Acuerdo de tratamiento de datos (en cumplimiento con el Reglamento General de Protección de Datos)


En efecto a partir del 1 de mayo de 2018.

1. Alcance y contenido del acuerdo

Este Acuerdo de Tratamiento de Datos («ATD») refleja el acuerdo de las partes con respecto a los términos que regulan el tratamiento de los Datos Personales bajo los Términos de Servicio de IBANCOM (Los «TDS»). Este ATD es una enmienda a los TDS y entra en efecto con su incorporación en los TDS, cuya incorporación puede ser especificada en una orden o una enmienda ejecutada a los TDS. Desde el momento de su incorporación en los TDS, el ATD formará parte de los TDS.

2. Definiciones

En este acuerdo:

(a) «Servicios» se refiere a los servicios suministrados al cliente bajo los TDS;
(b) «Datos Personales» se refiere a cualquier información relacionada con una persona natural identificada o identificable («sujeto de la información»);
(c) «Cliente», «controlador» o «usted» se refiere a la persona natural o jurídica, autoridad pública, agencia u otro ente que solo o en conjunto con otros, determine los propósitos y medios del procesamiento de los Datos Personales;
(d) «Procesador», «IBANCOM» o «nosotros» se refiere a una persona natural o jurídica, agencia u otro ente que procesa Datos Personales en representación del controlador;
(e) «Procesar/procesamiento» se refiere a cualquier operación o conjunto de operaciones que se realice en Datos Personales o conjuntos de Datos Personales, de manera manual o automática, en actividades de recopilación, grabación, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación por transmisión, diseminación o por dejar disponible de alguna manera, alineamiento o combinación, restricción, eliminación o destrucción;
(f) «Sub-procesador» o «Sub-contratista» se refiere a un subcontratista tercero contactado por el procesador que, como parte de la función del subcontratista de prestar un servicio, procesa Datos Personales de los clientes;
(g) «Medidas de seguridad técnicas y organizacionales» se refiere a aquellas medidas que buscan asegurar un nivel de seguridad adecuado para el riesgo, incluyendo la seudonimización y el cifrado de Datos Personales, la capacidad de garantizar la constante confidencialidad, integridad, disponibilidad y resistencia de los sistemas y servicios de procesamiento, la capacidad de restaurar la disponibilidad y acceso a Datos Personales de una manera oportuna en el caso de un incidente físico o técnico, un proceso para poner a prueba, evaluar y analizar regularmente la efectividad de las medidas técnicas y organizacionales para garantizar la seguridad del procesamiento;
(h) «Leyes de protección de datos» se refiere a todas las leyes y regulaciones de la Unión Europea, el Área Económica Europea y sus estados miembros, aplicable para el tratamiento de Datos Personales bajo el Acuerdo.

3. Aplicación de este acuerdo

Este acuerdo aplicará para:
a) toda la información enviada por el Cliente a IBANCOM para procesamiento a partir de la fecha de este acuerdo;
b) toda la información a la que accede IBANCOM con autorización del Cliente para procesar a partir de la fecha de este acuerdo; y
c) toda la información de otro modo recibida por IBANCOM para procesar en representación del Cliente;
en relación a los servicios.

4. Categorías de Datos Personales y propósito del procesamiento de Datos Personales

Para la ejecución de este Acuerdo, y en particular para prestar los Servicios en representación del Cliente, el Cliente autoriza y solicita que IBANCOM procese la siguiente información personal: información de Cliente: información que podemos recopilar pos su uso de los sitios web de IBANCOM e interacción con nosotros fuera de Internet como por ejemplo:

• Información de contacto: nombre, dirección de domicilio, número de teléfono fijo o móvil, dirección de correo electrónico y contraseñas.
• Información financiera: número de tarjeta de crédito e información de facturación (identificación tributaria, número de IVA del pagador, dirección de facturación, correo electrónico de facturación, cuando se envíen facturas); los números de tarjetas de crédito son manejados por Avangate (nuestro portal de pagos), por PayPal, u otros tipos de servicios de pago; IBANCOM solo le cobra a su tarjeta de crédito para pagos.
• Información de contacto de empleo, incluyendo: nombre de empleador, cargo y función laboral, detalles de contacto laborales; IBANCOM maneja la información de cliente según los términos de nuestra política de privacidad general.

Datos de servicios: datos que permanecen en sistemas de IBANCOM, clientes o terceros a los cuales IBANCOM ha otorgado acceso para prestar servicios.

• Datos almacenados y procesados por usuarios, tales como: datos enviados para procesar, o el historial de operaciones realizadas por usuarios.
• Información de archivos de registro: los sistemas de IBANCOM guardan tres tipos de registros: registros de conexión que esencialmente son registros de cada solicitud para cada aplicación. Estos registros de conexión pueden incluir información como la solicitud web, dirección de protocolo de Internet («IP»), tipo de navegador, páginas y URL de referencia y salida, número de clics, nombres de dominio, páginas de entrada, páginas vistas y otros datos similares. El segundo tipo de registro son los registros de aplicación, que son producidos por nuestro software durante el procesamiento de datos. Los registros de aplicación son registros de todos los datos de entrada enviados a nuestros servidores para procesamiento que pueden ayudar a IBANCOM a identificar y diagnosticar la fuente de problemas de sistema actuales y puede ayudar a predecir problemas futuros.
IBANCOM procesa información de clientes de acuerdo a los términos de su Política de Privacidad, y trata la información de servicio como confidencial de acuerdo con los términos de su solicitud de los servicios.

Categorías de sujetos de datos: los sujetos de datos incluyen representantes de clientes y usuarios finales, tales como empleados, postulantes para empleo, contratistas, colaboradores, socios, y clientes del Cliente. Los sujetos de datos también pueden incluir individuos que intenten comunicar o transferir Datos Personales a usuarios de los Servicios.

5. Responsabilidad de IBANCOM

IBANCOM procesará Datos Personales solo para prestar los Servicios, y acepta:

• (a) Procesar y usar los Datos Personales para los propósitos establecidos en este Acuerdo o solo con instrucciones documentadas por el Cliente y para ningún otro propósito que los expresamente aprobados por escrito por el Cliente;
• (b) No divulgar información a terceros excepto para los empleados, agentes y subcontratistas que están involucrados en el procesamiento de los datos y están sujetos a las obligaciones vinculantes, o excepto en los casos en los que se requiera por alguna ley o regulación;
• (c) Implementar medidas técnicas y organizacionales adecuadas para proteger la información de procesamiento no autorizado o ilegal, o pérdida, daños o destrucción accidental, y tomando en consideración el estado de desarrollo tecnológico y el costo de implementar cualquier medida, tales medidas deben garantizar un nivel de seguridad adecuado para los daños que pudieran resultar del procesamiento no autorizado o ilegal, o pérdida, daños o destrucción accidental y para la naturaleza de los datos que deben ser protegidos;
• (d) Informar al Cliente tan pronto como sea posible en el caso de que los sujetos de datos ejerciten cualquiera de sus derechos bajo las leyes de protección en relación con la información y, si es necesario, ayudar al Cliente a cumplir con la obligación de responder a tales solicitudes considerando las garantías establecidas en el artículo 7;
• (e) No procesar o transferir los datos fuera de la Unión Europea excepto cuando se tenga previa autorización expresa por escrito por parte del Cliente y asegurarse de que tales transferencias se realicen en cumplimiento con las regulaciones adecuadas.

6. Responsabilidad del Cliente

El Cliente de Servicios, como controlador de datos, debe aceptar responsabilidad por cumplir la legislación vigente de protección de datos. Notablemente, el Cliente tiene una obligación de evaluar la legalidad del procesamiento de Datos Personales almacenados en la Plataforma.

El Cliente acepta que garantizará el cumplimiento en todo momento de la legislación de protección de datos vigente y, en particular, el Cliente garantizará que cualquier divulgación de Datos Personales a IBANCOM se hace con la autorización del sujeto de datos o de otro modo es legal. El control de los Datos Personales permanece con el Cliente, y al igual que entre el Cliente e IBANCOM, el Cliente en todo momento permanecerá como el controlador de datos para los propósitos de los servicios, los TDS, y este Acuerdo de tratamiento de datos. El Cliente se hace responsable por el cumplimiento de sus obligaciones como controlador de datos bajo la ley de protección de datos aplicable, en particular para la justificación de cualquier transmisión de Datos Personales a IBANCOM (incluyendo emitir cualquier notificación requerida y obtener las autorizaciones requeridas), y para sus decisiones en lo referente al procesamiento y uso de los datos.

7. Derechos de sujetos de datos

IBANCOM le otorgará al Cliente acceso electrónico al ambiente de la plataforma que contiene los Datos Personales para permitirle al Cliente eliminar, liberar, corregir o bloquear el acceso a Datos Personales específicos o, si eso no es posible y hasta lo permitido por la ley aplicable, seguir las instrucciones detalladas por escrito del Cliente para eliminar liberar, corregir o bloquear el acceso a Datos Personales.

IBANCOM pasará al Cliente cualquier solicitud de algún sujeto de datos individual para eliminar, liberar, corregir o bloquear Datos Personales procesados bajo el Acuerdo.

8. Transferencia de datos continua y transfronteriza

IBANCOM trata todos los Datos Personales de una manera que cumple con los requisitos de la ley de protección de datos aplicable y este Acuerdo de Tratamiento de Datos en todas sus sedes a lo largo de todo el mundo.

La información es almacenada por IBANCOM en centros de datos ubicados en Alemania y administrados por su subcontratista Hetzner Online GmbH.

Industriestr. 25
91710 Gunzenhausen
Deutschland
Tel.: +49 (0)9831 505-0*
Fax: +49 (0)9831 505-3

Los centros de datos están ubicados en
Hetzner Online AG
Am Datacenterpark 1
08223 Falkenstein


Con respecto a los Datos Personales almacenados por IBANCOM en los centros de datos en el Área Económica Europea se garantizará el cumplimiento de las regulaciones de la ley de protección aplicable por parte de sus subprocesadores de la siguiente manera:
• (i) IBANCOM ha entrado en contratos con subprocesadores que declaran que el subprocesador cumplirá obligaciones de protección de datos y confidencialidad en conformidad con las leyes de protección de datos aplicables;
• (ii) además, cuando un subprocesador procese Datos Personales en o desde un país que no ha recibido un veredicto de «suficiencia», IBANCOM necesitará que el subprocesador cumpla cláusulas modelo que incorporen requisitos de seguridad en conformidad con este APD.

9. Subprocesamiento

IBANCOM no subcontratará ninguna de sus operaciones de procesamiento realizadas en representación del Cliente bajo el Acuerdo y los TDS sin la autorización previa por escrito del Cliente.

Cuando IBANCOM subcontrate sus obligaciones bajo el Acuerdo, con la autorización del Cliente, solo lo hará mediante un acuerdo escrito con el subprocesador, que impondrá al subprocesador las mismas obligaciones que tiene IBANCOM bajo el Acuerdo. Cuando el subprocesador falle en cumplir sus obligaciones de protección de datos bajo tal acuerdo escrito, IBANCOM asumará la total responsabilidad ante el Cliente por el cumplimiento de las obligaciones del subprocesador bajo tal acuerdo.

El Cliente como controlador de datos puede solicitar que IBANCOM audite al subprocesador o muestre confirmación de que tal auditoría ha ocurrido (o, cuando esté disponible, obtener o ayudar al controlador de datos a obtener un informe de auditoría con terceros a las operaciones del subprocesador) para garantizar el cumplimiento de tales obligaciones. El controlador también tendrá derecho, luego de solicitud escrita, a recibir copias de los términos relevantes del acuerdo entre IBANCOM y sus subprocesadores para procesar los Datos Personales, a menos que el acuerdo contenga información confidencial, en cuyo caso IBANCOM puede facilitar una versión redactada del acuerdo.

Las cláusulas relacionadas con aspectos de protección de datos para el subprocesamiento del contrato al que se hizo referencia en el párrafo 1 estarán gobernadas por la ley del Estado Miembro en el cual el cliente está ubicado.

10. Medidas técnicas y organizacionales

Cuando esté procesando información personal en representación del Cliente en relación con los servicios, IBANCOM garantiza que implementa y mantiene el cumplimiento de medidas de seguridad técnicas y organizacionales para el procesamiento de tales datos. Por consiguiente, IBANCOM implementará las siguientes medidas:

• a) Para prevenir que personas no autorizadas obtengan acceso a sistemas de procesamiento de datos en los que se procesen Datos Personales (control de acceso físico), IBANCOM tomará medidas para impedir el acceso físico, como contratar personal de seguridad y desplegar sistemas de seguridad para los edificios e instalaciones.
• b) Para prevenir que los sistemas de procesamiento de datos sean usados sin autorización (control de acceso a sistema), se pueden implementar, entre otros, controles como autenticación mediante contraseña y registros de acceso en varios niveles, dependiendo de los servicios particulares ofrecidos.
• c) Para garantizar que las personas con derecho a usar sistemas de protección de datos solo tengan acceso a los Datos Personales para los cuales tienen el privilegio de acceso, y que los Datos Personales no se puedan leer, copiar, modificar o eliminar sin autorización durante el procesamiento o después del almacenamiento (control de acceso a datos), los Datos Personales solo son accesibles y manejables por personal adecuadamente autorizado, se restringe el acceso de consultas directas a la base de datos, y se implementan permisos de acceso de aplicaciones.

Además de las reglas de control de acceso establecidas anteriormente, IBANCOM implementa una política de acceso en la cual mediante su personal autorizado, el controlador de datos controla el acceso a su ambiente de servicios de API, a los Datos Personales y otros tipos de datos.

• d) Para garantizar que los Datos Personales no puedan ser leídos, copiados, modificados o eliminados sin autorización durante el transporte o la transmisión electrónica, y que sea posible comprobar y establecer a qué entidades está prevista la transferencia de Datos Personales mediante instalaciones de transmisión de datos (control de transmisión), IBANCOM cumplirá con los siguientes requisitos: Salvo que se especifique lo contrario para los Servicios API, las transferencias de datos fuera del entorno de Servicio son cifradas (HTTPS). El contenido de las comunicaciones (incluidas las direcciones del remitente y del destinatario) enviadas a través de algunos servicios de correo electrónico o mensajería puede no estar cifrado una vez recibido a través de dichos servicios. El controlador de datos es el único responsable de los resultados de su decisión de utilizar comunicaciones o transmisiones no cifradas.
• e) Para garantizar que es posible comprobar y establecer si los Datos Personales han sido introducidos, modificados o eliminados en sistemas de tratamiento de datos (control de entrada) y quién lo ha hecho, IBANCOM cumplirá los siguientes requisitos: El origen de los Datos Personales está bajo el control del Cliente, y la integración de los Datos Personales en el sistema se gestiona mediante la transferencia segura de archivos del Cliente (es decir, a través de servicios web o a través de la aplicación).
• f) Para garantizar la protección de los Datos Personales contra su destrucción o pérdida accidental, se realizan copias de seguridad de forma regular; las copias de seguridad están cifradas y protegidas.
• g) Con el fin de garantizar que los Datos Personales que se recopilan para diferentes fines puedan ser procesados de forma separada, los datos procedentes de diferentes entornos de controladores de datos se mantienen lógicamente separados en los sistemas de IBANCOM.

11. Derechos de auditoría

El Cliente podrá auditar el cumplimiento por parte de IBANCOM de los términos del Acuerdo y del presente Acuerdo de Tratamiento de Datos hasta una vez al año.

El Cliente podrá realizar auditorías más frecuentes de los sistemas informáticos de Servicio que procesan Datos Personales en la medida en que lo exija la legislación aplicable al Cliente. Si un tercero va a llevar a cabo la auditoría, el tercero debe ser acordado mutuamente por ambas partes y debe firmar un acuerdo de confidencialidad por escrito aceptable para IBANCOM antes de llevar a cabo la auditoría.

Para solicitar una auditoría, el Cliente debe presentar un plan de auditoría detallado al menos 4 semanas antes de la fecha de auditoría propuesta, describiendo el alcance, la duración y la fecha de inicio de la auditoría. IBANCOM revisará el plan de auditoría y responderá al controlador de datos cualquier duda o pregunta (por ejemplo, cualquier solicitud de información que pueda comprometer la seguridad, la privacidad o las políticas de empleo de IBANCOM).

Los informes de auditoría son tratados como información confidencial de las partes según los términos del Acuerdo. Todos los gastos de auditoría corren a cargo del controlador de datos.

Cualquier solicitud para que IBANCOM preste asistencia en una auditoría se considera un servicio separado si dicha asistencia de auditoría requiere el uso de recursos diferentes o adicionales. IBANCOM solicitará la aprobación y el acuerdo por escrito del controlador de datos para pagar los honorarios correspondientes antes de prestar tal asistencia de auditoría.

12. Gestión de incidentes y notificación de infracciones

IBANCOM evalúa y responde a los incidentes que creen sospecha de acceso o tratamiento no autorizado de Datos Personales.

El Cliente es informado de tales incidentes y, dependiendo de la naturaleza de la actividad, define procedimientos y equipos de respuesta para hacer frente a los mismos. IBANCOM trabajará con el Cliente, con los equipos técnicos adecuados y, cuando sea necesario, con las fuerzas de seguridad externas para responder al incidente. El objetivo de la respuesta al incidente será restaurar la confidencialidad, integridad y disponibilidad del entorno de los Servicios, así como establecer las causas de fondo y medidas correctivas.

El personal de operaciones de IBANCOM está capacitado para responder a incidentes en los que pueda haberse producido un tratamiento no autorizado de Datos Personales.

IBANCOM notificará al Cliente sin demora alguna después de tener conocimiento de una violación de Datos Personales. IBANCOM investigará rápidamente cualquier violación de la seguridad y tomará medidas razonables para identificar sus causas e impedir que se repita. Cuando la información se recopile o esté disponible, a menos que la ley lo prohíba, IBANCOM facilitará al controlador de datos una descripción de la violación de seguridad, el tipo de datos que fueron objeto de la violación y otra información que el controlador de datos pueda razonablemente solicitar sobre las personas afectadas. Las partes acuerdan coordinar de buena fe el desarrollo del contenido de cualquier declaración pública relacionada o cualquier notificación requerida para las personas afectadas.

13. Divulgaciones requeridas legalmente

Salvo que la ley exija lo contrario, IBANCOM notificará inmediatamente al Cliente sobre cualquier citación, orden judicial, administrativa o de arbitraje de una agencia ejecutiva o administrativa u otra autoridad gubernamental ("demanda") que reciba y que esté relacionada con los Datos Personales que IBANCOM está procesando en representación del Cliente. A petición del Cliente, IBANCOM facilitará la información que posea y que pueda responder a la demanda, así como la asistencia razonablemente necesaria para que el Cliente pueda responder a la demanda de forma oportuna. El Cliente reconoce que IBANCOM no tiene la responsabilidad de interactuar directamente con la entidad que realiza la demanda.

14. Obligación tras la terminación de los servicios de tratamiento de Datos Personales

Las partes acuerdan que al finalizar la prestación de los servicios de tratamiento de datos, IBANCOM pondrá a disposición para su recuperación o bien devolverá los Datos Personales del Cliente almacenados en el entorno de la plataforma, a menos que la legislación impuesta a las partes le impida devolver o destruir la totalidad o parte de los Datos Personales transferidos. En ese caso, las partes se comprometen a garantizar la confidencialidad de los Datos Personales transferidos y a no continuar procesando activamente los Datos Personales transferidos.

15. Ley aplicable

El presente acuerdo se rige por la legislación del Estado Miembro en el que reside el Cliente.