Alerta importante: Google y Yahoo exigirán DMARC a partir de abril de 2024.
Leer más

Acuerdo de procesamiento de datos

Versión 2.1.0

Las partes:

  • La organización registrada que se inscribió en el PowerDMARC, en adelante denominada "Controlador".

Y

  •  MENAINFOSEC, Inc. con domicilio social y sede principal en Delaware, Estados Unidos de América, denominado en lo sucesivo el "Procesador";

Preámbulo:

  1. El Responsable del Tratamiento ha suscrito uno o varios acuerdos con el Encargado del Tratamiento para que éste le preste diversos servicios o vaya a suscribir un acuerdo de este tipo. Este acuerdo o estos acuerdos conjuntamente se denominan en lo sucesivo "el Acuerdo Principal".
  2. En la ejecución del Acuerdo Principal, el Procesador procesará datos de los que el Controlador es y sigue siendo responsable. Estos datos incluyen datos personales en el sentido del Reglamento General de Protección de Datos (UE 2016/679), en adelante el "RGPD".
  3. Teniendo en cuenta lo dispuesto en el artículo 28, apartado 3, del RGPD, las Partes desean establecer en el presente Acuerdo las condiciones en las que se tratarán estos datos personales.

Acuerdo:

  • Alcance
    1. El presente Acuerdo es aplicable en la medida en que en la prestación de los servicios previstos en el Acuerdo Principal se lleven a cabo una o varias operaciones de tratamiento incluidas en el Anexo 1.
    2. Las operaciones de tratamiento del Anexo 1 quese llevan a cabo en la prestación de los servicios se denominan en adelante: las "Operaciones de Tratamiento". Los datos personales tratados a este respecto son: "los Datos Personales".
    3. Todos los conceptos del presente Acuerdo tienen el significado que se les atribuye en el RGPD.
    4. Si se procesan más y otros datos personales por instrucciones del Responsable del Tratamiento o si se procesan de forma distinta a la descrita en esta cláusula, el presente Acuerdo se aplica, en la medida de lo posible, también a esas Operaciones de Tratamiento.
    5. Los anexos forman parte del presente Acuerdo. Consisten en:

Anexo 1 las Operaciones de Tratamiento, los Datos Personales y los plazos de conservación;

  • Asunto
    1. El responsable del tratamiento tiene y conserva el control total de los datos personales. Si el Responsable del Tratamiento no trata los Datos Personales por sí mismo utilizando los sistemas del Encargado del Tratamiento, el Encargado del Tratamiento tratará exclusivamente sobre la base de instrucciones escritas del Responsable del Tratamiento, por ejemplo, en lo que respecta a la transmisión de Datos Personales a terceros fuera de la Unión Europea. El Acuerdo Principal se considera una instrucción genérica a este respecto.
    2. Las Operaciones de Tratamiento sólo se llevan a cabo en relación con el Acuerdo Principal. El Encargado del Tratamiento no tratará los Datos Personales más allá de lo previsto en el Acuerdo Principal. En particular, el procesador no utilizará los datos personales para sus propios fines.
    3. El Encargado del Tratamiento realizará las Operaciones de Tratamiento de forma adecuada y con el debido cuidado.
  • Medidas de seguridad
    1. El Procesador adoptará todas las medidas de seguridad técnicas y organizativas que se le exigen en virtud del GDPR y, en particular, de conformidad con el artículo 32 del GDPR.
    2. El Encargado del Tratamiento se asegurará de que las personas, sin limitarse a los empleados, que participen en las Operaciones de Tratamiento en el Encargado del Tratamiento estén obligadas a observar la confidencialidad con respecto a los Datos Personales.
  • Violación de datos y Evaluación del Impacto sobre la Privacidad
    1. El encargado del tratamiento notificará al responsable del tratamiento cualquier "violación de los datos personales", tal como se entiende en el artículo 4, apartado 12, del RGPD.Dicha violación se denomina en lo sucesivo "violación de datos".
    2. El Encargado del Tratamiento facilitará al Responsable del Tratamiento en el plazo previsto toda la información que posea y que sea necesaria para cumplir las obligaciones del artículo 33 del RGPD.Para ello, el Encargado del Tratamiento deberá proporcionar la información respectiva lo antes posible en un formato estándar que determinará el Encargado del Tratamiento. Esto implica que el procesador informa al controlador de una violación de datos tan pronto como sea posible si es evidente que la violación de datos puede dar lugar a un riesgo para los derechos y libertades de las personas físicas. Si es evidente que es improbable que la violación de los datos suponga un riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento podrá notificar al responsable del tratamiento en un momento posterior, siempre que la notificación se realice sin demora injustificada. Si hay motivos para dudar de que la violación de los datos pueda suponer un riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento notificará al responsable del tratamiento la violación de los datos lo antes posible.
    3. Corresponde exclusivamente al responsable del tratamiento determinar si una violación de datos constatada en el encargado del tratamiento debe notificarse a la Autoridad Holandesa de Datos Personales y/o al interesado.
  • Contratación de subprocesadores
    1. En la realización de las Operaciones de Tratamiento, el Encargado del Tratamiento no tiene derecho a contratar a un tercero como subencargado sin el consentimiento previo del Responsable del Tratamiento. El consentimiento del Responsable del Tratamiento también puede referirse a una determinada categoría de subencargados.
    2. Si el Responsable del Tratamiento da su consentimiento, el Encargado del Tratamiento debe asegurarse de que el respectivo tercero celebre un acuerdo en el que, como mínimo, observe las mismas obligaciones legales y cualquier otra obligación adicional que tenga el Encargado del Tratamiento en virtud del presente Acuerdo.
    3. En caso de que el consentimiento se refiera a un determinado tipo de terceros, el Encargado del Tratamiento informará al Responsable del Tratamiento sobre los subencargados que haya contratado. El responsable del tratamiento podrá entonces oponerse a las adiciones o sustituciones con respecto a los subencargados del tratamiento.
  • Obligación de confidencialidad
    1. El procesador mantendrá la confidencialidad de los datos personales. El Procesador garantiza que los Datos Personales no estarán directa o indirectamente a disposición de terceros. El término terceros también incluye al personal del Procesador, en la medida en que no sea necesario que tomen nota de los Datos Personales. Esta prohibición no se aplica si se establecen disposiciones contrarias en el presente Acuerdo y/o en la medida en que una normativa legal o una sentencia exijan su divulgación.
    2. El Encargado del Tratamiento informará al Responsable del Tratamiento de cualquier solicitud de una parte distinta del interesado para acceder a los Datos Personales, proporcionarlos o solicitarlos y comunicarlos de cualquier otra forma que sea contraria a la obligación de confidencialidad incluida en la presente cláusula, a menos que el Encargado del Tratamiento tenga prohibido hacerlo por ley. En caso de solicitudes del interesado, el encargado del tratamiento transmitirá dichas solicitudes al responsable del tratamiento, o remitirá al interesado al responsable del tratamiento.
  • Plazos de conservación y supresión
    1. El responsable del tratamiento es el encargado de determinar los plazos de conservación de los datos personales. En la medida en que los Datos Personales estén bajo el control del Responsable del Tratamiento (por ejemplo, en el caso de los servicios de alojamiento), él mismo los eliminará en el plazo previsto.
    2. En caso de rescisión del Contrato Principal o, el Encargado del Tratamiento eliminará los Datos Personales tras la expiración del periodo de conservación mencionado en el Anexo 1, a discreción del Responsable del Tratamiento, se los transferirá, a menos que los Datos Personales deban conservarse durante más tiempo, por ejemplo, en relación con las obligaciones (legales) del Encargado del Tratamiento, o si el Responsable del Tratamiento solicita que los Datos Personales se conserven durante más tiempo y el Encargado del Tratamiento y el Responsable del Tratamiento llegan a un acuerdo sobre los costes y las demás condiciones de esa conservación más prolongada, esto último sin perjuicio de la responsabilidad del Encargado del Tratamiento de respetar los periodos de conservación legales. Toda transferencia al responsable del tratamiento se realiza a expensas del responsable del tratamiento.
    3. En caso de que el responsable del tratamiento solicite la supresión de la cuenta y de los datos a través del inicio de sesión protegido, el responsable del tratamiento eliminará los datos personales en un plazo de treinta días tras la solicitud de supresión de la cuenta y de los datos y, a discreción del responsable del tratamiento, se los transferirá, a menos que los datos personales deban conservarse durante más tiempo, por ejemplo, en relación con las obligaciones (legales) del responsable del tratamiento, o si el responsable del tratamiento solicita que los datos personales se conserven durante más tiempo y el responsable del tratamiento y el responsable del tratamiento llegan a un acuerdo sobre los costes y las demás condiciones de esa conservación más prolongada, sin perjuicio de la responsabilidad del responsable del tratamiento de respetar los períodos de conservación legales. Toda transferencia al responsable del tratamiento se realiza a expensas del responsable del tratamiento.
    4. El encargado del tratamiento declarará, a petición del responsable del tratamiento, que se ha producido la supresión prevista en el párrafo anterior. El responsable del tratamiento puede hacer que se verifique, a sus expensas, si esto se ha producido realmente. La cláusula 10 delpresente Acuerdo se aplica a dicha verificación. En la medida en que sea necesario, el Encargado del Tratamiento informará a todos los subencargados del tratamiento de los Datos Personales de la terminación del Contrato Principal y les ordenará que actúen según lo previsto en el mismo.
    5. Salvo acuerdo en contrario de las partes, el propio Responsable del Tratamiento se encargará de realizar una copia de seguridad de los Datos Personales.
  • Derechos del interesado 
    1. Si el propio responsable del tratamiento tiene acceso a los datos personales, deberá atender él mismo todas las solicitudes del interesado relativas a los datos personales. El encargado del tratamiento transmitirá inmediatamente al responsable del tratamiento las solicitudes que reciba.
    2. Sólo en el caso de que lo previsto en el párrafo anterior sea imposible, el encargado del tratamiento cooperará plenamente y en el plazo previsto con el responsable del tratamiento para:
    3. proporcionar al interesado el acceso a sus respectivos Datos Personales tras la aprobación del Responsable del Tratamiento y siguiendo sus instrucciones,
    4. eliminar o corregir los datos personales,
    5. demostrar que los datos personales han sido eliminados o corregidos si son incorrectos (o, en caso de que el responsable del tratamiento no esté de acuerdo con que los datos personales sean incorrectos, hacer constar el hecho de que el interesado considera que sus datos personales son incorrectos)
    6. proporcionar al responsable del tratamiento o al tercero designado por el responsable del tratamiento los respectivos datos personales en un formato estructurado, habitual y legible por máquina, y
    7. permitir que el responsable del tratamiento cumpla de otro modo con sus obligaciones en virtud del GDPR u otra legislación aplicable en el ámbito del tratamiento de datos personales.
    8. Los costes y los requisitos impuestos a la cooperación mencionada en el párrafo anterior sedeterminan conjuntamente por las partes. Si no se llega a un acuerdo al respecto, los costes correrán a cargo del Responsable del Tratamiento.
  • Responsabilidad
    1. El Responsable del Tratamiento es, por ejemplo, responsable y por ello responde plenamente de (la finalidad estipulada de) las Operaciones de Tratamiento, el uso y el contenido de los Datos Personales, la puesta a disposición de terceros, la duración del almacenamiento de los Datos Personales, la forma de tratamiento y los medios aplicados a tal fin.
    2. El procesador es responsable ante el controlador según lo dispuesto en el Acuerdo principal. Verificación
      1. El Responsable del Tratamiento tiene derecho a verificar el cumplimiento de las disposiciones del presente Acuerdo una vez al año, a su cargo, o a hacerlas verificar por un auditor registrado independiente o un profesional de la informática registrado.
      2. El encargado del tratamiento facilitará al responsable del tratamiento toda la información necesaria para demostrar que se han cumplido las obligaciones del artículo 28 del RGPD. Si el tercero contratado por el responsable del tratamiento da una instrucción que, en opinión del responsable del tratamiento, constituye una infracción del RGPD, el responsable del tratamiento informará de ello inmediatamente al responsable del tratamiento.
      3. La investigación del Responsable del Tratamiento se limitará siempre a los sistemas del Encargado del Tratamiento que se utilicen para las Operaciones de Tratamiento. La información obtenida durante la verificación será tratada de forma confidencial por el Responsable del Tratamiento y sólo se utilizará para verificar el cumplimiento por parte del Encargado del Tratamiento de las obligaciones derivadas del presente Acuerdo, y la información o parte de ella se eliminará lo antes posible. El responsable del tratamiento garantiza que los terceros contratados también asumirán estas obligaciones.
    3. Otras disposiciones
      1. Cualquier modificación del presente Acuerdo sólo será válida si las partes la han acordado por escrito.
      2. Las partes ajustarán el presente Acuerdo a cualquier normativa modificada o complementada, a las instrucciones complementarias de las autoridades pertinentes y a la creciente comprensión de la aplicación del RGPD (por ejemplo, mediante la jurisprudencia o los informes, pero sin limitarse a ellos), a la introducción de disposiciones estándar y/o a otros acontecimientos o percepciones que requieran dicho ajuste.
      3. El presente Acuerdo estará en vigor mientras el Acuerdo Principal esté vigente. Las disposiciones de este Acuerdo permanecen en vigor en la medida en que esto sea necesario para la liquidación de este Acuerdo y en la medida en que estén destinadas a sobrevivir a la terminación de este Acuerdo. La última categoría de disposiciones incluye, pero sin limitarse a ello, las disposiciones relativas a la confidencialidad y los litigios.
      4. El presente acuerdo prevalece sobre todos los demás acuerdos entre el controlador y el procesador.
      5. Este acuerdo se rige exclusivamente por la legislación holandesa.
      6. Las partes someterán exclusivamente sus litigios en relación con este Acuerdo al Tribunal de Distrito de Ámsterdam.

Anexo 1

Operaciones de tratamiento de datos personales y períodos de conservación

Este anexo forma parte del Acuerdo de Procesamiento y debe ser rubricado por las partes.

  • Los datos personales que las partes esperan tratar:
    • Nombre
    • Dirección de correo electrónico
    • Datos del cuerpo de los datos forenses DMARC (RUF, correos electrónicos no conformes con DMARC)
  • El uso (= método(s) de tratamiento) de los Datos Personales y los fines y recursos del tratamiento:
    • PowerDMARC procesa los informes DMARC entrantes. Dentro de la especificación DMARC hay dos tipos de informes:
      • Informes agregados
        Estos informes contienen datos sobre el número de mensajes enviados para su(s) dominio(s) para una determinada dirección IP diariamente, incluyendo los resultados de las comprobaciones SPF y DKIM de estos mensajes. Los informes agregados no contienen datos personales.
      • Informes forenses
        Los informes forenses son enviados por un número limitado de remitentes de informes DMARC. Se trata de copias de mensajes específicos que no superaron las comprobaciones DMARC. El contenido de estos mensajes puede contener información personal identificable (PII). PowerDMARC ofrece varios métodos para almacenar estos mensajes:

        • Por defecto: Por defecto se elimina el cuerpo del mensaje y sólo se almacenan las cabeceras
        • Cifrado: El cliente puede cargar una clave PGP pública en el software PowerDMARC. Todos los mensajes entrantes se cifrarán utilizando esta clave. El cliente puede descifrar los datos utilizando su clave privada y su contraseña.
        • Sin cifrar: Tras la confirmación específica y la aceptación de PowerDMARC como procesador de datos, el cliente podrá almacenar el cuerpo completo del mensaje sin cifrar en el Software PowerDMARC.

Las condiciones de uso y los períodos de conservación de los (diversos tipos de) Datos Personales:

  • Licencia: Todas las licencias excepto la versión básica gratuita
  • Conservación de datos: 365 días