Acuerdo de Procesamiento de Datos de Lumiform
SECCIÓN I
Cláusula 1: *Finalidad y ámbito de aplicación**
(a) La finalidad de las presentes cláusulas del Acuerdo de Tratamiento de Datos (las Cláusulas) es garantizar el cumplimiento del artículo 28, apartados 3 y 4, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
(b) Los responsables y encargados del tratamiento enumerados en el Apéndice I han aceptado estas Cláusulas para garantizar el cumplimiento de los apartados 3 y 4 del artículo 28 del Reglamento (UE) 2016/679.
(c) Las presentes Cláusulas se aplican al tratamiento de datos personales especificado en el Apéndice II.
(d) Los Apéndices I a IV son parte integrante de las Cláusulas.
(e) Las presentes Cláusulas se entienden sin perjuicio de las obligaciones a las que está sujeto el responsable del tratamiento en virtud del Reglamento (UE) 2016/679.
(f) Estas Cláusulas no garantizan por sí mismas el cumplimiento de las obligaciones relacionadas con las transferencias internacionales de conformidad con el capítulo V del Reglamento (UE) 2016/679.
Cláusula 2: Invariabilidad de las Cláusulas
(a) Las Partes se comprometen a no modificar las Cláusulas, salvo para añadir información a los Apéndices o actualizar la información que contienen.
(b) Esto no impide a las Partes incluir las cláusulas contractuales estándar establecidas en estas Cláusulas en un contrato más amplio, o añadir otras cláusulas o salvaguardias adicionales siempre que no contradigan directa o indirectamente las Cláusulas o menoscaben los derechos o libertades fundamentales de los interesados.
Cláusula 3: Interpretación
(a) Cuando las presentes Cláusulas utilicen los términos definidos en el Reglamento (UE) 2016/679, dichos términos tendrán el mismo significado que en dicho Reglamento.
(b) Las presentes Cláusulas se leerán e interpretarán a la luz de las disposiciones del Reglamento (UE) 2016/679.
(c) Las presentes Cláusulas no se interpretarán de forma contraria a los derechos y obligaciones previstos en el Reglamento (UE) 2016/679 ni de forma que perjudique los derechos o libertades fundamentales de los interesados.
Cláusula 4: Jerarquía
En caso de contradicción entre estas Cláusulas y las disposiciones de los acuerdos relacionados entre las Partes existentes en el momento en que se acuerden estas Cláusulas o que se suscriban posteriormente, prevalecerán estas Cláusulas.
Cláusula 5: Cláusula de atraque
(a) Cualquier entidad que no sea parte de estas Cláusulas podrá, con el acuerdo de todas las Partes, adherirse a estas Cláusulas en cualquier momento como responsable del tratamiento o como encargado del mismo, completando los Apéndices y firmando el Apéndice I.
(b) Una vez cumplimentados y firmados los Apéndices de (a), la entidad que se adhiera será tratada como parte de estas Cláusulas y tendrá los derechos y obligaciones de un controlador o un procesador, de acuerdo con su designación en el Apéndice I.
(c) La entidad adherente no tendrá ningún derecho u obligación derivado de estas Cláusulas desde el periodo anterior a convertirse en Parte.
SECCIÓN II – OBLIGACIONES DE LAS PARTES
Cláusula 6: Descripción del tratamiento
Los detalles de las operaciones de tratamiento, en particular las categorías de datos personales y los fines del tratamiento para los que se tratan los datos personales por cuenta del responsable del tratamiento, se especifican en el Apéndice II.
Cláusula 7: Obligaciones de las Partes
7.1. Instrucciones
(a) El encargado del tratamiento sólo tratará los datos personales siguiendo instrucciones documentadas del responsable del tratamiento, a menos que así lo exija la legislación de la Unión o de los Estados miembros a la que esté sujeto el encargado. En este caso, el encargado del tratamiento informará al responsable del tratamiento de dicha exigencia legal antes del tratamiento, salvo que la ley lo prohíba por motivos importantes de interés público. El responsable del tratamiento también podrá dar instrucciones posteriores mientras dure el tratamiento de los datos personales. Estas instrucciones deberán estar siempre documentadas.
(b) El encargado del tratamiento informará inmediatamente al responsable del tratamiento si, a su juicio, las instrucciones dadas por el responsable del tratamiento infringen el Reglamento (UE) 2016/679 o las disposiciones de protección de datos de la Unión o de los Estados miembros aplicables.
7.2. Limitación de la finalidad
El encargado del tratamiento tratará los datos personales únicamente para la finalidad o finalidades específicas del tratamiento, establecidas en el apéndice II, salvo que reciba otras instrucciones del responsable del tratamiento.
7.3. Duración del tratamiento de los datos personales
El tratamiento por parte del encargado del mismo sólo tendrá lugar durante el tiempo especificado en el Apéndice II.
7.4. Seguridad del tratamiento
(a) El encargado del tratamiento aplicará, como mínimo, las medidas técnicas y organizativas especificadas en el apéndice III para garantizar la seguridad de los datos personales. Esto incluye la protección de los datos contra una violación de la seguridad que provoque su destrucción accidental o ilícita, su pérdida, su alteración, su divulgación no autorizada o el acceso a los mismos (violación de los datos personales). Al evaluar el nivel adecuado de seguridad, las Partes tendrán debidamente en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos que entraña para los interesados.
(b) El encargado del tratamiento sólo concederá acceso a los datos personales objeto de tratamiento a los miembros de su personal en la medida estrictamente necesaria para la ejecución, gestión y seguimiento del contrato. El encargado del tratamiento se asegurará de que las personas autorizadas a tratar los datos personales recibidos se hayan comprometido a mantener la confidencialidad o estén sometidas a una obligación legal adecuada de confidencialidad.
7.5. Datos sensibles
Si el tratamiento implica datos personales que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, o la pertenencia a un sindicato, datos genéticos o biométricos con el fin de identificar de forma inequívoca a una persona física, datos relativos a la salud o a la vida sexual u orientación sexual de una persona, o datos relativos a condenas e infracciones penales («datos sensibles»), el encargado del tratamiento aplicará restricciones específicas y/o garantías adicionales.
7.6 Documentación y cumplimiento
(a) Las partes deberán poder demostrar el cumplimiento de estas cláusulas.
(b) El encargado del tratamiento atenderá rápida y adecuadamente las consultas del responsable del tratamiento sobre el tratamiento de los datos de acuerdo con estas Cláusulas.
(c) El encargado del tratamiento pondrá a disposición del responsable del tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones que se establecen en estas Cláusulas y que se derivan directamente del Reglamento (UE) 2016/679. A petición del responsable, el encargado también permitirá y contribuirá a las auditorías de las actividades de tratamiento cubiertas por estas Cláusulas, a intervalos razonables o si hay indicios de incumplimiento. Al decidir sobre una revisión o una auditoría, el responsable del tratamiento podrá tener en cuenta las certificaciones pertinentes que posea el encargado.
(d) El responsable del tratamiento podrá optar por realizar la auditoría por sí mismo o encargarla a un auditor independiente. Las auditorías también podrán incluir inspecciones en los locales o instalaciones físicas del encargado del tratamiento y, en su caso, se llevarán a cabo con una antelación razonable.
(e) Las Partes pondrán la información mencionada en esta cláusula, incluidos los resultados de cualquier auditoría, a disposición de la(s) autoridad(es) de control competente(s) que lo solicite(n).
7.7. Uso de subencargados del tratamiento
(a) El encargado del tratamiento cuenta con la autorización general del responsable del tratamiento para la contratación de subencargados de una lista acordada. El encargado del tratamiento informará específicamente por escrito al responsable del tratamiento de cualquier cambio previsto en dicha lista mediante la adición o sustitución de subencargados con una semana de antelación como mínimo, dando así al responsable del tratamiento tiempo suficiente para poder oponerse a dichos cambios antes de la contratación del subencargado o subencargados en cuestión. El encargado del tratamiento facilitará al responsable del tratamiento la información necesaria para que éste pueda ejercer su derecho de oposición.
(b) Cuando el encargado del tratamiento contrate a un subencargado para llevar a cabo actividades específicas de tratamiento (por cuenta del responsable del tratamiento), lo hará mediante un contrato que imponga al subencargado, en esencia, las mismas obligaciones de protección de datos que las impuestas al encargado del tratamiento de conformidad con las presentes cláusulas. El encargado del tratamiento se asegurará de que el subencargado cumpla las obligaciones a las que está sujeto el encargado de conformidad con las presentes cláusulas y con el Reglamento (UE) 2016/679.
(c) A petición del responsable del tratamiento, el encargado facilitará una copia de dicho acuerdo de subencargado y de cualquier modificación posterior al responsable del tratamiento. En la medida necesaria para proteger el secreto comercial u otra información confidencial, incluidos los datos personales, el encargado del tratamiento podrá redactar el texto del acuerdo antes de compartir la copia.
(d) El encargado del tratamiento seguirá siendo plenamente responsable ante el responsable del tratamiento del cumplimiento de las obligaciones del subencargado de acuerdo con su contrato con el encargado. El encargado del tratamiento notificará al responsable del tratamiento cualquier incumplimiento de sus obligaciones contractuales por parte del subencargado.
(e) El encargado del tratamiento acordará con el subencargado del tratamiento una cláusula de tercero beneficiario en virtud de la cual -en caso de que el encargado del tratamiento haya desaparecido de hecho, haya dejado de existir jurídicamente o se haya declarado insolvente- el responsable del tratamiento tendrá derecho a rescindir el contrato de subencargado y a ordenar al subencargado del tratamiento que borre o devuelva los datos personales.
7.8. Transferencias internacionales
(a) Toda transferencia de datos a un tercer país o a una organización internacional por parte del encargado del tratamiento se realizará únicamente sobre la base de instrucciones documentadas del responsable del tratamiento o para cumplir un requisito específico en virtud de la legislación de la Unión o de los Estados miembros a la que esté sujeto el encargado del tratamiento y tendrá lugar de conformidad con el capítulo V del Reglamento (UE) 2016/679.
(b) El responsable del tratamiento acepta que, cuando el encargado contrate a un subencargado del tratamiento de conformidad con la cláusula 7.7. para llevar a cabo actividades de tratamiento específicas (por cuenta del responsable del tratamiento) y dichas actividades de tratamiento impliquen una transferencia de datos personales en el sentido del capítulo V del Reglamento (UE) 2016/679, el encargado y el subencargado del tratamiento pueden garantizar el cumplimiento del capítulo V del Reglamento (UE) 2016/679 mediante el uso de cláusulas contractuales tipo adoptadas por la Comisión de conformidad con el artículo 46, apartado 2, del Reglamento (UE) 2016/679, siempre que se cumplan las condiciones para el uso de dichas cláusulas contractuales tipo.
Cláusula 8: Asistencia al responsable del tratamiento
(a) El encargado del tratamiento notificará sin demora al responsable del tratamiento cualquier solicitud que haya recibido del interesado. No responderá a la solicitud por sí mismo, a menos que el responsable del tratamiento le autorice a hacerlo.
(b) El encargado del tratamiento asistirá al responsable del tratamiento en el cumplimiento de sus obligaciones de responder a las solicitudes de los interesados para ejercer sus derechos, teniendo en cuenta la naturaleza del tratamiento. En el cumplimiento de sus obligaciones de conformidad con las letras a) y b), el encargado del tratamiento deberá respetar las instrucciones del responsable del tratamiento.
(c) Además de la obligación del encargado del tratamiento de asistir al responsable del tratamiento con arreglo a la cláusula 8 (b), el encargado del tratamiento asistirá al responsable del tratamiento para garantizar el cumplimiento de las siguientes obligaciones, teniendo en cuenta la naturaleza del tratamiento de datos y la información de que dispone el encargado del tratamiento:
- 1 La obligación de realizar una evaluación del impacto de las operaciones de tratamiento previstas sobre la protección de los datos personales (una «evaluación de impacto sobre la protección de datos») cuando sea probable que un tipo de tratamiento suponga un alto riesgo para los derechos y libertades de las personas físicas;
- 2 La obligación de consultar a la(s) autoridad(es) de control competente(s) antes del tratamiento cuando una evaluación de impacto sobre la protección de datos indique que el tratamiento podría dar lugar a un riesgo elevado en ausencia de medidas adoptadas por el responsable del tratamiento para mitigar el riesgo;
- 3 La obligación de garantizar que los datos personales sean exactos y estén actualizados, informando sin demora al responsable del tratamiento si éste tiene conocimiento de que los datos personales que está tratando son inexactos o han quedado obsoletos;
- 4 Las obligaciones del artículo 32 del Reglamento (UE) 2016/679/.
(d) Las Partes establecerán en el apéndice III las medidas técnicas y organizativas adecuadas mediante las cuales el encargado del tratamiento debe asistir al responsable del tratamiento en la aplicación de la presente cláusula, así como el alcance y la extensión de la asistencia requerida.
Cláusula 9: Notificación de la violación de datos personales
En caso de violación de datos personales, el encargado del tratamiento cooperará con el responsable del tratamiento y le prestará asistencia para que este cumpla sus obligaciones en virtud de los artículos 33 y 34 del Reglamento (UE) 2016/679, cuando proceda, teniendo en cuenta la naturaleza del tratamiento y la información de que dispone el encargado.
9.1 Violación de datos relativa a los datos tratados por el responsable del tratamiento
(a) En caso de violación de los datos personales relativos a los datos tratados por el responsable del tratamiento, el encargado del tratamiento ayudará al responsable del tratamiento
a notificar la violación de los datos personales a la(s) autoridad(es) de control competente(s), sin demora indebida después de que el responsable del tratamiento haya tenido conocimiento de ella, cuando sea pertinente/(a menos que sea improbable que la violación de los datos personales suponga un riesgo para los derechos y libertades de las personas físicas);
(b) en la obtención de la siguiente información que, de conformidad con el artículo 33, apartado 3, del Reglamento (UE) 2016/679/, se hará constar en la notificación del responsable del tratamiento, y deberá incluir al menos:
- 1la naturaleza de los datos personales, incluyendo, cuando sea posible, las categorías y el número aproximado de interesados afectados y las categorías y el número aproximado de registros de datos personales afectados;
- 2 las consecuencias probables de la violación de los datos personales
- 3 las medidas adoptadas o propuestas por el responsable del tratamiento para hacer frente a la violación de los datos personales, incluidas, en su caso, las medidas para mitigar sus posibles efectos adversos.
Cuando, y en la medida en que, no sea posible proporcionar toda esta información al mismo tiempo, la notificación inicial contendrá la información disponible en ese momento y, posteriormente, a medida que esté disponible, se proporcionará más información sin demora injustificada.
(d) en el cumplimiento, de conformidad con el artículo 34 del Reglamento (UE) 2016/679, de la obligación de comunicar sin dilación indebida la violación de los datos personales al interesado, cuando sea probable que la violación de los datos personales dé lugar a un alto riesgo para los derechos y libertades de las personas físicas.
9.2 Violación de datos relativos a los datos tratados por el encargado del tratamiento
En caso de violación de los datos personales relativos a los datos tratados por el encargado del tratamiento, éste notificará al responsable del tratamiento sin demora indebida una vez que haya tenido conocimiento de la violación. Dicha notificación contendrá, como mínimo
(a) una descripción de la naturaleza de la violación (incluyendo, cuando sea posible, las categorías y el número aproximado de interesados y registros de datos afectados);
(b) los datos de un punto de contacto en el que pueda obtenerse más información sobre la violación de los datos personales
(c) sus probables consecuencias y las medidas adoptadas o propuestas para hacer frente a la violación, incluida la mitigación de sus posibles efectos adversos.
Cuando, y en la medida en que, no sea posible proporcionar toda esta información al mismo tiempo, la notificación inicial contendrá la información disponible en ese momento y, posteriormente, se proporcionará más información, a medida que esté disponible, sin demoras indebidas.
Las Partes establecerán en el apéndice III todos los demás elementos que debe proporcionar el encargado del tratamiento cuando asista al responsable del tratamiento en el cumplimiento de las obligaciones de éste en virtud de los artículos 33 y 34 del Reglamento (UE) 2016/679.
SECCIÓN III – DISPOSICIONES FINALES
Cláusula 10: Incumplimiento de las cláusulas y rescisión
(a) Sin perjuicio de lo dispuesto en el Reglamento (UE) 2016/679, en caso de que el encargado del tratamiento incumpla las obligaciones que le incumben en virtud de las presentes Cláusulas, el responsable del tratamiento podrá ordenar al encargado que suspenda el tratamiento de los datos personales hasta que este último cumpla las presentes Cláusulas o se resuelva el contrato. El encargado del tratamiento informará sin demora al responsable del tratamiento en caso de que no pueda cumplir las presentes cláusulas, sea cual sea el motivo.
(b) El responsable del tratamiento tendrá derecho a rescindir el contrato en la medida en que se refiera al tratamiento de datos personales de conformidad con estas Cláusulas si
- 1 el tratamiento de datos personales por parte del encargado ha sido suspendido por el responsable del tratamiento de acuerdo con la letra (a) y si no se restablece el cumplimiento de estas Cláusulas en un plazo razonable y, en todo caso, en el plazo de un mes desde la suspensión;
- 2 el encargado del tratamiento incumple de forma sustancial o persistente las presentes Cláusulas o sus obligaciones en virtud del Reglamento (UE) 2016/679;
- 3 el encargado del tratamiento no cumple una decisión vinculante de un tribunal competente o de la/s autoridad/es de control competente/s en relación con sus obligaciones en virtud de las presentes cláusulas o del Reglamento (UE) 2016/679.
(c) El encargado del tratamiento tendrá derecho a rescindir el contrato en la medida en que se refiera al tratamiento de datos personales con arreglo a las presentes cláusulas cuando, tras haber informado al responsable del tratamiento de que sus instrucciones infringen los requisitos legales aplicables de conformidad con la cláusula 7.1 b), el responsable del tratamiento insista en el cumplimiento de las instrucciones.
(d) Tras la finalización del contrato, el encargado del tratamiento deberá, a elección del responsable del tratamiento, eliminar todos los datos personales tratados por cuenta del responsable del tratamiento y certificar al responsable del tratamiento que lo ha hecho, o bien, devolver todos los datos personales al responsable del tratamiento y eliminar las copias existentes, a menos que la legislación de la Unión o de los Estados miembros exija la conservación de los datos personales. Hasta que se eliminen o devuelvan los datos, el encargado del tratamiento seguirá garantizando el cumplimiento de estas cláusulas.
APÉNDICE I – LISTA DE PARTES
Responsable del procesamiento:
Nombre: Lumiform GmbH
Dirección: Torstraße 201, 10115 Berlin
Nombre de la persona que procesa: Lukas Roelen-Blasberg, fundador y director general, lukas.blasberg@lumiformapp.com
APÉNDICE II – DESCRIPCIÓN DEL TRATAMIENTO
(a) Categorías de interesados cuyos datos personales se tratan
Las categorías de interesados cuyos datos personales se tratan pueden variar en función de la actividad del Responsable del Tratamiento. No obstante, pueden comprender, en particular, las siguientes categorías:
- Empleados
- Proveedores
- Clientes
- Consultores
- Solicitantes de empleo
(b) Categorías de datos personales tratados
Las categorías de datos personales tratados pueden variar en función de la actividad del Responsable del Tratamiento. No obstante, pueden comprender, en particular, las siguientes categorías:
- Nombre
- Dirección
- Firma
- Datos de salud
(c) Naturaleza del tratamiento
La naturaleza del tratamiento puede incluir el almacenamiento, la estructuración y la modificación de los datos proporcionados.
(d) Finalidad del tratamiento de los datos personales por cuenta del responsable del tratamiento
La finalidad del tratamiento de los datos personales por cuenta del responsable del tratamiento se desprende del respectivo Acuerdo entre las partes y contiene, en particular, la creación de formularios y usuarios.
(e) Duración del tratamiento
La duración del tratamiento de los datos se corresponderá con el respectivo Acuerdo entre las Partes.
APÉNDICE III – MEDIDAS TÉCNICAS Y ORGANIZATIVAS QUE INCLUYEN MEDIDAS TÉCNICAS Y ORGANIZATIVAS PARA GARANTIZAR LA SEGURIDAD DE LOS DATOS
Las Medidas Técnicas y Organizativas serán proporcionadas a petición de los interesados.
APÉNDICE IV – LISTA DE SUBPROCESADORES
El responsable del tratamiento ha autorizado el uso de los siguientes subprocesadores:
| Nombre del subcontratista | Dirección | Trabajo a realizar | Remisión internacional (si procede) |
|---|---|---|---|
| Amazon Web Services | Amazon Web Services Inc. 410 Terry Avenue North Seattle, WA 98109 USA | Data hosting | – |
| Datadog | Datadog, Inc. 620 8th Ave 45th Floor New York, NY 10018 USA | Storage of technical logs, monitoring | – |
| Sentry | Sentry 45 Fremont Street, 8th Floor San Francisco, CA 94105 USA | Storage of technical logs, monitoring | USA |
| Google LLC 1600 Amphitheatre Parkway Mountain View, CA 94043 USA | Document management, email, analytics, A/B testing | USA | |
| Intercom | Intercom, Inc. 55 2nd Street, 4th Fl. San Francisco, CA 94105 USA | Analysis of user onboarding data, tool onboarding | USA |
| Mixpanel | Mixpanel, Inc. One Front Street, 28th Floor San Francisco, CA 94111 USA | User data analysis | – |
| HubSpot | HubSpot Germany GmbH Am Postbahnhof 17, 10243 Berlin Germany | Customer relationship management, Marketing Nurturing System, Customer Support System | USA |
| Sendgrid | SendGrid Inc. 1801 California Street, Suite 500 Denver, CO 80202 USA | Email service provider | USA |
| Stripe | Stripe Payments Europe, Limited The One Building 1 Grand Canal Street Lower, Dublin 2 Ireland | Payment processing | – |
| Chartmogul | ChartMogul CMTDE GmbH & Co. KG Kemperplatz 1 Berlin, Berlin 10785 Germany | Subscription data platform, payment analytics | – |
| Usercentrics | Usercentrics GmbH Sendlinger Street 7 80331 Munich Germany | Consent Management Platforms (CMP) | – |
| Hotjar | Hotjar Ltd Dragonara Business Centre 5th Floor, Dragonara Road, Paceville St Julian’s STJ 3141 Malta | Website Heatmaps & Behavior Analytics Tools | – |
| Twilio | Twilio Germany GmbH Rosenheimer Str. 143C 81671 München Germany | Cloud communication platform for outgoing calls | – |
| Aircall | Aircall SAS 11 Rue Saint-Georges 75009 Paris France | Cloud telephone system | – |
| Slack | Slack Technologies Limited One Park Place, Upper Hatch Street, Dublin 2 Ireland | Internal communication tool | – |
| Nexmo | Nexmo Limited 25 Canada Square Level 37 London, England, E14 5LQ | Cloud web and mobile testing platform | USA |
| Jira | Atlassian. Pty Ltd Level 6, 341 George Street Sydney NSW 2000 Australia | Issue and Project Tracking Software | USA |