Acuerdo

entre

LexCom Informationssysteme GmbH, Rüdesheimer Str. 23, 80686 Múnich

—en lo sucesivo denominado «contratista» o «encargado del tratamiento»—

y el cliente

—en lo sucesivo denominado «contratante»—

Indicación

Este documento incluye las condiciones del contratista para el acuerdo para el procesamiento de pedidos entre el contratante y el contratista, en virtud del art. 28, apdo. 3 del RGPD. El contratante declara su conformidad con las presentes condiciones al formalizar el contrato de uso de los servicios en línea o informativos de otro tipo del contratista («acuerdo de servicios») o, si ya existe un acuerdo de servicios, a modo de una declaración posterior.

1. Objeto y vigencia del encargo

(1) Objeto

El objeto del encargo de tratamiento de datos se deriva del acuerdo de servicios sobre el que se basa.

(2) Vigencia

La vigencia de este encargo (duración) se corresponde con la duración del acuerdo de servicios sobre el que se basa.

2. Concreción del contenido del encargo

(1) Tipo y fin del tratamiento de datos previsto
El encargo comprende los siguientes tratamientos:

Tratamiento de datos personales que el contratante introduce en el marco del uso de los respectivos servicios en línea o informativos de otro tipo y que deben ser tratados por el contratista para la preparación de funciones del producto.
Tratamiento de datos personales para las que no se puede descartar una opción de acceso por el contratista en el marco de otras actividades.
- Por una parte, puede consistir en un acceso a los datos personales mencionados en el apartado a) en el marco de evaluaciones propias de contratista, en particular, el análisis de las funcionalidades del producto para la optimización del producto y la evaluación de los resultados y el uso. En este caso, los datos afectados por este encargo no forman parte de la evaluación y deberán ser eliminados o (seudo)anonimizados por el contratista.
- Por otro lado, puede consistir en un acceso a otros datos personales almacenados de forma local en las instalaciones del contratante en el marco de los servicios de asistencia y/o de soporte.
Asimismo, puede requerirse la consulta de piezas por el número de chasis, de modo que el contratista transmita el número de chasis al servidor del fabricante correspondiente. El fabricante solicita el número de chasis para determinada información necesaria para la información de las piezas y la envía de vuelta al contratista. El fabricante trata el número de chasis también para fines propios y, de este modo, es responsable autónomo a efectos del RGDP. Por la presente, el contratante autoriza al contratista a transmitir el número de chasis para estos fines a los fabricantes.

(2) Tipo de datos

Son objeto del tratamiento de datos personales los siguientes tipos y categorías de datos (listado y descripción de las categorías de datos).

Número de chasis o matrícula introducidos por el contratante en el servicio en línea
Los datos de los clientes finales que haya introducido el contratante en el servicio online, entre ellos:
- Datos de dirección en el marco de los pedidos de piezas
- Direcciones de correo electrónico para el envío de páginas con texto e imágenes
Datos del cliente introducidos por el cliente final durante su registro en el servicio en línea
Datos del cliente que guarde el contratante localmente (mantenimiento remoto por parte del servicio de atención al cliente)
- Datos maestros personales
- Datos de comunicación (p. ej. teléfono, correo electrónico)

(3) Categorías de interesados

Categorías de interesados a quienes afecta el tratamiento:

Clientes finales del contratante

(4) El contratista tiene el derecho reservado de anonimizar o añadir los datos del contratante, de modo que ya no sea posible identificar de las distintas personas afectadas y de esta forma utilizarlos con el fin del diseño conforme a la demanda, el perfeccionamiento y la optimización, así como la prestación del servicio acordado de conformidad con el contrato principal. Las partes están de acuerdo en que los datos del contratante anonimizados o añadidos con arreglo a lo indicado anteriormente ya no se consideran datos del contratante a efectos del presente contrato.

(5) El contratista puede tratar y utilizar los datos del contratante para fines propios dentro de lo admisible en materia de protección de datos y bajo su propia responsabilidad cuando lo autorice una normativa legal sobre autorizaciones o una declaración de consentimiento del afectado. El presente contrato no será de aplicación en estos tratamientos de datos.

3. Lugar de tratamiento

El cumplimiento del tratamiento de datos acordado por contrato tiene lugar principalmente en un Estado miembro de la Unión Europea o en otro Estado parte en el Acuerdo sobre el Espacio Económico Europeo. Siempre que un subcontratista trate los datos en un tercer país, esto tendrá lugar únicamente con el cumplimiento de requisitos especiales de los arts. 44 ss. del RGPD.

4. Medidas organizativas técnicas

(1) El contratista documenta la aplicación de las medidas organizativas técnicas obligatorias que se establecieron antes de concederse el acuerdo, sobre todo por lo que a la ejecución concreta del acuerdo se refieren, y facilita al contratante esa documentación, junto con la presente declaración, para que la compruebe. Si el contratante las acepta, las medidas documentadas conforman la base del acuerdo. De lo contrario, las partes no formalizan ningún acuerdo de servicios.

(2) El contratista establece la seguridad, en virtud de los art. 28, apdo. 3, letra c y 32 del RGPD, sobre todo en relación con el art. 5, apdo. 1, apdo. 2 del RGPD. En conjunto, se trata de las medidas que se deben adoptar y de medidas para la seguridad de los datos y para garantizar un nivel de protección ajustado al riesgo para la confidencialidad, la integridad, la disponibilidad y la capacidad de carga de los sistemas. El contratista considera el estado de la técnica, los costes de aplicación y el tipo, el alcance y los fines del tratamiento, así como las distintas probabilidades y la gravedad del riesgo para los derechos y las libertades de personas físicas conforme al art. 32, apartado 1 del RGPD [detalles en el anexo 1].

(3) Las medidas organizativas y técnicas están sujetas al progreso y al desarrollo técnicos. En ese sentido, se permite al contratista aplicar medidas alternativas adecuadas. Al hacerlo, no puede aplicar un nivel de seguridad inferior al de las medidas establecidas. Deberá documentar los cambios fundamentales.

5. Corrección, limitación y supresión de los datos

(1) El contratista no corregirá, suprimirá o limitará el tratamiento de los datos que procese con arreglo al acuerdo por cuenta propia, sino tras indicárselo de forma documentada el contratante. Cuando un interesado se dirija al contratista al respecto, el contratista deberá remitir al contratante de inmediato dicha solicitud.

(2) En la medida en que así lo abarque el alcance del servicio, el contratista garantizará el concepto de supresión, el derecho al olvido, la corrección, la portabilidad de los datos y la información tras indicárselo de forma documentada el contratante. Las instrucciones concretas que difieran del acuerdo de servicios o que planteen requisitos adicionales requerirán la previa autorización del contratista. En este sentido, se debe tener en cuenta que los servicios en línea que facilita el contratista son productos estándar cuya adaptación a los requisitos legales de protección de datos del contratante puede acarrear costes cuantiosos. El contratante deberá asumir la totalidad de dichos costes tras el correspondiente acuerdo individual.

6. Garantía de la calidad y otras obligaciones del contratista

Además, para el cumplimiento de las disposiciones del presente acuerdo, el contratista tiene las obligaciones legales de los art. 28 al 33 del RGPD, y garantiza en especial el cumplimiento de las siguientes especificaciones:

Nombramiento por escrito de un delegado de protección de datos que ejerza su actividad según los art. 38 y 39 del RGPD. Los datos de contacto de este se deberán notificar al contratante para que pueda ponerse directamente en contacto con él. En caso de cambiarse de delegado de protección de datos, deberá informarse de inmediato al contratante.
Respeto de la confidencialidad según los art. 28, apdo. 3, frase 2, letra b, 29 y 32, apdo. 4 del RGPD. El contratista solo encomienda realizar el trabajo a aquellos empleados con obligación de confidencialidad a los que previamente haya familiarizado con las disposiciones relevantes de protección de datos. El contratista y todas las personas sujetas a este con acceso a datos personales únicamente pueden procesar dichos datos según las instrucciones del contratante, incluidas las potestades concedidas en el presente acuerdo, a menos que estén legalmente obligados al tratamiento.
Aplicación y cumplimiento de todas las medidas organizativas y técnicas obligatorias para este acuerdo, de conformidad con los art. 28, apartado 3, frase 2, letra c y 32 del RGPD [detalles en el anexo 1].
El contratante y el contratista colaboran en el cumplimiento de sus deberes por solicitud de las autoridades supervisoras.
Información inmediata al contratante sobre controles y medidas de las autoridades supervisoras, en la medida en que se refieran al presente acuerdo. Esto se aplica también siempre que una autoridad competente haga indagaciones ante el contratista debido a un proceso administrativo o penal relacionado con el tratamiento de datos personales en el marco del acuerdo.
Cuando el contratante sea objeto de control por parte de una autoridad supervisora, de un proceso administrativo o penal, de reclamaciones de indemnización por parte de un interesado o de un tercero o de otra reclamación relacionada con el encargo de tratamiento de datos, el contratista le asistirá en la medida de lo posible.
El contratista controla con regularidad los procesos internos, así como las medidas organizativas y técnicas, para garantizar que el tratamiento en el ámbito de su responsabilidad sea acorde con las disposiciones de la legislación de protección de datos vigente y que se garantice la protección de los derechos de los interesados.
Acreditación de las medidas organizativas y técnicas adoptadas frente al contratante en el marco de sus potestades de control en virtud del apartado 7 del presente acuerdo.

7. Subcontrataciones

(1) Se consideran subcontrataciones en el sentido de estas disposiciones aquellos servicios relacionados directamente con la prestación del servicio principal. No se incluyen aquí servicios auxiliares que asume el contratista, p. ej. servicios de telecomunicaciones, de correos y transporte, mantenimiento y atención al usuario y eliminación de soportes de datos, así como medidas para garantizar la confidencialidad, la disponibilidad, la integridad y la capacidad de carga del hardware y el software de las instalaciones de tratamiento de datos. No obstante, el contratista está obligado a adoptar acuerdos contractuales y medidas de control conformes con la ley para garantizar la protección de datos y la seguridad de los datos del contratante también en los servicios auxiliares externalizados.

(2) El contratante otorga por la presente la autorización general al contratista para recurrir a otros encargados del tratamiento.

El contratante aprueba la contratación del siguiente subcontratista siempre que se formalice un acuerdo contractual en virtud del art. 28, apdos. 2-4 del RGPD:

Empresa subcontratada	Domicilio/país	Servicio
Belenus LOB GmbH	Rüdesheimer Str. 23 80686 Múnich ALEMANIA	Prestación de todos los servicios de TI internos y externos
LexCom (China) Co., Ltd	Suite G, 9/F Huamin Empire Plaza, 728 Yan An West Road, Changning Shanghai, 200050 CHINA	Prestación del servicio de atención al cliente
LexCom Japan K.K.	Shin-Yokohama Daini Centre Bldg., 7F, 3-19-5 Shin-Yokohama, JAPAN	Prestación del servicio de atención al cliente
LexCom Information Systems Ltd	Unit C3 Arena Business Centre, 9 Nimrod Way, Wimborne, BH21 7UH, UNITED KINGDOM	Prestación del servicio de atención al cliente
LexCom France SARL	Espace Mama Works 51 Quai Lawton 33300 Bordeaux FRANCE	Prestación del servicio de atención al cliente
OiC Imaging Comercial Ltda	Rua Kara 419, CEP 09750-300, São Bernardo do Campo, São Paulo, BRAZIL	Prestación del servicio de atención al cliente
Element1 Media GmbH	Rüdesheimer Str. 21 80686 Múnich ALEMANIA	Procesamiento de los datos de cliente introducidos durante el registro

Se permite el cambio de subcontratista actual siempre que:

El contratista indique previamente el cambio de subcontratista al contratante en un plazo razonable por escrito o en formato de texto
El contratante no se haya opuesto por escrito o en formato de texto al cambio previsto antes del momento de transferencia de los datos
Se establezca un acuerdo contractual o una declaración vinculante en virtud del art. 28, apdos. 2-4 del RGPD.

(3) La transferencia de datos personales del contratante al subcontratista y el comienzo de la actividad por parte de este solo se permiten si se cumplen todos los requisitos de subcontratación.

(4) Para que el subcontratista realice una nueva externalización se requiere la aprobación expresa del contratista principal (en formato de texto); también deben aplicarse al siguiente subcontratista todas las disposiciones contractuales de la cadena de contratos.

8. Derechos de control del contratante

(1) El contratante tiene derecho, junto al contratista, a realizar comprobaciones o a instar a que las realicen los auditores nombrados para casos concretos. Tiene derecho a cerciorarse del cumplimiento del presente acuerdo por parte del contratista en sus instalaciones mediante controles al azar que se desarrollen durante el horario comercial habitual sin interrumpir la actividad del contratista, manteniendo una rigurosa confidencialidad de los secretos empresariales y comerciales de este y avisando a tiempo.

(2) El contratista garantiza que el contratante pueda cerciorarse del cumplimiento de las obligaciones del contratista en virtud del art. 28 del RGPD. El contratista se compromete a facilitar al contratante por solicitud la información necesaria y, en especial, a acreditar la aplicación de las medidas organizativas y técnicas. Por lo general, el contratante puede realizar un control por año natural; en caso de sucesos particulares, se permiten más controles.

(3) El contratista tiene derecho, según su criterio y respetando las obligaciones legales del contratante, a no publicar información delicada con respecto a sus negocios o si el contratante incumpliese al hacerlo obligaciones legales o contractuales.

(4) A elección del contratista, la acreditación de medidas que no se refieran al encargo puede realizarse, en lugar de con un control en sus instalaciones, mediante

el cumplimiento de las normas de comportamiento aprobadas en virtud del art. 40 del RGPD;
la acreditación según un proceso autorizado de certificación en virtud del art. 42 del RGPD;
firmas, informes o extractos de informes actuales de instancias independientes (p. ej. auditores de cuentas, revisores, delegados de protección de datos, departamento de Seguridad de TI, auditores de protección de datos, auditores de calidad);
un certificado apropiado de una auditoría de seguridad de TI o de protección de datos (p. ej. protección general del Ministerio de Seguridad en TI de Alemania).

Para ello es requisito que dicha medida permita al contratante cerciorarse razonablemente del cumplimiento de las medidas técnicas y organizativas en virtud del anexo al presente acuerdo.

(5) El contratista puede presentar una reclamación de indemnización por permitir los controles al contratante.

9. Notificación en caso de infracciones del contratista

(1) El contratista asiste al contratante en el cumplimiento de las obligaciones sobre seguridad de los datos personales, obligaciones de información en caso de fugas de datos, evaluaciones de impacto de la protección de datos y consultas previas recogidas en los artículos del 32 a 36 del RGPD. Se incluyen aquí, entre otros:

La garantía de un nivel de protección adecuado con medidas organizativas y técnicas que tengan en cuenta las circunstancias y los fines del tratamiento, así como la probabilidad y la gravedad de las posibles infracciones legales debidas a carencias de seguridad, y que permitan constatar de inmediato las infracciones relevantes
La obligación de notificar de inmediato al contratante las infracciones de datos personales
La obligación de asistir al contratante en su deber de obligación frente al interesado y de facilitarle toda la información relevante al respecto de inmediato
La asistencia al contratante en sus valoraciones de impacto para la protección de datos
La asistencia al contratante durante consultas previas con las autoridades supervisoras

10. Facultad de dirección del contratante

(1) El contratante confirma las instrucciones verbales de inmediato (forma de texto).

(2) El contratista informará al contratante de inmediato si opina que una instrucción incumple las disposiciones de protección de datos. El contratista estará autorizado a omitir la instrucción pertinente hasta que el contratante la confirme o la modifique. El contratista podrá reclamar una indemnización al contratante por los gastos que esto le ocasione.

11. Supresión y restitución de datos personales

(1) No se realizan copias ni duplicados de los datos sin conocimiento del contratante. Se excluyen las copias de seguridad, en la medida en que sean necesarias para garantizar el debido tratamiento de los datos, así como aquellos datos necesarios para cumplir obligaciones de conservación legales.

(2) Tras concluir las tareas acordadas contractualmente o antes por solicitud del contratante —a más tardar al finalizar el acuerdo de servicio—, el contratista deberá entregar al contratante, o destruir en virtud de la protección de datos según acuerdo previo, todos los documentos a los que haya accedido, los resultados del tratamiento y el uso y las existencias de datos relacionadas con el encargo. Se aplica lo mismo al material de prueba y desechable. El protocolo de supresión se debe facilitar si así se solicita.

(3) El contratista conservará tras finalizar el acuerdo los documentos que sirven para acreditar el tratamiento de los datos debidamente y de conformidad con el encargo según los plazos de conservación. Se los puede entregar al contratante al finalizar el acuerdo.

Anexo 1 – Medidas técnicas y organizativas

1. Confidencialidad (art. 32, [1] b) del RGPD)

Control de acceso

Acreditaciones
Tarjetas codificadas de acceso/transpondedores de acceso
Concepto de autorización de acceso
Dispositivos de vigilancia (por ejemplo: videovigilancia
Regulación con llaves
Regulación para externos, identificaciones de visitante
Acompañamiento de visitantes por empleados
Registros de acceso de visitantes
Protección, incluso fuera del horario de trabajo por sistema de alarma o servicio de seguridad
Zonas de seguridad definidas y acceso controlado
Entrada protegida para suministros y entregas
Protección de puertas (cierre eléctrico de puertas, lector de tarjetas, monitor de televisión, portero)
Control por los empleados (principio de 4 ojos)
Medidas para la protección de objetos (por ejemplo: acristalamiento especial, sistema de alarma, vigilancia del recinto)
Acceso protegido especial al centro de datos
Almacenamiento de servidores en salas cerradas con llave
Almacenamiento de soportes de datos bajo llave o en salas cerradas con llave
Almacenamiento de copias de seguridad de datos (por ejemplo: cintas, CD) en la caja fuerte
Identificación para entrega de llaves
Otros/especificación de las medidas indicadas anteriormente:

ontrol de acceso

Codificación de redes
Cierre de equipos de tratamiento de datos
Identificación de un usuario en los equipos de tratamiento de datos
Otorgamiento y protección de claves de identificación
Protección con contraseña de puestos de trabajo con pantalla
Uso con limitaciones funcionales o temporales de los ordenadores de los puestos de trabajo y las características de identificación
Regulación de la autorización de usuario
Uso de contraseñas individuales
Bloqueo automático de cuentas de usuarios tras introducir erróneamente las contraseñas varias veces
Bloqueo automático de la pantalla protegido por contraseña tras inactividad (salvapantallas)
Directriz de contraseñas con especificaciones mínimas sobre la complejidad de la contraseña y el intervalo de actualización
Ejecución del algoritmo hash de contraseñas guardadas
Proceso de otorgamiento de derechos en caso de nuevas incorporaciones de empleados
Proceso de retirada de derechos en caso de cambio de departamento de empleados
Proceso de retirada de derechos en caso de baja de empleados
Obligación de secreto de datos según el art. 28, apdo. 3, letra b del RGPD
Directrices para organización de archivos
Protocolización y evaluación del uso de sistema
Destrucción controlada de soportes de datos
Instrucciones de trabajo y proceso de procesamiento del registro de datos
Procesos de comprobación de programas y de habilitación
Otros/especificación de las medidas indicadas anteriormente:

Control de acceso

Definición de autorización de acceso, concepto de autorización
Determinación de la facultad para la introducción, modificación, supresión de datos
Separación de concesión de autorizaciones (organizativas) y
otorgamiento de autorizaciones (técnicas)
Concepto de uso y asignación de unidades
Regulación para el restablecimiento de datos desde copias de seguridad (quién,
cuándo, quién lo solicitó)
Comprobación periódica de autorizaciones
Limitación de la posibilidad de consulta libre
y sin control de bases de datos
Evaluación periódica de protocolos (archivos de registro)
Lector de tarjetas en el terminal
Posibilidades de acceso parcial a bases de datos y funciones (lectura, escritura, ejecución)
Protocolización de accesos, supresiones y modificaciones de archivos
Escáner de software malicioso en ordenadores de puestos de trabajo
Filtración de software malicioso para web
Filtración de software malicioso/spam para correo electrónico
Firewalls
Detección y prevención de intrusiones (IDS/IPS)
Acceso limitado a datos de registro (solo administradores de registro)
Almacenamiento de datos de registro en servidor de registros dedicado
Otros/especificación de las medidas indicadas anteriormente

Control de separación

Separación de clientes/mandantes
Separación de sistemas de desarrollo, de prueba y productivo

2. Integridad (art. 32 [1] b) del RGPD)

Control de cesión

Intercambio de archivos seguro (SFTP/FTPS)
Intercambio de datos mediante conexión HTTPS (TLS 1.1 y 1.2)
Definición de autorización de cesión, concepto de autorización
Control por empleados (principio de 4 ojos)
Entrada protegida para suministros y entregas
Administración de soportes de datos, control de inventario
Definición de áreas donde se deben encontrar los soportes de datos
Codificación de soportes de datos confidenciales
Codificación de ordenadores portátiles
Almacenamiento de datos personales en armarios de seguridad
con cerradura
Prohibición de llevar bolsos y otros bultos a las zonas de seguridad
Borrado seguro de soportes de datos (por ejemplo: destrucción física, sobrescritura múltiple)
Eliminación segura de papel: Recipientes cerrados de metal (denominados contenedores de protección de datos)
Regulación para la realización de copias
Copias de seguridad de soportes de datos que deben transportarse
Normativas de embalaje y envío
Recogida directa, servicio de mensajería, acompañamiento de transporte
Comprobación de integridad y exactitud

Control de introducción

Identificación/clasificación de datos registrados
Definición de autorizaciones de usuario (roles/perfiles)
Autorizaciones de usuario diferenciadas (lectura, modificación, eliminación de datos, acceso parcial a datos o funciones)
Determinación organizativa de competencias de introducción
Protocolización de introducciones/eliminaciones de datos
Regulación de los plazos de almacenamiento para fines de revisión/verificación

3. Disponibilidad y capacidad de carga (art. 32 [1] b) del RGPD)

Control de disponibilidad

Conceptos de protección de datos y copia de seguridad
Comprobación periódica de los conceptos de protección de datos y copia de seguridad
Acceso a salas de servidores limitado a personal necesario
Sistemas de detección de incendios en salas de servidores
Instalaciones de extinción automática en salas de servidores
Extintores de incendios sin agua (por ejemplo: extintor de CO2) en salas de servidores
Salas de servidores climatizadas
Protección contra rayos/sobretensión
Sistema de alimentación ininterrumpida (SAI)
Generador de emergencia
Sensores de agua en salas de servidores
Alojamiento de sistemas de copias de seguridad en salas y secciones contra incendios separados
Almacenamiento de datos en armarios de protección de datos, cajas fuertes
Comprobación periódica de la recuperabilidad de los medios de almacenamiento de copias de seguridad
Garantía de legibilidad técnica en el futuro de los medios de almacenamiento de copias de seguridad
Almacenamiento de medios de almacenamiento de copias de seguridad bajo las condiciones necesarias (climatización, necesidad de protección, etc.)
Acuerdo de entrega de copias de seguridad (de datos)
Evaluaciones periódicas de vulnerabilidad (protección de recinto, protección de edificios, intrusión en redes y sistemas de TI)
Sistema de almacenamiento redundante
Centros de datos de copias de seguridad

4. Restauración de la disponibilidad y acceso (art. 32 [1] c) del RGPD)

Planes de crisis y emergencias (por ejemplo: agua, fuego, explosión, amenaza de atentado, fallo general, terremoto)

5. Comprobación, valoración y evaluación (art. 32 [1] d) del RGPD; art. 25 [1] del RGPD)

Procedimiento para la comprobación, valoración y evaluación periódicas

Proceso definido para la gestión de la protección de datos
Proceso definido para la gestión de respuestas a incidentes
Protección de datos por defecto (art. 25 del RGPD)

Control de encargos

Selección de subcontratista desde el punto de vista de la diligencia (en particular, en relación con la seguridad de los datos)
Configuración del contrato conforme a las premisas legales (art. 28 del RGPD)
Registro central de subcontratistas disponibles (gestión uniforme de contratos)
Controles previos en las oficinas del subcontratista antes del inicio de contrato
Controles periódicos en las oficinas del subcontratista tras el inicio de contrato (durante la vigencia del contrato)
Comprobación del concepto de seguridad de los datos del subcontratista
Examen de los certificados de seguridad de información existentes del subcontratista
Otorgamiento de instrucciones para mejorar la protección de datos frente a subcontratistas
Compromiso de los empleados del subcontratista a cumplir la legislación en materia de protección de datos