Anexo Contractual - Acuerdo de Procesamiento de Datos (DPA)
Artículo 1: Definiciones
- Datos personales: Toda información sobre una persona física identificada o identificable («el interesado»), según lo definido por el Reglamento General de Protección de Datos (RGPD).
- Responsable del tratamiento: La persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento de datos personales.
- Encargado del tratamiento: La persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.
- Tratamiento: Cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no.
- Violación de la seguridad de los datos: Toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
- Transferencia de datos: Toda transferencia de datos personales fuera del Espacio Económico Europeo (EEE), incluso a un tercer país o una organización internacional.
- Servicio Cloud: Cualquier servicio de procesamiento, almacenamiento o gestión de datos personales proporcionado por el Encargado del tratamiento a través de infraestructuras en la nube.
- Acceso necesario para el servicio: Cualquier acceso a datos personales estrictamente requerido para la ejecución de los servicios contractuales definidos, incluyendo el aprovisionamiento, mantenimiento, soporte técnico, supervisión de sistemas y resolución de incidentes, excluyendo cualquier acceso para fines de análisis comercial, elaboración de perfiles o marketing directo.
- HDS (Alojamiento de Datos de Salud): Estatus específico en Francia para los proveedores de alojamiento de datos de salud, que requiere una certificación emitida por un organismo acreditado.
Artículo 2: Objeto
El propósito de este anexo es definir los términos y condiciones para el procesamiento de datos personales bajo el Contrato principal, incluyendo el uso de servicios en la nube. Su objetivo es garantizar el cumplimiento por parte de las partes de las obligaciones derivadas del RGPD y de las leyes francesas relativas a la protección de datos personales en el caso de que el Encargado esté certificado como HDS, así como de los requisitos del código de conducta CISPE.
Artículo 3: Obligaciones del Responsable del tratamiento
- Licitud del tratamiento: El Responsable del tratamiento se compromete a procesar datos personales de manera lícita, leal y transparente de acuerdo con los artículos 5 y 6 del RGPD.
- Fines especificados: Los datos personales deben ser recopilados con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines.
- Minimización de datos: El Responsable del tratamiento debe garantizar que los datos recopilados sean adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.
- Exactitud de los datos: Es responsabilidad del Responsable del tratamiento asegurar que los datos personales sean exactos y, si fuera necesario, actualizados.
- Seguridad de los datos: El Responsable del tratamiento debe aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, de conformidad con el artículo 32 del RGPD. Esto incluye la evaluación periódica de las medidas de seguridad de los servicios en la nube utilizados.
Artículo 4: Obligaciones del Encargado del tratamiento
4.1 Tratamiento conforme a las instrucciones y limitación de accesos
El Encargado se compromete a:
- Tratar los datos personales únicamente siguiendo instrucciones documentadas del Responsable del tratamiento, inclusive con respecto a las transferencias de datos personales a un tercer país o una organización internacional, salvo que esté obligado a ello en virtud del Derecho de la Unión o de los Estados miembros.
- Limitar estrictamente su acceso a los datos personales solo al acceso necesario para el servicio definido en el Artículo 1.
- Abstenerse formalmente de cualquier procesamiento de datos personales para los fines de:
- Minería de datos o exploración de datos
- Elaboración de perfiles de usuarios finales o análisis de comportamiento
- Marketing directo o publicidad dirigida
- Cualquier uso comercial no relacionado con la ejecución de los servicios contractuales.
4.2 Política de gestión de accesos
El Encargado mantiene una política detallada de gestión de accesos a los datos del cliente que incluye:
- Procedimientos para conceder y revocar accesos
- Identificación de personas autorizadas y sus niveles de acceso
- Controles de acceso físicos y técnicos a las infraestructuras
- Registro completo de los accesos con retención por un mínimo de 24 meses
- Procedimientos para la gestión de acceso de emergencia y supervisión
4.3 Obligaciones generales
- Confidencialidad: El Encargado garantizará que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación legal de confidencialidad.
- Certificación HDS: El Encargado declara estar certificado como Proveedor de Alojamiento de Datos de Salud y que mantendrá esta certificación durante toda la vigencia del Contrato.
- Seguridad del tratamiento: El Encargado se compromete a aplicar las medidas técnicas y organizativas apropiadas para garantizar la seguridad de los datos personales que procesa, incluidos aquellos procesados a través de servicios en la nube, de conformidad con el artículo 32 del RGPD.
- Subcontratación: El Encargado no recurrirá a otro encargado sin la autorización previa por escrito, específica o general, del Responsable del tratamiento. En caso de subcontratación autorizada, el Encargado debe asegurar que el subencargado cumpla las mismas obligaciones de protección de datos.
- Asistencia al Responsable del tratamiento: El Encargado debe ayudar al Responsable del tratamiento, en la medida de lo posible, a cumplir con sus obligaciones en materia de seguridad de datos, notificación de violaciones de datos, realización de evaluaciones de impacto a la protección de datos y consultas previas a las autoridades de control.
- Localización de los datos: El Encargado debe proporcionar información clara sobre las ubicaciones de almacenamiento y procesamiento de los datos en las infraestructuras en la nube, y asegurar que estas ubicaciones cumplan con las normativas aplicables de protección de datos.
Artículo 5: Descripción de los tratamientos
El Encargado del tratamiento está autorizado para tratar datos personales por cuenta del Responsable del tratamiento en la medida en que sea necesario para prestar los Servicios. La naturaleza y categoría de las operaciones realizadas sobre los datos personales serán definidas por el Responsable del tratamiento de acuerdo con las necesidades específicas de cada Servicio. Los fines del tratamiento son determinados por el Responsable del tratamiento y comunicados al Encargado. La naturaleza y categoría de los datos personales procesados son especificadas por el Responsable del tratamiento. Las categorías de interesados son identificadas por el Responsable del tratamiento. Para la prestación de los Servicios, el Responsable del tratamiento pone a disposición del Encargado la información necesaria. La duración del procesamiento la determina el Responsable del tratamiento en función de los requisitos de los Servicios prestados.
Artículo 6: Derechos de los interesados
- Acceso y rectificación: El Responsable y el Encargado del tratamiento deben permitir a los interesados ejercer sus derechos de acceso y rectificación de sus datos personales, de acuerdo con los artículos 15 y 16 del RGPD.
- Supresión y limitación del tratamiento: Los interesados deben poder ejercer sus derechos a la supresión de sus datos (derecho al olvido) o a la limitación del tratamiento, de acuerdo con los artículos 17 y 18 del RGPD.
- Portabilidad de los datos: El Responsable del tratamiento debe garantizar, cuando proceda, la portabilidad de los datos personales de los interesados, de conformidad con el artículo 20 del RGPD.
- Oposición: Los interesados deben poder ejercer su derecho a oponerse al tratamiento de sus datos personales de acuerdo con el artículo 21 del RGPD.
6.1 Modalidades para el ejercicio de derechos
Como Encargado del tratamiento, Cloud Temple asiste al Responsable en el cumplimiento de los derechos de los interesados según las siguientes modalidades:
Proceso estándar:
- Las solicitudes generalmente son enviadas por el Responsable del tratamiento a través de los canales de comunicación habituales: Account Manager y Service Delivery Manager.
- El Encargado proporciona asistencia técnica dentro de los límites de su función como encargado y las capacidades de sus servicios.
Contacto directo:
- Para casos excepcionales o preguntas específicas, se puede contactar directamente al Delegado de Protección de Datos de Cloud Temple: DPD@cloud-temple.com
- Se mantiene un flujo de validación por parte del DPO de Cloud Temple para asegurar la consistencia de las respuestas.
- Se garantiza la trazabilidad de las solicitudes y las acciones tomadas.
Recepción de solicitudes: En el caso de que un interesado dirija directamente una solicitud de ejercicio de sus derechos (acceso, rectificación, supresión, oposición, limitación o portabilidad) al Encargado, este se compromete a transmitirla al Cliente por escrito en un plazo máximo de 72 horas desde su recepción. El Encargado no responderá directamente al interesado sin instrucciones previas por escrito del Responsable del tratamiento.
Asistencia técnica y ejecución: El Encargado se compromete a asistir al Cliente en las siguientes condiciones para permitir el ejercicio de los derechos:
- Acceso y Portabilidad: El Encargado pone a disposición del Cliente las herramientas o procedimientos que permiten la extracción de datos de salud en un formato estructurado y de uso común.
- Consulta de registros: De conformidad con los compromisos de seguridad, el Proveedor permite al Cliente consultar los registros de acceso a los Datos de Salud Personales (DSCP) para responder a solicitudes de información sobre accesos a datos.
- Rectificación y Supresión: El Encargado se compromete a ejecutar, previa solicitud justificada del Cliente, las operaciones técnicas para la modificación o eliminación definitiva de los datos en entornos de producción y respaldo, y a proporcionar confirmación escrita de ello.
- Limitación: En caso de una solicitud de limitación del tratamiento, el Encargado colaborará con el Cliente para implementar medidas técnicas destinadas a aislar o bloquear los datos afectados.
- Documentación: El Encargado proporcionará al Cliente toda la información necesaria para demostrar que las medidas técnicas adoptadas permiten el respeto efectivo de los derechos de las personas.
Artículo 7: Medidas de seguridad y confidencialidad
El Encargado del tratamiento se compromete expresamente a aplicar medidas suficientes para garantizar la seguridad y confidencialidad de los Datos Personales, y en particular los datos de salud, confiados y tratados en el marco de los Servicios, a saber:
- Aplicar las medidas técnicas y organizativas adecuadas para proteger los datos personales contra su destrucción, pérdida accidental, alteración, divulgación o acceso no autorizados, accidental o ilícitamente, así como contra cualquier otra forma de tratamiento ilícito.
- No utilizar los datos personales para sus propios fines o por cuenta de terceros y no transferirlos sin la autorización previa por escrito del Responsable del tratamiento o del cliente final.
- Garantizar que las personas autorizadas para tratar los datos personales estén sujetas a obligaciones de confidencialidad adecuadas.
- No hacer copias ni reproducciones de los datos personales sin la autorización previa por escrito del Responsable del tratamiento o del cliente final (a menos que sea necesario para la prestación de los Servicios proporcionados bajo el Contrato).
- Informar al Responsable del tratamiento de cualquier acceso accidental o no autorizado a los datos personales, de cualquier incumplimiento de la normativa sobre datos personales o de cualquier sospecha de tal incumplimiento, a la mayor brevedad y, a ser posible, a más tardar 48 horas después de tener conocimiento del mismo.
- A elección del Responsable del tratamiento, suprimir o devolver los datos personales una vez finalice el Contrato, y destruir las copias existentes, a menos que el derecho de la Unión o de los Estados miembros exija la conservación de los datos.
- Implementar una política de seguridad de sistemas de información y de gestión de autorizaciones de acceso lógico y físico, que deberá mantener y desarrollar a lo largo de la vigencia del Contrato.
- Cifrar los datos almacenados.
El Encargado implementa un sistema de control de acceso a los datos de los clientes que incluye:
- Un sistema de autenticación robusta y gestión de identidades
- Una política de privilegio mínimo con revisión periódica de las autorizaciones
- Separación de los entornos de clientes y aislamiento de datos
- Un sistema de registro exhaustivo con alertas automáticas
- Auditorías periódicas de accesos y controles de seguridad.
Artículo 8: Notificación de violaciones de datos
En caso de violación de datos personales o Datos de Salud Personales, el Encargado deberá notificar dicha violación al Responsable del tratamiento sin dilación indebida, después de tener conocimiento de ella. Esta notificación deberá incluir:
- La naturaleza de la violación de datos personales
- Las categorías y el número aproximado de interesados afectados
- Las categorías y el número aproximado de registros de datos personales afectados
- El nombre y los datos de contacto del punto donde pueda obtenerse más información
- Las posibles consecuencias de la violación de datos personales
- Las medidas adoptadas o propuestas para poner remedio a la violación de datos y mitigar sus posibles efectos negativos.
Esta notificación deberá especificar el impacto potencial sobre los datos alojados en la nube y las medidas tomadas para remediarlo, lo que permitirá al Responsable del tratamiento notificar esta violación a la autoridad de control competente y, en su caso, a los interesados, de conformidad con el artículo 33 del RGPD.
Artículo 9: Transferencias de datos fuera de la Unión Europea
9.1 Localización de datos según los servicios
Servicios Cloud:
- Todos los datos personales son tratados y almacenados exclusivamente dentro de la Unión Europea.
- Todas las infraestructuras y centros de datos están ubicados en la Unión Europea.
- El cliente puede seleccionar las zonas geográficas de procesamiento de entre las ubicaciones europeas disponibles.
- No se realiza procesamiento ni almacenamiento de datos fuera de la Unión Europea.
Servicios Gestionados (Infogérance):
- Los datos personales se procesan y almacenan por defecto dentro de la Unión Europea.
- Los equipos de soporte técnico situados fuera de la Unión Europea pueden necesitar acceder a los datos como parte de la prestación del servicio, únicamente con el acuerdo previo por escrito del Responsable del tratamiento.
- Estos accesos están estrictamente limitados a las necesidades operativas y están enmarcados en las garantías apropiadas del RGPD.
9.2 Condiciones para transferencias fuera de la UE
Cualquier acceso o transferencia de datos personales por parte de equipos o hacia terceros países solo podrá realizarse con:
- La autorización previa y por escrito del Responsable del tratamiento para el servicio correspondiente.
- El cumplimiento de las condiciones establecidas por el RGPD, especialmente en los artículos 44 a 50.
- La aplicación de garantías adecuadas, tales como cláusulas contractuales tipo aprobadas por la Comisión Europea o la existencia de una decisión de adecuación.
- La limitación del acceso estrictamente a las necesidades operativas.
Artículo 10: Duración y fin del tratamiento
10.1 Fin del contrato
Al finalizar el contrato principal, el Encargado se compromete, según las instrucciones del Responsable del tratamiento, a suprimir todos los datos personales o devolverlos al Responsable, y a destruir las copias existentes a menos que una obligación legal requiera lo contrario.
10.2 Proceso de recuperación
El Encargado proporciona una guía detallada que permite al Responsable del tratamiento recuperar sus datos en un formato estándar y utilizable, incluyendo:
- Formatos de exportación disponibles
- Procedimientos de recuperación
- Plazos de suministro
- Asistencia técnica disponible.
10.3 Plazos de eliminación de datos
El Encargado se compromete a cumplir los siguientes plazos:
- Borrado lógico: dentro de las 48 horas siguientes a la solicitud
- Eliminación física definitiva: dentro de los 30 días calendario siguientes al borrado lógico
- Confirmación de eliminación: certificado de destrucción proporcionado dentro de los 5 días hábiles siguientes a la eliminación física.
Esta obligación incluye también los datos almacenados en soportes de copia de seguridad en infraestructuras en la nube, a menos que una obligación legal exija su conservación. En este caso, el Encargado informará al Responsable del tratamiento con la justificación legal y el plazo de conservación.
Artículo 11: Documentación y auditorías
El Encargado pondrá a disposición del Responsable del tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en este anexo, y permitirá y contribuirá a la realización de auditorías, incluidas inspecciones, por parte del Responsable del tratamiento o de otro auditor autorizado por él, para verificar el cumplimiento con este anexo y el RGPD.
El Encargado pone a disposición del Responsable del tratamiento:
- Una página dedicada que lista todos los procesos de cumplimiento, mantenida actualizada en: https://www.cloud-temple.com/demarches-conformite/
- Certificados de cumplimiento disponibles (ISO 27001, SecNumCloud, HDS, ISAE, etc.)
- Recomendaciones para el uso seguro de los servicios de Cloud Temple, incluyendo:
- Mejores prácticas para proteger el acceso a la Consola Cloud
- Gestión controlada de accesos y permisos
- Aseguramiento de los recursos desplegados a través de servicios en la nube.
Artículo 12: Registro de actividades de tratamiento
12.1 Contenido del registro
El Encargado mantiene un registro electrónico de actividades de tratamiento de acuerdo con el artículo 30(2) del RGPD. Este registro contiene la lista de clientes para los que Cloud Temple opera como encargado, indicando para cada cliente:
- Los datos de contacto de la empresa cliente y del delegado de protección de datos (nombre, apellidos, teléfono, correo electrónico)
- Las categorías de tratamientos efectuados por cuenta de este cliente
- En su caso, las transferencias de datos a un tercer país fuera de la Unión Europea
- Las medidas técnicas y organizativas de seguridad implementadas.
12.2 Gestión automatizada
El registro se actualiza automáticamente al producirse:
- La firma de nuevos contratos con clientes
- Las modificaciones de servicios existentes
- Las evoluciones de las medidas de seguridad.
12.3 Acceso al registro
Bajo solicitud por escrito:
- El Responsable del tratamiento solo puede acceder a la información que le concierne en el registro.
- Las autoridades competentes (CNIL, ANSSI, etc.) pueden acceder al registro completo en el marco de sus misiones de control.
El Encargado del tratamiento dispone de un plazo de 15 días hábiles para comunicar la información solicitada desde la recepción de la solicitud. Se implementa un proceso de validación para las solicitudes legítimas con el fin de garantizar la confidencialidad de la información sensible.
Artículo 13: Subencargados del tratamiento
El Encargado del tratamiento puede necesitar recurrir a uno o más proveedores de servicios o suministradores externos para la prestación de servicios específicos previstos en el Contrato. A este efecto, el Encargado puede contratar, bajo su responsabilidad, a uno o varios Subencargados de segundo nivel con el único fin de proveer parte de los servicios necesarios para el sistema gestionado.
El Encargado se compromete a celebrar un acto jurídico vinculante con cualquier subencargado posterior que contrate para el Tratamiento de Datos, para imponerle el cumplimiento de los requisitos del RGPD y las mismas obligaciones que las previstas en el Artículo 20.2. En particular, el Encargado debe asegurar que el subencargado posterior que ha contratado ofrezca garantías suficientes para la aplicación de las medidas de seguridad necesarias, particularmente en el contexto de los datos de salud.
En caso de incumplimiento por parte del subencargado posterior de sus obligaciones en materia de protección de datos, el Encargado seguirá siendo plenamente responsable ante el Responsable del tratamiento, sin perjuicio de los derechos de los interesados previstos en los artículos 79 y 82 del RGPD.
La lista de subencargados posteriores autorizados es la siguiente:
| Subencargado | Actividad | Localización | Fecha de autorización |
|---|---|---|---|
| Digital Realty | Alojamiento de centro de datos | Francia / UE | 15/01/2025 |
| Data4 | Alojamiento de centro de datos | Francia / UE | 15/01/2025 |
| Telehouse | Alojamiento de centro de datos | Francia / UE | 15/01/2025 |
| Iron Mountain | Externalización en cinta | Francia / UE | 15/01/2025 |
Iron Mountain no tiene certificación HDS.
Además de estos subencargados están los del Contrato.
Durante la ejecución del Contrato, el Responsable del tratamiento puede acceder a la actualización de esta lista en cualquier momento. El Encargado notificará por escrito al Responsable del tratamiento cualquier cambio previsto relativo a la adición o sustitución de otros encargados con al menos 30 días calendario antes de la implementación. Para cualquier nuevo subencargado crítico, se requiere una autorización previa específica del Responsable del tratamiento.
Artículo 14: Responsabilidad
El Responsable del tratamiento y el Encargado reconocen que pueden ser considerados responsables de los daños causados por un tratamiento de datos personales que no cumpla con el RGPD y con las leyes francesas aplicables. El Encargado será responsable de los daños causados por el tratamiento si ha incumplido las obligaciones del RGPD dirigidas específicamente a los encargados o si ha actuado al margen o en contra de las instrucciones legales del Responsable del tratamiento.
Artículo 15: Modificaciones
Cualquier modificación de este anexo debe ser objeto de un documento escrito firmado por ambas partes. Las modificaciones deberán cumplir con los requisitos del RGPD y de las leyes francesas relativas a la protección de datos personales.
Artículo 16: Ley aplicable y jurisdicción
Este anexo se rige por la ley francesa. Cualquier disputa relativa a su interpretación o ejecución será competencia exclusiva de los tribunales franceses. En caso de discrepancia entre las versiones lingüísticas de este anexo, prevalecerá la versión en francés.