Acuerdo sobre el tratamiento de datos por encargo (AVV)
Acuerdo sobre el tratamiento de datos por encargo (AVV)
De conformidad con el artículo 28, apartado 3, del Reglamento General de Protección de Datos (RGPD)
1. Objeto y duración del tratamiento
1.1 El objeto del acuerdo son los derechos y obligaciones de las partes en el marco de la prestación de servicios de conformidad con las Condiciones Generales de Contratación (en adelante, «contrato principal») y, en particular, el uso del software propform.io para la creación de formularios web propios, en la medida en que se lleve a cabo un tratamiento de datos personales por parte de maklerform UG (de responsabilidad limitada) (en lo sucesivo, el «encargado») como encargado del tratamiento para el cliente como responsable del tratamiento (en lo sucesivo, el «cliente») de conformidad con el artículo 28 del RGPD. Esto incluye todas las actividades que el encargado realice para el cumplimiento del encargo y que constituyan un tratamiento por encargo. Esto se aplica también en la medida en que el encargo no haga referencia expresa al presente acuerdo de tratamiento por encargo. Los servicios prestados por el cliente se derivan de las condiciones generales de contratación y de los paquetes y tarifas descritos en ellas. El paquete de servicios contratado por el cliente (por ejemplo, Basic, Premium, Enterprise) forma parte integrante del presente contrato.
1.2 El presente contrato se celebra por tiempo indefinido y está vinculado al contrato principal, en virtud del cual el contratista trata datos personales del cliente por encargo. Mientras este esté en vigor, las disposiciones del presente contrato seguirán siendo aplicables hasta la rescisión ordinaria del contrato principal o de los contratos principales.
1.3 El cliente podrá rescindir el presente contrato sin previo aviso si se produce un incumplimiento grave por parte del contratista de las normas de protección de datos o de las disposiciones del presente contrato. En particular, el incumplimiento de las obligaciones acordadas en el presente contrato y derivadas del artículo 28 del RGPD constituye un incumplimiento grave.
2. Naturaleza y finalidad del tratamiento
2.1 La naturaleza del tratamiento abarca todos los tipos de tratamientos en el sentido del RGPD para el cumplimiento del encargo. En el marco del encargo, el contratista trata diversos datos para el cliente. Estos datos se almacenan provisionalmente en el contratista para su posterior tratamiento por parte del cliente. Los datos se almacenan dentro del software propform.io y se guardan en el software CRM para agentes inmobiliarios del cliente a través de una API.
2.2 El software ofrece al cliente un sistema modular para formularios web. Tras la publicación de un formulario web por parte del cliente, este puede recopilar diversos datos mediante dicho formulario. El cliente puede determinar, durante la creación del formulario web, qué datos deben recopilarse.
2.3 Los fines del tratamiento son todos aquellos necesarios para la prestación del servicio acordado contractualmente.
3. Tipo de datos personales
3.1 El tipo de datos que el contratista trata en nombre del cliente no puede definirse de forma exhaustiva, ya que depende de los formularios web y de las preguntas que figuren en el formulario web del cliente.
3.2 Normalmente, a través del software del contratista se generan los siguientes datos:
• Datos de contacto profesionales y de organización (laboral): p. ej., apellidos, nombre, dirección, dirección de correo electrónico, número de teléfono, número de móvil, tamaño de la empresa, cargo, puesto, etc.
• Datos de contacto e identificación privados: p. ej., apellidos, nombre, sexo, dirección, dirección de correo electrónico, número de teléfono, número de móvil, fecha y lugar de nacimiento, cargo, etc.
• Datos inmobiliarios: p. ej., dirección, coordenadas, año de construcción, superficie habitable, superficie del terreno, precios de oferta, equipamiento, etc.
4. Círculo de interesados
4.1 El ámbito de los interesados cuyos datos trata el contratista en nombre del cliente no puede definirse de forma exhaustiva, ya que depende de los formularios web y de la visualización de los formularios web del cliente.
4.2 Normalmente, se consideran grupos de interesados los siguientes:
• Empleados del cliente/del responsable: empleados propios del cliente/del responsable (p. ej., trabajadores, aprendices, solicitantes de empleo, antiguos empleados).
• Clientes y proveedores del cliente/del responsable: personas que mantienen una relación comercial con el cliente (p. ej., clientes, proveedores).
• Terceros: cualquier persona que no mantenga una relación comercial con la empresa en cuestión (el responsable del tratamiento) (por ejemplo, visitantes, invitados, personas interesadas).
5. Medidas técnicas y organizativas
5.1 El contratista se compromete ante el cliente a cumplir las medidas técnicas y organizativas necesarias para el cumplimiento de la normativa de protección de datos aplicable. Esto incluye, en particular, los requisitos del art. 32 del RGPD.
5.2 El estado de las medidas técnicas y organizativas vigentes en el momento de la celebración del contrato se adjunta como anexo 1 al presente contrato.
5.3 El contratista deberá garantizar la seguridad de conformidad con el art. 28, apartado 3, letra c), y el art. 32 del RGPD, en particular en relación con el art. 5, apartados 1 y 2, del RGPD. En general, las medidas que deben adoptarse son medidas de seguridad de los datos y destinadas a garantizar un nivel de protección adecuado al riesgo en lo que respecta a la confidencialidad, la integridad, la disponibilidad y la resiliencia de los sistemas. Para ello, se tendrán en cuenta el estado de la técnica, los costes de implementación y la naturaleza, el alcance y los fines del tratamiento, así como la probabilidad y la gravedad del riesgo para los derechos y libertades de las personas físicas en el sentido del artículo 32, apartado 1, del RGPD (detalles en el anexo 1).
5.4 Las medidas técnicas y organizativas están sujetas al progreso técnico y a la evolución. En este sentido, se permite al contratista aplicar medidas alternativas adecuadas. No obstante, el nivel de seguridad de las medidas establecidas no podrá ser inferior. Los cambios sustanciales deberán documentarse.
6. Responsabilidad
6.1 En el marco del presente contrato, el cliente es el único responsable del cumplimiento de las disposiciones legales de las leyes de protección de datos, en particular de la licitud de la transmisión de datos al contratista, así como de la licitud del tratamiento de datos («responsable del tratamiento» en el sentido del artículo 4, apartado 7, del RGPD). Esto se aplica también en lo que respecta a los fines y medios del tratamiento regulados en el presente acuerdo.
6.2 El tratamiento de datos acordado contractualmente se llevará a cabo exclusivamente en un Estado miembro de la Unión Europea o en otro Estado parte del Acuerdo sobre el Espacio Económico Europeo, salvo que sea necesario transferir los datos a terceros países para la prestación del servicio. Cualquier traslado a un tercer país requerirá el consentimiento previo del cliente y solo podrá realizarse si se cumplen los requisitos específicos de los artículos 44 y siguientes del RGPD.
7. Tratamiento conforme a instrucciones documentadas
7.1 Las instrucciones se establecen inicialmente en el contrato principal y, posteriormente, el cliente podrá modificarlas por escrito o en formato electrónico (forma escrita) mediante instrucciones individuales (instrucción individual). Las instrucciones verbales deberán confirmarse inmediatamente por escrito o en forma escrita. Tanto el cliente como el contratista deberán documentar las instrucciones. En caso de propuestas de modificación, el contratista informará al cliente de las repercusiones que ello tendrá en los servicios acordados, en particular en la posibilidad de prestar los servicios, los plazos y la remuneración.
7.2 Si la aplicación de la instrucción no es razonable para el contratista, este tendrá derecho a poner fin al tratamiento. Se considerará que existe una situación de irrazonabilidad, en particular, cuando los servicios se presten en una infraestructura utilizada por varios clientes del contratista y no sea posible o razonable modificar el tratamiento para clientes individuales.
8. Obligaciones generales del contratista
8.1 En la medida en que el contratista esté obligado, con arreglo al artículo 37 del RGPD, a designar a un delegado de protección de datos, este deberá ejercer sus funciones de conformidad con los artículos 38 y 39 del RGPD. El contratista no está obligado, según las disposiciones legales, a designar un delegado de protección de datos, ya que emplea a menos de 20 personas en el tratamiento permanente de datos personales. Por lo tanto, actualmente no se procede a su designación. En caso de que surja dicha obligación en el futuro, el contratista informará de ello al cliente sin demora.
8.2 El contratista tratará los datos personales exclusivamente en el marco de los acuerdos celebrados y/o de conformidad con las instrucciones complementarias que, en su caso, haya impartido el cliente. Quedan excluidas de esta disposición las normas legales que, en su caso, obliguen al contratista a un tratamiento diferente. En tal caso, el contratista comunicará al cliente estos requisitos legales antes del tratamiento, siempre que la legislación en cuestión no prohíba dicha comunicación por un interés público importante. Por lo demás, la finalidad, la naturaleza y el alcance del tratamiento de datos se regirán exclusivamente por el presente contrato y/o las instrucciones del cliente. El contratista tiene prohibido cualquier tratamiento de datos que se desvíe de lo anterior, salvo que el cliente lo haya consentido por escrito.
8.3 El contratista garantiza, en el ámbito del tratamiento de datos personales conforme al encargo, la ejecución contractual de todas las medidas acordadas.
8.4 El contratista está obligado a organizar su empresa y sus procesos operativos de tal manera que los datos que trate por encargo del cliente estén protegidos en la medida necesaria y a salvo del acceso no autorizado de terceros.
8.5 El contratista informará inmediatamente al cliente si, en su opinión, una instrucción dada por este último infringe las disposiciones legales. El contratista tendrá derecho a suspender la ejecución de la instrucción en cuestión hasta que el cliente la confirme o la modifique. Si el contratista puede demostrar que el tratamiento conforme a las instrucciones del cliente puede dar lugar a una responsabilidad del contratista con arreglo al artículo 82 del RGPD, el contratista tendrá derecho a suspender el tratamiento posterior hasta que se aclare la responsabilidad entre las partes.
9. Obligaciones de asistencia del contratista
9.1 El contratista adoptará las medidas técnicas y organizativas adecuadas (anexo 1), teniendo en cuenta la naturaleza del tratamiento, para apoyar al cliente en su obligación de responder a las solicitudes de los interesados con arreglo a los artículos 12 a 22 del RGPD.
9.2 Teniendo en cuenta la naturaleza del tratamiento y la información de que disponga, el encargado prestará apoyo al responsable del tratamiento en el cumplimiento de sus obligaciones con arreglo a los artículos 32 a 36 del RGPD. En concreto, en lo que respecta a la seguridad del tratamiento, a la notificación de violaciones a la autoridad de control, a la notificación a los interesados en caso de violación, a la evaluación de impacto relativa a la protección de datos y a la consulta a la autoridad de control competente. El contratista tendrá derecho a exigir al cliente una remuneración adecuada por estos servicios, siempre que la asistencia no sea necesaria debido a un incumplimiento legal o contractual por parte del contratista. El contratista facilitará al cliente por adelantado información sobre los costes.
9.3 Si un interesado se dirige al contratista con solicitudes de rectificación, supresión o acceso a la información, el contratista remitirá al interesado al cliente, siempre que sea posible identificarlo según la información facilitada por el interesado. El contratista remitirá sin demora la solicitud del interesado al cliente. El contratista prestará apoyo al cliente en la medida de sus posibilidades. El contratista no se hace responsable si el cliente no responde a la solicitud de la persona afectada, o lo hace de forma incorrecta o fuera de plazo.
10. Derechos de inspección del cliente
10.1 El cliente tiene derecho a realizar inspecciones, de común acuerdo con el contratista, o a encargarlas a auditores que se designarán en cada caso concreto. Tiene derecho a comprobar, mediante controles aleatorios —que, por regla general, deberán notificarse con antelación—, el cumplimiento del presente acuerdo por parte del contratista en el marco de sus actividades comerciales.
10.2 El contratista facilitará al cliente, a petición de este, toda la información necesaria para acreditar el cumplimiento de las obligaciones establecidas en el presente contrato y en el artículo 28 del RGPD. En particular, el contratista proporcionará al cliente información sobre los datos almacenados y los programas de tratamiento de datos.
10.3 El contratista deberá proporcionar al cliente, previa solicitud, pruebas adecuadas del cumplimiento de las obligaciones previstas en el artículo 28, apartados 1 y 4, del RGPD. Esta prueba podrá aportarse mediante la presentación de documentos y certificados que reflejen códigos de conducta aprobados en el sentido del artículo 40 del RGPD o procedimientos de certificación aprobados en el sentido del artículo 42 del RGPD.
11. Confidencialidad
11.1 El contratista confirma que conoce las disposiciones de protección de datos del RGPD pertinentes para el tratamiento por encargo. Al tratar los datos personales del cliente, garantizará el secreto de los datos y la confidencialidad. Esta obligación seguirá vigente incluso tras la finalización de la presente relación contractual.
11.2 El contratista garantiza que familiarizará a los empleados que participen en la ejecución de los trabajos con las disposiciones de protección de datos que les sean aplicables. Obligará a dichos empleados, mediante acuerdo escrito, a mantener la confidencialidad durante el tiempo que dure la actividad y también tras la finalización de la relación laboral, siempre que no estén sujetos a un deber legal de confidencialidad adecuado. El contratista supervisará el cumplimiento de las normas de protección de datos en su empresa.
11.3 El contratista solo podrá facilitar información a terceros previo consentimiento por escrito, o consentimiento en formato electrónico, del cliente.
12. Obligaciones de información del contratista y violación de la protección de datos personales
12.1 El contratista informará inmediatamente al cliente de cualquier infracción o presunta infracción del presente contrato o de las normas relativas a la protección de datos personales.
12.2 El contratista prestará su apoyo al cliente en la investigación, la minimización de daños y la subsanación de las infracciones.
12.3 Si los datos personales tratados en virtud del presente acuerdo se vieran amenazados en poder del contratista por embargo o incautación, por un procedimiento de insolvencia o de conciliación, o por otros acontecimientos o medidas de terceros, el contratista deberá informar de ello inmediatamente al cliente. El contratista informará también de inmediato a todas las autoridades pertinentes en este contexto de que la titularidad de los datos recae en el cliente.
12.4 En la medida en que las autoridades de control de protección de datos lleven a cabo inspecciones, el contratista se compromete a comunicar el resultado al cliente, en la medida en que afecte al tratamiento de los datos personales en virtud del presente contrato. El contratista subsanará sin demora las deficiencias constatadas en el informe de inspección e informará de ello al cliente.
12.5 El presente apartado 10 se aplicará mutatis mutandis a los casos relacionados con procesos ejecutados por subcontratistas.
13. Subcontratistas
13.1 Se recurrirá a subcontratistas para ejecutar el encargo del cliente. A continuación se enumeran todos los subcontratistas.
• IONOS SE, Elgendorfer Str. 57, 56410 Montabaur: Alojamiento del dominio y del servidor (ubicación del servidor: Alemania)
13.2 El contratista podrá contratar a otros subcontratistas si sus servicios le ayudan a cumplir con el encargo. Informará al cliente por escrito de cualquier cambio previsto en relación con la incorporación o sustitución de otros subcontratistas, lo que dará al cliente la posibilidad de oponerse a dichos cambios en un plazo de dos semanas. Si el cliente se opone a los cambios, ambas partes tendrán derecho a la rescisión extraordinaria de la relación contractual general a partir de la fecha de la oposición. La aplicación de la rescisión extraordinaria se regula en las condiciones generales del contratista. A tal fin, el contratista enviará al cliente por escrito la siguiente información: descripción del cambio previsto, nombre y dirección del subcontratista; qué servicios debe prestar el subcontratista, el tipo de datos personales y la categoría de los interesados.
13.3 El contratista deberá garantizar contractualmente que las disposiciones acordadas en el presente contrato se apliquen también a los subcontratistas. El contrato del contratista con el subcontratista deberá celebrarse por escrito o en formato electrónico.
13.4 Solo se contratará a subcontratistas en terceros países si se cumplen los requisitos especiales de los artículos 44 y siguientes del RGPD.
13.5 El contratista garantizará que el cliente tenga frente al subcontratista los mismos derechos de instrucción y control que frente al contratista en virtud del presente contrato. Si un subcontratista incumple sus obligaciones en materia de protección de datos, el contratista responderá ante el cliente por el cumplimiento de las obligaciones de dicho subcontratista.
14. Supresión de datos personales
14.1 Una vez finalizados los servicios de tratamiento acordados en el contrato principal, el contratista estará obligado a suprimir todos los datos personales que haya recibido en el marco del tratamiento por encargo. Esto incluye, en particular, los resultados del tratamiento de datos, los documentos y soportes de datos cedidos, así como las copias de los datos personales. No existirá la obligación de supresión si el contratista está legalmente obligado, en virtud de la legislación de la UE o de los Estados miembros, a seguir conservando los datos. Si existe una obligación de conservación, el contratista deberá limitar el tratamiento de los datos personales y utilizar los datos únicamente para los fines para los que existe la obligación de conservación. Las obligaciones relativas a la seguridad del tratamiento seguirán vigentes durante el período de conservación. El contratista deberá suprimir los datos sin demora tan pronto como cese la obligación de conservación.
14.2 La supresión deberá realizarse de tal manera que los datos no sean recuperables.
15. Responsabilidad
15.1 El cliente y el contratista responderán frente a terceros, con arreglo al artículo 82, apartado 1, del RGPD, por los daños materiales e inmateriales que sufra una persona como consecuencia de una infracción del RGPD. Si tanto el cliente como el contratista son responsables de dichos daños de conformidad con el artículo 82, apartado 2, del RGPD, las partes responderán entre sí por dichos daños en proporción a su parte de responsabilidad. Si, en tal caso, una persona reclama una indemnización por daños y perjuicios total o mayoritariamente a una de las partes, esta podrá exigir a la otra parte la exención de responsabilidad o la indemnización, en la medida en que corresponda a su parte de responsabilidad.
15.2 El contratista prestará apoyo al cliente con toda la información de que disponga si el cliente se ve sometido a un procedimiento sancionador o penal, a una reclamación de responsabilidad de un interesado o de un tercero, o a cualquier otra reclamación relacionada con el tratamiento por encargo realizado por el contratista.
15.3 El contratista responderá, en el marco de las disposiciones legales, por los daños que se deriven de un comportamiento culposo contra las normas de protección de datos o contra el presente acuerdo de protección de datos.
16. Disposiciones finales
16.1 Queda excluida la excepción del derecho de retención en el sentido del artículo 273 del Código Civil alemán (BGB) en lo que respecta a los datos tratados para el cliente.
16.2 Las modificaciones o acuerdos complementarios deberán realizarse por escrito o en formato electrónico. Esto se aplica también a las modificaciones de este requisito de forma.
16.3 Si alguna disposición del presente acuerdo resultara ineficaz, ello no afectará a la eficacia de las demás disposiciones del acuerdo.
Anexo 1: Medidas técnicas y organizativas del contratista
El contratista adoptará las siguientes medidas técnicas y organizativas para la seguridad de los datos en el sentido del art. 32 del RGPD.
1. CONFIDENCIALIDAD (art. 32, apartado 1, letra b) del RGPD)
1.1 Control de acceso
El contratista adoptará, entre otras, las siguientes medidas para impedir el acceso de personas no autorizadas a las instalaciones de tratamiento de datos en las que se procesan o utilizan datos:
• Sistema de barreras de varios niveles: acceso al edificio, acceso a la unidad organizativa dentro del edificio. Para el acceso se requieren diferentes llaves, que solo están a disposición de las personas autorizadas para cada acceso.
• Cerraduras de seguridad
• Normativa sobre llaves (entrega y devolución de llaves)
• Ronda de control al salir del recinto
• Acompañamiento de visitantes y proveedores de servicios
• Videovigilancia de la zona exterior
1.2 Control de acceso
El contratista adoptará, entre otras, las siguientes medidas para impedir el uso no autorizado de los equipos de procesamiento de datos:
• Autenticación segura mediante contraseñas seguras y actualizadas periódicamente para todos los sistemas (sistema de desarrollo, servidor, base de datos, administración de dominios).
• Requisitos para las contraseñas y su cambio
• Autenticación de dos factores (2FA) para el acceso a sistemas críticos
• Uso de cortafuegos y bloqueadores de IP a nivel de servidor y de base de datos para impedir el acceso no autorizado y las posibles amenazas procedentes de direcciones IP no autorizadas.
• Uso de Fail2ban
• Las contraseñas solo se almacenan tras su conversión mediante funciones unidireccionales (funciones hash). El acceso a los datos de contraseñas convertidos está protegido mediante conceptos de autorización y solo se permite a los empleados con la responsabilidad correspondiente.
• Concepto de derechos y roles (principio de «necesidad de conocer»)
• Cerraduras de seguridad
• Regulación de llaves (entrega y devolución de llaves)
• Los visitantes y los proveedores de servicios van acompañados
• Cifrado de soportes de datos móviles y ordenadores
• Uso de software antivirus
1.3 Control de acceso
El contratista adoptará, entre otras, las siguientes medidas para impedir la lectura, copia, modificación o eliminación no autorizadas dentro del sistema:
• Concepto de derechos y roles (principio de «necesidad de conocer»)
• Reducción del número de administradores al mínimo imprescindible
• Requisitos para las contraseñas y los cambios de contraseña
• Cifrado de soportes de datos móviles y ordenadores
• Destrucción adecuada de soportes de datos físicos y medios (p. ej., trituradora)
1.4 Control de separación
El contratista adoptará, entre otras, las siguientes medidas para garantizar el tratamiento separado de los datos recopilados con fines distintos:
• Separación entre entornos local, de desarrollo, de pruebas y de producción (sistema en vivo)
• Concepto de derechos y roles (principio de necesidad de conocer)
• Separación del almacenamiento de datos en forma de separación lógica de datos con cuentas específicas para cada cliente
• Almacenamiento cifrado de todos los datos enviados a través de formularios creados por los clientes
1.5 Seudonimización
El contratista adoptará, entre otras, las siguientes medidas para tratar los datos personales, siempre que sea posible, de manera que no puedan ser identificados sin información adicional:
• Los datos personales se cifran mediante un código alfanumérico aleatorio antes de almacenarlos en la base de datos
• Elección adecuada de las claves de seudonimización
1.6 Cifrado
El contratista adoptará, entre otras, las siguientes medidas para convertir el texto en claro en texto cifrado ilegible mediante claves:
• Elección adecuada del método de cifrado (AES-256)
• Cifrado de los ordenadores de desarrollo y las copias de seguridad
• Registro automático del uso de las claves
• Control de acceso (principio de «necesidad de conocer»)
• Gestión de claves segura y a prueba de fallos
2. INTEGRIDAD (art. 32, apartado 1, letra b) del RGPD)
2.1 Control de la transmisión
El contratista adoptará, entre otras, las siguientes medidas para impedir la lectura, copia, modificación o supresión no autorizadas durante la transmisión o el transporte electrónicos:
• Todas las transmisiones de datos se realizan mediante protocolos cifrados (HTTPS) para proteger la integridad y la confidencialidad de los datos (cifrado SSL de la comunicación de datos)
• Cifrado del correo electrónico de conformidad con los requisitos legales (IMAPS, STMPS, STARTTLS, SSL)
• Prevención de inyecciones SQL y cross-site scripting: uso de sentencias preparadas y parametrización de consultas, validación y saneamiento de entradas, uso de cortafuegos de aplicaciones web (WAF)
2.2 Control de entradas
El contratista adoptará, entre otras, las siguientes medidas para garantizar que se pueda verificar y determinar a posteriori si se han introducido, modificado o eliminado datos en los sistemas de tratamiento de datos, y quién lo ha hecho:
• Registro de todos los cambios (introducción, modificación y eliminación de datos) en el código y en los conjuntos de datos
2.3 Integridad de los datos en caso de fallos de funcionamiento
Garantizar que los datos personales almacenados no puedan resultar dañados por fallos del sistema:
• Se instalan actualizaciones, mejoras y parches de forma regular
• Se realizan copias de seguridad periódicas (p. ej., servidores, bases de datos, código fuente)
• El nuevo software o las nuevas versiones se prueban en entornos de prueba para evitar este tipo de fallos.
3. DISPONIBILIDAD Y RESILIENCIA (art. 32, apartado 1, letras b) y c) del RGPD)
3.1 Control de la disponibilidad
El contratista adoptará, entre otras, las siguientes medidas para garantizar que los datos estén protegidos contra la destrucción o pérdida accidental o intencionada:
• Actualizaciones periódicas y gestión de parches: actualización periódica de todos los sistemas (servidores, sistemas y entornos de desarrollo, software de bases de datos, lenguajes de programación, marcos de trabajo, software antivirus, etc.) con los parches de seguridad más recientes, previa prueba en el sistema local y de desarrollo.
• Uso de software de cortafuegos y antivirus para la protección frente a amenazas externas.
• Uso de Fail2ban
• Copias de seguridad periódicas
• Uso de software antivirus
• Uso de cortafuegos
• Realización de pruebas de penetración internas y externas a intervalos regulares
3.2 Recuperabilidad
El contratista adoptará, entre otras, las siguientes medidas para garantizar que la disponibilidad de los datos personales y el acceso a los mismos puedan restablecerse rápidamente en caso de incidente físico o técnico:
• Elaboración de un plan de emergencia
• Copias de seguridad periódicas/redundancias
3.3 Mantenimiento y actualización
• Actualizaciones periódicas y gestión de parches: actualización periódica de todos los sistemas (servidores, sistemas y entornos de desarrollo, software de bases de datos, lenguajes de programación, marcos de trabajo, software antivirus, etc.) con los últimos parches de seguridad, previa realización de pruebas en el sistema local, de desarrollo y de pruebas.
• Realización de pruebas automáticas y manuales durante el desarrollo
• Uso de entornos de prueba antes de la puesta en marcha de cambios en el código y actualizaciones
• Supervisión constante de los sistemas en lo que respecta al registro y la notificación al administrador en caso de fallos en el funcionamiento de producción
4. PROCEDIMIENTOS DE REVISIÓN, ANÁLISIS Y EVALUACIÓN PERIÓDICOS (art. 32, apartado 1, letra d) del RGPD; art. 25, apartado 1 del RGPD)
4.1 Gestión de la protección de datos
• Nombramiento de un delegado de protección de datos, siempre que el contratista esté legalmente obligado a ello
• Nombramiento de coordinadores de protección de datos, siempre que el tamaño y la estructura de la empresa del contratista así lo requieran
• Registro de actividades de tratamiento
• Medidas de formación y sensibilización de los empleados
• Compromiso de confidencialidad de los empleados
• Procesos definidos y documentados
• Instrucciones de trabajo / políticas relacionadas con la protección de datos
• Revisiones periódicas de las medidas técnico-organizativas
4.2 Gestión de la respuesta ante incidentes
• Definición de competencias y responsabilidades
• Proceso de notificación definido
• Medidas definidas para casos relevantes y previsibles
• Vías de escalado definidas
• Listas actualizadas de notificación y contactos
• Proceso de revisión de los incidentes notificados y posterior clasificación de riesgos, si procede
• Respuestas preparadas ante el incidente
• Proceso de reflexión y seguimiento
4.3 Configuraciones predeterminadas que respetan la protección de datos
• Proceso para garantizar la privacidad desde el diseño y por defecto en caso de modificaciones
4.4 Control de los encargos
• Las responsabilidades del cliente y del contratista se derivan del contrato principal
• Garantía de que existen acuerdos marco y disposiciones contractuales legales con todos los subcontratistas
• Respetar la confidencialidad y el secreto de los datos