Acuerdo de tratamiento de datos
Apéndice de tratamiento de datos

"DPA"

El objeto del presente Anexo sobre Tratamiento de Datos (en lo sucesivo "APD") es definir los términos y condiciones bajo los cuales DATAGMA, una sociedad constituida en Francia (número RCS de París: 833 914 393) con domicilio social en 3 boulevard de Sébastopol, 75001 París, Francia, debidamente representada por Raphael Azot, en calidad de CEO (en adelante "DATAGMA" o "Prestador de Servicios") se compromete a realizar, por cuenta del cliente (en adelante "Cliente"), el tratamiento de los datos de carácter personal previstos en el presente documento.

El presente Anexo se incorpora y forma parte integrante del acuerdo principal entre el Cliente y DATAGMA. En caso de conflicto o incoherencia entre las disposiciones del acuerdo principal y el presente APD, prevalecerán las disposiciones del presente APD.

El Proveedor de Servicios y el Cliente se denominan individualmente "Parte"y colectivamente denominadas las "Partes".

  • DEFINICIONES

Los términos en mayúsculas utilizados en el presente APD tienen el significado que se les atribuye a continuación:

"RGPD" significa el Reglamento General de Protección de Datos de la UE 2016/679.

"Normativa sobre datos personales" se refiere a cualquier ley aplicable sobre la protección de datos personales, en particular, el GDPR y la Ley N ° 78-17 de 6 de enero de 1978 relativa a la informática, los archivos y las libertades, en su versión modificada.

Todas las definiciones de la sección 4 del RGPD se aplicarán a la presente DPA, incluidas, entre otras: responsable del tratamiento, encargado del tratamiento, datos personales, interesados, seudonimización, consentimiento, violación de datos personales.

  • OBJETO Y CUALIFICACIÓN DE LAS PARTES

Por la presente, el Cliente encarga a DATAGMA el tratamiento de los datos personales descritos en el Anexo 1 con vistas a la prestación de servicios de enriquecimiento de datos B2B en el marco del contrato principal.

DATAGMA no genera, ni posee ninguna base de datos con los datos personales obtenidos por cuenta del Cliente y no utiliza dichos datos para fines propios.

Por lo tanto, las Partes acuerdan que cuando se procesen datos personales como parte de la prestación de los servicios de enriquecimiento B2B en virtud del acuerdo principal, el Cliente actuará como controlador de los datos personales, y DATAGMA actuará en nombre del Cliente como procesador de datos.

Las Partes se comprometen a cumplir, cada una en lo que le concierne, todas las disposiciones a las que están sujetas en virtud de la normativa aplicable en materia de datos personales.

  • OBLIGACIONES DEL CLIENTE

El Cliente declara que, siempre que el GDPR sea aplicable, es consciente de sus obligaciones como responsable del tratamiento de datos, en particular de sus obligaciones de (i) tratar los datos personales de forma lícita, leal y transparente en relación con los interesados, es decirinformar a los interesados del tratamiento de sus datos personales y garantizar que el tratamiento de dichos datos tiene una base jurídica y que los interesados han dado, en su caso, su consentimiento al tratamiento de sus datos personales, (ii) mantener registros de sus actividades de tratamiento, (iii) cuando proceda, designar a un delegado de protección de datos, (iv) notificar en caso de violación de los datos, y (v) realizar evaluaciones de impacto sobre la privacidad.

Esta lista no es exhaustiva, y el Cliente reconoce que es su responsabilidad tomar las medidas necesarias para cumplir con la Normativa de Datos Personales aplicable en su integridad. DATAGMA no se hace responsable en ningún caso del incumplimiento por parte del Cliente de sus obligaciones en materia de protección de datos.

  • OBLIGACIONES DE DATAGMA

Siempre que el GDPR sea aplicable, en su calidad de procesador, DATAGMA se compromete a:

  • Únicamente procesará datos personales por instrucción documentada del Cliente, incluso con respecto a transferencias de datos personales a un tercer país u organización internacional, a menos que así lo exija la legislación de la Unión Europea o francesa. En tal caso, DATAGMA informará al Cliente de dicho requisito legal antes del procesamiento, a menos que la ley aplicable prohíba dicha información por motivos importantes de interés público.

  • Garantizar que los empleados autorizados a tratar datos personales en virtud del acuerdo principal se han comprometido a mantener la confidencialidad o están sujetos a una obligación legal adecuada de confidencialidad.

  • Teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos, aplicar las medidas técnicas y organizativas requeridas en virtud del artículo 32 del RGPD, enumeradas en el anexo 2.

  • Teniendo en cuenta la naturaleza del tratamiento, asistir al Cliente, a costa del Cliente, mediante medidas técnicas y organizativas adecuadas, en la medida de lo posible, en el cumplimiento de su obligación de responder a las solicitudes realizadas por los interesados para ejercer sus derechos en virtud del Capítulo III del RGPD (derecho a la información, derecho de acceso, derecho de rectificación, derecho de supresión y de oposición, derecho a la limitación del tratamiento, derecho a la portabilidad de los datos, derecho a no ser objeto de una decisión individual automatizada, incluida la elaboración de perfiles). En caso de que un interesado se ponga en contacto directamente con DATAGMA para ejercer sus derechos, DATAGMA transmitirá esta solicitud al Cliente, a la mayor brevedad posible.

  • Previa solicitud y a costa del Cliente, proporcionar asistencia razonable al Cliente para garantizar el cumplimiento de las obligaciones establecidas en los artículos 32 a 36 del GDPR, teniendo en cuenta la naturaleza del procesamiento y la información disponible para DATAGMA, y en particular ayudar al Cliente a garantizar el cumplimiento de sus obligaciones relacionadas con la notificación de una violación de datos personales y la realización de evaluaciones de impacto relacionadas con la protección de datos.

  • En un plazo de treinta (30) días laborables a partir de la comunicación de los datos personales solicitados al Cliente, eliminar dichos datos personales y cualquier copia existente de los mismos, a menos que la legislación de la Unión Europea o de los Estados miembros exija que se sigan almacenando los Datos Personales.

  • Previa solicitud, poner a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente APD y permitir y contribuir a la realización de auditorías, con una periodicidad anual como máximo, incluidas las inspecciones por parte del Cliente o de otro auditor independiente designado por el Cliente, siempre que dicha auditoría sea (i) se lleve a cabo previo aviso por escrito con al menos diez (10) días hábiles de antelación, durante el horario laboral habitual y sin interrumpir las operaciones comerciales normales de DATAGMA, y (ii) se limite a las áreas y documentos relevantes en el contexto del tratamiento de datos personales en virtud del contrato principal. El cliente asumirá por sí solo los costes de la auditoría.

  • Informar al Cliente inmediatamente si, en opinión de DATAGMA, las instrucciones dadas por el Cliente infringen el GDPR o las disposiciones de protección de datos aplicables de la Unión Europea o de los Estados miembros.

  • En caso de que DATAGMA tenga conocimiento, en virtud del contrato principal, de una violación de datos personales, DATAGMA se compromete a notificar dicha violación al Cliente lo antes posible y a facilitarle toda la información que le permita cumplir con sus propias obligaciones.

  • SUBPROCESADORES

El Cliente autoriza a DATAGMA a contratar subprocesadores para llevar a cabo todas o parte de las actividades de procesamiento de datos personales en nombre del Cliente como parte de la prestación de los servicios de enriquecimiento de datos B2B.

DATAGMA se compromete a imponer a cualquiera de estos subprocesadores las mismas obligaciones de protección de datos que las estipuladas en este DPA, en particular en lo que respecta a proporcionar garantías suficientes relativas a la implementación de medidas técnicas y organizativas adecuadas, de tal manera que el procesamiento cumpla con los requisitos del GDPR.

DATAGMA también se compromete a informar al Cliente de cualquier cambio previsto en relación con la adición o sustitución de un subprocesador, en particular, proporcionando al propietario de la cuenta del Cliente un aviso de dicha adición o sustitución y/o publicando actualizaciones en su sitio web, dando así al Cliente la oportunidad de presentar objeciones a dichos cambios por motivos razonables. Cualquier objeción deberá ser notificada por el Cliente a DATAGMA por escrito dentro de los ocho (8) días hábiles siguientes a la recepción de la notificación de DATAGMA. La adición o sustitución del subprocesador se considerará aprobada por el Cliente si éste no se opone por escrito dentro de dicho plazo de ocho (8) días a partir de dicha notificación. Si el Cliente se opone a dicho cambio, las Partes se reunirán de buena fe para resolver la cuestión mediante una solución mutuamente aceptable.

  • TRANSFERENCIAS DE DATOS

El Cliente acepta que, en el curso de la prestación de los servicios de enriquecimiento de datos B2B, los datos personales puedan transferirse fuera del Espacio Económico Europeo, incluso a Estados Unidos.

Cuando sea de aplicación el RGPD y no se haya concedido una decisión de adecuación de conformidad con el artículo 45 del RGPD, dicha transferencia se regirá por las cláusulas contractuales tipo para las transferencias internacionales de datos adoptadas por la Comisión Europea el 4 de junio de 2021 (en lo sucesivo, "Cláusulas Contractuales Tipo"), firmadas entre DATAGMA y sus subprocesadores, y se establecerán garantías organizativas y técnicas específicas, incluyendo, en su caso, el cifrado de datos, la implementación del protocolo HTTPS, actualizaciones de seguridad copias de seguridad de datos y certificaciones.

Las Partes reconocen que, en su caso, la ejecución del presente APD equivale a la ejecución de la versión actualizada de las Cláusulas Contractuales Tipo y acuerdan quedar vinculadas por dichas Cláusulas Contractuales Tipo.

DATAGMA y el Cliente eligen los siguientes términos y opciones ofrecidos por las Cláusulas Contractuales Estándar:

  • En la cláusula 11(a) de las Cláusulas Contractuales Tipo, se considera omitida la opción de resolución independiente de litigios.
  • En la cláusula 17 de las Cláusulas Contractuales Tipo, se selecciona la OPCIÓN 1, y las Partes acuerdan que sea la ley de Francia.
  • En la cláusula 18 de las Cláusulas Contractuales Tipo, las partes acuerdan que serán competentes los tribunales de Francia.
  • En el Anexo I:
    • La lista de partes es idéntica a la del acuerdo principal.
    • La descripción de las transferencias figura en el Anexo 2 titulado "Descripción del tratamiento de datos personales"de la presente DPA;
    • La autoridad competente es la CNIL (Commission Nationale de l'Informatique et des Libertés).
  • En el Anexo II de las Cláusulas Contractuales Tipo, las medidas están previstas en el Anexo 2 del presente APD titulado "Medidas técnicas y organizativas aplicadas por DATAGMA".
  • En el Anexo III de las Cláusulas Contractuales Tipo, la lista de los subprocesadores subsiguientes, tal como se definen en el presente documento, figura en el Anexo 3 del presente APD titulado "Lista de subencargados del tratamiento".

  • LIMITACIÓN DE RESPONSABILIDAD

La responsabilidad de DATAGMA en relación con cualquier reclamación de protección de datos se limitará al importe de los honorarios abonados por el Cliente en virtud del contrato principal durante los 12 meses anteriores a la reclamación. La responsabilidad de DATAGMA está condicionada a que el Cliente (i) notifique a DATAGMA cualquier reclamación o acción en relación con las obligaciones de DATAGMA tan pronto como el Cliente tenga conocimiento de dicha reclamación o acción y proporcione de inmediato a DATAGMA cualquier información relacionada que posea y (ii) mitigar cualquier daño potencial.

  1. PLAZO

El presente APD entrará en vigor en la fecha de firma del acuerdo principal y finalizará en la fecha de expiración o rescisión del acuerdo principal.

  • VARIOS

Salvo que se modifiquen y enmienden específicamente en el presente documento, todos los términos, disposiciones, requisitos y especificaciones contenidos en el acuerdo principal permanecen inalterados y en pleno vigor y efecto.

  • LEY APLICABLE Y JURISDICCIÓN

Esta DPA se rige por las leyes de Francia.

Cualquier controversia que surja en relación con el presente APD y que las Partes no puedan resolver amistosamente se someterá a la jurisdicción exclusiva de los tribunales de París, sin perjuicio de un posible recurso ante la Cour d'Appel.

ANEXO 1

DESCRIPCIÓN DEL TRATAMIENTO DE DATOS PERSONALES

El presente Anexo 1 describe el tratamiento de datos personales que DATAGMA realiza por cuenta del Cliente. Por la presente, el Cliente da instrucciones a DATAGMA para que lleve a cabo el tratamiento de datos personales que se especifica a continuación (en lo sucesivo, el "Tratamiento Encargado" o los "Datos Personales Encargados"):

  • Finalidad del tratamiento encomendado: 

La finalidad del Tratamiento encomendado es prestar al Cliente los servicios de enriquecimiento de datos B2B definidos en el acuerdo principal y, en particular, proporcionar al Cliente información de contacto comercial completa y actualizada.

  • Naturaleza del tratamiento encomendado:

La naturaleza del Tratamiento Encargado consiste en la recogida, consulta, alojamiento, almacenamiento, recuperación, utilización, supresión o destrucción de datos personales.

  • Categorías de datos personales confiados: 

El Cliente encarga a DATAGMA el tratamiento de las siguientes categorías de datos personales por cuenta del Cliente:

  • Datos de identificación, como nombre y apellidos.
  • Datos de contacto, como correo electrónico y número de teléfono.
  • Datos profesionales, como organización, cargo o antigüedad.
  • Login, contraseñas, cualquier otro dato de acceso.

  • Categorías de interesados:

Las categorías de interesados afectados por el Tratamiento Encargado son:

  • Personas a las que el Cliente se dirige, por ejemplo, con fines de marketing o contratación.
  • Empleados del cliente.

  • Duración del tratamiento encomendado:

Duración del acuerdo principal.

PROGRAMA 2

MEDIDAS TÉCNICAS Y ORGANIZATIVAS APLICADAS POR DATAGMA

DATAGMA se compromete a poner en práctica medidas técnicas y organizativas para proteger los datos frente a distorsiones, daños o accesos ilícitos por parte de terceros no autorizados. Se realizan comprobaciones periódicas para evaluar la aplicación efectiva de dichas medidas.

En particular, DATAGMA se compromete a aplicar lo siguiente:

  • Medidas técnicas

  • Mantener actualizado todo el software (por ejemplo, mediante actualizaciones, parches, etc.).
  • Protección de las redes internas contra el acceso no autorizado (por ejemplo, mediante cortafuegos, antivirus, etc.).
  • Se recopila la información de registro adecuada y se revisa y analiza periódicamente.
  • Se aplican métodos de cifrado adecuados en el sistema y/o servicio utilizado para almacenar datos personales.
  • Uso de VPN para acceso remoto.

  • Medidas organizativas

  • El acceso a los datos personales está sujeto a las correspondientes obligaciones de confidencialidad (por ejemplo, contrato de trabajo, acuerdo de confidencialidad, etc.).
  • Todos los ordenadores que procesan datos personales están protegidos por contraseña.
  • Inicio de sesión personal e individual del usuario para registrarse en los sistemas o en la red de la empresa.
  • Políticas de contraseñas de última generación para la creación de contraseñas seguras.
  • Bloqueo del acceso a los sistemas informáticos tras repetidos intentos de acceso incorrectos.
  • Las contraseñas se almacenan en formato hash.
  • En cada ordenador se establece un procedimiento automático de bloqueo de sesión.
  • Los empleados están obligados a respetar la normativa aplicable en materia de protección de datos y están sujetos a una obligación de confidencialidad.
  • El acceso a los datos personales está estrictamente limitado a los empleados autorizados en función de la "necesidad de conocer".
  • Las cuentas de usuario se desactivan cuando el usuario abandona la empresa o la función.
  • Existen procedimientos específicos para incidentes de seguridad y privacidad.
  • Formación periódica de los empleados en privacidad de datos y seguridad informática.

PROGRAMA 3

LISTA DE SUBPROCESADORES

Se acuerda expresamente entre las Partes que, a partir de la fecha del contrato principal, DATAGMA utiliza los siguientes subprocesadores, y que el Cliente autoriza a DATAGMA a utilizar los servicios de dichos subprocesadores:

Nombre Ubicación de los centros de datos Propósito
Intermediarios de datos EE.UU. Fines de enriquecimiento de datos
Servicios web de Amazon Irlanda Alojamiento
Google Bélgica Alojamiento