Prueba gratis

Acuerdo de tratamiento de datos

 

Última actualización: 25 de abril de 2024

Este es un Acuerdo de Tratamiento de Datos (“ATD” o “DPA”) relativo al tratamiento de datos personales en relación con los servicios por suscripción conforme a los Términos del Servicio (también denominados el “Acuerdo” dentro de este ATD).
El ATD es parte integral del Acuerdo y prevalecerá sobre el mismo en caso de conflicto o inconsistencia.

Actualizaciones de este acuerdo

Actualizamos este acuerdo periódicamente. Utilizaremos mensajes dentro de la aplicación y correo electrónico para notificar cualquier actualización.

 

1. Definiciones

“Acuerdo” significa los Términos del Servicio.

“Tratamiento”, “Responsable del tratamiento”, “Datos personales”, “Encargado del tratamiento”, “Incidente de datos personales” y “Interesado” tendrán el mismo significado que en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (Reglamento General de Protección de Datos – “RGPD”).

“Ley Aplicable” significa las leyes y reglamentos aplicables, así como las normas de la UE y de los Estados Miembros relevantes.

“País fuera de la UE/EEE” significa un Estado que no pertenece a la Unión Europea ni está asociado al Espacio Económico Europeo.

 

2. Tratamiento de los Datos Personales

Nebulr podrá tratar Datos Personales de los que el Cliente es Responsable del Tratamiento, actuando Nebulr como Encargado del Tratamiento.

Nebulr se compromete a tratar los Datos Personales en nombre del Cliente conforme a este ATD y la legislación de protección de datos aplicable.

El propósito del tratamiento es cumplir las obligaciones de ambas partes conforme al ATD y al Acuerdo; gestionar la relación con el cliente y prestar/administrar los servicios y productos. También incluye el cumplimiento de obligaciones legales.

Los Datos Personales no se conservarán más tiempo del necesario para los fines para los que se tratan.

Las instrucciones de Nebulr se detallan en el Anexo 1 – “Instrucciones para el tratamiento de datos personales por Nebulr en nombre del Cliente”.

 

3. Obligaciones Generales en el Tratamiento de Datos

Nebulr solo tratará Datos Personales conforme a este ATD, el Acuerdo y las instrucciones documentadas del Cliente, y no para fines propios.

Cumplimiento de la Ley Aplicable

Nebulr podrá tratar Datos Personales cuando sea necesario para cumplir obligaciones legales.
En ese caso, Nebulr informará al Cliente antes de iniciar el tratamiento y solicitará aprobación, salvo que la Ley Aplicable impida dicha comunicación.

Si el Cliente se opone al tratamiento requerido por ley, Nebulr podrá rescindir el Acuerdo.

El RGPD y la normativa aplicable regirán el tratamiento bajo este ATD.

Nebulr deberá informar al Cliente si no puede cumplir con sus obligaciones o si considera que una instrucción del Cliente infringe la normativa aplicable.

Nebulr proporcionará la documentación necesaria para demostrar su cumplimiento.

Nebulr informará sin demora al Cliente sobre cualquier contacto de autoridades de protección de datos relacionado con el tratamiento regulado por este ATD.

Nebulr notificará al Cliente cualquier solicitud de acceso por parte de una autoridad supervisora y no permitirá acceso a instalaciones sin la aprobación escrita del Cliente.

Nebulr no tendrá derecho a compensación adicional salvo acuerdo específico.

 

4. Medidas de Seguridad

1. Medidas técnicas y organizativas

Nebulr adoptará medidas técnicas y organizativas adecuadas, incluyendo (entre otras):

  • Seudonimización, cuando corresponda.

  • Prevención de transferencias no autorizadas.

  • Garantizar confidencialidad, integridad, disponibilidad y resiliencia de los sistemas.

  • Restauración de accesos tras incidentes (copias de seguridad, etc.).

  • Pruebas y evaluaciones regulares de eficacia de las medidas.

  • Asistencia al Cliente en evaluaciones de impacto o consultas con autoridades.

2. Control de acceso y confidencialidad

  • Acceso limitado solo al personal necesario.

  • Obligación de confidencialidad para todo el personal con acceso a datos.

  • Registro (logging) de accesos para investigar incidentes.

Incidentes de Datos Personales

  1. Nebulr notificará al Cliente por escrito sin demora indebida, y en cualquier caso en un máximo de 24 horas desde que tenga conocimiento del incidente.

  2. Nebulr deberá:

    • investigar el incidente, su alcance y consecuencias;

    • tomar medidas para mitigarlo;

    • consultar al Cliente sobre la obligación de notificar a la autoridad competente y/o a los interesados.

  3. Nebulr proporcionará sin demora:

    • descripción del incidente, categorías y número de interesados afectados;

    • consecuencias probables;

    • medidas adoptadas o previstas.

La información podrá proporcionarse por fases si es necesario.

Derecho de Auditoría

  • Nebulr permitirá auditorías del Cliente o terceros designados, previa notificación razonable.

  • Cada parte asume sus propios costes, salvo acuerdo distinto.

  • Nebulr corregirá cualquier incumplimiento detectado sin demora.

Documentación

Nebulr documentará las medidas de seguridad y, a solicitud, proporcionará copia al Cliente.

 

5. Confidencialidad

Nebulr mantendrá estricta confidencialidad sobre todos los Datos Personales tratados en nombre del Cliente.
Garantiza que cualquier persona autorizada a tratarlos está sujeta a obligaciones adecuadas de confidencialidad.

 

6. Limitación de Responsabilidad

La responsabilidad de cada parte se rige por la cláusula de “Limitación de Responsabilidad” del Acuerdo.
La responsabilidad no se limitará en relación con los derechos de protección de datos de los interesados bajo este ATD.

 

7. Solicitudes de los Interesados

Nebulr ayudará al Cliente a responder solicitudes de ejercicio de derechos conforme a la legislación aplicable.

Si Nebulr recibe una solicitud o comunicación relacionada con el tratamiento, la remitirá sin demora indebida al Cliente.

 

8. Transferencias a Países fuera de la UE/EEE

Si se va a transferir o tratar datos personales fuera de la UE/EEE, con consentimiento previo y por escrito del Cliente, las partes deberán:

  1. Verificar si el país garantiza un nivel adecuado (decisión de adecuación de la Comisión Europea).

  2. En ausencia de adecuación, aplicar garantías: p. ej., Cláusulas Contractuales Tipo.

  3. Si no es posible, comprobar si aplica una excepción del RGPD.

Si ninguna condición se cumple, los datos no podrán transferirse fuera de la UE/EEE.

 

9. Medidas al finalizar el tratamiento

Tras la terminación del Acuerdo, Nebulr deberá eliminar o devolver todos los datos personales en un plazo de 30 días, salvo obligación legal de conservarlos.

A solicitud, Nebulr confirmará por escrito las medidas adoptadas.

 

10. Cesión

Ninguna de las partes podrá ceder sus derechos u obligaciones sin consentimiento escrito de la otra parte.

 

ANEXO 1 – Instrucciones para el tratamiento de datos personales

Finalidad

NorthWhistle permite realizar denuncias internas de forma completamente anónima y que determinados empleados puedan gestionarlas y comunicarse con el denunciante de forma segura.

No se almacena más información de la necesaria para esta función.

Categorías de datos personales

Dependiendo del contenido del caso, los datos pueden incluir (lista no exhaustiva):
Nombre, número de identificación, número de organización, teléfono, género, email, datos de cuenta y pago.

Categorías de interesados

Clientes del Cliente y empleados.

Actividades de tratamiento

Nebulr almacenará y gestionará la información necesaria para la recepción y gestión de denuncias.

Ubicación del tratamiento

Los datos solo podrán almacenarse y procesarse dentro de países del EEE.

Conservación

1 mes después de la finalización del Acuerdo.

Subencargados

Nebulr utiliza subencargados para prestar el Servicio. Ésta lista detalla los subencargados y su objetivo.

 

Seguridad y medidas internas

Acceso a la información

  • Los empleados no tienen acceso a cuentas ni datos sensibles.

  • Administradores de sistemas pueden obtener acceso temporal si es necesario.

Protección técnica

  • Infraestructura en una Virtual Private Cloud (VPC).

  • Puertos abiertos: 80 (HTTP) y 443 (HTTPS).

  • Cifrado en tránsito y en reposo.

  • Acceso a servidores mediante autenticación con llaves y restricciones geográficas.

  • Acceso a bases de datos habilitado solo temporalmente desde IP autorizada.

Rutinarias de seguridad

  • Pruebas automáticas y auditorías (OWASP Top 10, AWS Trusted Advisor, etc.).

  • Monitoreo por el CTO.

  • Acceso revisado semestralmente.

  • Revisiones anuales de rutinas de seguridad.

  • Formación obligatoria para empleados y colaboradores.

  • Control de accesos y registro de operaciones.

  • Instalación inmediata de actualizaciones y antivirus actualizado.

  • Protección física adecuada (alarma, control de acceso, etc.).