Condiciones Generales de Contratación Nube
Términos de suscripción
DEFINICIONES
En estos términos y condiciones generales del contrato (los «Términos y Condiciones»), los términos y expresiones siguientes, cuando se empleen con mayúscula inicial, tendrán el significado definido en esta sección.
El significado de los términos aquí definidos en singular será aplicable al plural y viceversa.
Credenciales de Acceso: sistema de autenticación a través del cual se permite que el Cliente acceda y use el Programa para disfrutar de los Servicios en la Nube, tales como el código de identificación, las claves de acceso proporcionadas por Software DELSOL o alguna empresa del Grupo TeamSystem al Cliente y asociadas a cada Usuario, así como los autentificadores o tokens de identificación (si los hubiera).
Contrato: Términos y Condiciones, anexos pertinentes, la Suscripción, documentación técnica (si la hubiera) entregada al Cliente, formularios de suscripción (si los hubiera) e instrucciones en línea para el uso de los productos del Programa.
Infraestructura en la Nube: sistema de la Nube, propiedad de TeamSystem, de cualquier empresa del Grupo TeamSystem, de terceros, el cual aloje los Programas.
Servicios en la Nube: servicios prestados por Software DELSOL o cualquier empresa del Grupo TeamSystem al Cliente, a través del acceso y uso por parte de este último de los Programas.
Conectividad: conexión al Centro de Datos que realiza el Cliente al conectarse a una red de telecomunicaciones o a internet.
Sociedades Controladas: empresas controladas directa o indirectamente por el Cliente y posiblemente enumeradas en la Suscripción.
Cliente: sociedad especificada en la Suscripción.
Centro de Datos: centros de servicio que alojan los servidores interconectados, pertenecientes a Software DELSOL, a una de las sociedades del Grupo TeamSystem o a terceros, en los que reside la Infraestructura en la Nube.
Normativa de Protección de Datos: RGPD y cualquier otra ley y/o reglamento de desarrollo (si existe) que sea aplicable en virtud del RGPD o que de otra forma sea aplicable con respecto a la Protección de los Datos Personales, incluida cualquier resolución emitida por una autoridad de control que tenga competencia con respecto al objeto de estos Términos y Condiciones, y que sea, y siga siendo, vinculante y efectiva.
Cuotas: importe especificado en la Suscripción que debe pagar el Cliente a Software DELSOL o, si se especifica en la Suscripción, al Distribuidor de Software DELSOL como contraprestación por el suministro de Servicios en la Nube.
RGPD: se refiere al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.
Derechos de Propiedad Intelectual e Industrial: todos los Derechos de Propiedad Intelectual e Industrial y/o Industrial, registrados o no, en su totalidad o en parte, en cualquier parte del mundo, incluyendo, con carácter enunciativo y no limitativo, las marcas y nombres comerciales, las patentes, los modelos de utilidad, los diseños y modelos, los nombres de dominio, los conocimientos técnicos, las obras de autoría cubiertas por derechos de propiedad intelectual, incluyendo los relativos a bases de datos y programas de ordenador (incluyendo, con carácter enunciativo y no limitativo, las obras derivadas, el código fuente, el código de objeto y las interfaces).
Licencia: tiene el significado especificado en el párrafo 2.5.
MDPA: Acuerdo Marco de Tratamiento de Datos y el DPA - Condiciones Especiales, que se adjuntan a este Contrato.
Producto Nuevo: tiene el significado especificado en el epígrafe (b) del párrafo 12.1.
Aviso de Retirada: tiene el significado especificado en el epígrafe (b) del párrafo 12.1.
Producto Obsoleto: tiene el significado especificado en el párrafo 12.1.
Suscripción: se refiere al formulario o cupón, en formato electrónico o en papel, cumplimentado y aceptado (en línea o de otro modo) por el Cliente, y que incluye ciertos términos y condiciones aplicables a los Servicios en la Nube especificados en la misma Suscripción. Por la presente se acuerda entre Software DELSOL y el Cliente que, en caso de conflicto entre las condiciones generales especificadas en la Suscripción y las disposiciones de los Términos y Condiciones, prevalecerán los términos y condiciones de la Suscripción.
Partes: Software DELSOL y el Cliente conjuntamente.
Socio: persona(s)/entidad(es) que será seleccionada (también de entre los Distribuidores de Software DELSOL) por Software DELSOL y que colaborará con esta última para proporcionar Servicios en la Nube y/o Asistencia.
Software DELSOL: SOFTWARE DEL SOL, S.A.U., sociedad de nacionalidad española, con domicilio en Parque Científico y Tecnológico GEOLIT, Edificio Software del Sol, CP 23620, Mengíbar (Jaén), inscrita en el Registro Mercantil de Jaén y con CIF número A-11682879
SaaS: Programa como un servicio (por sus siglas en inglés: «software-as-a-service»).
Programa: Programas de ordenador especificado en la Suscripción propiedad de Software DELSOL, de cualquier empresa perteneciente al Grupo TeamSystem o de cualquier tercero, alojados en la Infraestructura en la Nube, actualizados y/o modificados mediante las Actualizaciones y Mejoras.
Sublicencia: tiene el significado especificado en el párrafo 2.9.
Asistencia: Asistencia técnica destinada a sugerir al Cliente, a petición de este y cuando sea posible, las soluciones técnicas para garantizar el correcto disfrute de los Servicios en la Nube.
Grupo TeamSystem: TeamSystem S.p.A. (NIF 01035310414) y todas las sociedades que son controladas, ya sea directa o indirectamente, por TeamSystem S.p.A., como, por ejemplo, Software DELSOL.
Distribuidor de Software DELSOL: persona/entidad con derecho a llevar a cabo la comercialización de los Servicios en la Nube basada en un acuerdo válido firmado Software DELSOL.
Actualizaciones y Mejoras: todas las actualizaciones, complementos, ajustes, mejoras, optimizaciones y, en general, todas las modificaciones realizadas a los productos de Software DELSOL, y/o por cualquier tercero propietario. Las Actualizaciones y Mejoras no incluirán las modificaciones que puedan resultar necesarias debido a cualquier enmienda, complemento, derogación o promulgación de una ley, decreto, reglamento, directiva, orden o decisión de la UE o de cualquier país que, a discreción de Software DELSOL, afecten significativamente al funcionamiento y/o los costes de Software DELSOL y/o la estructura del Programa o impliquen modificaciones sustanciales o estructurales de las leyes vigentes en la fecha del Contrato.
Usuario: todos y cada uno de los empleados y/o colaboradores del Cliente, debidamente autorizados por este último, a utilizar las Credenciales de Acceso para acceder y utilizar el Programa necesario para disfrutar de los Servicios en la Nube.
1. Ámbito y aceptación de los Términos y Condiciones
1.1. Estos Términos y Condiciones regirán el uso, por parte del Cliente, del Programa, así como la disposición, por parte de Software DELSOL, de los Servicios en la Nube especificados en la Suscripción, mediante la posibilidad de que el Cliente acceda y utilice cada uno de los Programas a los que se refiere la Suscripción. Estos Términos y Condiciones regirán también todas las Actualizaciones y Mejoras, salvo disposición en contrario.
1.2. El Cliente acepta estos Términos y Condiciones al marcar la casilla «He leído y acepto las condiciones generales de la suscripción» en la Suscripción, o al utilizar el Programa o los Servicios en la Nube, y se aplican entre Software DELSOL y el Cliente.
Si el Cliente es una persona jurídica, estos Términos y Condiciones se aceptan en nombre del Cliente. Se trata de un servicio únicamente empresarial y no hay intención de establecer un contrato con ningún consumidor. Si usted es consumidor y desea utilizar el Programa, contáctenos en info@sdelsol.com.
1.3. Cuando corresponda, las empresas de contabilidad, asesorías contables y fiscales, las agencias de gestión y otras empresas similares también pueden aceptar estos Términos y Condiciones en nombre del Cliente, por ejemplo, en lo relativo a nuevas suscripciones, y, al hacerlo, declaran que tienen la autoridad necesaria para ello y que el Cliente ha sido debidamente informado de estos Términos y Condiciones antes de su aceptación.
2. Servicios en la Nube
2.1. En virtud de este Contrato, en contraprestación al pago puntual de las Cuotas, Software DELSOL proporcionará al Cliente, quien acepta, los Servicios en la Nube especificados en la Suscripción. El Cliente tendrá derecho a disfrutar de los Servicios en la Nube exclusivamente mediante el acceso y uso del Programa en modo SaaS (Software como servicio).
2.2. Cuando esté previsto, en función del Programa indicado en la Suscripción, el Programa permite al Cliente disponer de los Servicios en la Nube específicos asociados a cada paquete y habilitar las características adicionales que componen el Programa («Módulos»), tal y como se identifican y describen concretamente en la sección correspondiente de la página web dedicada al Programa en el sitio de internet de Software DELSOL («Sitio»). Hay diferentes paquetes («Paquetes»), cada uno de los cuales tiene un contenido y un valor económico diferente, cuyas características específicas también se exponen y describen en el Sitio. Cuando esté previsto en la Suscripción o en la sección correspondiente de la página web específica, para poder utilizar el Programa, es imprescindible la activación de, al menos, uno de los Paquetes.
En tal caso, una vez activado el Paquete seleccionado, el Cliente podrá solicitar la activación de otros Módulos no incluidos en el Paquete originalmente adquirido, entendiéndose que la activación de cada Módulo adicional implicará el pago de Cuotas suplementarias según lo especificado en el Sitio.
2.3. Cuando esté previsto, en función del Programa indicado en la Suscripción, a través del Programa, el Cliente puede reducir los servicios suscritos y eliminar los Módulos adicionales cada uno de ellos con efecto a partir del último día del mes natural vigente (a menos que se indique lo contrario en la descripción o en las condiciones generales aplicables al servicio o módulo específico).
2.4. Con especial referencia al Programa DELSOL Reviso, según el paquete seleccionado, el número de apuntes contables que se pueden registrar a través del Programa DELSOL REVISO («Transacciones») puede estar limitado. Las transacciones que excedan (si las hubiera) del número máximo de transacciones permitidas por cada Paquete implicarán el pago de Cuotas suplementarias según se especifica en el Sitio.
2.5. Al suscribir el Contrato, Software DELSOL, otorga al Cliente, quien acepta, una licencia no exclusiva, intransferible y temporal para utilizar el Programa, limitada a los Módulos activados y al número de Usuarios indicado en la Suscripción (la «Licencia»), sin perjuicio del derecho del Cliente a utilizar el Programa en forma de SaaS a través de las Credenciales de Acceso proporcionadas por Software DELSOL, o el Distribuidor de Software DELSOL, al Cliente.
2.6. Independientemente del Paquete adquirido, el Cliente podría tener derecho a utilizar el Paquete seleccionado durante un período de prueba gratuito de duración especificada en el Sitio («Período de Prueba Gratuito»). El Cliente que tenga la intención de seguir utilizando el Programa una vez finalizado el Período de Prueba Gratuito deberá solicitar la activación de un Paquete de acuerdo con las disposiciones del párrafo anterior 2.2.
2.7. En función del Programa que se indica en la Suscripción, el Programa podría estar provisto de API específicas que permiten intercambiar datos e información entre el Programa y las aplicaciones de terceros («Programa Relacionado»). Sin perjuicio de las limitaciones de la responsabilidad de Software DELSOL y /o las empresas del Grupo TeamSystem, que se han establecido en el artículo 14, Software DELSOL y las empresas del Grupo TeamSystem, en la medida máxima permitida por la ley, no se hacen responsables de los daños y perjuicios y/o pérdidas directas o indirectas, de cualquier tipo o gravedad, que puedan sufrir el Cliente o terceros debido a un mal funcionamiento del Programa y/o a un tratamiento inadecuado derivado de (i) errores y/o mal funcionamiento durante el tratamiento y/o la transmisión de datos e información que se deban a cada Programa Relacionado y/o (ii) al uso inadecuado de la API por parte del Cliente.
2.8. El Cliente puede, a través de una función del Programa especialmente diseñada, cuando corresponda, permitir a terceros que, a su vez, también sean Usuarios del Programa («Terceros Autorizados»); acceder al perfil del Cliente para buscar datos y documentos almacenados en él y/o utilizar el Programa en nombre del Cliente. El Cliente reconoce y asume ser el único responsable de las autorizaciones concedidas a Terceros Autorizados para utilizar el Programa en nombre del Cliente. Por lo tanto, sin perjuicio de las limitaciones de la responsabilidad de Software DELSOL y /o las empresas del Grupo TeamSystem, que se han establecido en el artículo 14, Software DELSOL y las empresas del Grupo TeamSystem, en la medida máxima permitida por la ley, no serán responsables de los daños y perjuicios y/o pérdidas directas o indirectas de cualquier naturaleza o alcance que puedan sufrir el Cliente o Terceros por el uso o la falta de uso del Programa por parte de cualquier Tercero Autorizado que incumpla el Contrato, las leyes vigentes y/o las instrucciones del Cliente.
2.9. Sin perjuicio de lo dispuesto en el párrafo 2.5, a cambio del pago de las Cuotas suplementarias especificadas individualmente en la Suscripción o que puedan determinarse en contratos escritos por separado, Software DELSOL, se compromete a prestar los Servicios en la Nube especificados en la Suscripción, también a favor de las Sociedades Controladas en virtud de la concesión por parte del Cliente a las Sociedades Controladas de una Sublicencia para el uso del Programa (la «Sublicencia»). Cada Sociedad Controlada tendrá derecho a disfrutar de los Servicios en la Nube exclusivamente a través del acceso y uso del correspondiente producto del Programa en modo SaaS.
3. Obligaciones del Cliente
3.1. En virtud de este Contrato, el Cliente se compromete a:
(a) Pagar a Software DELSOL o, si así se especifica en la Suscripción, al Distribuidor de Software DELSOL, las Cuotas pagaderas de acuerdo con el artículo 7;
(b) Obtener, de fuentes independientes, el equipamiento de hardware y software, y la Conectividad adecuada, con el fin de poder acceder al Centro de Datos y usar los productos del Programa necesarios para disfrutar de los Servicios en la Nube.
(c) Ajustar de manera independiente las funciones de sus propios sistemas informáticos y de la Conectividad, en caso de modificaciones, sustituciones y correcciones (si las hubiera) que se podrían implementar en los productos del Programa y en los Servicios en la Nube tras el momento de formalización del Contrato;
(d) Usar los productos del Programa y/o los Servicios en la Nube cumpliendo con la Licencia y exclusivamente para los fines previstos;
(e) Facilitar a Software DELSOL, toda la información necesaria para que el propio Software DELSOL, pueda formalizar sus obligaciones según el presente Contrato, así como avisar de inmediato en caso de cualquier modificación pertinente, por ejemplo, modificaciones relativas a los Usuarios y/o Sociedades Controladas;
(f) Encargarse de que todos los Usuarios, incluidos los Terceros Autorizados, revisen estos Términos y Condiciones;
(g) Encargarse de que todas las Sociedades Controladas revisen y acepten estos Términos y Condiciones.
3.2. El Cliente asegurará que el Programa no se usa de ninguna manera contraria al buen nombre, reputación y/o buena voluntad de Software DELSOL y /o las empresas del Grupo TeamSystem, o que incumpla cualquier ley o reglamento aplicable.
3.3. Sin perjuicio de lo establecido en el párrafo 2.8 anterior, únicamente el Cliente tiene derecho a usar el Programa, y el Programa no se puede usar para, o en nombre de, ningún tercero o para tratar datos o prestar servicios a terceros que no sean el Cliente. El Cliente acepta asumir toda la responsabilidad de terceros (tales como los Usuarios y las Sociedades Controladas y posibles Terceros Autorizados que tengan acceso al Programa por cuenta del Cliente o que usen los datos de registro del Cliente.
4. Credenciales de Acceso
4.1. El Cliente y/o todo Usuario y/o toda Sociedad Controlada y/o Terceros Autorizados accederá al Programa y disfrutará de los Servicios en la Nube tras la activación por medio de las Credenciales de Acceso que, en función del Programa, suministra Software DELSOL y/o una empresa del Grupo TeamSystem, o configura el Cliente de forma autónoma en el momento del registro.
4.2. El Cliente sabe que en caso de que otras personas averigüen las Credenciales de Acceso, aquellas tendrán la posibilidad de usar el Programa y disfrutar de los Servicios en la Nube sin autorización, así como tener acceso sin autorización a cualquier información ahí almacenada. El Cliente se considerará responsable en exclusiva por cualquier uso (ya sea autorizado o no) del Programa que se efectúe mediante sus Credenciales de Acceso.
4.3. El Cliente deberá mantener, y encargarse de que todo Usuario y/o Sociedad Controlada y/o Tercero Autorizado mantenga, las Credenciales de Acceso en la más estricta confidencialidad y con el mayor cuidado, y por la presente se compromete a no transferirlas ni permitir que las usen terceros con excepción de que dichos terceros estén autorizados expresamente a obtener acceso o usar las Credenciales de Acceso.
4.4. En ningún caso se considerará a Software DELSOL y /o las empresas del Grupo TeamSystem, y/o a ningún Socio de este responsable de daños y perjuicios algunos, ya sean fortuitos o consecuentes, que se puedan ocasionar al Cliente, a cualquier Usuario y/o terceros como consecuencia del incumplimiento de cualquier disposición establecida en este artículo 4 por parte del Cliente y/o de cualesquiera Usuarios y/o Terceros Autorizados.
5. Asistencia
5.1. En virtud de este Contrato, como contraprestación por el pago puntual de las Cuotas, Software DELSOL se compromete a poner a disposición del Cliente un servicio de asistencia, en cumplimiento con los horarios y tipos especificados en el sitio web de Software DELSOL.
5.2. El Cliente sabe y acepta que el servicio de asistencia se proporcionará solo a distancia, aceptándose expresamente que no se llevará a cabo ningún servicio en los sistemas informáticos del Cliente y/o de las Sociedades Controladas.
6. Actualizaciones y Mejoras
6.1. El Cliente sabe y acepta que, en caso de que Software DELSOL y /o las empresas del Grupo TeamSystem, —a su propia discreción— lo considere necesario, las Actualizaciones y Mejoras pueden: (i) causar la alteración o eliminación de ciertas funciones de los productos del Programa o (ii) consistir en el reemplazo o migración (total o parcial) de los productos del Programa y los Servicios en la Nube pertinentes.
6.2. El Cliente exime a Software DELSOL y a las empresas del Grupo TeamSystem de toda responsabilidad en relación con cualesquiera daños y perjuicios derivados de cualesquiera Actualizaciones y Mejoras implementadas, salvo en caso de negligencia grave o dolo por parte de Software DELSOL y /o las empresas del Grupo TeamSystem.
6.3. Las Actualizaciones y Mejoras no incluirán las modificaciones, ajustes, mejoras, ampliaciones, y, en general, todas las modificaciones que sean necesarias debidas a cualquier enmienda, complemento, revocación o promulgación de una ley, decreto, reglamento, directiva, orden o resolución de la UE o de cualquier país que, a discreción exclusiva de Software DELSOL y/o a las empresas del Grupo TeamSystem, afecten significativamente al funcionamiento y/o los costes de Software DELSOL y/o a las empresas del Grupo TeamSystem y/o la estructura del Programa o impliquen modificaciones sustanciales o estructurales de la legislación vigente en la fecha del Contrato.
7. Cuotas
7.1. En consideración al suministro de Servicios en la Nube, el Cliente se compromete a pagar las Cuotas especificadas en la Suscripción, de acuerdo con las formalidades y los términos aquí detallados, a Software DELSOL o, si se especifica en la Suscripción, al Distribuidor de Software DELSOL. Las Cuotas se pagarán come se preveé en la Suscripción por Software DELSOL o, en caso de que se indique de otra manera en la Suscripción, al Distribuidor de Software DELSOL pertinente.
7.2. Salvo que se indique algo diferente en la Suscripción, el primer periodo de facturación comprende desde la fecha de Suscripción hasta el último día del mes, o año natural. Posteriormente, la facturación es mensual, trimestral o anual por adelantado, salvo que se establezca de otra manera en la Suscripción o en un acuerdo separado.
7.3. Todas las Cuotas se especificarán con importes que no incluyen el Impuesto sobre el Valor Añadido (IVA) o cualesquiera otros cargos pagaderos en virtud de la legislación aplicable.
7.4. El Cliente reconoce y acepta que el Programa y los Servicios en la Nube pertinentes están sujetos, por su propia naturaleza, a un desarrollo constante, tanto desde el punto de vista tecnológico como del legal; de ahí, la necesidad de las actividades de actualización continuas y caras, o –en ciertos casos— la sustitución, para garantizar el funcionamiento. Por consiguiente, Software DELSOL tendrá derecho a aumentar las Cuotas, de acuerdo con las normas estipuladas más adelante en el art. 15.
7.5. Sin perjuicio de las disposiciones del párrafo anterior 7.4, si surgen circunstancias imprevistas durante el término del Contrato que supongan una carga mayor a Software DELSOL y /o las empresas del Grupo TeamSystem, con respecto al suministro de los Servicios en la Nube, Software DELSOL tendrá el derecho de recibir una remuneración excepcional, que se determinará de manera equitativa, o se ajustarán de manera unilateral las Cuotas según las normas establecidas más adelante en el art. 15.
7.6. En caso de impago o demora en el pago de cualquier importe pagadero conforme a este Contrato, el Cliente perderá automáticamente el beneficio del vencimiento, y en los importes impagados por el Cliente se aplicará un interés por demora según el porcentaje establecido en la legislación aplicable. En este caso, sin perjuicio de las disposiciones establecidas en los párrafos 19.1 y 19.2 más adelante, Software DELSOL también tendrá derecho a (i) suspender la ejecución de otros contratos existentes (si los hubiera) suscritos con el Cliente (tales como el derecho a impedir el uso de la licencia del programa de dichos contratos y suspender el suministro cualquier servicio relacionado) y/o (ii) resolver en cualquier momento tales contratos.
7.7. Por la presente, el Cliente renuncia al derecho de retrasar el cumplimiento de las obligaciones de pago contempladas en este art. 7 previa presentación de alegatos y defensas.
7.8. El Cliente es consciente de que la relación contractual entre Software DELSOL y el Distribuidor de Software DELSOL en lo que se refiere a la comercialización de los Servicios en la Nube puede finalizar durante el periodo de este Contrato y acepta que en tal caso:
(a) Software DELSOL informará al Cliente de la terminación de la relación contractual entre Software DELSOL y el Distribuidor de Software DELSOL;
(b) En la fecha de recepción del aviso según la letra anterior (a) el Cliente tendrá el deber de pagar las Cuotas a Software DELSOL directamente, cumpliendo con los términos y formalidades especificadas en dicho aviso;
(c) Todos y cada uno de los contratos existentes entre el Cliente y el Distribuidor de Software DELSOL que estén relacionados con los Servicios en la Nube se cederán a Software DELSOL por parte del Distribuidor de Software DELSOL, según la legislación aplicable;
(d) Por la presente, el Cliente consiente la cesión mencionada en la letra anterior (c).
8. Confidencialidad
8.1. La comunicación y/o revelación así como el uso en cualquier modalidad, de manera directa o a través de otra persona o entidad, de cualquier noticia, información y documentos que las Partes conozcan, o que tengan en posesión que estén en relación de cualquier manera con la ejecución de este Contrato, y que Software DELSOL haya clasificado como «confidencial» o «reservado» está prohibido estrictamente, ya sea un secreto industrial o no, y con independencia de si atañe a las Partes o alguno de sus clientes y/o proveedores, salvo que dicha comunicación y/o revelación:
(a) Se necesite expresamente para el cumplimiento del presente Contrato;
(b) Haya sido explícitamente autorizada por escrito por la otra Parte;
(c) Sea imprescindible en virtud de una disposición legal y/o por orden de las autoridades administrativas y/o judiciales que así lo hagan las Partes contratantes.
8.2. Excepto la información y/o documentos contemplados en el párrafo 8.1 que constituyen secreto conforme a la legislación aplicable, la prohibición establecida en el anterior párrafo 8.1 permanecerá en vigor sin reservas, incluso tras la terminación de este Contrato, con independencia del motivo de la misma, y durante un periodo que ambas Partes por la presente declaran apropiada, de 3 (tres) años, salvo que dicha información sea de dominio público sin mediar incumplimiento por parte de las Partes.
9. Socios
9.1. Al cumplir sus obligaciones conforme al presente Contrato, Software DELSOL tendrá derecho, a su exclusiva discreción, de valerse de la cooperación técnica, organizativa y comercial de sus Socios; por tanto, podrá encomendarles que realicen las actividades enumeradas en estos Términos y Condiciones, ya sean todas o una parte, y/o en la Suscripción.
10. Derechos de Propiedad Intelectual e Industrial
10.1. Todos los Derechos de Propiedad Intelectual e Industrial, tales como los derechos relativos a la explotación económica, sobre la Infraestructura en la Nube, el Programa, los Servicios en la Nube, la documentación pertinente, las Actualizaciones y Mejoras y sobre el material preliminar relacionado y las obras derivadas continuarán siendo, total o parcialmente y en todo el mundo, propiedad exclusiva de Software DELSOL y/o de otras empresas del Grupo TeamSystem y/o cualquier tercero que pueda ser propietario de los mismos y que podrá ser especificado en la Suscripción, o en la documentación técnica de ayuda.
10.2. El Cliente se compromete (comprometiendo así mismo a cada Usuario y, Sociedades Controladas y Terceros Autorizados) a usar el Programa, así como las Actualizaciones y Mejoras estrictamente en la medida que lo permita la Licencia (o Sublicencia, si se trata de Sociedades Controladas). Por lo tanto, con carácter enunciativo y no limitativo, y, en cualquier caso, sin transgredir los límites establecidos por imperativo legal, el Cliente no tiene permitido:
(a) Eludir las restricciones técnicas y medidas de protección tecnológica existentes en el Programa y/o en las Actualizaciones y Mejoras, incluido el sistema de autenticación;
(b) Efectuar ingeniería inversa, descompilar o desmontar el Programa y/o las Actualizaciones y Mejoras;
(c) Hacer copias o permitir que otros copien el Programa y/o las Actualizaciones y Mejoras;
(d) Hacer público el Programa y/o las Actualizaciones y Mejoras o permitir a otros que lo hagan;
(e) Usar el Programa y/o las Actualizaciones y Mejoras fuera de la Infraestructura en la Nube;
(f) Comercializar el Programa y/o las Actualizaciones y Mejoras de cualquier manera y en cualquier formato que sea;
10.3. Asimismo, todos los derechos en marcas comerciales, logotipos, nombres comerciales, nombres de dominios y otros signos distintivos asociados de alguna forma con la Infraestructura en la Nube, el Programa, las Actualizaciones y Mejoras y/o los Servicios en la Nube, continuarán perteneciendo a Software DELSOL y/o a otras empresas del Grupo TeamSystem (y/o, si procede a cualquier tercero que las posea, tal y como se menciona en el párrafo anterior 10.1). Por consiguiente, el Cliente no tiene permitido usar tales derechos de ninguna manera, salvo con consentimiento previo por escrito de Software DELSOL y/o cualquier tercero propietario.
11. Declaraciones del Cliente y su Responsabilidad
11.1. Al aceptar estos Términos y Condiciones, el Cliente declara y garantiza que tiene capacidad legal para formalizar y ejecutar el presente Contrato —de manera efectiva y en su totalidad—.
11.2. El Cliente se compromete a que cada Usuario y Sociedad Controlada, tales como los empleados y/o colaboradores pertinentes, así como posibles Terceros Autorizados, cumplan las disposiciones de este Contrato. El Cliente es el único responsable de los actos de dichas personas/entidades, y por la presente declara y garantiza que la normativa vigente, incluyendo en el ámbito del derecho privado y tributario, se cumplirá.
11.3. Está estrictamente prohibido usar el Programa, los Servicios en la Nube y/o las Actualizaciones y Mejoras con el fin de depositar, mantener, enviar, publicar, transmitir y/o compartir datos, aplicaciones y documentos electrónicos que:
(a) Infrinjan, o entren en conflicto con, los Derechos de Propiedad Intelectual e Industrial de Reviso, Software DELSOL y/o terceros;
(b) Incluyan contenidos discriminatorios, difamatorios, amenazantes o falsos testimonios;
(c) Incluyan pornografía, pornografía infantil, material indecente o material del tipo que sea que entre en conflicto con la moral pública;
(d) Incluyan virus, gusanos, troyanos o cualquier otro componente informático malicioso o disruptivo;
(e) Supongan o constituyan: correo basura (spam), suplantación de identidad (phishing) o actividades similares;
(f) Esté de algún modo en conflicto con las disposiciones aplicables de la legislación y/o reglamentos.
11.4. Software DELSOL y/o a las empresas del Grupo TeamSystem, se reservan el derecho a suspender el suministro de los Servicios en la Nube y el derecho de cualquier Cliente Usuario y/o Sociedad Controlada y/o Tercero Autorizado a acceder al Programa, o a impedir el acceso a los datos ahí almacenados, en el caso de que descubran que se hayan incumplido cualesquiera de las disposiciones contempladas en este artículo y/o si un órgano judicial o administrativo lo solicita expresamente basándose en las disposiciones de aplicación. En tal caso, Software DELSOL informará al Cliente sobre los motivos de la suspensión, sin perjuicio del derecho a finalizar el Contrato conforme al artículo 19.
11.5. El Cliente declara que es consciente del hecho de que el Programa, las Actualizaciones y Mejoras y/o los Servicios en la Nube pueden incluir y/o necesitar el uso de ciertos programas de código abierto y por la presente se compromete, también en nombre de todo Usuario y toda Sociedad Controlada y Tercero Autorizado, a cumplir todos los términos y condiciones aplicables a dichos programas. En caso necesario, tales condiciones se revelarían por parte de Software DELSOL al Cliente.
12. Retirada y reemplazo
12.1. El Cliente es consciente de que el Programa, los Servicios en la Nube, además del entorno en que funcionan, están sometidos, por su propia naturaleza, a un desarrollo tecnológico constante. Por lo tanto, el Programa y el entorno se pueden quedar obsoletos y, en ciertos casos, podría ser conveniente retirarlos del mercado y, posiblemente reemplazarlos con soluciones tecnológicas nuevas. Así pues, Software DELSOL y/o a las empresas del Grupo TeamSystem., pueden decidir en cualquier momento durante el término de este Contrato, a su exclusivo criterio, retirar los Servicios en la Nube y/o el Programa pertinente del mercado (reemplazándolos, en ciertos casos con soluciones tecnológicas nuevas, si las hubiera). En tales casos:
(a) Software DELSOL informará al Cliente, con un aviso por escrito en un plazo no inferior a 6 meses (incluso por correo electrónico), sobre su deseo de retirar del mercado uno o más Servicios en la Nube y/o el Programa pertinente (a cada uno de los cuales se referirá como un «Producto Obsoleto»).
(b) El aviso en la letra (a) anterior (el «Aviso de Retirada») constará de una descripción del Servicio en la Nube y/o el Programa nuevos (si los hubiera, en adelante denominados «Producto Nuevo») que reemplazarán el Producto Obsoleto. Por la presente se reconoce que dicho Producto Nuevo puede basarse en tecnologías diferentes a aquellas del Producto Obsoleto.
(c) En caso de que el Producto Obsoleto no sea reemplazado por un Producto Nuevo, el Contrato se extinguirá con respecto al Producto Obsoleto en un plazo que el último día de un plazo de seis meses desde la fecha especificada por Software DELSOL en el Aviso de Retirada; en esta fecha, el Producto Obsoleto dejará de suministrarse y el Cliente tendrá derecho a recibir un reembolso prorrateado de las Cuotas pagadas, si las hubiera, por el periodo en que el Cliente no ha podido disfrutar del Producto Obsoleto.
(d) En caso de que el Producto Obsoleto sea reemplazado, en sustitución, por un Producto Nuevo, el Cliente tendrá derecho, en un plazo de 15 días desde la fecha del Aviso de Retirada, a resolver el Contrato únicamente respecto del Producto Obsoleto, en un plazo que se computará desde el último día del sexto mes tras la fecha del Aviso de Retirada (que es la fecha en la que el Producto Obsoleto dejará de suministrarse). En caso de no resolver el Contrato, el Contrato permanecerá vigente (aunque según lo que se especifica expresamente en el Aviso de Retirada) con respecto al Producto Nuevo y cualquier referencia al Producto Obsoleto se considerará dirigida al Producto Nuevo.
13. Indemnización
13.1. El Cliente se compromete a eximir de toda responsabilidad a Software DELSOL y a las empresas del Grupo TeamSystem por cualesquiera daños y perjuicios, reclamaciones, responsabilidades y/o cargos, ya sean directos, indirectos, fortuitos o consecuenciales, e incluyendo las costas judiciales sufridas, o en que incurran Software DELSOL y las empresas del Grupo TeamSystem, debido al incumplimiento por parte del Cliente y/o de cualquier Usuario y/o Sociedad Controlada y/o Tercero Autorizado, de las obligaciones establecidas en este Contrato y, en particular, de las disposiciones establecidas en el artículo 1 (aceptación de los Términos y Condiciones), artículo 3 (Obligaciones del Cliente), artículo 4 (Credenciales de Acceso), artículo 8 (Confidencialidad), artículo 10 (Derechos de Propiedad Intelectual e Industrial), artículo 11 (Declaraciones del Cliente y su Responsabilidad), artículo 12 (Retirada y reemplazo), artículo 23 (Cesión del Contrato).
14. Responsabilidad de Software DELSOL
14.1. Software DELSOL y/o a las empresas del Grupo TeamSystem., no declara ni garantiza, de manera tácita o explícita, en lo que se refiere a los Servicios en la Nube, el Programa y/o las Actualizaciones y Mejoras, que sean adecuadas para las necesidades particulares del Cliente o que no haya errores o sobre la disponibilidad de cualesquiera funciones que no estén mencionadas expresamente en las especificaciones técnicas o en la documentación pertinente.
14.2. Software DELSOL y/o a las empresas del Grupo TeamSystem, no asume la responsabilidad de cualesquiera daños y perjuicios, ya sean directos, indirectos, fortuitos o consecuenciales, independientemente del tipo o gravedad, ocasionados al Cliente y/o a cualquier Usuario y/o Sociedad Controlada y/o a un tercero, a causa del uso de los Servicios en la Nube, el producto del Programa y/o las Actualizaciones y Mejoras que no cumplan las disposiciones del presente Contrato y/o las leyes vigentes.
14.3. Software DELSOL y/o a las empresas del Grupo TeamSystem, no se hace responsable de ningún mal funcionamiento y/o indisponibilidad de los Servicios en la Nube, del Programa y/o de las Actualizaciones o Mejoras derivadas de la Conectividad inadecuada para las características técnicas.
14.4. Software DELSOL y/o a las empresas del Grupo TeamSystem, no asume la responsabilidad de cualesquiera daños y perjuicios, independientemente del tipo o gravedad, derivados del tratamiento de datos que se lleva a cabo en los Servicios en la Nube, en los productos del Programa y/o en las Actualizaciones y Mejoras, por parte del Cliente y/o a cualquier Usuario y/o Sociedad Controlada, quienes continúan obligados a verificar en cualquier momento que dicho tratamiento es correcto.
14.5. Salvo disposición legal y/o por mandato judicial en contrario, Software DELSOL no estará obligado a verificar o controlar de ninguna manera los datos y contenidos guardados en la Infraestructura en la Nube mediante los Servicios en la Nube por parte del Cliente, y/o cualquier Usuario y/o cualquier Sociedad Controlada y/o Terceros Autorizados. Por consiguiente, Software DELSOL y/o a las empresas del Grupo TeamSystem, no asumirán la responsabilidad de cualesquiera daños y perjuicios y/o pérdidas, ya sean directas, indirectas, fortuitas o consecuenciales, independientemente de su naturaleza, que se deriven de errores y/u omisiones de dichos datos y contenidos y/o en relación con la naturaleza y/o funciones pertinentes.
14.6. En ninguna circunstancia, en la medida permitida por la ley, Software DELSOL y/o a las empresas del Grupo TeamSystem, asumirán la responsabilidad de cualesquiera daños y perjuicios, costes, pérdidas y/o gastos, ya sean directos, indirectos, fortuitos o consecuenciales, ocasionados al Cliente y/o a cualquier tercero debido a ciberataques, actividades de piratería informática y más en general, por terceros que obtengan el acceso ilegal o sin autorización al Centro de Datos, la Infraestructura en la Nube, el Programa y, en general, a los sistemas informáticos del Cliente y/o Software DELSOL que supongan, a título enunciativo pero no limitativo, alguna de las siguientes situaciones: (i) imposibilidad de utilizar los Servicios en la Nube; (ii) pérdida de datos que son propiedad del Cliente —o independiente de cómo estos estén a su disposición—, y (iii) daños al hardware y/o software y/o a la Conectividad del Cliente.
14.7. En ningún caso, salvo en aquellos en los que haya mediado dolo o negligencia grave, la responsabilidad de Software DELSOL y/o a las empresas del Grupo TeamSystem., excederán las Cuotas anuales pagadas por el Cliente conforme a este Contrato durante el año en el cual se produzca el suceso del que se derive la responsabilidad. Software DELSOL y/o a las empresas del Grupo TeamSystem., no asumirán la responsabilidad de cualesquiera daños y perjuicios derivados del lucro cesante, pérdida de ingresos o daños y perjuicios indirectos, pérdida o corrupción de datos, cese de la producción, pérdida de oportunidades de negocio o cualquier otro beneficio de cualquier tipo, ni de penalizaciones a abonar, retrasos u otras responsabilidades del Cliente y/o de las Sociedades Controladas para con terceros.
14.8. Se entiende que lo dispuesto antes no podrá limitar o anular de forma alguna las disposiciones imperativas previstas por la normativa aplicable, incluidas las responsabilidades y las obligaciones establecidas por la legislación en materia de Protección de Datos Personales.
15. Derecho de modificación del Contrato por parte de Software DELSOL
15.1. A la luz del gran nivel de complejidad técnica y legislativa del ámbito operativo de Software DELSOL, así como de los productos y servicios ofrecidos por este último, tomando en consideración que este ámbito está sujeto al desarrollo constante, tanto desde el punto de vista tecnológico como legislativo, y las necesidades cambiantes continuas del mercado, y por último, considerando que, en consecuencia de lo antedicho, Software DELSOL, tiene la obligación de reajustar periódicamente su propia organización y/o estructura técnica y funcional de sus productos y servicios (también en beneficio de los clientes), el Cliente por la presente reconoce y acepta que este Contrato puede ser modificado por Software DELSOL, en cualquier momento con aviso previo por escrito (que también puede enviarse por correo electrónico o a través de programas informáticos) al Cliente. Las modificaciones pueden comprender: (i) modificaciones relacionadas con los reajustes de la estructura técnica y funcional de los productos y servicios de Software DELSOL; (ii) modificaciones relacionadas con el cambio de la estructura organizativa de Software DELSOL; (iii) modificaciones relacionadas con las cuotas pagaderas por el Cliente en vista de los reajustes y modificaciones incluidas en los puntos (i) y (ii) anteriores.
15.2. En tal caso, el Cliente tendrá derecho de resolución del Contrato mediante aviso por escrito a Software DELSOL por correo certificado en un plazo de 15 días desde la recepción de la notificación de Software DELSOL contemplada en el párrafo anterior.
15.3. Si no ejerce su derecho a resolver el Contrato conforme a los trámites y según los términos especificados anteriormente, se considerará que el Cliente es consciente, y ha aceptado, las modificaciones del Contrato, que entrarán en vigor y pasarán a ser vinculantes de manera definitiva.
16. Suspensión y cancelación
16.1. Software DELSOL, realizará todos los esfuerzos razonables para garantizar la más amplia disponibilidad de los Servicios en la Nube. No obstante, el Cliente reconoce que Software DELSOL, tendrá el derecho de suspender y/o cancelar el suministro de los Servicios en la Nube, previo aviso por escrito al Cliente, en caso de que surja la necesidad de mantenimiento habitual o extraordinario del Centro de Datos, la Infraestructura en la Nube y/o los productos del Programa. En tales casos, Software DELSOL, se compromete a restaurar la disponibilidad de los Servicios con la menor demora posible.
16.2. Asimismo, sin perjuicio de las cláusulas del párrafo 11.4 y 19.2, Software DELSOL se reserva el derecho a suspender o cancelar el suministro de los Servicios en la Nube en caso de:
(a) Impago total o parcial, o demora en el pago, de las Cuotas; o
(b) Motivos de seguridad y/o confidencialidad; o
(c) El incumplimiento de las obligaciones legales relativas al uso de los servicios informáticos e internet por parte del Cliente y/o cualquier Usuario y/o Sociedad Controlada y/o Tercero Autorizado.
(d) Problemas que afecten al Centro de Datos y/o a la Infraestructura en la Nube y/o al Programa que no puedan ser subsanados sin suspender el acceso o sin reemplazarlos, total o parcialmente, y/o migrarlos, mediando previo aviso por escrito al Cliente de los motivos de la suspensión y del momento oportuno para subsanarlos.
17. Duración
Salvo que se especifique de otro modo en la Suscripción, el Contrato durará 365 (trescientos sesenta y cinco) días desde la firma de la Suscripción y se renovará automáticamente por más periodos sucesivos de la misma duración, salvo que una parte comunique previamente a la otra parte, a Software DELSOL o —siempre que proceda— al Distribuidor de Software DELSOL su intención de resolver el Contrato. Dicha resolución se efectuará mediante la función pertinente del Programa, si la hubiera, o, si no se especifica de otro modo, mediante correo certificado antes del vencimiento del plazo vigente. Dicha notificación impedirá la renovación del Contrato desde el momento de la primera fecha de vencimiento tras la notificación, sin perjuicio de la obligación de pagar las Cuotas para el periodo comprendido entre la fecha del aviso de resolución del contrato y la fecha de terminación del mismo. Software DELSOL podrá comunicar en la Suscripción posibles excepciones que no contemplan la renovación automática.
18. Resolución del contrato
18.1. En caso de que aplique la legislación vigente, después de la contratación de la Suscripción, los nuevos Clientes tienen derecho a cancelar gratuitamente la Suscripción durante un periodo de 14 días desde la firma de la Suscripción.
18.2. Software DELSOL tendrá el derecho a resolver el presente Contrato en cualquier momento previa notificación al Cliente de al menos 6 (seis) meses.
18.3. En caso de que Software DELSOL ejerza su derecho de resolución del contrato por cualquier causa objetiva que no sea ninguna de las indicadas en el párrafo 18.4 a continuación, el Cliente tendrá derecho al reembolso prorrateado de las Cuotas pagaderas, y efectivamente pagadas, por los Servicios en la Nube y correspondiente al periodo en que no se hayan disfrutado.
18.4. Asimismo, Software DELSOL se reserva el derecho a resolver el presente Contrato con notificación por escrito de efecto inmediato también en el caso de incumplimiento por parte del Cliente de cualquier otra obligación contractual que pudiera estar en vigor entre el mismo Cliente y Software DELSOL (o cualquier sociedad del Grupo TeamSystem distribuidor autorizado de Software DELSOL) en caso de que tal incumplimiento represente una causa objetiva para la terminación de dicho contrato.
19. Terminación por causas objetivas y suspensión del suministro de los Servicios en la Nube
19.1. Sin perjuicio de su derecho a recibir una compensación por todos los daños y perjuicios ocasionados, Software DELSOL tendrá derecho a resolver de inmediato este Contrato con solo notificarlo previamente por escrito, si el Cliente y/o cualquier Sociedad Controlada y/o Usuarios y/o posibles Terceros Autorizados incumplen al menos una (o más) de las disposiciones siguientes: 1.2 (Servicio empresarial); artículo 2 (Servicios en la Nube); artículo 3 (Obligaciones del Cliente), párrafo 4.3 (Credenciales de Acceso), artículo 7 (Cuotas), artículo 8 (Confidencialidad), artículo 10 (Derechos de Propiedad Intelectual e Industrial), artículo 11 (Declaraciones del Cliente y su Responsabilidad), artículo 12 (Retirada y reemplazo), artículo 13 (Indemnización) y artículo 23 (Cesión del Contrato).
19.2. Sin perjuicio de la obligación del Cliente de pagar la Cuotas, Software DELSOL se reserva el derecho de suspender el suministro de los Servicios en la Nube prestados al Cliente y/o cualquier Sociedad Controlada en caso de (i) incumplimiento por parte del Cliente y/o cualquier Usuario y/o Sociedad Controlada y/o Tercero Autorizado de cualesquiera obligaciones contempladas en el párrafo 19.1; (ii) de incumplimiento por parte del Cliente de cualquier obligación estipulada en cualquier otro contrato que pudiera estar en vigor entre el mismo Cliente y Software DELSOL (o cualquier sociedad del Grupo TeamSystem o distribuidor oficial de Software DELSOL) si tal incumplimiento representa una causa objetiva para la terminación de dicho contrato. En tal caso, Software DELSOL informará al Cliente sobre su intención de suspender el suministro de los Servicios en la Nube y ofrecerá al Cliente subsanar, si fuera posible, el incumplimiento dentro de un periodo especificado. Será así sin perjuicio de la obligación del Cliente de abonar los importes pagaderos según el Contrato incluso en caso de que el suministro de los Servicios en la Nube se suspenda.
20. Consecuencias de la Terminación – Devoluciones
20.1. En caso de terminación del Contrato, con independencia de la causa, Software DELSOL cesará de manera definitiva e inmediata de suministrar los Servicios en la Nube al Cliente y a cualquier Sociedad Controlada y/o Usuario.
20.2. Sin perjuicio de las disposiciones del párrafo 20.1, durante un período de 60 (sesenta) días posteriores tras la terminación del Contrato, con independencia de la causa, el Cliente tendrá permiso, a petición especial de este, para descargar una copia de sus propios datos, documentos y/o contenidos mediante las funciones del Programa.
20.3. Salvo acuerdo en contrario entre las Partes, a la terminación del Contrato, Software DELSOL, tendrá derecho a eliminar permanentemente los datos del Cliente.
20.4. Las siguientes disposiciones continuarán en vigor tras la terminación del Contrato, con independencia de la causa: artículo 1 (Ámbito de los Términos y Condiciones), artículo 7 (Cuotas), artículo 8 (Confidencialidad), artículo 10 (Derechos de Propiedad Intelectual e Industrial), artículo 11 (Declaraciones del Cliente y su Responsabilidad), artículo 12 (Retirada y reemplazo), artículo 13 (Indemnización), artículo 14 (Responsabilidad de Software DELSOL), artículo 21 (Notificaciones), artículo 22 (Derecho aplicable y fuero exclusivo), artículo 24 (Contrato completo), artículo 25 (Renuncia a derechos y relación), artículo 26 (Divisibilidad).
21. Notificaciones
21.1. Todas las notificaciones para el Cliente en relación con el Contrato se transmitirán a la dirección de correo electrónico que dicho Cliente haya especificado en la Suscripción. Será responsabilidad del Cliente informar de cualquier cambio en la dirección de correo electrónico que el Cliente haya especificado para la recepción de todas las notificaciones. El Cliente acepta que las facturas y recordatorios enviados por correo electrónico a dicha dirección se considerarán entregados cuando Software DELSOL los envíe.
22. Derecho aplicable y fuero exclusivo
22.1. Estas condiciones generales se interpretarán conforme a la legislación de Italia y cada parte se somete por la presente irrevocablemente a la jurisdicción exclusiva de los tribunales de Milán (Italia), sin aplicación de disposiciones sobre conflictos de leyes.
23. Cesión del Contrato
23.1. Salvo consentimiento previo por escrito de Software DELSOL, el Cliente no tendrá permiso para ceder total o parcialmente el presente Contrato.
23.2. Por la presente, el Cliente acepta que en caso de que el Distribuidor de Software DELSOL haya cesado, debido al motivo que sea, de ser un distribuidor autorizado de Software DELSOL, dicho Distribuidor de Software DELSOL podrá ceder cualquier acuerdo relativo al suministro de Servicios en la Nube existente entre el Cliente y el mismo Distribuidor de Software DELSOL a Software.
24. Contrato completo
24.1. Todos los Contratos y acuerdos previos entre las partes que se refieran al objeto de este Contrato, si los hubiera, por la presente se considerarán cancelados y revocados, comprendidos en el presente Contrato y reemplazados por las cláusulas del mismo.
25. Renuncia a derechos y relación entre las Partes
25.1. El hecho de no ejercer, si así fuera, los derechos otorgados a cada una de las Partes conforme a este Contrato no se considerará que manifieste una renuncia final en relación con dichos derechos; por consiguiente, no impedirá que cualquiera de las dos Partes solicite, en cualquier momento, ejercicio estricto y puntual de dicho derecho.
25.2. Nada en el presente Contrato deberá considerarse que genera una sociedad o empresa conjunta o contrato laboral de ningún tipo entre las Partes ni se considerará que otorgue autoridad alguna que no se estipule expresamente en el Contrato o que se cree una agencia entre las Partes.
26. Divisibilidad
26.1. En el caso de que alguna de estas estipulaciones de estos Términos y Condiciones se invalide o pierda validez o no se pueda hacer cumplir, no afectará a la validez y cumplimiento de las otras estipulaciones que sean, tanto desde el punto de vista legal como funcional, independientes de la primera.
27. Tratamiento de los Datos Personales
27.1. Por la presente, las partes reconocen y aceptan que tanto la ejecución de este contrato como de los Servicios en la Nube implicará la recopilación y el tratamiento de los datos personales del Cliente por parte de Software DELSOL/o las empresas del Grupo TeamSystem., (o de terceros relacionados con el Cliente, tales como agentes, representantes legales, etc.) para los fines que son necesarios para la ejecución del Contrato y en cumplimiento con la Normativa de Protección de Datos Personales y otras disposiciones legales aplicables (si las hubiera).
Software DELSOL y/o a las empresas del Grupo TeamSystem, en su calidad de responsable con respecto a las actividades del tratamiento necesarias para la ejecución del Contrato, se compromete a tratar estos datos de conformidad con el aviso informativo publicado por Software DELSOL conforme al art. 13 del RGPD, que está disponible en el sitio web de la empresa.
27.2. Sin embargo, las Partes por la presente acuerdan que Software DELSOL tendrá derecho en cualquier caso a tratar de manera agregada y seudonimizada, los datos que estén disponibles para Software DELSOL en relación con el uso por parte del Cliente de los Servicios en la Nube para fines de investigación estadística, incluidos cuando su objetivo sea la mejora de los servicios prestados en virtud de este Contrato.
27.3. Las Partes reconocen por la presente que el Cliente es el responsable del tratamiento en el sentido especificado en el RGPD en lo que se refiere a los datos personales de terceros («Datos Personales de Terceros») tratados por Software DELSOL/o las empresas del Grupo TeamSystem., para proporcionar Servicios en la Nube. En relación con estos datos, Software DELSOL actuará como encargado conforme al art. 28 del RGPD («Encargado del Tratamiento») y las Partes por la presente acuerdan cumplir las disposiciones del MDPA anexo a este Contrato (Apéndice A).
Si el Cliente actúa, a su vez, como encargado en nombre de un tercero que es el responsable del tratamiento, el Cliente garantiza que este último ha autorizado a Software DELSOL y/o a las empresas del Grupo TeamSystem., a actuar como sub-encargado del tratamiento («Sub-encargado del Tratamiento») conforme a los art. 28 y 29 del RGPD.
27.4. En referencia a los Datos Personales de Terceros, el Cliente continuará siendo totalmente responsable respecto al cumplimiento de todas las obligaciones para con terceros que están establecidas en el RGPD y en la Normativa de Protección de Datos aplicable al Cliente en calidad de responsable. En ningún caso Software DELSOL y/o a las empresas del Grupo TeamSystem., será responsable en modo alguno de las consecuencias que se deriven del incumplimiento de las obligaciones correspondientes al Cliente en calidad de responsable, salvo —y solo en esa medida— que tales consecuencias se deriven de un incumplimiento de Software DELSOL y/o a las empresas del Grupo TeamSystem., de sus obligaciones en calidad de encargado o un incumplimiento del MDPA.
MDPA - Acuerdo Marco de Tratamiento de Datos (al amparo de lo dispuesto en el artículo 28 del Reglamento UE 2016/679)
ACUERDO MARCO DE TRATAMIENTO DE DATOS
REUNIDOS:
Software del Sol S. A Geolit, P. Tecnológico, de C/ Las Villas 9, 23620. Mengíbar (Jaén), con NIF A-11682879 (en adelante, el «Proveedor»),
Y
la entidad a la que se refiere el Acuerdo como Cliente, (en adelante, el «Cliente»), entidad a la que se hace referencia en el Contrato como el cliente, quien acepta, conjuntamente denominadas en lo sucesivo las «Partes» o individualmente como una «Parte».
EXPONEN
- El Cliente ha suscrito un contrato (o contratos) con el Proveedor (en lo sucesivo, el «Contrato»).
- En el presente «Acuerdo Marco de Tratamiento de Datos» (en lo sucesivo, el «Acuerdo Marco»), las Partes desean establecer la forma y las condiciones en que el Proveedor tratará los datos personales en relación con el Contrato y la prestación de los Servicios, así como sus obligaciones relativas a dicho tratamiento, incluidas las obligaciones del Proveedor como Encargado del tratamiento en virtud del artículo 28 del Reglamento General de Protección de Datos n.º 679 de 27 de abril de 2016 (en lo sucesivo, el «RGPD»);
- Las características específicas de la actividad de tratamiento con respecto a cada uno de los Servicios se detallan en las «Condiciones Particulares para el Tratamiento de Datos Personales» disponibles en el sitio web https://www.sdelsol.com/ (en adelante, las «Condiciones Particulares»), que forman parte integrante y esencial del presente Acuerdo Marco.
EN VIRTUD DE LO ANTERIOR, las Partes convienen lo siguiente:
1. DEFINICIONES E INTERPRETACIÓN
- Los considerandos anteriores se incorporan al presente Acuerdo Marco por medio de esta referencia. Tal como se utilizan en el presente, los siguientes términos y expresiones tendrán los significados que se indican a continuación:
Por «Decisión de Adecuación» se entenderá una decisión de la Comisión Europea, basada en el artículo 45.3 del RGPD, por la que se determina que las leyes de un país concreto garantizan un nivel de protección adecuado, tal como lo exija la Legislación aplicable en materia de protección de datos.
Por «Legislación aplicable en materia de protección de datos» se entenderá el RGPD y cualesquiera normas o reglamentos adicionales sobre el tratamiento de datos personales aprobados de conformidad con el RGPD u otros, en vigor en Italia, incluido el Decreto Legislativo n.° 196/2003, modificado y complementado por el Decreto n.º 101/2018, así como cualquier medida vinculante emitida por las autoridades de control competentes en materia de protección de datos (por ejemplo, por el Garante, es decir, la Autoridad de Control italiana para la protección de datos personales) incluso antes del 25 de mayo de 2018, y que conserve su efecto vinculante.
Por «Subencargado del tratamiento» se entenderá todo subcontratista contratado por el Proveedor para cumplir, total o parcialmente, sus obligaciones contractuales y que, durante dicho cumplimiento, pueda verse obligado a recopilar, acceder, recibir, almacenar o tratar Datos Personales de otro modo.
Por «Dirección de correo electrónico» se entenderá las direcciones de correo electrónico proporcionadas por el Cliente al suscribirse a los Servicios o comunicadas por otros medios oficiales al Proveedor, en las que el Cliente desee recibir comunicaciones del Proveedor.
Por «Usuario Final» se entenderá el usuario final del Servicio, que actuará como Responsable del tratamiento.
Por «Instrucciones» se entenderá las instrucciones escritas dadas por el Responsable del tratamiento en el presente Acuerdo Marco (incluidas las Condiciones Particulares correspondientes) y, en su caso, en el Contrato.
Por «Fecha de entrada en vigor del Acuerdo Marco» se entenderá la fecha en la que el Cliente firme o acepte este Acuerdo Marco.
«Datos Personales» tendrá un significado conforme a la Legislación aplicable en materia de protección de datos e incluirá, entre otros, todos los datos de terceros (como clientes, proveedores, empleados, etc.) proporcionados, almacenados, transmitidos, recibidos o tratados de otro modo o que sean creados por el Cliente o por el Usuario Final en relación con la prestación de los Servicios, en la medida en que sean tratados por el Proveedor en los términos del Contrato. En las Condiciones Particulares se incluye la lista de las categorías de Datos Personales.
Por «Violación de la seguridad de los Datos Personales» se entenderá cualquier violación de la seguridad que ocasione la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidentales o ilícitos de los Datos Personales en los sistemas operados por el Proveedor o que se encuentren bajo su control.
Por «Personal del Proveedor» se entenderá directivos, empleados, consultores y demás personal del Proveedor, pero no el personal de ningún Subencargado del tratamiento.
Por «Solicitud» se entenderá toda solicitud presentada por un Interesado para acceder a sus Datos Personales, borrarlos o rectificarlos o para ejercer otros sus derechos definidos en el RGPD.
Por «Servicios» se entenderá los servicios previstos en los Contratos celebrados en cualquier momento entre el Cliente y el Proveedor.
Por «Días Hábiles» se entenderá todos los días naturales que no sean sábado, domingo o un día en que los bancos de Milán no estén generalmente abiertos al público. - Las palabras «incluido/a(s)» o «incluyendo» se interpretarán como si estuvieran acompañadas de la expresión «entre otros», de modo que cualquier lista que siga a cualquiera de estas palabras estará compuesta, en consecuencia, de meros ejemplos y no será exhaustiva.
A los efectos del presente Acuerdo Marco, los términos y expresiones «Interesado», «tratamiento», «Responsable del tratamiento», «Encargado del tratamiento», «transferencia» y «medidas técnicas y organizativas apropiadas» se interpretarán de conformidad con la Legislación aplicable en materia de protección de datos.
2. FUNCIONES DE LAS PARTES
- Las Partes reconocen y acuerdan que, por lo que respecta al tratamiento de Datos Personales, el Proveedor actuará como Encargado del tratamiento y, por regla general, el Cliente, como Responsable del tratamiento.
- Si el Cliente tratase los Datos Personales por cuenta de otro Responsable del tratamiento, el propio Cliente podrá actuar como Encargado del tratamiento. En tal caso, el Cliente garantiza que todas las instrucciones dadas y actividades llevadas a cabo en relación con el tratamiento de Datos Personales, incluida la designación del Proveedor como Subencargado del tratamiento, que se derivan de la ejecución por parte del Proveedor del presente Acuerdo Marco, han sido autorizadas por el Responsable del tratamiento correspondiente. Este último dará pruebas de ello al Proveedor a petición escrita de este.
- Ambas Partes se compromete a cumplir sus obligaciones en virtud de la Legislación aplicable en materia de protección de datos en relación con el tratamiento de Datos Personales,
- El Proveedor ha designado un Delegado de protección de datos (DPO) con el que es posible contactar por correo electrónico escribiendo a dpd@sdelsol.com.
3. TRATAMIENTO DE DATOS PERSONALES
- Mediante la firma del presente (y de las Condiciones Particulares correspondientes que formen parte del mismo), el Cliente confía al Proveedor el tratamiento de los Datos Personales a efectos de la prestación de los Servicios, tal y como se detalla de forma más pormenorizada en el Contrato y en las Condiciones Particulares. Las Condiciones Particulares están disponibles en http://www.teamsystem.com/gdpr/dpa/.
- El Proveedor se compromete a cumplir las Instrucciones, si bien si el Cliente solicitase modificaciones de cualquiera de las Instrucciones dadas inicialmente, el Proveedor examinará su viabilidad y, a continuación, acordará con el Cliente cómo gestionar dichas modificaciones y los costes asociados.
- En los casos previstos en el apartado 2 y si las solicitudes formuladas por el Cliente conducen a un tratamiento de Datos Personales que, en opinión del Proveedor, infringe la Legislación aplicable en materia de protección de datos, el Proveedor quedará liberado de la obligación de ejecutar dichas Instrucciones e informará sin demora al Cliente de ello. En tal caso, el Cliente podrá barajar modificar las Instrucciones dadas o dirigirse a la Autoridad de Control para que sus solicitudes sean declaradas lícitas.
4. USO DE DATOS PERSONALES
- El Proveedor se compromete a que su tratamiento de Datos Personales a efectos de la prestación de los Servicios se hará:
- únicamente en la medida de lo necesario para prestar los Servicios o cumplir debidamente sus obligaciones en virtud del Contrato y del presente Acuerdo Marco, o conforme a solicitudes específicas del Cliente y/o del Usuario Final, o para cumplir las obligaciones de la ley o las definidas por una autoridad de control o supervisión competente. En este último caso, el Proveedor informará al Cliente (a menos que lo impida la legislación aplicable por razones de interés público) mediante un aviso remitido a la Dirección de correo electrónico.
- en cumplimiento de las instrucciones del Cliente.
- El Personal del Proveedor dotado de acceso a los Datos Personales o que realice su tratamiento ha sido encargado de dicho tratamiento sobre la base de las autorizaciones correspondientes y también ha recibido la formación necesaria al respecto. Además, dicho Personal está obligado a cumplir las obligaciones de confidencialidad y el Código Ético corporativo y debe acatar las políticas de confidencialidad y protección de datos personales adoptadas por el Proveedor.
5. ACTIVIDADES DE TRATAMIENTO CONFIADAS A TERCEROS
- Las Partes convienen lo siguiente en relación con las actividades de tratamiento confiadas a los Subencargados del tratamiento:
- El Cliente acepta expresamente que el Proveedor podrá confiar determinadas operaciones de tratamiento de Datos Personales a otras empresas pertenecientes al grupo TeamSystem y/o a aquellos terceros especificados en las Condiciones Particulares.
- El Cliente acepta, además, que el Proveedor podrá confiar determinadas operaciones de tratamiento de Datos Personales a terceros, de la forma prevista en el apartado 1.4.
- La suscripción de las Cláusulas Contractuales Tipo (tal como se exige en la cláusula 7 para la transferencia de Datos Personales al extranjero) entre el Cliente y un Subencargado del tratamiento constituirá el consentimiento para contratar a esa parte para las actividades de tratamiento.
- En aquellos casos en los que el Proveedor se sirva de Subencargados del tratamiento para actividades específicas de tratamiento en relación con los Datos Personales, el Proveedor:
- se compromete a contratar exclusivamente a Subencargados del tratamiento que garanticen la aplicación de medidas técnicas y organizativas apropiadas y a limitar exclusivamente el acceso a los Datos Personales y el tratamiento correspondiente a lo necesario para la prestación de los servicios subdelegados.
- informará al Cliente de dicha contratación, notificándolo no menos de 15 (quince) días antes del inicio de las actividades de tratamiento por parte del Subencargado del tratamiento (incluidos pormenores relativos a la identidad del tercero en cuestión, su ubicación y, si procede, la ubicación de los servidores para el almacenamiento de datos, y las actividades encomendadas) a través de la Dirección de correo electrónico o por cualquier otro medio que el Proveedor estime adecuado. El Cliente podrá resolver el Contrato en un plazo de 15 (quince) días desde la recepción de la notificación, sin perjuicio de sus obligaciones de pagar cualquier cantidad adeudada en la fecha de resolución del Contrato.
- En las Condiciones Particulares consta información adicional sobre la relación de Subencargados del tratamiento, las actividades de tratamiento confiadas a dichas partes y el lugar donde se encuentran, por lo que respecta a los Servicios activados por el Cliente.
6. SEGURIDAD
- MEDIDAS DE SEGURIDAD DEL PROVEEDOR - En su tratamiento de Datos Personales con el fin de prestar los Servicios, el Proveedor se compromete a aplicar medidas técnicas y organizativas apropiadas para evitar el tratamiento ilegal o no autorizado, la destrucción accidental o ilegal, los daños, la pérdida accidental, la alteración y la divulgación no autorizada de Datos Personales, o para impedir el acceso a los mismos, según se describe en el Anexo 1 del Acuerdo Marco («Medidas de Seguridad»).
- El Anexo 1 del Acuerdo Marco establece medidas apropiadas para la protección de los sistemas de archivo, proporcionales al nivel de riesgo en relación con los Datos Personales, con el fin de garantizar la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas y Servicios del Proveedor, medidas apropiadas destinadas a permitir el restablecimiento del acceso a los Datos Personales de manera oportuna en caso de Violación de la seguridad de los Datos Personales, y medidas destinadas a comprobar periódicamente la eficacia de dichas medidas a lo largo del tiempo. El Cliente reconoce y acepta que, a la luz del estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento de Datos Personales, los procedimientos y principios de seguridad que ha adoptado el Proveedor garantizan un nivel de protección adecuado al riesgo en relación con los Datos Personales.
- El Proveedor podrá actualizar y modificar las citadas Medidas de Seguridad cuando sea oportuno, siempre que dichas actualizaciones y modificaciones no impliquen una reducción del nivel general de seguridad de los Servicios. El Cliente será informado de cualquier actualización y modificación mediante una notificación enviada a la Dirección de correo electrónico.
- Si el Cliente solicitase medidas de seguridad adicionales distintas de las Medidas de Seguridad, el Proveedor se reserva el derecho a evaluar su viabilidad y cobrarle un recargo de aplicación.
- El Cliente acepta que el Proveedor, a la luz de la naturaleza de los Datos Personales y la información disponible para el propio Proveedor en base a las disposiciones específicas definidas en las Condiciones Particulares correspondientes, ayudará al Cliente a garantizar el cumplimiento de las obligaciones de seguridad definidas en los artículos 32 al 34 del RGPD como sigue:
- implantando y manteniendo actualizadas las Medidas de Seguridad conforme a lo dispuesto en los apartados 1.1, 6.1.2, y 6.1.3;
- cumpliendo las obligaciones especificadas en el apartado 3.
- Por medio del presente, las Partes acuerdan que, en relación con los Contratos relativos a los productos que se instalarán en las dependencias del Cliente o de cualquier proveedor de este (en adelante, «Productos in situ»), las Medidas de Seguridad mencionadas anteriormente solo se aplicarán en relación con los Servicios que requieran el tratamiento de Datos Personales por parte del Proveedor o cualquier parte delegada contratada por este (como soporte y asistencia remotos o servicios de migración).
- En caso de que el producto admita la integración con aplicaciones de terceros, el Proveedor no será responsable de la aplicación de las Medidas de Seguridad en relación con los componentes de dichos terceros ni de la forma en que funcione el producto como resultado de dicha integración.
- MEDIDAS DE SEGURIDAD DEL CLIENTE - Sin perjuicio de las obligaciones del Proveedor en virtud del apartado 1, el Cliente acepta que en su uso de los Servicios seguirá teniendo la obligación exclusiva de velar por que su personal y otros autorizados por el propio Cliente para acceder a los Servicios apliquen medidas de seguridad adecuadas en relación con el uso de los Servicios.
- A tal efecto, el Cliente se compromete a utilizar los Servicios y las funcionalidades para el tratamiento de los Datos Personales de forma que se garantice siempre un nivel de seguridad adecuado al riesgo real.
- Asimismo, el Cliente se compromete a aplicar todas las medidas adecuadas para garantizar la protección de las credenciales de autenticación, los sistemas y los dispositivos utilizados por el Cliente o por los usuarios del Usuario Final para acceder a los Servicios. El Cliente también se compromete a guardar los Datos Personales y realizar copias de seguridad con el fin de garantizar su restauración de conformidad con las disposiciones legales.
- El Proveedor no tendrá ninguna obligación ni asumirá responsabilidad alguna en relación con la protección de los Datos Personales que el Cliente o, en su caso, el Usuario Final almacenen o transfieran fuera de los sistemas utilizados por el Proveedor o los Subencargados del tratamiento contratados por él (por ejemplo, en archivos de papel o centros de datos pertenecientes al Cliente o al Usuario Final, como puede ocurrir en el caso de Contratos de Productos in situ).
- VIOLACIÓN DE SEGURIDAD DE LOS DATOS - Salvo en el caso de los Contratos de Productos in situ, a los que no será de aplicación este apartado 3, tras adquirir conocimiento de una Violación de la seguridad de los Datos Personales, el Proveedor deberá:
- informar al Cliente sin demora indebida a través de la Dirección de correo electrónico.
- adoptar medidas razonables para mitigar los daños que pudieran derivarse y proteger los Datos Personales.
- proporcionar al Cliente una descripción de la Violación de la seguridad de los Datos Personales, en la medida de lo posible, incluyendo las medidas adoptadas para evitar o mitigar sus posibles efectos adversos y las actividades que le recomienda al Cliente para hacer frente a la Violación de la seguridad de los Datos Personales.
- considerar confidencial toda la información relativa a las Violaciones de la seguridad de los Datos Personales, los documentos, las comunicaciones y las notificaciones pertinentes, según lo dispuesto en el Contrato, y abstenerse de divulgar cualquier dato e información a terceros sin la autorización previa por escrito del Responsable del tratamiento, salvo y en la medida en que dicha divulgación pueda ser estrictamente necesaria para cumplir cualquier obligación del Cliente derivada de la Legislación aplicable en materia de protección de datos.
- En los casos previstos en el apartado 3, el Cliente será el único responsable del cumplimiento, cuando así lo exija la Legislación aplicable en materia de protección de datos, de las obligaciones de información a terceros (o al Usuario Final si el Cliente es el Responsable del tratamiento) en caso de Violación de la seguridad de los Datos Personales y de las obligaciones de información a la Autoridad de Control y a los Interesados (si el Cliente es el Responsable del tratamiento).
- Las Partes reconocen y aceptan que la notificación de una Violación de la seguridad de los Datos Personales o la aplicación de medidas para abordar dicha violación no implican el reconocimiento por parte del Proveedor de una violación o responsabilidad en relación con la Violación de la seguridad de los Datos Personales de que se trate.
- El Cliente informará sin demora al Proveedor de cualquier uso indebido de las cuentas o credenciales de autenticación o de cualquier Violación de la seguridad de los Datos Personales de la que pueda adquirir conocimiento en relación con los Servicios.
7. RESTRICCIONES A LA TRANSFERENCIA DE DATOS PERSONALES A PAÍSES NO PERTENECIENTES AL ESPACIO ECONÓMICO EUROPEO (EEE)
- El Proveedor no transferirá Datos Personales a países situados fuera del EEE a menos que el Cliente autorice dicha transferencia.
- Si, a los efectos del almacenamiento o tratamiento de Datos Personales por parte de un Subencargado del tratamiento, fuera necesario transferir Datos Personales fuera del EEE a un país sin una decisión de adecuación de la Comisión Europea conforme al artículo 45 del RGPD, el Proveedor implementará otros métodos para la transferencia de los Datos Personales de conformidad con los requisitos de la Legislación aplicable en materia de protección de datos, también a la luz de las indicaciones dadas por el Tribunal de Justicia de la Unión Europea en su sentencia en el asunto C-311/18 y por el Consejo Europeo de Protección de Datos (EDPB).
- En los casos previstos en el apartado 7.2, mediante la suscripción del presente Acuerdo Marco, el Cliente otorga expresamente al Proveedor plenos poderes para suscribir las cláusulas tipo de protección de datos de conformidad con el artículo 46.2.c) del RGPD, para la transferencia de datos a aquellos autorizados para tratarlos bajo la autoridad del responsable o del encargado si están ubicados en un tercer país («Cláusulas Contractuales Tipo»), junto a los Subencargados del tratamiento mencionados en las Condiciones Particulares correspondientes, y para adoptar cualquier salvaguardia adicional que pudiera ser razonablemente necesaria transferir datos personales fuera del EEE en cumplimiento de los requisitos establecidos en el RGPD. Si el Usuario Final actuase como Responsable del tratamiento, el Cliente se compromete a informar a dicho Usuario Final de la transferencia, y por medio del presente declara que la autorización dada por dicho Usuario Final para contratar Subencargados del tratamiento fuera del EEE será una autorización equivalente a la mencionada anteriormente.
8. AUDITORÍAS Y CONTROLES
- El Proveedor auditará periódicamente la seguridad de los entornos y sistemas de tratamiento de Datos Personales que utiliza para prestar los Servicios, así como las instalaciones en las que se produzca el tratamiento. El Proveedor podrá optar por seleccionar a determinados consultores independientes y y encargarles dichas auditorías, que se efectuarán de conformidad con las normas internacionales y/o las mejores prácticas, y cuyo resultado se describirá en informes especiales («Informes»). Los Informes, considerados información confidencial del Proveedor, podrán ponerse a disposición del Cliente para permitirle verificar el cumplimiento por parte del Proveedor de las obligaciones de seguridad definidas en el presente Acuerdo Marco.
- En los casos previstos en el apartado 8.1, el Cliente acepta que su derecho de comprobación se ejercerá accediendo a los Informes puestos a su disposición por el Proveedor.
- El Proveedor reconoce que el Cliente tiene derecho, de acuerdo con los métodos y límites especificados a continuación, a llevar a cabo auditorías independientes con el fin de verificar el cumplimiento por parte del Proveedor de las obligaciones del presente Acuerdo Marco y de las Condiciones Particulares correspondientes, así como de las disposiciones legales. A los efectos de dichas actividades de auditoría, el Cliente podrá optar por recurrir a empleados especializados de su propio personal o a auditores independientes, siempre que estos se comprometan previamente a cumplir las correspondientes obligaciones de confidencialidad.
- En los casos previstos en el apartado 8.3, el Cliente deberá dirigir una solicitud previa al Delegado de protección de datos (DPO) del Proveedor. En caso de que se solicite una auditoría o una inspección, antes del inicio de las actividades el Proveedor y el Cliente acordarán los pormenores de las actividades de verificación (fecha de inicio y duración), tipos de controles y alcance de la verificación, obligaciones de confidencialidad a las que deben atenerse el Cliente y quienes lleven a cabo las actividades, y costes, definidos en función de la amplitud y duración de las actividades de verificación, que el Proveedor podrá cobrar por dichas actividades.
- El Proveedor podrá oponerse, mediante notificación por escrito, en caso de que los auditores externos designados por el Cliente, en opinión exclusiva del Proveedor, no cumplan los requisitos de cualificación o independencia adecuados, sean competidores del Proveedor o sean claramente inadecuados. En tal caso, el Cliente deberá designar nuevos auditores o realizar directamente las auditorías por su cuenta.
- El Cliente se compromete a sufragar los gastos que, en su caso, determine el Proveedor y se le comuniquen en la fase prevista en el apartado 4 de acuerdo con las modalidades y condiciones allí establecidas. Todos los costes relativos a las actividades de verificación encomendadas por el Cliente a terceros correrán íntegra y exclusivamente a cargo del Cliente.
- Todo ello sin perjuicio de los derechos del Responsable del tratamiento y de las autoridades de control establecidos en las Cláusulas Contractuales Tipo suscritas en virtud del artículo 7 (en su caso), que no se verán afectados por ninguna de las disposiciones del presente Acuerdo Marco o las Condiciones Particulares correspondientes.
- Este artículo 8 no se aplicará a los Contratos para Productos in situ.
- Las actividades de verificación en que participen Subencargados del tratamiento se llevarán a cabo de conformidad con las normas de acceso y las políticas de seguridad definidas por tales Subencargados.
9. ASISTENCIA PARA GARANTIZAR EL CUMPLIMIENTO
- El Proveedor asistirá al Cliente y prestará su colaboración según se especifica a continuación para que este pueda cumplir con sus obligaciones en virtud de la Legislación aplicable en materia de protección de datos.
- En caso de que el Proveedor reciba una Solicitud o una reclamación relativa a Datos Personales de un Interesado, invitará a este último a dirigir dicha Solicitud o reclamación al Cliente o al Usuario Final (si este último fuera el Responsable del tratamiento). En tal caso, el Proveedor informará sin demora al Cliente de la recepción de la Solicitud a través de la Dirección de correo electrónico y le facilitará toda la información disponible, junto con una copia de la Solicitud o reclamación. Esta colaboración se llevará a cabo como excepción a la regla general de que las relaciones con los Interesados quedan fuera del ámbito de los Servicios y que la responsabilidad de gestionar las reclamaciones (en su caso) y de servir de contacto a los Interesados en el ejercicio de sus derechos recae exclusiva y directamente en el Cliente o en el Usuario Final (si este último fuera el Responsable del tratamiento). El Cliente, o el Usuario Final (si este último fuera el Responsable del tratamiento), será el único responsable de cualquier respuesta a dichas Solicitudes o reclamaciones (en su caso).
- El Proveedor informará sin demora al Cliente, a menos que la ley se lo prohíba, mediante un aviso a través de la Dirección de correo electrónico, de cualquier inspección o solicitud de información que reciba de cualquier autoridad de control o policial en relación con el tratamiento de Datos Personales.
- Si, con el fin de cumplir con cualquiera de estas solicitudes, el Cliente precisase recibir alguna información del Proveedor sobre el tratamiento de Datos Personales, este le asistirá en la medida de lo razonablemente posible, siempre que las solicitudes se hayan presentado con la debida notificación.
- El Proveedor, atendiendo a la naturaleza de los Datos Personales y la información de que disponga, prestará una asistencia razonable al Cliente para poner a su disposición información útil que le permita llevar a cabo las evaluaciones de impacto sobre la protección de Datos Personales cuando así lo exija la ley. En tales casos, el Proveedor pondrá a su disposición información general, basada en el Servicio, como información incluida en el Contrato, en este Acuerdo Marco y en las Condiciones Particulares para los Servicios en cuestión. En el caso de solicitudes de asistencia personalizada, el Cliente podría tener que abonar un cargo. Será responsabilidad exclusiva del Cliente, o del Usuario Final (si este fuera el Responsable del tratamiento), realizar la evaluación del impacto en función de las características del tratamiento de Datos Personales realizado por él mismo con respecto a los Servicios.
- El Proveedor se compromete a prestar los Servicios basándose en los principios de minimización del tratamiento (protección de datos desde el diseño y por defecto), si bien será responsabilidad del Cliente, o del Usuario Final (si este fuera el Responsable del tratamiento), asegurarse de que el tratamiento se realice efectivamente de conformidad con tales principios y verificar que las medidas técnicas y organizativas de un Servicio cumplirán los requisitos de cumplimiento de la Empresa, incluidos los requisitos establecidos por la Legislación aplicable en materia de protección de datos.
- El Cliente reconoce y acepta que, en caso de que un Interesado solicite la portabilidad de Datos Personales, y por lo que respecta exclusivamente a aquellos Servicios que generen Datos Personales que sean relevantes a este respecto, el Proveedor asistirá al Cliente poniendo a su disposición la información necesaria para la recuperación de los datos requeridos en un formato conforme con la Legislación aplicable en materia de protección de datos.
- Los apartados 5 y 9.7 no se aplicarán con respecto de ningún Contrato para Productos in situ.
10. OBLIGACIONES DEL CLIENTE Y RESTRICCIONES
- El Cliente se compromete a dar las Instrucciones de conformidad con la normativa y a utilizar los Servicios de acuerdo con la Legislación aplicable en materia de protección de datos y con la finalidad exclusiva del tratamiento de los Datos Personales que hayan sido recabados al amparo de dicha legislación.
- El tratamiento de Datos Personales (en su caso) en virtud de los artículos 9 y 10 del RGPD solo se permitirá si se establece expresamente en las Condiciones Particulares. No obstante, en tales casos, el tratamiento de Datos Personales previsto en tales artículos se realizará exclusivamente previo acuerdo por escrito entre las Partes de conformidad con lo dispuesto en el apartado 2.
- El Cliente se compromete a cumplir todas las obligaciones impuestas al Responsable del tratamiento de conformidad con la Legislación aplicable en materia de protección de datos (y, en caso de que dichas obligaciones recaigan sobre el Usuario Final, garantiza que este asumirá un compromiso equivalente), incluidas las obligaciones de proporcionar determinada información a los Interesados (garantizando que recaen obligaciones equivalentes sobre el Usuario Final si este fuera el Responsable del tratamiento). Asimismo, el Cliente se compromete a que el tratamiento de los Datos Personales derivado de la utilización de los Servicios se realizará siempre sobre una base jurídica adecuada.
- Si la notificación de información debe efectuarse y el consentimiento debe recogerse a través del producto contemplado en el Contrato, el Cliente declara haber considerado el producto y que este satisface sus necesidades. El Cliente también tendrá la responsabilidad de evaluar si los formularios puestos a su disposición por el Proveedor (en su caso) para ayudarle a cumplir con sus obligaciones de informar y recabar el consentimiento (por ejemplo, la política de privacidad tipo para apps o los avisos informativos que acompañan al software), al ponerse a su disposición, cumplen la Legislación aplicable en materia de protección de datos, y modificar dichos formularios si lo considera oportuno.
- Además, el Cliente será plena y exclusivamente responsable del tratamiento de los Datos Personales de conformidad con las Solicitudes (en su caso) presentadas por los Interesados y, por lo tanto, de llevar a cabo, por ejemplo, cualquier modificación, integración, rectificación y supresión de los Datos Personales.
- El Cliente deberá mantener siempre activa y actualizada la cuenta asociada a la Dirección de correo electrónico.
- El Cliente reconoce que, de conformidad con el artículo 30 del RGPD, el Proveedor debe mantener un registro de las actividades de tratamiento llevadas a cabo en nombre de los Responsables del tratamiento (o Encargados del tratamiento) y que, a tal fin, recopila los datos de identificación y contacto de cada Responsable del tratamiento (y/o Encargado del tratamiento) en cuyo nombre actúa, y que dicha información debe ponerse a disposición de la autoridad competente, cuando así se solicite. Por ello, si así se le solicita, el Cliente se compromete a proporcionar al Proveedor los datos de identificación y contacto mencionados anteriormente, en la forma especificada por el Proveedor en cada momento, y a mantener dicha información actualizada a través de los mismos medios.
- El Cliente afirma y declara que el tratamiento de los Datos Personales, tal como se describe en los Contratos, en el presente Acuerdo Marco y en las Condiciones Particulares correspondientes, es lícito.
11. DURACIÓN
- El presente Acuerdo Marco entrará en vigor en la Fecha de entrada en vigor del Acuerdo Marco y finalizará automáticamente en la fecha de eliminación de todos los Datos Personales por parte del Proveedor, según lo dispuesto en el presente Acuerdo Marco y, si así se dispone, en las Condiciones Particulares correspondientes.
12. DISPOSICIONES SOBRE LA DEVOLUCIÓN O SUPRESIÓN DE DATOS PERSONALES
- Una vez finalizado el Servicio por el motivo que fuere, el Proveedor cesará todo tratamiento de los Datos Personales y:
- borrará los Datos Personales (incluidas cualesquiera posibles copias) de los sistemas del Proveedor o que estén bajo su control, dentro del plazo establecido en el Contrato, a menos que su conservación sea necesaria para cumplir alguna disposición legal italiana o europea.
- destruirá cualquier Dato Personal que pueda haber sido almacenado en papel por el propio Proveedor, a menos que su conservación por parte del Proveedor sea requerida o esté permitida para cumplir alguna disposición legal italiana o europea.
- mantendrá los Datos Personales a disposición del Cliente para su recuperación durante el periodo establecido en el Contrato. Si no se establece tal periodo en el Contrato, el Proveedor mantendrá los Datos Personales a disposición del Cliente durante un periodo de 60 (sesenta) días tras la resolución del Contrato.
- El Cliente reconoce que, tras la finalización del Servicio, tendrá derecho a recuperar los Datos Personales tal y como se especifica en el Contrato, aceptando que será su responsabilidad recuperarlos, en su totalidad o en parte, en la medida en que considere adecuada su conservación, y que dicha recuperación deberá completarse en el plazo especificado en el apartado 12.1.3.
- Las Partes acuerdan que las disposiciones de los apartados 1y 12.2 no se aplicarán a los Contratos para Productos in situ. En tales casos, el Cliente deberá recuperar aquellos Datos Personales que considere oportuno almacenar, antes y no más tarde del vencimiento del plazo especificado en el Contrato. El Cliente reconoce y acepta que tras la expiración de este plazo los Datos Personales podrían dejar de estar disponibles. Además, en los casos contemplados en este apartado 12.3, también será obligación del Cliente garantizar la supresión de los Datos Personales conforme a lo dispuesto en la ley.
- Lo anterior se entiende sin perjuicio de lo que pueda establecerse adicionalmente respecto de la supresión de Datos Personales o de otro modo en el Contrato y en las Condiciones Particulares correspondientes.
13. RESPONSABILIDAD
- Cada una de las Partes será responsable del cumplimiento de las obligaciones que le correspondan en virtud del presente Acuerdo Marco y de las Condiciones Particulares correspondientes, así como en virtud de la Legislación aplicable en materia de protección de datos.
- Sin perjuicio de cualquier limitación establecida por las disposiciones legales de obligado cumplimiento, el Proveedor indemnizará al Cliente en caso de incumplimiento del presente Acuerdo Marco y/o de las Condiciones Particulares correspondientes en la medida máxima acordada en el Contrato.
14. VARIOS
- Este Acuerdo Marco sustituye y reemplaza a cualquier otro acuerdo, contrato o entendimiento entre las Partes con respecto a su objeto, así como a cualquier instrucción, en cualquier forma, dada por el Cliente al Proveedor antes de la fecha del mismo en relación con el tratamiento de Datos Personales en el marco de la ejecución del Contrato.
- El Proveedor podrá modificar el presente Acuerdo Marco mediante notificación escrita que enviará al Cliente (por correo electrónico o con ayuda de programas informáticos u otros medios). En este caso, el Cliente podrá resolver el Contrato mediante notificación escrita al Proveedor, que deberá enviar por correo certificado con acuse de recibo en un plazo de 15 días desde la recepción de la notificación del Proveedor. En caso de que el Cliente no ejerza este derecho de desistimiento en los plazos y formas descritos, las modificaciones del presente Acuerdo Marco se considerarán reconocidas y aceptadas por el Cliente y serán definitivamente efectivas y vinculantes para las Partes.
- En caso de discrepancia entre las disposiciones de este Acuerdo Marco y las del Contrato de prestación de los Servicios o cualesquiera documentos del Cliente que no hayan sido expresamente aceptados por el Proveedor apartándose del presente Acuerdo Marco y/o de las Condiciones Particulares correspondientes, prevalecerán las disposiciones del Acuerdo Marco y las Condiciones Particulares.
Anexo 1
Medidas técnicas y organizativas
Además de las medidas de seguridad definidas en el Contrato y en el Acuerdo Marco, el Responsable del tratamiento aplicará las siguientes medidas de seguridad organizativas en función del tipo de Servicio a través del cual se suministre el producto o se conceda su licencia:
A - SaaS en la Nube
B - Servicios IaaS
C - BPO (externalización de procesos empresariales)
D - BPI (internalización de procesos empresariales)
E - In situ
A - SaaS en la Nube
Medidas de seguridad organizativas
|
Políticas y normas de uso - El Proveedor ha adoptado políticas y normas detalladas que todos los usuarios que tengan acceso a los sistemas de información deben cumplir, de modo que su comportamiento sea adecuado para garantizar el cumplimiento de los principios de confidencialidad, disponibilidad e integridad de los datos durante el uso de los recursos de información. Autorización de acceso lógico - El Proveedor definirá los perfiles de acceso de acuerdo con el principio del menor privilegio necesario para llevar a cabo las tareas asignadas. Los perfiles de autorización se seleccionan y configuran antes del inicio del tratamiento y de tal forma que el acceso quede restringido únicamente a los datos estrictamente necesarios para las actividades de tratamiento. Los perfiles se someten a auditorías periódicas destinadas a evaluar si se siguen cumpliendo los requisitos para mantener los perfiles asignados. Intervenciones de soporte - Las intervenciones de soporte se gestionarán con el objetivo de garantizar que solo se lleven a cabo actividades contractuales y se evite cualquier tratamiento innecesario en relación con los Datos Personales del Cliente. Evaluación de impacto relativa a la protección de datos (EIPD) - En cumplimiento de los artículos 35 y 36 del RGPD y sobre la base del documento «WP248 - Directrices sobre la evaluación de impacto relativa a la protección de datos (EIPD)», adoptado por el Grupo «Protección de datos» del artículo 29, el Proveedor ha preparado su propia metodología para el análisis y las evaluaciones de aquellas actividades de tratamiento que, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, con el fin de poder llevar a cabo una evaluación del impacto en la protección de los datos personales antes del tratamiento. Gestión de Incidentes - El Proveedor ha adoptado un procedimiento específico de Gestión de Incidentes para garantizar el restablecimiento de las operaciones ordinarias del servicio lo antes posible, asegurando al mismo tiempo el mantenimiento de los mejores niveles de servicio. Violación de la seguridad de los datos - El Proveedor ha implementado un procedimiento especial destinado a la gestión de eventos e incidentes que puedan tener un impacto en los datos personales, que define las funciones y responsabilidades, el proceso de detección del incidente o violación (sospechado o real), la implementación de acciones correctivas, la respuesta a dicho incidente o violación y su contención, así como las formalidades de comunicación al Cliente de tales violaciones. Formación: El Proveedor ofrecerá periódicamente cursos de formación sobre el tratamiento adecuado de los datos personales a los miembros de su personal que participen en las actividades de tratamiento. Cortafuegos, IDPS - Los Datos Personales estarán protegidos contra el riesgo de intrusión tal y como se describe en el artículo 615-quinquies del Código Penal italiano mediante Sistemas de Detección y Prevención de Intrusiones (IDPS) que se mantendrán actualizados con las mejores tecnologías disponibles. Seguridad de las líneas de comunicación - En la medida de sus responsabilidades, el Proveedor utilizará protocolos de comunicación seguros acordes con la tecnología disponible. Protección contra programas maliciosos - Los sistemas estarán protegidos contra el riesgo de intrusión y de actividad de determinados programas mediante la activación de herramientas electrónicas adecuadas que se actualizarán periódicamente. Se activarán funcionalidades antivirus que se mantendrán constantemente actualizadas. Credenciales de autenticación - Los sistemas se configurarán de tal manera que el acceso se conceda exclusivamente a quienes dispongan de credenciales de autenticación que permitan la identificación única del usuario. Estas incluyen un código asociado a una contraseña secreta que solo conocerá el usuario; un mecanismo de autenticación que poseerá y utilizará exclusivamente el usuario y que, en determinados casos, podrá estar asociado a un código de identificación o a una contraseña. |
Medidas de seguridad técnicas |
Contraseña - El uso de una contraseña, que deberá modificarse tras el primer uso, se ajustará a las mejores prácticas por lo que se refiere a sus características básicas, su longitud mínima, la ausencia de elementos que puedan ser fácilmente relacionados con su titular, las reglas sobre su complejidad, caducidad, historial, evaluación de la fortaleza en contexto, visualización y almacenamiento. Los usuarios a los que se proporcionen credenciales también recibirán instrucciones específicas sobre las medidas que deben adoptar para garantizar que dichas credenciales permanezcan secretas. Acceso - Los sistemas podrán configurarse de tal forma que se lleve un registro de las solicitudes de acceso y, en su caso, de las demás actividades que se realicen, en relación con los distintos tipos de usuarios (Administrador, Superusuario, etc.), todo ello protegido por medidas de seguridad adecuadas que garanticen su integridad. Copias de seguridad y restauración - Se implementarán medidas apropiadas destinadas a garantizar la restauración del acceso a los datos en caso de daños a los mismos o a las herramientas electrónicas, en términos claros y coherentes con los derechos de los interesados. Si así lo exigiese algún contrato, se aplicará un plan de continuidad de las operaciones y, en caso necesario, se integrará en el plan de recuperación en caso de catástrofe. Estos planes garantizan la disponibilidad y el acceso a los sistemas también en caso de eventos adversos graves que puedan persistir en el tiempo. Evaluación de vulnerabilidades y pruebas de penetración - El Proveedor llevará a cabo periódicamente análisis de vulnerabilidades destinados a evaluar el nivel de exposición a vulnerabilidades conocidas, en relación tanto con las infraestructuras como con el marco de operaciones, teniendo en cuenta tanto los sistemas ya operativos como los que estén en fase de desarrollo. Cuando se considere oportuno en función de los riesgos potenciales que hayan sido identificados, las evaluaciones y pruebas anteriores se complementarán periódicamente con pruebas de penetración especiales que simulen accesos no autorizados en diversos escenarios de ataque, con el objetivo de verificar el nivel de seguridad de las aplicaciones/sistemas/redes mediante actividades que exploten las vulnerabilidades identificadas para burlar los mecanismos de seguridad física/lógica y acceder a los mismos. El resultado de estas pruebas se examinará a fondo y en detalle para detectar e implantar las mejoras necesarias que garanticen el nivel elevado de seguridad exigido. Administradores del sistema - Todos los usuarios que actúen como Administradores del sistema se recogerán en una lista que se actualizará periódicamente, y las funciones que se les asignen se definirán debidamente en documentos especiales de nombramiento. La actividad realizada por los Administradores del sistema se controlará mediante un sistema de gestión de registros que permita rastrear con precisión todas las actividades realizadas y almacenar dichos datos de forma inmutable con el fin de permitir el control también después de la ejecución. El trabajo de los Administradores del sistema será auditado para verificar el cumplimiento de las medidas organizativas, técnicas y de seguridad en relación con el tratamiento de datos personales exigidas por la normativa vigente.
Centro de Datos - El acceso físico al Centro de Datos está restringido únicamente a personas autorizadas. Para obtener más información sobre las medidas de seguridad adoptadas en relación con los servicios de centro de datos prestados por el Subencargado del tratamiento especificado en las Condiciones Particulares, consulte las descripciones de dichas medidas de seguridad preparadas por los propios Subencargados del tratamiento y puestas a disposición en los sitios oficiales correspondientes, en la dirección especificada a continuación (o en la dirección que puedan facilitar en el futuro los mismos Subencargados del tratamiento):
Para los servicios de Centro de Datos prestados por Amazon Web Services: https://aws.amazon.com/it/compliance/data-center/controls
Para los servicios de Centro de Datos prestados por Microsoft: https://www.microsoft.com/en-us/trustcenter
|
B - Servicios IaaS
Medidas de seguridad organizativas |
Certificaciones - El Proveedor ha obtenido las siguientes certificaciones/evaluaciones: · ISO/IEC 27001:2013: «Prestación de servicios para el diseño y la gestión de la infraestructura TIC, para la gestión de aplicaciones intragrupo y para la gestión de la infraestructura Cloud (IaaS)». · ISO/IEC 27018:2014 para la protección de datos personales en servicios de nube pública. · ISO/IEC 27017:2015 «Seguridad de la información para servicios en la nube». Autorización de acceso lógico - El Proveedor definirá los perfiles de acceso a la infraestructura de acuerdo con el principio del menor privilegio necesario para llevar a cabo las tareas asignadas. Los perfiles de autorización se seleccionan y configuran antes del inicio del tratamiento y de tal forma que el acceso quede restringido únicamente a los datos estrictamente necesarios para las actividades de tratamiento. Los perfiles se someten a auditorías periódicas destinadas a evaluar si se siguen cumpliendo los requisitos para mantener los perfiles asignados. Las Partes reconocen y acuerdan que cualquier perfil que conceda acceso a la máquina virtual añadida tras la configuración efectuada en el momento de la entrega deberá ser definido por el Cliente de acuerdo con sus propias políticas de autorización. |
Medidas de seguridad técnicas |
Usuarios - Las máquinas virtuales se configurarán de tal manera que el acceso se conceda exclusivamente a quienes dispongan de credenciales de autenticación que permitan la identificación única del usuario. Seguridad de las líneas de comunicación - En la medida de sus responsabilidades, con referencia exclusiva a la infraestructura de virtualización, el Proveedor utilizará protocolos de comunicación seguros acordes con la tecnología disponible en relación con el proceso de autenticación. Gestión del cambio - Dentro del ámbito de sus responsabilidades, el Proveedor ha implantado un procedimiento específico para regular el proceso de Gestión del cambio en vista de la introducción (en su caso) de innovaciones tecnológicas o en caso de modificaciones (de haberlas) de su estructura básica y organizativa. Formación: El Proveedor ofrecerá periódicamente cursos de formación sobre el tratamiento adecuado de los datos personales a los miembros de su personal que participen en las actividades de tratamiento. Protección contra malware - Las máquinas virtuales estarán equipadas por defecto con sistemas Antivirus/Antimalware/WebReputation preconfigurados a nivel de infraestructura, que se actualizarán periódicamente. Las Partes reconocen y convienen que, de acuerdo con el modelo de servicio IaaS y en cumplimiento de las Condiciones Generales, será responsabilidad del Cliente valorar si estas soluciones son adecuadas y si es necesario implantar, por cuenta y bajo la responsabilidad del propio Cliente, otros sistemas de seguridad y protección, en función del uso real de las máquinas virtuales y de las políticas de gestión de riesgos del Cliente. Copia de seguridad y restauración - Se aplicarán medidas adecuadas para garantizar la copia de seguridad y la restauración de los datos en caso de pérdida o compromiso de estos, de conformidad con lo dispuesto en el Contrato. En tales casos, la restauración se llevará a cabo restaurando la última copia de seguridad disponible antes del evento en cuestión. Seguirá correspondiendo al Responsable del tratamiento decidir si realiza de forma independiente copias de seguridad de los datos durante la vigencia del contrato y durante un periodo de 60 días tras su finalización. Acceso - La plataforma de virtualización y la consola correspondiente dispondrán de medidas que permitan realizar un seguimiento de las solicitudes de acceso y, en su caso, de las demás actividades que se realicen, en relación con los distintos tipos de usuarios (Administrador, Superusuario, etc.), todo ello protegido por medidas de seguridad adecuadas que garanticen su integridad. Cortafuegos, IDS/IPS - Las infraestructuras cortafuegos que alojen la máquina virtual estarán equipadas con sistemas de prevención de intrusiones, incluido cortafuegos, y de protección contra ataques DDoS. Las Partes reconocen y convienen que, de acuerdo con el modelo IaaS y en cumplimiento de las Condiciones Generales, será responsabilidad del Cliente proteger su máquina virtual con sistemas de seguridad y protección adecuados. Gestión de Incidentes - En la medida de sus responsabilidades, el Proveedor ha adoptado un procedimiento específico de Gestión de Incidentes para garantizar el restablecimiento de las operaciones ordinarias del servicio lo antes posible de conformidad con las disposiciones del Contrato. Alta fiabilidad - El Proveedor garantiza una alta fiabilidad en los siguientes términos: · La arquitectura de red se ha diseñado para proteger los sistemas que proporcionan IaaS a través de Internet mediante un cortafuegos perimetral y sistemas de protección DDoS. La arquitectura de red ha sido diseñada para proteger la máquina virtual de los Clientes IaaS a través de Internet mediante el uso de un par de cortafuegos. Las máquinas virtuales de los Clientes IaaS se segregarán unas de otras mediante sistemas de microsegmentación puestos a disposición por el Hipervisor. Centro de datos - El entorno de virtualización (incluida la red de área de almacenamiento o SAN) se encuentra en servidores alojados en un centro de datos ubicado en Italia y gestionado por un proveedor con certificación ISO 27001. Más concretamente, según proceda y sobre la base de las disposiciones contractuales específicas, los centros de datos de referencia serán los de Aruba S.p.A. en Italia y el de Microsoft Azure en la región de Europa Occidental. Por lo que respecta a la seguridad física, consulte la información facilitada por cada proveedor: Para Aruba S.p.A.: https://www.datacenter.it/home.aspx Para Microsoft Azure: https://docs.microsoft.com/it- it/azure/security/fundamentals/physical-security |
C - BPO - EXTERNALIZACIÓN DE PROCESOS EMPRESARIALES (BPO)
Medidas de seguridad organizativas |
Certificaciones - El Proveedor ha obtenido las siguientes certificaciones/evaluaciones: · ISO/IEC 27001:2013: «Prestación de servicios para el diseño y la gestión de la infraestructura TIC, para la gestión de aplicaciones intragrupo y para la gestión de la infraestructura Cloud (IaaS)». · ISO/IEC 27018:2014 para la protección de datos personales en servicios de nube pública. Políticas y normas de uso - Se han adoptado políticas y normas detalladas que todos los usuarios que tengan acceso a los sistemas de información deben cumplir, de modo que su comportamiento sea adecuado para garantizar el cumplimiento de los principios de confidencialidad, disponibilidad e integridad de los datos durante el uso de los recursos de información. Autorización de acceso lógico - El Proveedor definirá perfiles de acceso de acuerdo con el principio del menor privilegio necesario para llevar a cabo las tareas asignadas. Los perfiles de autorización se seleccionan y configuran antes del inicio del tratamiento y de tal forma que el acceso quede restringido únicamente a los datos estrictamente necesarios para las actividades de tratamiento. Los perfiles se someten a auditorías periódicas destinadas a evaluar si se siguen cumpliendo los requisitos para mantener los perfiles asignados. Intervenciones de soporte - El Proveedor gestionará las intervenciones de soporte con el objetivo de garantizar que solo se lleven a cabo actividades contractuales y se evite cualquier tratamiento innecesario en relación con los Datos Personales del Cliente o el Usuario Final. Gestión del cambio - El Proveedor ha implantado un procedimiento específico para regular el proceso de Gestión del cambio en vista de la introducción (en su caso) de innovaciones tecnológicas o en caso de modificaciones (de haberlas) de su estructura básica y organizativa. Evaluación de impacto relativa a la protección de datos (EIPD) - En cumplimiento de los artículos 35 y 36 del RGPD y sobre la base del documento «WP248 - Directrices sobre la evaluación de impacto relativa a la protección de datos (EIPD)», adoptado por el Grupo «Protección de datos» del artículo 29, el Proveedor ha preparado su propia metodología para el análisis y las evaluaciones de aquellas actividades de tratamiento que, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, con el fin de poder llevar a cabo una evaluación del impacto en la protección de los datos personales antes del tratamiento. Gestión de Incidentes - El Proveedor ha adoptado un procedimiento específico de Gestión de Incidentes para garantizar el restablecimiento de las operaciones ordinarias del servicio lo antes posible, asegurando al mismo tiempo el mantenimiento de los mejores niveles de servicio. Violación de la seguridad de los datos - El Proveedor ha implementado un procedimiento especial destinado a la gestión de eventos e incidentes que puedan tener un impacto en los datos personales, que define las funciones y responsabilidades, el proceso de detección del incidente o violación (sospechado o real), la implementación de acciones correctivas, la respuesta a dicho incidente o violación y su contención, así como las formalidades de comunicación al Cliente de tales violaciones. Formación: El Proveedor ofrecerá periódicamente cursos de formación sobre el tratamiento adecuado de los datos personales a los miembros de su personal que participen en las actividades de tratamiento. |
Medidas de seguridad técnicas |
Alta fiabilidad - El Proveedor garantiza una alta fiabilidad en los siguientes términos: · La arquitectura de los servidores se basará por completo en la solución de virtualización VMWare y se implementará mediante la creación de redundancias físicas y virtuales de cada sistema, con el fin de garantizar la tolerancia a fallos y la eliminación de puntos únicos de fallo. En concreto, en caso de fallo del sistema, el software de gestión del entorno virtual deberá ser capaz de reasignar las actividades en curso a otros sistemas (principios de alta disponibilidad y equilibrio de carga), minimizando las ineficiencias del servicio y garantizando la persistencia de las conexiones existentes. · Cada servidor se coloca en una SAN conectada mediante iSCSI de alta velocidad. · Todos los componentes de la infraestructura, incluidos servidores, equipos de seguridad y red, sistemas de almacenamiento e infraestructura SAN, se han duplicado en su totalidad, con el fin de eliminar cada punto único de fallo. · La infraestructura de red se ha diseñado para proteger los sistemas front-end de Internet y de las redes internas mediante una DMZ blindada por medio de cortafuegos independientes de dos capas (estrategia de defensa en profundidad): un cortafuegos frontera conectado a Internet y un segundo cortafuegos que incluye funciones de prevención de intrusiones y antimalware y que pertenece a la organización, configurado para proteger la DMZ y los sistemas back-end. Endurecimiento - Se llevarán a cabo actividades de endurecimiento especialmente destinadas a evitar incidentes de seguridad minimizando las debilidades arquitectónicas de los sistemas operativos, de las aplicaciones y de los equipos de red, teniendo debidamente en cuenta, en concreto, la reducción de los riesgos relativos a las vulnerabilidades de los sistemas, la reducción de los riesgos relativos a las aplicaciones instaladas en los sistemas y el aumento del nivel de protección que cubra los servicios prestados. Cortafuegos, IDS/IPS - Los sistemas de prevención de intrusiones, como cortafuegos e IDS/IPS, se colocarán en el segmento de red que conecta la infraestructura de nube con Internet, con el fin de interceptar cualquier actividad maliciosa destinada a corromper, total o parcialmente, la prestación del servicio. En el caso que nos ocupa, el equipo adoptado pertenece al tipo UTM SourceFire (Cisco), que incluye tanto el cortafuegos como el componente IDS/IPS. Seguridad de las líneas de comunicación - En la medida de sus responsabilidades, el Proveedor utilizará protocolos de comunicación seguros acordes con la tecnología disponible. Protección contra programas maliciosos - Las máquinas virtuales estarán protegidas contra el riesgo de intrusión y de actividad de determinados programas mediante la activación de herramientas electrónicas adecuadas que se actualizarán periódicamente. Todas las máquinas virtuales se gestionan mediante funciones antivirus (tanto a nivel del hipervisor como de la infraestructura). Credenciales de autenticación - Los sistemas se configurarán de tal manera que el acceso se conceda exclusivamente a quienes dispongan de credenciales de autenticación que permitan la identificación única del usuario. Estas incluyen un código asociado a una contraseña secreta que solo conocerá el usuario; un mecanismo de autenticación que poseerá y utilizará exclusivamente el usuario y que, en determinados casos, podrá estar asociado a un código de identificación o a una contraseña. Contraseña - El uso de una contraseña, que deberá modificarse tras el primer uso, se ajustará a las mejores prácticas por lo que se refiere a sus características básicas, su longitud mínima, la ausencia de elementos que puedan ser fácilmente relacionados con su titular, las reglas sobre su complejidad, caducidad, historial, evaluación de la fortaleza en contexto, visualización y almacenamiento. Los usuarios a los que se proporcionen credenciales también recibirán instrucciones específicas sobre las medidas que deben adoptar para garantizar que dichas credenciales permanezcan secretas. Acceso - Los sistemas podrán configurarse de tal forma que se lleve un registro de las solicitudes de acceso y, en su caso, de las demás actividades que se realicen, en relación con los distintos tipos de usuarios (Administrador, Superusuario, etc.), todo ello protegido por medidas de seguridad adecuadas que garanticen su integridad. Copia de seguridad y restauración - Se aplicarán medidas adecuadas para garantizar el restablecimiento del acceso a los datos en caso de que se produzcan daños en los mismos o en las herramientas electrónicas, en términos seguros y coherentes con los derechos de los interesados. Seguirá siendo responsabilidad del Responsable el tratamiento decidir si realiza copias de seguridad de forma independiente durante la vigencia del contrato y durante un periodo de 60 días tras su finalización. Si así lo exigiese algún contrato, se aplicará un plan de continuidad de las operaciones y, en caso necesario, se integrará en el plan de recuperación en caso de catástrofe. Estos planes garantizan la disponibilidad y el acceso a los sistemas también en caso de eventos adversos graves que puedan persistir en el tiempo. Evaluación de vulnerabilidades y pruebas de penetración - El Proveedor llevará a cabo periódicamente análisis de vulnerabilidades destinados a evaluar el nivel de exposición a vulnerabilidades conocidas, en relación tanto con las infraestructuras como con el marco de operaciones, teniendo en cuenta tanto los sistemas ya operativos como los que estén en fase de desarrollo. Cuando se considere oportuno, en relación con los riesgos potenciales que hayan sido identificados, las evaluaciones anteriores se complementarán, cuando sea oportuno, con técnicas especiales de pruebas de penetración que simulen accesos no autorizados en diversos escenarios de ataque, con el objetivo de controlar el nivel de seguridad de las aplicaciones/sistemas/redes utilizando las vulnerabilidades identificadas para burlar los mecanismos de seguridad física/lógica y acceder a los mismos. El resultado de estas evaluaciones se examinará a fondo para detectar e implantar las mejoras necesarias que garanticen el nivel elevado de seguridad exigido. Administradores del sistema - Todos los usuarios que actúen como Administradores del sistema se recogerán en una lista que se actualizará periódicamente, y las funciones que se les asignen se definirán debidamente en documentos especiales de nombramiento. La actividad realizada por los Administradores del sistema se controlará mediante un sistema de gestión de registros que permita rastrear con precisión todas las actividades realizadas y almacenar dichos datos de forma inmutable con el fin de permitir el control también después de la ejecución. El trabajo de los Administradores del sistema será auditado para verificar el cumplimiento de las medidas organizativas, técnicas y de seguridad en relación con el tratamiento de datos personales exigidas por la normativa vigente.
Centro de datos - El entorno de virtualización (incluida la red de área de almacenamiento o SAN) se encuentra en servidores alojados en un centro de datos ubicado en Italia y gestionado por un proveedor con certificación ISO 27001. En concreto, se aplicarán las siguientes medidas de seguridad para proteger el Centro de Datos: · Seguridad perimetral exterior: ü Valla exterior que delimite la propiedad de altura no inferior a 3 metros, equipada con protección pasiva antiescalada ü Vigilancia de zonas exteriores mediante barreras de infrarrojos y/o sistemas de videoanálisis y mediante videovigilancia con sistemas de grabación ü Acceso peatonal restringido/individual ü Acceso restringido de vehículos ü Patrullas armadas · Seguridad del perímetro interior: ü Sala de vigilancia para el control de zonas internas y externas, supervisión ü Uso de alarmas, gestión de visitas mediante la entrega de tarjetas de identificación de acuerdo con las políticas de la empresa y la normativa específica de los centros de datos ü Mostrador de recepción para el control de entrada ü Torniquetes de tres brazos situados frente a la sala de vigilancia y el mostrador de recepción · Perímetro interior de alta seguridad: ü Acceso interbloqueado a las salas del sistema equipadas con protección pasiva ü Sistema de control de entrada basado en listas de personas AUTORIZADAS ü Sensores magnéticos que detecten el estado de las puertas ü Salidas de emergencia con sensores que detecten el estado de las puertas. Todas las alarmas están conectadas a distancia con la sala de vigilancia. |
D - BPI - INTERNALIZACIÓN DE PROCESOS EMPRESARIALES
Medidas de seguridad organizativas |
Políticas y normas de uso - Se han adoptado políticas y normas detalladas que todos los usuarios que tengan acceso a los sistemas de información deben cumplir, de modo que su comportamiento sea adecuado para garantizar el cumplimiento de los principios de confidencialidad, disponibilidad e integridad de los datos durante el uso de los recursos de información. Autorización de acceso lógico - El Proveedor definirá perfiles de acceso de acuerdo con el principio del menor privilegio necesario para llevar a cabo las tareas asignadas. Los perfiles de autorización se seleccionan y configuran antes del inicio del tratamiento y de tal forma que el acceso quede restringido únicamente a los datos estrictamente necesarios para las actividades de tratamiento. Los perfiles se someten a auditorías periódicas destinadas a evaluar si se siguen cumpliendo los requisitos para mantener los perfiles asignados. Violación de la seguridad de los datos - El Proveedor ha implementado un procedimiento especial destinado a la gestión de eventos e incidentes que puedan tener un impacto en los datos personales, que define las funciones y responsabilidades, el proceso de detección del incidente o violación (sospechado o real), la implementación de acciones correctivas, la respuesta a dicho incidente o violación y su contención, así como las formalidades de comunicación al Cliente de tales violaciones. Formación: El Proveedor ofrecerá periódicamente cursos de formación sobre el tratamiento adecuado de los datos personales a los miembros de su personal que participen en las actividades de tratamiento. |
Medidas de seguridad técnicas |
Seguridad de las líneas de comunicación - En la medida de sus responsabilidades, el Proveedor utilizará protocolos de comunicación seguros acordes con la tecnología disponible en relación con el proceso de autenticación. Copia de seguridad y restauración - De requerirlo cualquier acuerdo, se aplicarán medidas adecuadas para garantizar el restablecimiento del acceso a los datos en caso de que se produzcan daños en los mismos o en las herramientas electrónicas, en términos seguros y coherentes con los derechos de los interesados. |
E - IN SITU
Medidas de seguridad organizativas |
Políticas y normas de uso - Se han adoptado políticas y normas detalladas que todos los usuarios que tengan acceso a los sistemas de información deben cumplir, de modo que su comportamiento sea adecuado para garantizar el cumplimiento de los principios de confidencialidad, disponibilidad e integridad de los datos durante el uso de los recursos de información. Autorización de acceso lógico - El Proveedor definirá perfiles de acceso de acuerdo con el principio del menor privilegio necesario para llevar a cabo las tareas asignadas. Los perfiles de autorización se seleccionan y configuran antes del inicio del tratamiento y de tal forma que el acceso quede restringido únicamente a los datos estrictamente necesarios para las actividades de tratamiento. Los perfiles se someten a auditorías periódicas destinadas a evaluar si se siguen cumpliendo los requisitos para mantener los perfiles asignados. Intervenciones de apoyo - El Proveedor gestionará las intervenciones de apoyo con el objetivo de garantizar que solo se lleven a cabo las actividades contractuales y que se evite cualquier tratamiento innecesario en relación con los Datos Personales del Cliente. Gestión de incidentes y Violación de la seguridad de los datos - El Proveedor ha implementado un procedimiento especial destinado a la gestión de eventos e incidentes que puedan tener un impacto en los datos personales, que define las funciones y responsabilidades, el proceso de detección del incidente o violación (sospechado o real), la implementación de acciones correctivas, la respuesta a dicho incidente o violación y su contención, así como las formalidades de comunicación al Cliente de tales violaciones. Formación: El Proveedor ofrecerá periódicamente cursos de formación sobre el tratamiento adecuado de los datos personales a los miembros de su personal que participen en las actividades de tratamiento. |
Medidas de seguridad técnicas |
Seguridad de las líneas de comunicación - En la medida de sus responsabilidades, durante la fase de asistencia técnica, el Proveedor utilizará protocolos de comunicación seguros acordes con la tecnología disponible. Protección contra programas maliciosos - Las estaciones de trabajo utilizadas durante la fase de asistencia técnica estarán protegidas contra el riesgo de intrusión y de actividad de determinados programas mediante la activación de herramientas electrónicas adecuadas que se actualizarán periódicamente. Todas las máquinas virtuales se gestionan mediante funciones antivirus (tanto a nivel del hipervisor como de la infraestructura). Administradores del sistema - Todos los usuarios que actúen como Administradores del sistema se recogerán en una lista que se actualizará periódicamente, y las funciones que se les asignen se definirán debidamente en documentos especiales de nombramiento. La actividad realizada por los Administradores del sistema se controlará mediante un sistema de gestión de registros que permita rastrear con precisión todas las actividades realizadas y almacenar dichos datos de forma inmutable con el fin de permitir el control también después de la ejecución. El trabajo de los Administradores del sistema será auditado para verificar el cumplimiento de las medidas organizativas, técnicas y de seguridad en relación con el tratamiento de datos personales exigidas por la normativa vigente. |
CGN.01.02. Rev: 01 Fecha: 26-06-2024