Acuerdo de procesamiento de datos

Este Acuerdo de Procesamiento de Datos se celebra entre Comisionea S.L., una sociedad limitada española con domicilio social en Calle Virués, 4 bajo, 54002 de Valencia, España (en adelante, "Feending" o la "Compañía") y la parte que acepta electrónicamente o de otra manera acuerda u opta por este Acuerdo de Procesamiento de Datos, por ejemplo, firmando un contrato de pedido (el "Cliente"), especificando que el uso de la solución Feending (en adelante, la "Solución Feending") constituye la aceptación de este Acuerdo de Procesamiento de Datos.

PREÁMBULO

En el contexto del Reglamento de la Unión Europea 2016/679 (GDPR), el presente Acuerdo de Procesamiento de Datos tiene como objetivo determinar los derechos y obligaciones de las Partes, según lo definido por la Legislación de Protección de Datos, como se define aquí.

En este sentido, Feending es particularmente sensible a la privacidad de sus Usuarios y del Cliente con respecto a la protección de sus Datos Personales, así como a sus obligaciones como Procesador de Datos, según corresponda, según se describe en este Acuerdo de Procesamiento de Datos.

Se entiende expresamente que este Acuerdo de Procesamiento de Datos forma parte integral del contrato principal de suscripción que se aplica a las Partes con respecto a la provisión de la solución Feending (en adelante, el "Contrato").

‍

ARTÍCULO 1: DEFINICIONES

Los términos utilizados en este Acuerdo de Procesamiento de Datos y que tienen la primera letra en mayúscula, ya sea en singular o en plural, tendrán el siguiente significado:

“Administrador” designa a cualquier persona, empleado, representante o tercero debidamente autorizado por el Cliente o uno de sus Administradores para acceder al panel de administración de la Solución Feending.

“Correo Electrónico de Contacto del Cliente” significa la dirección de correo electrónico del Cliente que se comunica a Feending con el fin de notificar información relevante sobre el Procesamiento realizado por la Compañía.

“Controlador de Datos” significa la persona natural o jurídica, autoridad pública u otro organismo que, solo o junto con otros, determina los fines y los medios del procesamiento de Datos Personales.

“Procesador de Datos” significa una persona natural o jurídica, autoridad pública, agencia u otro organismo que procesa Datos Personales en nombre del Controlador.

“Legislación de Protección de Datos” significa el GDPR, así como cualquier legislación y/o regulación que implemente o cree en virtud del GDPR y la Legislación de Privacidad Electrónica, o que los modifique, reemplace, promulgue o consolide, y todas las demás leyes nacionales aplicables relacionadas con el procesamiento de datos personales y la privacidad que puedan existir según la ley aplicable.

“Sujeto de Datos” significa una persona física que es objeto de Datos Personales.

“Usuario Final” significa cualquier Usuario de la Solución Feending, que no sea un Administrador y el Cliente, que puede acceder a la Solución Feending con las credenciales proporcionadas por un Administrador y que interactúa utilizando la Solución Feending.

“GDPR” (Reglamento General de Protección de Datos): significa el Reglamento 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al procesamiento de datos personales y a la libre circulación de estos datos, y deroga la Directiva 95/46/CE, y sus leyes de implementación europeas y nacionales.

“Datos Personales” significa cualquier información relacionada con una persona natural identificada o identificable; una persona natural identificable es aquella que puede ser identificada, directa o indirectamente, en particular por referencia a un identificador como un nombre, un número de identificación, datos de ubicación, un identificador en línea o uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de esa persona natural.

“Procesamiento” significa cualquier operación o conjunto de operaciones que se realiza sobre Datos Personales, ya sea por medios automatizados o no, como la recopilación, grabación, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación por transmisión, difusión o puesta a disposición de otra manera, alineación o combinación, restricción, eliminación o destrucción.

“Usuario” significa cualquier Administrador o Usuario Final.

‍

ARTÍCULO 2: PROCESAMIENTO DE DATOS PERSONALES

Los Datos Personales se recopilan y procesan de la siguiente manera.

‍

2.1 Datos Personales del personal del Cliente

De acuerdo con su suscripción al Contrato y la disponibilidad de la Solución Feending, la Compañía recopila información sobre la identificación del Cliente (nombre comercial, forma legal, dirección comercial, NIF o número de IVA intraeuropeo) y los Datos Personales de contacto (correos electrónicos, contactos de facturación).

Para la recopilación de los Datos Personales del personal del Cliente (incluido el Correo Electrónico de Contacto del Cliente), la Compañía se calificará como Controlador de Datos.

‍

2.2 Datos Personales de los Usuarios

Los Datos Personales de los Usuarios, que se procesan mediante el uso de la Solución Feending, son responsabilidad exclusiva del Cliente, quien recopila y procesa los Datos Personales por cuenta propia, entendiendo que el Cliente determina los fines y los medios generales del procesamiento de Datos Personales de acuerdo con la Legislación de Protección de Datos aplicable.

‍

2.3 Procesamiento de Datos Personales de Usuarios por parte de la Compañía

El Cliente es informado de que los Datos Personales de sus Usuarios se recopilan con el único propósito de ejecutar el Contrato y la Solución Feending a la que el Cliente se ha suscrito. Si el Cliente no comunica los Datos Personales requeridos, no podrá utilizar la funcionalidad completa de los servicios.

El Cliente es informado de que la Compañía realiza análisis estadísticos, así como mediciones de audiencia, visitas y usos efectivos de la Solución Feending, pero solo después de anonimizar los Datos Personales de los Usuarios. Además, estos análisis estadísticos, así como mediciones de audiencia, visitas y usos efectivos de la Solución Feending, se destinan únicamente a Feending, excluyendo a terceros, y con el único propósito de optimizar y mejorar las funcionalidades de la Solución Feending.

El Cliente garantiza la transmisión precisa de esta información a los Usuarios de la Solución Feending.

‍

2.4 Obligaciones del Cliente como Controlador de Datos

El Cliente, al utilizar la Solución Feending, debe ser calificado como Controlador de Datos de los Datos Personales de los Usuarios.

Como Controlador de Datos, el Cliente se compromete explícitamente a:

• Tener una base legal para recopilar y procesar sus Datos Personales antes de recopilar, hospedar. El Cliente confirma que está informado de que puede obtener el consentimiento del Usuario a través de una función proporcionada por la Compañía en la Solución Feending.
• Recopilar los Datos Personales de los Usuarios solo para fines específicos, explícitos y legítimos y no procesarlos de manera incompatible con esos fines.
• Mantener un registro del procesamiento de Datos Personales realizado a través de la Solución Feending.
• Implementar todas las medidas técnicas y organizativas necesarias para garantizar la seguridad del procesamiento realizado, garantizar la protección de los derechos de las personas afectadas por el procesamiento y cumplir con los requisitos de la Legislación de Protección de Datos.
• Limitar el acceso a los Datos Personales de los Usuarios únicamente a las personas autorizadas para ello, es decir, a los Usuarios de la Solución Feending.
• Sensibilizar y capacitar a los miembros del personal sobre el procesamiento de Datos Personales, las disposiciones de la Legislación de Protección de Datos y sus consecuencias.
• Nunca transferir, de ninguna manera, los Datos Personales de los Usuarios a un tercero, a menos que esta transferencia cumpla con la Legislación de Protección de Datos.
• Garantizar todos los derechos en relación con el acceso, portabilidad, eliminación, rectificación, oposición y limitación de los Datos Personales de los Usuarios recopilados durante el uso de la Solución Feending; si el Cliente requiere la asistencia de la Compañía para hacerlo, el Cliente se compromete a notificar cualquier solicitud para ejercer cualquiera de los derechos mencionados anteriormente a la Compañía sin demora.
• Notificar a la autoridad de supervisión correspondiente cualquier violación de seguridad que presente un riesgo grave para los derechos y libertades de los Usuarios dentro de las 72 horas posteriores a la toma de conocimiento de la violación.
• Después de la terminación del Contrato con la Compañía, y en caso de que la retención ya no sea necesaria, proceder a la eliminación de los Datos Personales de los Usuarios dentro de un plazo compatible con la Legislación de Protección de Datos.

En caso de que la información se recopile directamente de los Usuarios, el Cliente, como Controlador de Datos, se compromete a proporcionar a los Usuarios, según corresponda, la siguiente información:

• La información sobre la identidad del Cliente, así como el nombre del Controlador de Datos.
• El propósito del procesamiento de Datos Personales.
• El destinatario de los Datos Personales: el Cliente y la Compañía, así como sus subcontratistas.
• El período de conservación de los Datos Personales.
• La existencia de sus derechos en relación con el acceso, rectificación, eliminación y portabilidad de los Datos Personales, o cualquier limitación u oposición al procesamiento de dichos datos.
• Cuando corresponda, el derecho de los Usuarios a retirar su consentimiento con respecto al procesamiento.
• El derecho de los Usuarios a presentar una queja ante la autoridad de supervisión competente, si consideran que no se han respetado sus derechos.
• El Cliente informa a los Usuarios que la negativa a comunicar los datos mencionados anteriormente hará que la Solución Feending no esté disponible para su uso.

De conformidad con el presente Acuerdo de Procesamiento de Datos, el Cliente se compromete a realizar todas las formalidades declarativas y/o solicitudes de autorización y/o evaluaciones de impacto, si es necesario, así como a garantizar el cumplimiento obligatorio con la autoridad de supervisión competente a la luz del procesamiento que realiza en relación con el uso de la Solución Feending.

En el caso de que el Cliente aún no haya realizado las formalidades mencionadas anteriormente, se compromete explícitamente a hacerlo de inmediato.

El Cliente sigue siendo responsable del Procesamiento de Datos Personales realizado bajo su propia responsabilidad.

El Cliente debe comunicar el Correo Electrónico de Contacto del Cliente a la Compañía.

‍

2.5 Obligaciones de la Compañía como Procesador de Datos

El uso de los Datos Personales de los Usuarios en el contexto del uso de la Solución Feending implica que Feending debe ser calificado como un Procesador de Datos.

El objeto, la duración, la naturaleza y el propósito del procesamiento de los Datos Personales, así como el tipo de Datos Personales que se procesan y las categorías de Personas Interesadas, se enumeran en el Anexo 1.

El Contrato, sus Apéndices y el presente Acuerdo de Procesamiento de Datos deben calificarse como instrucciones escritas del Cliente, calificado como el Controlador de Datos, a Feending, calificado como el Procesador de Datos, sin perjuicio de cualquier instrucción adicional dada por escrito.

Como Procesador de Datos y de conformidad con los procedimientos de privacidad proporcionados por la Legislación de Protección de Datos, Feending solo puede utilizar Datos Personales según las instrucciones del Cliente responsable del procesamiento.

Como Procesador de Datos, Feending se compromete a presentar siempre garantías suficientes para asegurar la implementación de las medidas de seguridad y privacidad necesarias.

Además, Feending se compromete a:

• Dar soporte al Cliente para cumplir con las obligaciones del Cliente de responder a las solicitudes de los Sujetos de Datos para ejercer sus derechos bajo el RGPD; cuando esta asistencia exceda lo que es comercialmente razonable, Feending y el Cliente acordarán los términos financieros aplicables para la continuidad de la asistencia.
• Mantener un registro del procesamiento de Datos Personales realizado a través de la Solución Feending.
• No transferir los Datos Personales de los Usuarios a terceros, a excepción de sus subcontratistas y según lo permitido por el Contrato, sus Apéndices y el presente Acuerdo de Procesamiento de Datos, y sin haber notificado previamente al Cliente.
• Permitir al Controlador de Datos realizar una auditoría del procesamiento realizado por Feending, así como de cualquier medida técnica y organizativa apropiada que garantice la seguridad del procesamiento, el respeto de los derechos de los sujetos de datos y los requisitos de la Legislación de Protección de Datos, especificando que el Cliente debe informar a la Compañía al menos treinta (30) días calendario antes mediante aviso por escrito. La auditoría se llevará a cabo a expensas del Cliente y solo puede cubrir las medidas técnicas y organizativas apropiadas que garanticen la seguridad del procesamiento, el respeto de los derechos de los sujetos de datos y los requisitos del RGPD. El Cliente se compromete a designar a un auditor independiente, que no sea competidor de la Compañía en el campo del software como servicio (SaaS), que sea aprobado previamente por la Compañía y que acepte un acuerdo de confidencialidad. La Compañía se compromete a colaborar con el auditor en el cumplimiento de su misión proporcionando información razonablemente necesaria y respondiendo a sus preguntas razonables. Se proporcionará una copia del informe de auditoría preparado por el auditor a cada Parte y se discutirá colectivamente entre las Partes durante una reunión específicamente organizada para este fin.
• La Compañía se compromete a ayudar al Cliente con el análisis de si es necesaria una evaluación de impacto de protección de datos para el procesamiento de Datos Personales por parte del Cliente. Cuando este último considere necesario realizar una evaluación de impacto de protección de datos, la Compañía se compromete a ayudar al Cliente en la realización de la evaluación de impacto de protección de datos y, cuando corresponda, en relación con la consulta previa a la autoridad de supervisión. Esta asistencia se debe en las mismas condiciones que las establecidas en el primer párrafo de este artículo.
• Restringir el acceso a los Datos Personales solo al personal autorizado. En este contexto, la Compañía informa al Cliente que, de acuerdo con sus contratos laborales, su personal está sujeto a cláusulas de confidencialidad que se refieren explícitamente a los Datos Personales.

2.6 Brecha de datos

La Compañía implementará todas las medidas técnicas que permitan la detección de brechas de datos personales (según lo define la Legislación de Protección de Datos) y que permitan informar al Controlador de Datos de las brechas dentro de un período de tiempo razonable.

En caso de que ocurra o haya ocurrido una brecha de datos personales, la Compañía notificará al Cliente por correo electrónico sin demora indebida, y en cualquier caso, dentro de las 72 horas posteriores a la toma de conocimiento de la brecha, utilizando el Correo Electrónico de Contacto del Cliente.

Sin perjuicio de las obligaciones legales de la Compañía, el Cliente será responsable de la notificación de la brecha a la(s) autoridad(es) competente(s) y/o a las personas afectadas.

Sin perjuicio de las obligaciones legales de la Compañía, la Compañía asistirá al Cliente de la mejor manera posible con la notificación de la brecha a la(s) autoridad(es) competente(s) y/o a las personas afectadas.

La Compañía tratará en cualquier caso todas las preguntas/solicitudes del Cliente relacionadas con la brecha como una prioridad.

En caso de una violación, la Compañía tomará todas las medidas necesarias y apropiadas para restaurar los Datos Personales y/o limitar el impacto negativo de la brecha tanto como sea posible (incluida, entre otras, la provisión de asistencia forense al Cliente), entendiendo que la Compañía, cuando sea razonablemente posible, siempre consultará al Cliente sobre las medidas a tomar.

‍

2.7 Medidas técnicas y organizativas apropiadas implementadas por Feending

Desde el inicio del Procesamiento, la Compañía ha implementado las medidas técnicas y organizativas adecuadas para garantizar la seguridad del procesamiento, así como el respeto de los derechos de las personas involucradas y los requisitos del RGPD.

El código de la Solución Feending y los Datos Personales procesados están alojados en los servidores de Amazon y Google Cloud Platform, ya que ambos ofrecen garantías suficientes en términos de medidas técnicas y organizativas requeridas según la Legislación de Protección de Datos.

El Cliente puede consultar las políticas de privacidad de Amazon AWS y Google Cloud Platform en las siguientes direcciones:

https://cloud.google.com/security/privacy/

https://aws.amazon.com/compliance/gdpr-center/

La Compañía también realiza una copia diaria de los Datos Personales alojados en los servidores de Amazon y/o Google Cloud Platform. Los Datos Personales se guardan una vez cada hora. La Compañía conserva la última copia de cada día durante un período de treinta (30) días.

El Cliente tiene la capacidad de extraer los Datos Personales de los Usuarios finales en una hoja de cálculo de Excel desde su módulo de administración.

Para cualquier pregunta adicional, la Compañía invita a sus clientes a ponerse en contacto por correo electrónico a soporte@feending.com.

‍

2.8 Prestadores de servicios del Procesador de Datos

Para el correcto uso de los servicios ofrecidos en la Feending, se requiere que los datos se transfieran fuera del espacio europeo, por ejemplo, pueden transferirse y almacenarse en países fuera del Espacio Económico Europeo (EEE). Esto se debe a que utilizamos servidores remotos para proporcionar nuestros servicios, que pueden estar ubicados fuera del EEE o usar servidores fuera del EEE, lo que es generalmente la naturaleza de los datos almacenados en la "nube". También puede ser procesada por personal que opera fuera del EEE y que trabaja para uno de nuestros proveedores, como nuestro proveedor de servidores web (Amazon Web Services y Google Cloud Platform), el proveedor de procesamiento de pagos (Stripe), o nuestro proveedor de servicios de marketing (Hubspot). Estos servicios tienen sus políticas de privacidad actualizadas.

Este tratamiento de datos fuera del EEE está amparado por mecanismos jurídicos para permitir la transferencia de datos. Si se requiere de información adicional sobre la transferencia internacional de datos ponte en contacto con nosotros en contacto@feending.com.

‍

2.9 Período de Retención de Datos Personales

A. Datos Personales del personal del Cliente

Sujeto al período de conservación obligatorio de todos los datos relacionados con los archivos de clientes, que es de tres (3) años a partir del final de la relación contractual, los datos de identificación del personal del Cliente (incluido el Correo Electrónico de Contacto del Cliente) serán retenidos por Feending por un período que no excederá el período de suscripción de la Solución Feending, a excepción del período legal de archivo.

‍

B. Datos Personales de los Usuarios

La Compañía informa al Cliente que eliminará los Datos Personales de los Usuarios en un período de treinta (30) a noventa (90) días después de la terminación del Contrato, sin perjuicio de cualquier solicitud de eliminación directa de los Usuarios.

Al finalizar la relación contractual, la Compañía se compromete a devolver, de forma gratuita y a la primera solicitud del Cliente formulada por carta registrada con acuse de recibo, todos los Datos Personales pertenecientes al Cliente que permanezcan en posesión de la Compañía de acuerdo con los términos de este Acuerdo de Procesamiento de Datos Acuerdo de Procesamiento de Datos Acuerdo de Procesamiento de Datos en un formato estándar (Microsoft Excel, SQL y CSV) dentro de los treinta (30) días siguientes a la misma solicitud.

La Compañía se compromete también a responder a cualquier pregunta formulada por el Cliente dentro de los treinta (30) días naturales siguientes a la recepción de la solicitud de devolución.

‍

2.10 Responsabilidad del Cliente

El Cliente sigue siendo el único responsable de la legalidad del procesamiento realizado durante el uso de la Solución Feending.

Además, el Cliente sigue siendo el único responsable de los Datos Personales que recopila y procesa como Controlador de Datos. El Cliente se compromete a proceder con la recopilación y el procesamiento de los Datos Personales de los Usuarios de conformidad con la Legislación de Protección de Datos.

El Cliente está informado de que ciertas categorías de Datos Personales, denominadas "sensibles", según la Legislación de Protección de Datos, no pueden recopilarse ni procesarse sin el consentimiento explícito previo de los sujetos de datos, o cualquier otra formalidad prevista por la Legislación de Protección de Datos aplicable (solicitud de autorización, evaluación de impacto, etc.). El Cliente se compromete a no proceder nunca con la recopilación y el procesamiento de Datos Personales sensibles, excepto lo que establece la Legislación. La Compañía declina cualquier responsabilidad con respecto a la recopilación o procesamiento de Datos Personales Sensibles. El Cliente reconoce y acepta que cualquier dato personal sensible potencial está sujeto a las mismas medidas de seguridad técnica y organizativa que la Compañía implementó para los Datos Personales no sensibles.

La Compañía, en calidad de Procesadora de Datos, declina cualquier responsabilidad con respecto a la calidad, la relevancia y la legalidad de los Datos Personales. Excepto según lo dispuesto en este documento, la Compañía no puede ser considerada responsable en caso de recopilación o procesamiento de Datos Personales que contravengan las disposiciones de la Legislación de Protección de Datos.

El Cliente garantiza a la Compañía, a primera solicitud, contra cualquier daño incurrido como resultado de cualquier acción de un Usuario o cualquier tercero debido a la violación de la presente cláusula y/o cualquier violación de cualquiera de sus obligaciones como controlador de datos de conformidad con la Legislación de Protección de Datos.

‍

ANEXO 1. VISTA GENERAL DEL PROCESAMIENTO

A. Duración del Procesamiento

Durante la duración de la relación contractual entre las Partes, incluido el período que abarca la cláusula de Reversibilidad de Datos del Contrato.

‍

B. Naturaleza y Propósito del Procesamiento

Los Datos Personales se procesarán con el propósito de proporcionar los servicios establecidos y acordados en el Contrato. En este sentido, Feending puede llevar a cabo todo tipo de operaciones de procesamiento.

‍

C. Tipo de Datos Personales Procesados

• Datos de identificación personal (nombre, apellido, género, fotografía de perfil, fecha de nacimiento, idioma hablado, nacionalidad, correo electrónico, teléfono, dirección);
• Datos de identificación electrónica (direcciones IP, cookies);
• Currículum académico y resultados;
• Experiencia profesional;
• Trabajo actual;
• Calificaciones y certificados profesionales;
• Aficiones y áreas de interés;
• Datos de ubicación;
• En general, cualquier información personal enviada o publicada por un Usuario (datos de pago, etc.).

‍

D. Categorías de Sujetos de Datos

Usuarios del Controlador, incluidos, entre otros, los miembros de la comunidad del Controlador, empleados, colaboradores, clientes, prospectos, proveedores y subcontratistas del Controlador.

‍

E. Medidas de Seguridad

El Procesador de Datos implementará medidas técnicas y organizativas apropiadas y controlará el cumplimiento de estas medidas de manera regular. Esto incluye:

1. Control de acceso al sistema: el Procesador de Datos tomará medidas razonables para evitar el acceso no autorizado a sistemas informáticos, como procedimientos de autenticación fuerte (contraseñas, doble autenticación) y aprobaciones de acceso documentadas.
2. Control de acceso a datos: el Procesador de Datos tomará medidas razonables para evitar el acceso no autorizado a Datos Personales, como otorgar acceso a datos personales solo según sea necesario, obligaciones de confidencialidad y bloqueo de estaciones de trabajo.
3. Control de transferencia de datos: el Procesador de Datos tomará medidas razonables para garantizar que los datos personales no puedan leerse, copiarse, modificarse o eliminarse sin autorización durante la transmisión electrónica, el transporte o el almacenamiento y que sea posible verificar y establecer a qué organismos se prevé la transferencia de datos personales mediante instalaciones de transmisión de datos (control de transferencia de datos), como la encriptación de datos en reposo y en tránsito.
4. Control de entrada: el Procesador de Datos tomará medidas razonables para proporcionar que sea posible comprobar retrospectivamente y establecer si y por quién se han ingresado, modificado o eliminado Datos Personales en sistemas de procesamiento de datos, como sistemas de registro.
5. Control de trabajo: el Procesador de Datos tomará medidas razonables para garantizar que los datos personales se procesen de acuerdo con las instrucciones del Controlador de Datos, como celebrar acuerdos de procesamiento de datos apropiados con subprocesadores.
6. Control de disponibilidad: el Procesador de Datos tomará medidas razonables para evitar la destrucción o pérdida accidental de Datos Personales.