utilización de dichas cláusulas contractuales tipo.

Cláusula 7. Obligaciones del responsable del tratamiento

El Responsable del tratamiento garantiza y se compromete a que:

  1. Los datos personales se han recopilado, procesado y transferido de acuerdo con las leyes de protección de datos aplicables.
  2. Debe realizar una evaluación del impacto en la protección de los datos personales de las operaciones de tratamiento que realizará el encargado cuando un el tipo de tratamiento pueda dar lugar a un alto riesgo para los derechos y libertades de los interesados
  3. Dispondrá de las medidas técnicas y organizativas adecuadas para proteger la confidencialidad de los datos personales, así como protegerlos contra la destrucción accidental o ilegal o la pérdida accidental, alteración, divulgación o acceso no autorizado, y que proporcionen un nivel de seguridad. adecuado al riesgo que representa el tratamiento y la naturaleza de los datos a proteger.
  4. Responderá a las solicitudes de los interesados ​​y de las autoridades de supervisión en relación con el tratamiento de los datos personales según lo estipulado en la Cláusula 8 (b).
  5. Realizará consultas previas que correspondan a la autoridad de control cuando una evaluación de impacto de protección de datos indique que el tratamiento daría lugar a un alto riesgo en ausencia de medidas tomadas por el responsable del tratamiento para mitigar el riesgo.

Cláusula 8. Asistencia al responsable del tratamiento

  1. El encargado notificará con presteza al responsable las solicitudes que reciba del interesado. No responderá a dicha solicitud por sí mismo, a menos que el responsable le haya autorizado a hacerlo.
  2. El encargado asistirá al responsable del tratamiento a cumplir sus obligaciones al responder a las solicitudes de ejercicio de derechos de los interesados teniendo en cuenta la naturaleza del tratamiento. En el cumplimiento de las obligaciones que le atribuyen las letras a) y b), el encargado cumplirá las instrucciones del responsable. Dado el caso:
    1. el interesado debería dirigir primero la solicitud al responsable del tratamiento;
    2. seguidamente, el responsable del tratamiento, tras recibir la solicitud, solicitará al encargado que realice las acciones necesarias a través del punto de contacto establecido en el anexo I; 
    3. una vez que el encargado haya recibido la petición del responsable, el encargado responderá al responsable dentro de un plazo de diez (10) días hábiles;
    4. en el caso de que un interesado se comunique directamente con el encargado, este le pedirá al interesado que dirija su solicitud al responsable. Al mismo tiempo, el encargado informará al responsable de esta petición;
  3. Además de la obligación del encargado de asistir al responsable en virtud de la cláusula 8, letra b), el encargado también asistirá al responsable a garantizar el cumplimiento de las obligaciones siguientes teniendo en cuenta la naturaleza del tratamiento y la información de que disponga el encargado:
    1. la obligación de realizar una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales («evaluación de impacto») cuando sea probable que un tipo de tratamiento suponga un alto riesgo para los derechos y libertades de las personas físicas;
    2. la obligación de consultar a las autoridades de control competentes antes de proceder al tratamiento cuando una evaluación de impacto relativa a la protección de los datos muestre que el tratamiento entrañaría un alto riesgo si el responsable no toma medidas para mitigarlo;
    3. la obligación de garantizar que los datos personales sean exactos y estén actualizados, informando sin demora al responsable si el encargado descubre que los datos personales que está tratando son inexactos o han quedado obsoletos;
    4. las obligaciones contempladas en el artículo 32 del Reglamento (UE) 2016/679.
  4. Las partes establecerán en el Anexo III medidas técnicas y organizativas apropiadas que obliguen al encargado a ayudar al responsable a aplicar la presente cláusula, así como el objeto y el alcance de la ayuda requerida.

Cláusula 9. Notificación de violaciones de la seguridad de los datos personales

En caso de violación de la seguridad de los datos personales, el encargado colaborará con el responsable y le ayudará a cumplir las obligaciones que le atribuyen los artículos 33 y 34 del Reglamento (UE) 2016/679 teniendo en cuenta la naturaleza del tratamiento y la información de que disponga el encargado.

9.1   Violación de la seguridad de datos personales tratados por el responsable

En caso de violación de la seguridad de los datos personales en relación con los datos tratados por el responsable, el encargado ayudará al responsable en lo siguiente.

  1. Notificar la violación de la seguridad de los datos personales a las autoridades de control competentes sin dilación indebida una vez tenga constancia de ella, si procede (a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas).
  2. Recabar la información siguiente, que, de conformidad con el artículo 33, apartado 3, del Reglamento (UE) 2016/679, deberá figurar en la notificación del responsable, que debe incluir como mínimo:
    1. la naturaleza de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados;
    2. las consecuencias probables de la violación de la seguridad de los datos personales;
    3. las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

Cuando y en la medida en que no se pueda proporcionar toda la información al mismo tiempo, en la notificación inicial se proporcionará la información de que se disponga en ese momento y, a medida que se vaya recabando, la información adicional se irá proporcionando sin dilación indebida.

  1. Cumplir, con arreglo al artículo 34 del Reglamento (UE) 2016/679, la obligación de comunicar sin dilación indebida al interesado la violación de la seguridad de los datos personales cuando sea probable que la violación de la seguridad entrañe un alto riesgo para los derechos y libertades de las personas físicas.

9.2   Violación de la seguridad de datos personales tratados por el encargado

En caso de violación de la seguridad de datos personales tratados por el encargado, este lo notificará al responsable sin dilación indebida una vez que el encargado tenga constancia de ella. Dicha notificación deberá incluir como mínimo:

  1. una descripción de la naturaleza de la violación de la seguridad (inclusive, cuando sea posible, las categorías y el número aproximado de interesados y de registros de datos afectados);
  2. los datos de un punto de contacto en el que pueda obtenerse más información sobre la violación de la seguridad de los datos personales;
  3. sus consecuencias probables y las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad, incluyendo las medidas adoptadas para mitigar los posibles efectos negativos.

Cuando y en la medida en que no se pueda proporcionar toda la información al mismo tiempo, en la notificación inicial se proporcionará la información de que se disponga en ese momento y, a medida que se vaya recabando, la información adicional se irá proporcionando sin dilación indebida.

Las partes establecerán en el anexo III los demás elementos que deberá aportar el encargado cuando ayude al responsable a cumplir las obligaciones que le atribuyen los artículos 33 y 34 del Reglamento (UE) 2016/679.

SECCIÓN III. DISPOSICIONES FINALES 

Cláusula 10. Incumplimiento de las cláusulas y resolución del contrato

  1. Sin perjuicio de lo dispuesto en el Reglamento (UE) 2016/679, en caso de que el encargado del tratamiento incumpla las obligaciones que le atribuye el presente pliego de cláusulas, el responsable podrá ordenar al encargado que suspenda el tratamiento de datos personales hasta que este vuelva a dar cumplimiento al presente pliego de cláusulas, o resolver el contrato. El encargado informará con presteza al responsable en caso de que no pueda dar cumplimiento al presente pliego de cláusulas por cualquier motivo.
  2. El responsable estará facultado para resolver el contrato en lo que se refiera al tratamiento de datos personales en virtud del presente pliego de cláusulas cuando:
  1. El tratamiento de datos personales por parte del encargado haya sido suspendido por el responsable con arreglo a la letra a) y no se vuelva a dar cumplimiento al presente pliego de cláusulas en un plazo razonable y, en cualquier caso, en un plazo de un mes a contar desde la suspensión;
  2. El encargado incumpla de manera sustancial o persistente el presente pliego de cláusulas o las obligaciones que le atribuye el Reglamento (UE) 2016/679;
  3. El encargado incumpla una resolución vinculante de un órgano jurisdiccional competente o de las autoridades de control competentes en relación con las obligaciones que les atribuye el presente pliego de cláusulas, el Reglamento (UE) 2016/679.
  1. El encargado estará facultado para resolver el contrato en lo que se refiera al tratamiento de datos personales en virtud del presente pliego de cláusulas cuando, tras haber informado al responsable de que sus instrucciones infringen los requisitos jurídicos exigidos por la cláusula 7.1, letra b), el responsable insiste en que se sigan dichas instrucciones.
  2. Tras la resolución del contrato, el encargado suprimirá, a petición del responsable, todos los datos personales tratados por cuenta del responsable y acreditará al responsable que lo ha hecho, o devolverá todos los datos personales al responsable y suprimirá las copias existentes, a menos que el Derecho de la Unión o de los Estados miembros exija el almacenamiento de los datos personales. Hasta que se destruyan o devuelvan los datos, el encargado seguirá garantizando el cumplimiento con el presente pliego de cláusulas.
  3. Otros motivos y condiciones de terminación estarán sujetas a los Términos y Condiciones Generales de Contratación de los servicios NUMINTEC, del cual este acuerdo forma parte, u otro acuerdo firmado entre las partes.

Cláusula 11. Responsabilidad e indemnización 

  1. El encargado del tratamiento no será responsable ante cualquier reclamación presentada por un interesado que sea consecuencia de cualquier acción del encargado en la medida en que dicha acción sea el resultado directo de las instrucciones del responsable y la incorrecta implantación de sus medidas técnicas y organizativas.
  2. En el caso de que un interesado presente una reclamación contra el encargado que surja de cualquier acción u omisión del encargado en la medida en que dicha acción u omisión sea el resultado directo de las instrucciones del responsable, o la aplicación incorrecta por parte del responsable de sus y medidas organizativas, de acuerdo con la Cláusula 7 (c) de este ATD, el responsable indemnizará y mantendrá indemnizado y defenderá a su propio cargo al encargado respecto a todos los costes, reclamaciones, daños o gastos incurridos por el encargado para los cuales el encargado pueda ser responsable por causa de cualquier incumplimiento por parte del controlador o sus gerentes, empleados, agentes o contratistas de sus obligaciones en virtud de las cláusulas de este ATD.

Cláusula 12. Legislación aplicable a este ATD 

Este ATD se regirá e interpretará en todos los aspectos de acuerdo con las leyes y regulaciones de España. Las partes del presente acuerdo se someten a la jurisdicción exclusiva de España para todos los fines de este ATD.

Cláusula 13. Resolución de disputas con los interesados o las autoridades de supervisión 

  1. En el caso de una disputa o reclamación presentada por un interesado o una autoridad de supervisión con respecto al tratamiento de los datos personales contra una o ambas partes, las partes se informarán mutuamente sobre tales disputas o reclamaciones y cooperarán con miras a resolverlas amistosamente y de la manera más oportuna.
  2. Las partes acuerdan responder a cualquier procedimiento de mediación no vinculante disponible generalmente iniciado por un interesado o por una autoridad de supervisión. Si participan en el procedimiento, las partes pueden optar por hacerlo de forma remota (por ejemplo, por teléfono u otros medios electrónicos). Las partes también acuerdan considerar la participación en cualquier otro arbitraje, mediación u otro procedimiento de resolución de disputas habilitado para disputas de protección de datos.
  3. Cada parte se compromete a acatar la decisión de la autoridad de supervisión, que es definitiva y contra la cual ya no será posible apelar.

ANEXO I. Lista de partes

Como Responsable del tratamiento: 

Nombre: El Cliente que contrata los servicios de NUMINTEC según se establece en el en el acuerdo o contrato de prestación de servicios suscrito entre ambas partes.

Dirección: Según se especifica en el acuerdo o contrato de prestación de servicios suscrito entre ambas partes.

Departamento/empleado de referencia: Según se especifica en el acuerdo o contrato de prestación de servicios suscrito entre ambas partes 

Nombre, cargo y datos de contacto de la persona de contacto: Según se especifica en el acuerdo o contrato de servicios suscrito entre ambas partes 

Fecha de adhesión: Fecha de entrada en vigor el contrato o acuerdo de prestación de servicios suscrito por ambas partes

Por NUMINTEC (Encargado del tratamiento): 

Nombre: NUMINTEC COMUNICACIONES, S.L.

Dirección: C/ Diputació, 279-283, Entlo. 2º, 08007 – Barcelona (España)

Departamento/empleado de referencia: Según se especifica en el acuerdo o contrato de prestación de servicios suscrito entre ambas partes.

Nombre, cargo y datos de contacto de la persona de contacto: 

Fecha de adhesión: Fecha de entrada en vigor el contrato o acuerdo de prestación de servicios suscrito por ambas partes

ANEXO II. Descripción del tratamiento

Categorías de interesados cuyos datos personales se tratan

  • Personal, colaboradores y otros autorizados por el Cliente que son usuarios de la plataforma tecnológica de NUMINTEC
  • Personas cuyos datos de contacto están recogidos en los servicios de agenda y comunicaciones proporcionados por NUMINTEC.
  • Personas que utilizan los canales de comunicación gestionados por NUMINTEC y que el Cliente pone a disposición pública.

Categorías de datos personales tratados

Como encargado del tratamiento, NUMINTEC tratará los siguientes datos:

  • Información de los usuarios y agentes necesaria para acceder y hacer uso de los servicios de la plataforma NUMINTEC
    • Identidad de los usuarios, por ejemplo, su nombre y apellidos.
    • Datos de contacto profesionales tal como la dirección de correo y número de teléfono. 
    • Datos de autenticación para el acceso (si son nominales).
    • Registros de actividad de los usuarios en el uso de los Servicios, que puede incluir información de la dirección IP desde la que se accede a la plataforma NUMINTEC.
  • Datos de contacto recogidos en el servicio de agenda
  • Datos que circunstancialmente pudiesen estar incluidos en los contenidos intercambiados por los usuarios mediante el servicio de chat y otros canales de comunicación que formen parte de los servicios proporcionados.
  • Grabaciones de llamadas cuando nuestros clientes activan esta funcionalidad.

Adicionalmente, para proporcionar el servicio contratado NUMINTEC tratará las siguientes categorías de datos como responsable del tratamiento:

  • Datos y credenciales de acceso de los usuarios de la plataforma,
  • Registros de llamadas, incluyendo, números de origen y destino, duración y momento en el que se ha realizado la llamada, y otros datos de histórico de servicios,
  • Metadatos de las llamadas proporcionados por los clientes o datos obtenidos de la propia conversación,
  • Registros de uso de la plataforma

Datos de categoría especial:

  • Este ATD no considera el tratamiento de datos clasificados como «datos de categoría especial» o que requieran medidas de protección especiales. 
  • El procesamiento de dichos datos por cuenta del cliente solo debe realizarse con un acuerdo previo entre ambas partes y después de haber realizado una evaluación de impacto de protección de datos adecuada antes de su tratamiento.

Finalidad(es) del tratamiento de los datos personales 

  • Como responsable del tratamiento:
    • Gestionar el acceso y uso de la plataforma de servicios de comunicaciones en la nube.
    • Investigación y prevención de actividades susceptibles de constituir un uso fraudulento de los servicios.
    • Cumplimiento de obligaciones que le correspondan a NUMINTEC por mandato legal.
    • Análisis del uso de los servicios para mejorar el servicio prestado.
  • Como encargado del tratamiento:
    • NUMINTEC tratará los datos únicamente con la finalidad de proporcionar los servicios contratados y de acuerdo con los Términos y Condiciones Generales de Contratación del Servicio.

Naturaleza del tratamiento

  • La prestación de los servicios contratados por los clientes implica el encargo tratamiento de datos personales que están bajo la responsabilidad de nuestros clientes. Numintec trata información bajo las instrucciones de sus clientes y de acuerdo con las funcionalidades establecidas en el producto, y no tiene relación directa con las personas cuyos datos personales procesa.
  • Implica las actividades de:
    • Registro y almacenamiento de la información del cliente
    • Supresión o destrucción de la información cuando sea requerido por el Cliente y a la terminación del servicio
    • Limitación del tratamiento de la información a requerimiento del Cliente o autoridad competente.
  • Los datos son proporcionados por el Cliente, como responsable del tratamiento, al hacer usos de los Servicios.
  • Todos los datos se almacenan en servidores en la UE mediante servicios proporcionados por terceros tal como se estipula en el ANEXO IV Lista de Subencargados.
  • El procesamiento en la plataforma de comunicaciones en la nube está automatizado, por lo que el personal de Numintec no tiene acceso a los datos del Cliente. Dado el caso, este acceso únicamente se produciría bajo petición expresa y supervisión del Cliente, por ejemplo, en el caso de requerir soporte para su uso o resolución de un problema informado por el Cliente.,
  • Numintec considera que no dispone de instrucciones para tratar aquellos otros datos personales que circunstancialmente pudieran estar incluidos en los contenidos gestionados por el Cliente o los canales de comunicación, por ejemplo, el servicio de chat, proporcionados.
  • Cualquier dato personal adicional que sea tratado por Numintec por cuenta del Cliente debe ser acordado como una enmienda a este ATD.
  • Cabe notar que NUMINTEC es el responsable del tratamiento de todos aquellos registros de llamadas e información generada y que debe conservar en calidad de operador de telecomunicaciones, al amparo de la Ley 11/2022, de 28 de junio, General de Telecomunicaciones y la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones.
  • Asimismo, NUMINTEC, como responsable del tratamiento, puede recabar y conservar información con la finalidad de prevención, detección, investigación y limitación de aquellas actividades que puedan constituir un uso fraudulento de los servicios, tal como uso abusivo de llamadas, suplantación de numeración y otros. La detección de estas actividades puede suponer la notificación de los hechos al cliente y, si se tuviera indicios de que constituyen una actividad delictiva, a las autoridades correspondientes.

Duración del tratamiento

  • Este ATD se aplica mientras esté en vigor el contrato de servicios suscrito por ambas partes.
  • Tras la finalización del contrato, Numintec mantendrá sus obligaciones con respecto a los datos procesados de los que igualmente es responsable de acuerdo con la legislación vigente.

Plazos de conservación de la información

  • Se establece que el encargado del tratamiento conservará los datos mientras esté en vigor el contrato de servicio suscrito por ambas partes.
  • De acuerdo con los plazos estipulados en el contrato de servicio y/o los Términos y Condiciones generales de Contratación, transcurrido un plazo de noventa (90) días desde la desconexión o, dado el caso, el plazo estipulado en las condiciones del contrato de servicio, Numintec eliminará definitivamente los datos contenidos en sus bases de datos, excepto en aquellas circunstancias en que puedan derivarse obligaciones legales o responsabilidades de la ejecución de la prestación del servicio, en cuyo caso Numintec podrá conservar una copia, con los datos debidamente bloqueados, hasta el cese de dichas responsabilidades u obligaciones.

ANEXO III. Medidas técnicas y organizativas para garantizar la seguridad de los datos

Numintec aplica las medidas de seguridad técnicas y organizativas necesarias para garantizar un nivel adecuado de seguridad de la información con el fin de proteger la confidencialidad de los datos personales, así como protegerlos contra la destrucción accidental o ilícita o la pérdida accidental, alteración, divulgación o acceso no autorizado, teniendo en cuenta la naturaleza, el alcance, el contexto y la finalidad del tratamiento, así como los riesgos para los derechos y libertades de las personas físicas.

Estás medidas están implantadas bajo el marco de un Sistema de Gestión de la Seguridad de la información que dispone de la certificación ISO 27001:2013 e ISO 27017:2015.

En particular, y a modo de resumen, dicho Sistema de Gestión de la Seguridad de la Información incluye medidas tales como:

  1. Políticas y procedimientos de acceso a los datos para garantizar que el acceso a los sistemas informáticos de NUMINTEC se realice a través de usuarios individuales y contraseñas, aplicando las reglas de mínimo privilegio y limitando el acceso a los datos a aquellos empleados que lo requieran estrictamente para realizar su trabajo.
  2. Copias de seguridad, en su caso, de los datos personales tratados por los responsables del tratamiento que requieran garantías de disponibilidad e integridad.
  3. Cifrado de la información en tránsito y en almacenamiento.
  4. Vigilancia y monitorización continua de sistemas y redes para detectar y minimizar el impacto de cualquier mal funcionamiento o amenaza.
  5. Registro de eventos y actividades de usuarios y administradores.
  6. Configuraciones de seguridad y sistemas de protección perimetral en la red para evitar intrusiones, y protección antivirus de sus sistemas informáticos.
  7. Bastionado de sistemas y redes para limitar los servicios, puertos y protocolos a los estrictamente necesarios y así minimizar la exposición a ataques y vulnerabilidades.
  8. Disponibilidad de un registro de incidentes de seguridad y mecanismos y procedimientos para la notificación de brechas de seguridad.
  9. Control físico de acceso y protección de los equipos, personas e instalaciones donde se procesan los datos.
  10. Servidores alojados en centros de datos externos que ofrecen plenas garantías de seguridad con las certificaciones ISO 27001 pertinentes.
  11. En el caso de gestionar soportes o documentos con los datos personales del responsable del tratamiento, estos se encuentran debidamente custodiados bajo armarios o espacios provistos de dispositivos de bloqueo.
  12. Verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento en el marco de las revisiones y auditorias periódicas requeridas por la ISO 27001.
  13. Un código de conducta que incluye la prevención del comportamiento delictivo y las buenas prácticas en seguridad y privacidad de la información.
  14. Formación y capacitación continua al personal de NUMINTEC en temas de seguridad de la información y privacidad de datos
  15. Un Plan de Continuidad que establece la posibilidad de restablecer la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidencia física o técnica dentro de los plazos necesarios para cumplir con los compromisos empresariales a los que estamos obligados por nuestro contrato de servicios.
  16. Configuración por defecto de las aplicaciones que ofrece el mayor nivel de seguridad y privacidad.
  17. Medidas de responsabilidad proactiva, que incluyen el registro de actividades de tratamiento, el análisis de riesgos de privacidad y la aplicación de las medidas técnicas y organizativas adecuadas para tratar los riesgos identificados.
  18. Cláusulas contractuales de DPA y con todos los subprocesadores que ofrezcan garantías suficientes para implementar las medidas técnicas y organizativas adecuadas de tal manera que el procesamiento cumpla con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado.
  19. Procedimiento automatizado para eliminar los datos de los clientes una vez finaliza el periodo de retención estipulado.

Numintec pone a disposición de sus clientes la Política de seguridad de los servicios en la nube en la que se proporciona un mayor detalle de las medidas implantadas.

Por otro lado, el Cliente es responsable de la implantación y mantenimiento de las medidas de seguridad y protección de los datos personales pertinentes como usuario de los Servicios en aquellos aspectos que están bajo su control.

ANEXO IV. Lista de subencargados

Lista acordada de subencargados de acuerdo con la Cláusula 6.7(a)

Nombre del subencargadoAmazon Web Services Inc.
Descripción del tratamientoProveedor de servicios IaaS y PaaS
Localización del tratamientoUnión Europea (Irlanda)
Dirección y datos de contactoAmazon Web Services EMEA SARL 38 Avenue John F. Kennedy, L-1855, Luxembourg Tel: +352 2789 0057
Garantías proporcionadashttps://aws.amazon.com/compliance/gdpr-center/

Otros proveedores involucrados

Nombre del subencargadoBITNAP (MBA DATACENTERS, S.L.)
Descripción del tratamientoCentro de datos externo, proveedor de servicios de “collocation” de servidores
Localización del tratamientoEspaña
Dirección y datos de contactoDirección: C/ Pablo Iglesias 56, L’Hospitalet de Llobregat, 08908 Barcelona Email:
Garantías proporcionadasISO 27001:2013
https://bitnap.net/wp-content/uploads/2022/01/MBA_DATACENTERS_SL_BITNAP_IQNET_27001_ISO_9001.pdf
Nombre del subencargadoEvolution Cloud Enabler, S.A.U.
Descripción del tratamientoCentro de datos externo, proveedor de servicios de “collocation” de servidores
Localización del tratamientoEspaña
Dirección y datos de contactoDirección: C/ Isabel Colbrand 6-8; 28050 Madrid. Email:
Garantías proporcionadashttps://www.evolutio.com/wp-content/uploads/2022/01/CGContrataci%C3%B3n_Diciembre21.pdf
ISO 27001:2013 https://www.aenor.com/certificacion/certificado/?codigo=42390
ISO 20000-1:2018 https://www.aenor.com/certificacion/certificado/?codigo=201600

DC-040-Rev02 16/09/2024 Acuerdo de tratamiento de datos personales 

NUMINTEC COMUNICACIONES SL, Compañía de Servicios de Telecomunicaciones, inscrita en el Registro Mercantil, en el tomo 35086, folio 126, sección general, hoja 260483, 1′. – C.I.F. B- 63003636