1. Antecedentes e intención
La empresa, sociedad, asociación o persona física que acepta estos términos (el «Cliente»), y Quartix Technologies plc, Quartix Limited, Quartix SAS, Quartix Inc u otra entidad que, directa o indirectamente, esté controlada por Quartix Technologies plc (según corresponda, «Quartix»), han celebrado un contrato (el «Contrato») por el cual Quartix presta Servicios al Cliente.
En el marco del presente Contrato, el Cliente compartirá Datos con Quartix. Los presentes Términos de procesamiento de datos de Quartix (los «Términos») tienen por objeto garantizar que existan acuerdos adecuados en relación con la transmisión de Datos entre el Cliente y Quartix. Forman parte del Contrato y, en caso de discrepancia entre el Contrato y estos Términos, el Contrato prevalecerá.
2. Definiciones e interpretación
En el marco de los presentes Términos:
«Legislación de protección de datos» significa todos los estatutos, leyes, legislación secundaria, normas, reglamentos y orientaciones aplicables de una autoridad de control (o su equivalente en el Reino Unido) relacionados con la privacidad, confidencialidad, seguridad, marketing directo o protección de datos en lo que respecta a Datos personales o datos corporativos (incluidas las directivas 95/46/CE, 2002/58/CE y 97 /66/CE, la Ley de Protección de Datos de 2018, el Reglamento de Privacidad y Comunicaciones Electrónicas (Directiva CE) de 2003 (512003/2426), la Ley de Regulación de los Poderes de Investigación de 2000, la Ley de Poderes de Investigación de 2016, el Reglamento de Telecomunicaciones (Prácticas Comerciales Legales) (Interceptación de Comunicaciones) de 2000 (SI 2000/2699) y el RGPD.
«Datos» significa cualquier dato que esté recogido por la Legislación de protección de datos, lo que incluye, entre otros, los datos personales y los datos sensibles, tal y como estos se definen en el RGPD.
«RGPD» significa el Reglamento General de Protección de Datos o el RGPD del Reino Unido (tal como se define en la Ley de Protección de Datos del Reino Unido de 2018), según corresponda.
«Servicios» significa los servicios prestados por el Proveedor en el marco del Contrato.
«Responsable del tratamiento» tiene el significado que se le asigna en la Legislación de protección de datos.
«El Interesado» tiene el significado que se le asigna en la Legislación de protección de datos.
«Datos personales» tiene el significado que se le asigna en la Legislación de protección de datos.
«Encargado del tratamiento» tiene el significado que se le asigna en la Legislación de protección de datos.
«Subencargado del tratamiento» tiene el significado que se le asigna en la Legislación de protección de datos.
«Autoridad de control» tiene el significado que se le asigna en la Legislación de protección de datos.
3. Procesamiento de datos
El Cliente garantiza, manifiesta y asegura ante Quartix que posee fundamentos legítimos para el procesamiento de los Datos, que ha informado, y continuará informando a los Interesados sobre la finalidad del procesamiento de los Datos; y que en todo momento cumplirá con las obligaciones que le corresponden en virtud de la Legislación de protección de datos.
. Quartix mantendrá la confidencialidad de los Datos y se compromete a procesarlos únicamente de conformidad con la Legislación de protección de datos y (en la medida en que sean requeridas por la Legislación de protección de datos) las estipulaciones siguientes:
a) El procesamiento de los Datos por Quartix:
(i) se hará según lo establecido en el Aviso de privacidad del cliente de Quartix https://www.quartix.com/es-es/aviso-de-privacidad-del-cliente/, que especifica qué datos pueden recopilarse y a qué fines podrán destinarse los datos recopilados;
(ii) será únicamente según sea necesario para la prestación de los Servicios y de conformidad con las instrucciones del Cliente establecidas en el Contrato o de otro modo acordadas por escrito entre las partes;
(iii) tendrá lugar únicamente en el espacio económico europeo o el Reino Unido, a menos que el Cliente haya autorizado la transferencia o esta se dirija a un país que la Comisión Europea o, tratándose de una transferencia desde el Reino Unido, la Comisión Europea o una autoridad de control competente, haya decidido en algún momento que asegura un nivel adecuado de protección que es conforme con la Legislación de protección de datos o que la transferencia cuenta con las medidas de protección adecuadas, según lo dispuesto en el RGPD;
(iv) en su caso, se hará de conformidad con las Cláusulas Contractuales Tipo (Encargados del tratamiento) aprobadas por la Comisión Europea en la Decisión C(2010)593 de la Comisión.
b) Quartix se asegurará de que todos los empleados y otros representantes de Quartix que accedan a los Datos
(i) sean conocedores de estos Términos;
(ii) hayan recibido formación sobre la Legislación de protección de datos y las buenas prácticas relacionadas; y
(iii) estén sujetos a obligaciones relativas a la confidencialidad.
c) Quartix y el Cliente han acordado que aplicarán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.
d) El Cliente concede a Quartix el derecho a implicar a terceros (incluidos agentes y subcontratistas) en el procesamiento de los Datos. Quartix se asegurará de tener acuerdos en vigor con dichos terceros, que ofrezcan un nivel de protección de los Datos equivalente al especificado en estos Términos. Quartix continuará siendo responsable ante el Cliente del cumplimiento de las obligaciones de privacidad por parte de dichos terceros con respecto a los Datos.
e) Considerando la naturaleza del tratamiento, Quartix adoptará cuantas medidas técnicas y organizativas sean necesarias para, en la medida de sus posibilidades, ayudar al Cliente a cumplir con su obligación de responder a las solicitudes de los Interesados que ejerzan sus derechos previstos en el Capítulo III del RGPD, que, entre otros, son los derechos de supresión, rectificación, acceso, limitación, portabilidad, oposición y derecho a no ser objeto de decisiones automatizadas.
f) En la medida que le sea posible, Quartix asistirá al Cliente para que este último pueda cumplir con las obligaciones que le corresponden según los artículos 32 a 36 del RGPD: seguridad, notificación de violación de los datos, comunicación de la violación de los Datos al Interesado, evaluaciones de impacto de la protección de datos y, cuando proceda, consulta con la ICO (u otra autoridad de control competente).
g) Quartix mantendrá un registro escrito de todas las categorías de actividades de procesamiento llevadas a cabo en nombre del Cliente. Dicho registro escrito contendrá toda la información requerida según la Legislación de protección de datos y se pondrá a disposición de cualquier autoridad de control competente de la Unión Europea o de los Estados miembros (o su equivalente en el Reino Unido) cuando así lo solicite dicha autoridad de control o de supervisión;
h) En la medida en que la Legislación de protección de datos lo requiera, Quartix eliminará los Datos a petición razonable del Cliente y, en cualquier caso, una vez finalizado el procesamiento de conformidad con la Legislación de protección de datos (tras cualquier período de conservación). Cuando sea un cliente de seguimiento de flotas de vehículos, el Cliente tendrá la opción de establecer el periodo de conservación de los datos iniciando sesión en la aplicación de seguimiento de flotas. La eliminación de los Datos por parte de Quartix incluirá la destrucción de todas las copias existentes (en la medida en que lo exija la Legislación de protección de datos).
i) En la medida que la Legislación de protección de datos lo exija, y a petición razonable del Cliente, Quartix pondrá a disposición del Cliente la información necesaria que acredite el cumplimiento de las obligaciones impuestas por los Términos y facilitará las peticiones razonables de auditoría formuladas por el Cliente. No obstante, cabe tener en cuenta al respecto que el Cliente deberá compensar a Quartix por todos y cada uno de los costes en que Quartix haya incurrido para cumplir los requisitos de la auditoría (incluidos los costes de tiempo de empleados); que Quartix puede restringir el acceso a ciertos registros cuando, según Quartix, estos son comercialmente sensibles (estimaciones que Quartix hará a su entera discreción) o no se realicen pruebas de penetración, escaneo de vulnerabilidades u otras pruebas de seguridad; que no se pueden retirar registros o copias de registros de las sedes de Quartix; que la auditoría debe notificarse a Quartix con una antelación mínima de treinta días, y que deberán firmarse Contratos de no divulgación por todas y cada una de las partes que estén interesadas en la auditoría (donde se incluyen cualesquiera partes que actúen en nombre del Cliente).
j) Quartix actuará cumpliendo las disposiciones adecuadas relativas a la transferencia segura de los Datos del Cliente a Quartix y a la custodia segura de los Datos por parte de Quartix.
k) Quartix mantendrá la integridad de los Datos, sin alteración, con la garantía de que los Datos puedan separarse de cualquier otra información creada. l) En la medida que la Legislación de protección de datos lo exija, a petición razonable del Cliente, Quartix devolverá, modificará, transferirá, copiará o eliminará sin demora cualquier Dato.
4. Obligaciones de notificación y otras
En la medida que la Legislación de protección de datos lo exija, Quartix notificará al Cliente inmediatamente tras conocer cualquier pérdida, sospecha o amenaza de pérdida, filtración o procesamiento o divulgación que no se haya autorizado de cualquier dato o tras recibir una notificación de una autoridad de control que, directa o indirectamente, guarde relación con el procesamiento de los Datos personales del cliente, y cooperará con dicha autoridad de control. También notificará de inmediato al Cliente si alguno de los datos personales del cliente que Quartix posea o controle se pierde, corrompe o inutiliza por cualquier motivo, así como cuando Quartix tenga motivos para creer que una medida o instrucción del Cliente infringe la Legislación de protección de datos.
5. Resolución
Llegada la caducidad o la rescisión de los presentes Términos, Quartix cesará de inmediato el uso de los Datos y procurará que sus agentes y subcontratistas también cesen dicho uso. Además, dispondrá cuanto sea necesario para su retorno o destrucción (a opción del Cliente) seguros y en el momento oportuno (a menos que la legislación de la Unión Europea, del Estado miembro en cuestión o del Reino Unido exija el almacenamiento de los Datos personales).
6. Derechos sobre los datos personales
En el marco de los Servicios, Quartix compila los datos recopilados de forma agregada y anonimizada (los «Datos agregados»), para lo cuenta con el permiso del Cliente. Por lo que se refiere a los Datos agregados, Quartix adquiere pleno derecho y propiedad sobre los mismos, y deja de ser Encargado del tratamiento que actúa en nombre del Cliente en el momento en que dichos datos están compilados de forma anonimizada, sin que a partir de entonces esté sujeto al deber de confidencialidad o de devolver o modificar los Datos agregados o parte de ellos.