🔐Acuerdo de Tratamiento de Datos (DPA)
Última actualización
Última actualización
Un Acuerdo de Tratamiento de Datos (Data Processing Agreement, DPA) es un contrato legalmente vinculante que establece los derechos y obligaciones del procesador de datos en relación con el tratamiento de los datos personales del controlador de datos. Es un requisito legal en muchos países y regiones que tienen leyes y regulaciones de protección de datos, como el Reglamento General de Protección de Datos (GDPR) en la Unión Europea.
Los DPA suelen cubrir aspectos como:
El propósito y los medios del procesamiento de datos: Esto describe por qué y cómo se procesarán los datos.
La duración del procesamiento: Esto establece cuánto tiempo se conservarán y procesarán los datos.
Las medidas de seguridad: Estas son las medidas que el procesador de datos debe implementar para proteger los datos personales.
Los derechos del controlador de datos y las personas a las que pertenecen los datos: Esto incluye cosas como el derecho a acceder a los datos, a rectificarlos o borrarlos, y a oponerse a su procesamiento.
Las obligaciones del procesador de datos: Esto incluye la obligación de procesar los datos sólo según las instrucciones del controlador de datos, y de notificar al controlador de datos en caso de una violación de la seguridad de los datos.
En resumen, un DPA es una forma de garantizar que el procesador de datos maneje los datos personales de una manera que respete la privacidad y los derechos de las personas a las que pertenecen esos datos.
HABILMIND, S.L., con NIF B-85645703 y domicilio en calle Ferraz 28, 2º izquierda, 28008 Madrid (España), en adelante el ENCARGADO DEL TRATAMIENTO o ENCARGADO en caso en que haya celebrado un contrato o esté realizando medidas precontractuales, como por ejemplo una prueba piloto con un centro educativo situado en cualquier parte del mundo, con un centro educativo, siendo este el RESPONSABLE DEL TRATAMIENTO o RESPONSABLE. El centro educativo puede ser un colegio, institución u organismo público o privado, universidades, investigadores, profesionales de la psicología, o cualquier organización con alumnado que esté interesada en las herramientas de HABILMIND, S.L.
A estos efectos, se manifiesta:
Que el ENCARGADO va a realizar un tratamiento de datos por cuenta del RESPONSABLE.
Que el tratamiento de los datos personales es necesario para la prestación del servicio.
Que el RESPONSABLE ha decidido elegir a este ENCARGADO porque este último ofrece garantías suficientes para aplicar medidas técnicas y organizativas apropiadas a los datos facilitados, garantizando que el tratamiento encargado se ajusta al Reglamento (UE) 2016/679, de Protección de Datos (RGPD) y normativa que lo desarrolle, y garantiza la protección de los derechos de los interesados, según las siguientes
Es objeto y naturaleza de este contrato el encargo de un servicio que supone el necesario tratamiento de los datos facilitados por el RESPONSABLE al ENCARGADO para poder cumplir el contrato o prueba solicitada.
El ENCARGADO DEL TRATAMIENTO únicamente tratará los datos conforme a las instrucciones documentadas del RESPONSABLE DEL TRATAMIENTO, y para la finalidad de obtención de datos personales que pueden consistir en datos que entrega el colegio a Habilmind para la realización de pruebas o test a través de la plataforma de análisis de los factores que influyen en el aprendizaje a través de la herramienta Habilmind, no comunicando los datos a ningún otro tercero.
La duración del encargo de tratamiento de los datos personales queda sujeta a la duración del encargo para la prestación de servicios que el RESPONSABLE ha encargado al ENCARGADO DEL TRATAMIENTO.
El tipo de datos personales y categorías de interesados objeto de este encargo es el siguiente: personal, nombres y correos electrónicos de familias y alumnos del responsable del tratamiento.
Operaciones de tratamiento: recogida, grabación, consulta, envío, modificación, conservación, borrado, anonimización y destrucción.
El ENCARGADO y todo su personal destinado a la prestación de los servicios a EL RESPONSABLE se obliga a:
2.1. Prestar los servicios con arreglo a lo dispuesto en la legislación vigente de protección de datos de carácter personal, a los dispuesto en este contrato y según las instrucciones documentadas del RESPONSABLE, no pudiendo el ENCARGADO utilizar dichos datos con fin distinto al que figura en este contrato ni utilizar los datos para fines propios.
Si el ENCARGADO considera que alguna de las instrucciones del RESPONSABLE infringe o puede infringir la normativa vigente en materia de protección de datos de carácter personal y, en especial, el Reglamento (UE) 2016/679 (RGPD), informará por escrito, inmediatamente, al RESPONSABLE.
2.2. No transmitir o comunicar a terceros bajo ninguna circunstancia los datos personales de los tratamientos cuyo responsable es el RESPONSABLE, salvo instrucciones expresas y escritas.
2.3. Garantizar que las personas que formen parte de la estructura y como medios humanos del ENCARGADO, autorizados por éste para tratar datos personales del RESPONSABLE, se hayan comprometido de forma expresa y por escrito, a respetar normas de confidencialidad y a cumplir las medidas de seguridad correspondientes a sus funciones, de las que el ENCARGADO les habrá de informar por escrito.
Mantener el deber de secreto respecto a los datos de carácter personal a los que tendrá acceso en virtud del presente contrato, incluso una vez que finalice la prestación de los servicios solicitados.
2.4. Adoptará y mantendrá las medidas de seguridad necesarias y garantía del derecho de las personas afectadas, según lo establecido en el Art. 32 del RGPD, debiendo establecer en su caso, entre otras, las siguientes medidas:
a) la seudonimización y cifrado de datos personales;
b) la capacidad de garantizar la confidencialidad integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
d) haber establecido un proceso de verificación, evaluación y valoración regulares de la eficiencia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento;
e) otras medidas de seguridad que el encargado adopte por medio de su responsabilidad proactiva teniendo en cuenta los datos recibidos por el RESPONSABLE y el tratamiento que sea necesario llevar a cabo con los datos, debiendo adoptar el ENCARGADO las medidas del Art. 25 del RGPD.
En particular y en su caso, el ENCARGADO garantiza que los datos personales que integre en sus sistemas de tratamiento, los que almacene, o los que trate en soportes automatizados, accesibles a través de Wi-Fi o de otro modo, por cuenta del RESPONSABLE, sean albergados en sus propios servidores o en, en su caso, los de sus subcontratistas, y accesibles a través de acceso a Internet propias y seguro. Los servidores o equipos de alojamiento de datos deberán ser:
a) Seguros, conforme a las exigencias del RGPD
b) Localizados en la Unión Europea, salvo que el RESPONSABLE previamente haya otorgado su acuerdo y consentimiento escritos y bajo reserva que la localización fuera de la Unión Europea respete y cumpla estrictamente las condiciones previstas a este respecto en el presente contrato y en el RGPD
El ENCARGADO pondrá a disposición del RESPONSABLE toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente contrato, permitiendo y contribuyendo a la realización de auditorías o inspecciones por parte del responsable o de otro auditor autorizado por dicho responsable.
2.5. Mantener actualizado y por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del RESPONSABLE que contenga:
a) El nombre y los datos de contacto del ENCARGADO y de este RESPONSABLE y en su caso del representante del responsable o del encargado y del DELEGADO DE PROTECCIÓN DE DATOS.
b) Las categorías de tratamientos efectuados por cuenta de este RESPONSABLE.
c) Las transferencias internacionales de datos, incluyendo la identificación del tercer país destinatario de
los datos, teniendo en cuenta el posible alojamiento de datos en servicios de computación en nube (cloud), adjuntando la documentación con las garantías adecuadas a que se refiere el Art. 30.2.c delRGPD.
d) Una descripción general de las medidas técnicas y organizativas de seguridad que el ENCARGADO aplica en el tratamiento de los datos.
2.6. Si el ENCARGADO debe, por obligación establecida en las leyes, transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, informará por escrito, de forma previa y pormenorizada, a EL RESPONSABLE de esa exigencia legal, salvo que tal Derecho lo prohíba por razones de interés público.
2.7. En caso en que el ENCARGADO DEL TRATAMIENTO decida subcontratar todo o parte de este servicio, debe disponer de autorización previa por escrito del RESPONSABLE DEL TRATAMIENTO. Una vez autorizada la subcontratación, el SUBENCARGADO del tratamiento deberá estar sujeto a las mismas condiciones y a la misma forma escrita que el ENCARGADO mantiene con el RESPONSABLE, respondiendo el ENCARGADO frente al RESPONSABLE en caso de incumplimiento del SUBENCARGADO, debiendo celebrar contrato por escrito entre el ENCARGADO y el SUBENCARGADO.
2.8. Comunicar al RESPONSABLE cualquier solicitud escrita que se refiera a los derechos de los interesados, que por cualquier
2.9. Ayudará al responsable a garantizar el cumplimiento de las obligaciones establecidas en los Art. 32 a 36 del RGPD, teniendo en cuenta la naturaleza del tratamiento y la información a disposición del ENCARGADO.
El ENCARGADO notificará a EL RESPONSABLE, sin dilación indebida, y en cualquier caso antes del plazo máximo de 24 horas, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, con toda la información relevante para la documentación y comunicación de la quiebra.
No será obligatoria la notificación cuando sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.
Si se dispone de ella se facilitará, como mínimo, la información siguiente:
a) Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
b) El nombre y los datos de contacto del delegado de protección de datos del ENCARGADO o de otra persona de contacto del ENCARGADO en caso de necesidad de más información.
c) Descripción de las posibles consecuencias para los interesados de la violación de la seguridad de los datos personales.
d) Descripción de las medidas adoptadas o propuestas para paliar o resolver la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
Será EL RESPONSABLE, quien proceda, en su caso, a la comunicación de las violaciones de la seguridad delos datos a la Agencia de Protección de Datos y a las personas afectadas.
2.10. Designar un delegado de protección de datos o, en caso de obligación por la normativa vigente, y comunicar su identidad y datos de contacto al RESPONSABLE.
2.11. Una vez finalice la prestación de los servicios del tratamiento, el ENCARGADO devolverá al RESPONSABLE o suprimirá todos los datos personales del tratamiento, y suprimirá las copias existentes, a menos que exista alguna previsión legal que exija su conservación. En su caso, los datos deberán ser devueltos en la misma forma en que fueron obtenidos y dentro del plazo de dos meses desde la finalización efectiva del servicio, debiendo el RESPONSABLE no dificultar su recepción. Siempre que pudieran derivarse responsabilidades entre el RESPONSABLE y el ENCARGADO, este podrá conservar debidamente bloqueados los datos.
2.12. El ENCARGADO únicamente responderá de los daños y perjuicios causados al interesado cuando no haya cumplido las obligaciones del RGPD dirigidas específicamente a los encargados o haya actuado al margen o en contra de las instrucciones del RESPONSABLE, en virtud de lo establecido en el Art. 82.2 RGPD. Estará exento de responsabilidad si demuestra que no es en modo alguno responsable del hecho que haya causado los daños y perjuicios.
El RESPONSABLE se obliga a facilitar datos personales obtenidos de forma lícita, transparente e informada. Garantiza a los interesados los derechos de protección de datos que les asisten. Dispone de una base jurídica para el tratamiento, cumpliendo con las condiciones del consentimiento en caso necesario, e informará al ENCARGADO en caso de transmitir categorías especiales de datos del Art. 9 del RGPD. Ha informado a las personas afectadas de lo establecido en el Art. 13 del RGPD.
El RESPONSABLE responderá de los daños y perjuicios causados al interesado en caso en que la operación de tratamiento en que haya participado no haya cumplido con el RGPD, en virtud de lo establecido en el Art. 82.2 RGPD. Estará exento de responsabilidad si demuestra que no es en modo alguno responsable del hecho que haya causado los daños y perjuicios.
Cuando más de un responsable o encargado del tratamiento o solamente un responsable y un encargado hayan participado en la misma operación de tratamiento y sean responsables de cualquier daño o perjuicio causado por dicho tratamiento, todos ellos serán considerados responsables de todos los daños y perjuicios, en virtud del Art. 82.4 RGPD.
Las partes de este contrato se informan de que los datos personales e informaciones asociadas a estos son tratados en virtud de la prestación de los servicios pactados y para las finalidades de cumplimiento, desarrollo y control del contrato, siendo el contrato la base jurídica del tratamiento.
Cada una de las empresas firmantes de este contrato, informarán a sus empleados o colaboradores dedicados a la ejecución de la relación contractual establecida en el contrato, respecto del tratamiento de sus datos personales de las personas de contacto, de función o puesto desempeñado en su caso de las personas físicas que presten servicios en cada una de las empresas intervinientes en el contrato, a los fines de la ejecución del referido contrato. La base jurídica de este tratamiento es el interés legítimo.
Los datos se conservarán durante el plazo mínimamente necesario, en base al plazo de reclamaciones o interposición de acciones. No se prevén destinatarios de los datos de las empresas intervinientes en este acuerdo, salvo obligaciones legales.
Datos de contacto del Delegado de Protección de Datos de Habilmind accesible en la Política de Privacidad de www.habilmind.com
El ejercicio de los derechos de los derechos de acceso incluido el derecho a obtener copia de los datos personales objeto de tratamiento, rectificación, oposición, supresión o borrado en su caso, portabilidad y limitación del tratamiento, podrá ejercitarse por la persona interesada mediante solicitud escrita, acompañada de un documento oficial de identificación, dirigida a la dirección de la firmante de este contrato, pudiendo dirigirse a presentar reclamaciones ante la Agencia Española de Protección de Datos.
ACREDITACIÓN DE CUMPLIMIENTO DEL RGPD POR PARTE DEL PROVEEDOR
El PROVEEDOR O ENCARGADO DEL TRATAMIENTO trata datos personales del RESPONSABLE DEL TRATAMIENTO, y en cumplimiento del Art. 28 del RGPD garantiza que cumple con la normativa de protección de datos que le sea aplicable y que aplica medidas técnicas y organizativas al tratamiento de los datos:
NORMA | CONFIRMACIÓN |
El PROVEEDOR tiene implantado un Registro de Actividades del Tratamiento en el que se ha incorporado el tratamiento de datos que efectúa por cuenta de este RESPONSABLE, y que contenga los siguientes datos: a) el nombre y los datos de contacto de cada responsable por cuenta del cual actúe el encargado, b) las categorías de tratamientos efectuados por cuenta de cada responsable; c) en su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país, d) descripción general de las medidas técnicas y organizativas de seguridad. | SÍ |
El PROVEEDOR, en caso de contar a su vez con encargados del tratamiento por los que se traten los datos personales objeto de este contrato, ha celebrado con ellos el acuerdo de tratamiento de datos a que se refiere el Art. 28 del RGPD ha efectuado un análisis de riesgos y ha implementado medidas técnicas y organizativas en base a los riesgos detectados, para garantizar el cumplimiento del RGPD con respecto a los datos personales. | SÍ |
El PROVEEDOR ha efectuado un análisis de riesgos y ha implementado medidas técnicas y organizativas en base a los riesgos detectados, para garantizar el cumplimiento del RGPD con respecto a los datos personales. | SÍ |
El PROVEEDOR ha implementado medidas de información o formación destinadas a garantizar que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad en todas las fases del tratamiento de los datos personales. | SÍ |