Acuerdo de procesamiento de datos del motor de salida

1. Partes y alcance

Este Acuerdo de Procesamiento de Datos ("APD") forma parte del marco contractual entre:

1) Cliente ("Responsable"): la entidad que determina los fines y los medios del procesamiento de datos personales, y

2) Soufiane Boudarraja ("Encargado"): el proveedor de servicios que procesa datos personales en nombre del Cliente.

Este APD se aplica al ecosistema de Soufiane Boudarraja (el "Ecosistema") donde, y solo donde, Soufiane Boudarraja procesa datos personales en nombre del Cliente como Encargado en relación con los "Servicios".

Si Soufiane Boudarraja actúa como un Responsable independiente (por ejemplo, visitantes del sitio web, clientes directos de productos digitales o compradores de POD), se aplica la Política de Privacidad en lugar de este APD. Si las partes actúan como Controladores separados (Controlador a Controlador), este APD no se aplica a menos que se acuerde por escrito.

2. Definiciones

"RGPD" significa Reglamento (UE) 2016/679.

"Datos personales", "Tratamiento", "Responsable del tratamiento", "Encargado del tratamiento" y "Autoridad de control"tienen los significados establecidos en el RGPD.

"Datos del cliente" significa Datos personales tratados por el Encargado del tratamiento en nombre del Cliente en virtud del presente Acuerdo de Protección de Datos.

"Subencargado del tratamiento" significa un tercero contratado por el Encargado del tratamiento para tratar los Datos del Cliente en nombre del Cliente.

"Servicios" significa los servicios profesionales, el software y los entregables proporcionados en virtud del contrato aplicable, la declaración de trabajo, el formulario de pedido o un acuerdo similar (el "Acuerdo principal").

3. Detalles del tratamiento

El objeto, la duración, la naturaleza y la finalidad del tratamiento, los tipos de datos personales y las categorías de interesados se describen en el Anexo 1 (Detalles del tratamiento). El tratamiento se limitará a lo necesario para prestar los Servicios.

4. Obligaciones del Procesador

El Procesador deberá:

1. Procesar los Datos del Cliente únicamente siguiendo instrucciones documentadas del Cliente, incluso en lo que respecta a las transferencias de Datos Personales a un tercer país o a una organización internacional, a menos que esté obligado a hacerlo por la legislación de la Unión o del Estado miembro; En tal caso, el Procesador deberá informar al Cliente de dicho requisito legal antes del procesamiento, a menos que dicha ley prohíba dicha información por importantes razones de interés público.

2. Asegurar que las personas autorizadas a procesar los Datos del Cliente se hayan comprometido a la confidencialidad o estén sujetas a una obligación legal apropiada de confidencialidad.

3. Implementar medidas técnicas apropiadas y      medidas organizativas ("TOM") para garantizar un nivel de seguridad      apropiado al riesgo, como se describe en el Anexo 2, teniendo en cuenta      Artículo 32 RGPD.

4. Respetar las condiciones para contratar      Subencargados del tratamiento, tal como se establece en la Sección 6.

5. Asistir al Cliente mediante      medidas técnicas y organizativas apropiadas, en la medida de lo posible, para el      cumplimiento de la obligación del Cliente de responder a las solicitudes de      ejercicio de los derechos del Interesado en virtud del Capítulo III del RGPD.

6. Asistir al Cliente para garantizar el cumplimiento      con las obligaciones de conformidad con los Artículos 32 a 36 del RGPD (seguridad, notificación de      y consulta previa), teniendo en cuenta la      naturaleza del tratamiento y la información disponible para el Encargado del Tratamiento.

7. A la elección del Cliente, eliminar o devolver todos los Datos del Cliente después del final de la prestación de Servicios relacionados con el procesamiento, y eliminar las copias existentes a menos que la ley del Estado de la Unión o Miembro requiera su almacenamiento.

8. Poner a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de este DPA y permitir y contribuir a las auditorías, incluidas las inspecciones, realizadas por el Cliente o un auditor designado por el Cliente, sujeto a la Sección 11.

5. Obligaciones del cliente

El Cliente deberá:

• Asegurarse de tener una base legal para      procesar los Datos del Cliente y para instruir al Procesador para que procese      Datos del Cliente.

• Proporcionar instrucciones documentadas y asegurarse de      dichas instrucciones cumplan con la ley aplicable.

• Asegurarse de que se proporcionen avisos de transparencia      a los Interesados cuando sea necesario, incluso para el uso de procesadores y      transferencias internacionales.

• Ser responsable de la exactitud, calidad,      y legalidad de los Datos del Cliente suministrados al Procesador.

• Configurar y utilizar cualquier herramienta de terceros que      seleccione o controle de manera conforme, incluidos los permisos de usuario y      configuración de retención.

6. Subprocesadores

El Cliente otorga al Procesador autorización general para contratar Subprocesadores para procesar Datos del Cliente con el fin de prestar los Servicios, sujeto a los requisitos que se indican a continuación.

6.1 Condiciones del Subprocesador

• El Procesador impondrá a cada Subprocesador obligaciones de protección de datos sustancialmente similares a las establecidas en este Acuerdo de Protección de Datos, incluidas las medidas de seguridad adecuadas.

• El Procesador sigue siendo responsable del cumplimiento de las obligaciones del Subprocesador.

6.2 Lista de subprocesadores y actualizaciones

Una lista actualizada de categorías de subprocesadores y tipos de herramientas utilizadas para el Ecosistema se mantiene en el Anexo de Herramientas de Terceros y Proveedores de Datos (Política 14). Para los compromisos específicos del cliente, los subprocesadores aplicables pueden depender de los Servicios y de las herramientas elegidas por el Cliente.

Cuando un cambio introduzca un nuevo subprocesador que procesará los Datos del Cliente para un compromiso en curso, el Procesador proporcionará un aviso anticipado cuando sea razonablemente posible. El Cliente puede oponerse por motivos razonables relacionados con la protección de datos. Si las partes no pueden resolver la objeción, cualquiera de las partes puede rescindir la parte afectada de los Servicios, sin penalización más allá de los honorarios adeudados por el trabajo realizado hasta la rescisión, a menos que el Acuerdo Principal disponga lo contrario.

7. Transferencias internacionales

Los datos del cliente deben procesarse dentro del Espacio Económico Europeo ("EEE") por defecto cuando los Servicios y las herramientas elegidas lo permitan. Cuando los datos del cliente se transfieran fuera del EEE, la transferencia estará sujeta a una salvaguarda adecuada en virtud del Capítulo V del RGPD.

7.1 Mecanismos de transferencia

• Decisión de adecuación (Artículo 45 del RGPD), cuando sea aplicable.

• Cláusulas contractuales tipo («CCT») adoptadas por la Comisión Europea (Artículo 46 del RGPD), cuando sea aplicable.

• Otros mecanismos legales reconocidos en virtud del      Capítulo V del RGPD, cuando corresponda.

Cuando se requieran las CCT, las partes acuerdan utilizar las CCT adoptadas por la Decisión de Ejecución (UE) 2021/914 de la Comisión, con el/los módulo(s) apropiado(s) a la relación (normalmente de Responsable del tratamiento a Encargado del tratamiento). Las CCT se incorporan por referencia y se aplican en la medida necesaria para la transferencia.

8. Seguridad (Artículo 32 del RGPD)

El Encargado del tratamiento implementará y mantendrá los TOM apropiados como se describe en el Anexo 2. El Encargado del tratamiento podrá actualizar los TOM con el tiempo para reflejar la evolución de los riesgos y la tecnología, siempre que el nivel de seguridad general no se degrade materialmente.

9. Notificación de violación de datos personales

El Procesador notificará al Cliente sin demora indebida después de tener conocimiento de una violación de datos personales que afecte a los datos del Cliente. La notificación incluirá, en la medida en que esté disponible, la naturaleza de la violación, las categorías y el número aproximado de interesados y registros afectados, las posibles consecuencias y las medidas adoptadas o propuestas para abordar la violación. El Procesador cooperará con las solicitudes razonables del Cliente para obtener información adicional.

10. Asistencia con las solicitudes de los interesados

Teniendo en cuenta la naturaleza del procesamiento, el Procesador asistirá al Cliente mediante medidas técnicas y organizativas apropiadas, en la medida de lo posible, para atender las solicitudes de los interesados para ejercer sus derechos en virtud del Capítulo III del RGPD. Si el Procesador recibe una solicitud directamente de un Interesado en relación con los Datos del Cliente, el Procesador deberá, a menos que esté legalmente prohibido, remitir rápidamente la solicitud al Cliente y no deberá responder excepto según las instrucciones documentadas del Cliente.

11. Auditorías e información de cumplimiento

El Procesador deberá poner a disposición la información necesaria para demostrar el cumplimiento de este DPA. Las auditorías podrán ser realizadas por el Cliente o por un auditor independiente designado por el Cliente, sujeto a las siguientes condiciones:

• Las solicitudes de auditoría deben ser razonables,      proporcionadas y limitadas a las actividades de procesamiento cubiertas por este DPA.

• Las auditorías se programarán con un aviso      con suficiente antelación y durante el horario laboral habitual, a menos que un incumplimiento o un requisito      legal urgente justifique una programación acelerada.

• Las auditorías se realizarán de manera que      eviten interrupción innecesaria y protege la confidencialidad y la seguridad de otros clientes y los sistemas del Procesador.

• El Cliente corre con sus propios gastos de auditoría y reembolsa al Procesador por el tiempo razonable dedicado a respaldar la auditoría, a menos que la auditoría revele un incumplimiento material de este DPA por parte del Procesador.

12. Eliminación y devolución de datos

Tras la terminación o expiración de los Servicios que impliquen el procesamiento en virtud del presente Acuerdo de Protección de Datos (APD), el Procesador deberá, a elección del Cliente, eliminar o devolver los Datos del Cliente y eliminar las copias existentes, a menos que el almacenamiento sea requerido por la legislación de la Unión o de un Estado miembro. Cuando se elija la eliminación, el Procesador eliminará los Datos del Cliente de los sistemas activos en un plazo comercialmente razonable y podrá conservar copias de seguridad limitadas durante un período limitado de conformidad con las prácticas de seguridad y recuperación ante desastres.

13. Confidencialidad

El Procesador tratará los Datos del Cliente como confidenciales y garantizará que las personas autorizadas a procesar los Datos del Cliente estén sujetas a la confidencialidad. Esta obligación es adicional a cualquier disposición de confidencialidad en el Acuerdo Principal.

14. Responsabilidad

La responsabilidad en virtud del presente APD sigue la asignación de responsabilidad en el Acuerdo Principal, a menos que la ley imperativa exija lo contrario. Nada en este APD limita la responsabilidad de ninguna de las partes cuando dicha limitación no esté permitida por la ley aplicable.

15. Orden de precedencia

En caso de conflicto entre este APD y el Acuerdo Principal, este APD prevalecerá con respecto a las obligaciones de protección de datos, a menos que las partes acuerden expresamente lo contrario por escrito. Los Anexos forman parte de este APD.

16. Contacto

Contacto del Procesador para asuntos de protección de datos:

Soufiane Boudarraja

Waldstr. 74, 65451 Kelsterbach, Hesse, Alemania

Correo electrónico: Soufiane.Boudarraja@soufbouda.com

Teléfono: +49 152 2717 9992

Anexo 1: Detalles del tratamiento (Artículo 28(3) RGPD)

Este anexo describe los detalles típicos del tratamiento para los servicios del ecosistema en los que Soufiane Boudarraja actúa como encargado del tratamiento. Para un encargo específico, las partes pueden refinar estos detalles en la declaración de trabajo o en el formulario de pedido.

A. Tema

• Prestación de servicios de consultoría, asesoramiento, gobernanza operativa, habilitación, capacitación y transformación.

• Prestación de software, automatización y servicios de soporte relacionados (incluidos Outbound Engine y Outbound Assistant) donde el Cliente proporciona datos personales para su procesamiento.

• Prestación de investigación, diagnósticos, enriquecimiento de datos, habilitación de divulgación y entregables relacionados donde el      El cliente proporciona datos personales o instruye el procesamiento de datos personales.

B. Duración

Durante la vigencia del Acuerdo Principal y cualquier período de transición aplicable requerido para devolver o eliminar los Datos del Cliente, sujeto a la Sección 12.

C. Naturaleza del procesamiento

• Recopilación, recepción, registro,      organización, estructuración, almacenamiento, adaptación, consulta, uso, divulgación      por transmisión (cuando se indique), alineación, combinación, restricción,      borrado y destrucción de datos del cliente.

• Gestión de usuarios y control de acceso para      espacios de trabajo compartidos cuando corresponda.

• Generación de informes, paneles y      entregables operativos utilizando datos del cliente cuando se indique.

D. Finalidad del tratamiento

• Prestar los Servicios según las instrucciones del      Cliente.

• Operar y proteger el      entorno del servicio, incluyendo autenticación, registro, monitorización y      respuesta a incidentes.

• Proporcionar soporte, solución de problemas y      mejora del servicio relacionada con la interacción con el Cliente.

E. Categorías de sujetos de datos

• Empleados, contratistas y usuarios autorizados del cliente.

• Clientes, prospectos, clientes potenciales, proveedores y contactos comerciales, según lo proporcionado o instruido por el Cliente.

• Otras personas cuyos datos el Cliente proporciona legalmente para su procesamiento en relación con los Servicios.

F. Tipos de datos personales

• Datos de identidad y contacto (nombre, cargo,      correo electrónico profesional, teléfono profesional, empresa, puesto de trabajo, ubicación).

• Datos de comunicación e interacción      (correos electrónicos, mensajes, notas de reuniones, resúmenes de llamadas, respuestas) proporcionados      por el Cliente.

• Datos de cuenta y acceso (ID de usuario,      metadatos, permisos) cuando se utilizan espacios de trabajo compartidos.

• Datos de la relación comercial (asignaciones de cuentas, datos de la cartera de clientes, estado de contacto, metadatos de programación de reuniones).

• Datos técnicos necesarios para operar los Servicios (identificadores de dispositivos, registros, direcciones IP, marcas de tiempo) cuando corresponda.

Las categorías especiales de datos (Artículo 9 del RGPD) no están destinadas a ser procesadas. Si el Cliente instruye el procesamiento de categorías especiales o datos de delitos penales (Artículo 10 RGPD), las partes deben acordar salvaguardas adicionales por escrito antes de que se produzca dicho procesamiento.

Anexo 2: Medidas Técnicas y Organizativas (MTO)

Las MTO que se describen a continuación describen una postura de seguridad básica para los servicios del Ecosistema. Las medidas reales pueden variar en función del Servicio y el conjunto de herramientas. El Procesador mantiene medidas apropiadas al riesgo y puede proporcionar detalles de las MTO específicas del compromiso previa solicitud.

A. Medidas organizativas

• Compromisos de confidencialidad para cualquier persona autorizada con acceso a los datos del cliente.

• Controles de acceso basados en el principio de mínimo privilegio y el principio de necesidad de saber.

• Prácticas de minimización de datos para los entregables y archivos compartidos cuando sea factible.

• Proceso de respuesta a incidentes para identificar, contener, investigar y remediar la seguridad eventos.

• Selección de proveedores y herramientas guiada por el Anexo de Herramientas y Proveedores de Datos de Terceros.

B. Medidas técnicas

• Seguridad de la cuenta: prácticas de autenticación fuertes, incluida la autenticación multifactor cuando la plataforma lo admita.

• Cifrado en tránsito mediante TLS para servicios basados en la web cuando sea compatible; Cifrado en reposo cuando lo admitan los proveedores.

• Configuración segura de los dispositivos utilizados para la prestación de servicios (actualizaciones del sistema operativo, protección contra malware, cifrado de disco cuando esté disponible).

• Registro y monitorización adecuados al contexto del servicio, con controles de acceso a los registros.

• Prácticas de copias de seguridad y recuperación adecuadas a las herramientas utilizadas, con acceso controlado y retención.

• Segregación de datos de clientes mediante espacios de trabajo separados, carpetas o medidas de separación lógica donde sea compatible.

C. Disponibilidad y resiliencia

• Uso de servicios de alojamiento y nube de buena reputación cuando corresponda.

• Planificación de continuidad razonable basada en la escala del compromiso.

D. Pruebas y mejoras

• Actualizaciones periódicas del software y las dependencias, cuando corresponda.

• Revisión periódica de los permisos de acceso para los proyectos activos.

Anexo 3: Subprocesadores

Se pueden utilizar subprocesadores en función de los Servicios y las herramientas elegidas por el Cliente. En el Anexo de Herramientas de Terceros y Proveedores de Datos (Política 14) se mantiene una descripción de las categorías de herramientas de terceros y los proveedores típicos utilizados en el Ecosistema. Si el Cliente solicita una lista de los subprocesadores específicos utilizados para un proyecto concreto, el Procesador la proporcionará a petición.