Consideraciones
El presente Acuerdo de Tratamiento de Datos (en adelante: «ATD») es un anexo a las Condiciones de Servicio de CRM Persona (disponibles aquí). En su conjunto, las Condiciones de Servicio y el ATD constituirán el Acuerdo con el Cliente.
En el contexto de la prestación de los Servicios para el Cliente, CRM PERSONA tendrá acceso a Datos Personales y/o tendrá que Tratar estos Datos Personales, de los que el Cliente es responsable como «Responsable del Tratamiento» de conformidad con (i) el Reglamento General de Protección de Datos de 27 de abril de 2016 (el Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos o «RGPD») y (ii) a todas las leyes belgas relativas a la aplicación del RGPD (en lo sucesivo denominadas conjuntamente «Legislación sobre Privacidad»).
Mediante el presente ATD, las Partes desean determinar por escrito sus acuerdos mutuos sobre (i) la administración, la seguridad y/o el Tratamiento de dichos Datos Personales y (ii) el cumplimiento de las obligaciones de la Legislación sobre Privacidad.
Tenga en cuenta que esta ATD solo se refiere al papel de CRM PERSONA como Encargado del Tratamiento y no como Responsable del Tratamiento. Para más información sobre el Tratamiento de Datos Personales por parte de CRM PERSONA en su calidad de Responsable del Tratamiento, consulte la Declaración de Privacidad.
1. Definiciones
En el presente ATD, los siguientes términos tendrán el significado que se les atribuye a continuación (cuando se escriben con mayúscula):
«Acuerdo», «Cliente», «Cuenta del Cliente», «Datos de la Cuenta del Cliente», «Booster de Captación de Leads», «Parte» / «Partes», «Servicios», «Suscripción», «CRM PERSONA», «Período de Vigencia» y «Herramienta» tendrán el significado que se les atribuye en las Condiciones de Servicio.
Únicamente a efectos del presente ATD, se entenderá por «Datos Personales de la Cuenta del Cliente» todos los Datos Personales de los que el Cliente sea responsable como «Responsable del Tratamiento» y que CRM PERSONA prevea Tratar en nombre del Cliente en el contexto de la prestación de sus Servicios, cuya lista no limitativa puede consultarse en el Resumen I. Para evitar cualquier duda, esta definición es más amplia que la utilizada en las Condiciones de Servicio, ya que también incluye determinados Datos Personales de los Usuarios.
«Responsable del Tratamiento», «Interesado», «Filtración de Datos», «Datos Personales», «Encargado del Tratamiento» y «Tratamiento» tendrán el significado que se les atribuye en la Legislación sobre Privacidad.
Integración: Una integración de software entre la Herramienta y una aplicación de terceros que se habilita a través de la interfaz de programación de aplicaciones («API») de la Herramienta.
Integración Opcional: Una Integración que el Cliente selecciona y habilita por iniciativa propia y que puede desactivar durante el Período de Vigencia.
Integración Estándar: Una Integración que se activa automáticamente al utilizar los Servicios y que el Cliente no podrá desactivar durante el Período de Vigencia.
Subencargado: Cualquier Encargado contratado por CRM PERSONA y autorizado en virtud de este ATD para tener acceso lógico y Tratar ciertos Datos Personales de la Cuenta del Cliente con el fin de proporcionar partes de los Servicios y soporte técnico. Esto incluye, pero no se limita necesariamente a todas las Integraciones Estándar que procesan Datos Personales de la Cuenta del Cliente.
El presente ATD incluirá los siguientes resúmenes:
- Resumen I:
Resumen de (i) los Datos Personales que las Partes esperan que sean objeto de Tratamiento, (ii) las categorías de Interesados que las Partes esperan que sean objeto de Tratamiento, (iii) el uso (es decir, la(s) forma(s) de Tratamiento) de los Datos Personales, (iv) los objetivos y medios de dicho Tratamiento y (v) el(los) plazo(s) durante el cual los (diferentes tipos de) Datos Personales serán almacenados;
- Resumen II:
Resumen y descripción de las medidas de seguridad adoptadas por CRM PERSONA en virtud del presente ATD.
2. Roles de las Partes
Las partes reconocen y acuerdan que, con respecto al Tratamiento de los Datos Personales de la Cuenta del Cliente, el Cliente será considerado «Responsable del Tratamiento» y CRM PERSONA «Encargado del Tratamiento». Además, CRM PERSONA está autorizado a contratar a uno o varios Subencargados de conformidad con los requisitos establecidos en el Artículo 6.
3. Uso de los Servicios
3.1 El Cliente reconoce expresamente que:
- CRM PERSONA actúa únicamente como facilitador de sus Servicios. Por lo tanto, el Cliente será el único responsable del uso que haga de los Servicios;
- Será el único responsable de cumplir con todas las leyes y reglamentos (como, por ejemplo, el periodo de retención) que se le impongan al utilizar los Servicios.
3.2 En caso de que el Cliente haga un mal uso de los Servicios, el Cliente acepta que CRM PERSONA nunca podrá ser considerado responsable a este respecto ni de los daños que se produzcan por dicho mal uso.
3.3 Por lo tanto, el Cliente se compromete a mantener indemne a CRM PERSONA contra dicho uso ilícito, así como contra cualquier reclamación de un Interesado y/o tercero como consecuencia del uso ilícito por parte del Cliente.
4. Objeto
4.1 El Cliente reconoce que, como consecuencia del uso de los Servicios, CRM PERSONA Tratará los Datos Personales de la Cuenta del Cliente.
4.2 CRM PERSONA Tratará los Datos Personales de la Cuenta del Cliente de forma adecuada y cuidadosa y de conformidad con la Legislación sobre Privacidad y otras normas aplicables relativas al Tratamiento de Datos Personales.
Más concretamente, CRM PERSONA, durante la ejecución de los Servicios en virtud del Acuerdo, deberá proporcionar todos sus conocimientos técnicos para ejecutar los Servicios de acuerdo con las reglas del arte, como corresponde a un Encargado especializado y «bueno».
4.3 No obstante, CRM PERSONA únicamente Tratará los Datos Personales de la Cuenta del Cliente a petición del Cliente y de conformidad con sus instrucciones, tal y como se describe en el Resumen I, a menos que alguna legislación establezca lo contrario.
4.4 El Cliente, como Responsable del Tratamiento, posee y retiene el control total en relación con (i) el Tratamiento de los Datos Personales de la Cuenta del Cliente, (ii), los tipos de Datos Personales de la Cuenta del Cliente Tratados, (iii), la finalidad del Tratamiento y (iv) el hecho de si dicho Tratamiento es proporcionado (no limitativo).
Además, el Cliente será el único responsable del cumplimiento de todas las obligaciones (legales) en su calidad de Responsable del Tratamiento (tales como, entre otras, el periodo de conservación) y será el único responsable de la exactitud, calidad y legalidad de los Datos Personales de la Cuenta del Cliente, introducidos en la Herramienta, y de los medios por los que adquirió dichos Datos Personales de la Cuenta del Cliente. Por lo tanto, la responsabilidad y el control de los Datos Personales de la Cuenta del Cliente, sujetos a esta ATD, nunca recaerán en CRM PERSONA.
5. Seguridad del Tratamiento
Teniendo en cuenta el estado de la técnica, CRM PERSONA aplica las medidas técnicas y organizativas apropiadas para la protección de (i) los Datos Personales de la Cuenta del Cliente (incluida la protección contra el uso y/o Tratamiento descuidado, indebido, no autorizado o ilícito y contra la pérdida, destrucción o daño accidentales) (ii) la confidencialidad e integridad de los Datos Personales de la Cuenta del Cliente, tal y como se establece en el Resumen II.
6. Subencargados del Tratamiento
6.1 El Cliente reconoce y acepta que CRM PERSONA podrá contratar Subencargados del Tratamiento para ejecutar el Acuerdo. En tal caso, CRM PERSONA se asegurará de que los Subencargados estén sujetos, como mínimo, a las mismas obligaciones que CRM PERSONA en virtud del presente ATD.
6.2 CRM PERSONA se compromete a poner a disposición una lista de todos los Subencargados en la Cuenta del Cliente. Dicha lista incluirá la identidad de dichos Subencargados y su país de ubicación. Esta lista incluirá siempre todas las Integraciones Estándar que Traten Datos Personales de la Cuenta del Cliente.
Las Partes acuerdan que los proveedores de Integraciones Opcionales no son Subencargados en el sentido del presente ATD. En caso de que el Cliente utilice Integraciones Opcionales para personalizar la Cuenta del Cliente, se establecerá una relación comercial independiente entre el Cliente y el proveedor de la Integración Opcional. CRM PERSONA no controla si el Cliente utiliza estas Integraciones Opcionales y cómo lo hace, por lo que CRM PERSONA no tiene ninguna propiedad que arriesgar en este sentido. El Responsable del Tratamiento es el único responsable de estas Integraciones Opcionales. CRM PERSONA recomienda que el Cliente celebre un Acuerdo de Tratamiento de Datos por separado con los proveedores de las Integraciones Opcionales que seleccione.
6.3 CRM PERSONA se compromete a informarle por escrito al Cliente en el caso de que haya cambios en la lista de Subencargados del Tratamiento (como por ejemplo, pero no limitado a, la inclusión y/o la sustitución de un Subencargado del Tratamiento).
El Cliente tiene derecho a oponerse a un nuevo Subencargado. Como excepción a esta norma, el Cliente acepta que CRM PERSONA pueda contratar a otras empresas del Grupo Visma ubicadas en la UE/EEE como Subencargados sin necesidad de aprobación o notificación previa al Cliente.
En caso de que el Cliente desee ejercer su derecho de oposición, deberá notificarlo a CRM PERSONA de manera fundamentada y por escrito en un plazo máximo de diez (10) días después de la recepción de la notificación citada (véase el artículo 6.3).
6.4 En caso de que el Cliente se oponga a un nuevo Subencargado y dicha objeción no se considere irrazonable, CRM PERSONA, en consulta con el Cliente, hará todos los esfuerzos razonables para resolver la objeción del Cliente.
Sin embargo, si CRM PERSONA no puede resolver la objeción del Cliente, éste podrá rescindir el Acuerdo con la condición de que
- El Cliente no podrá utilizar los Servicios sin recurrir al nuevo Subencargado objetado; y/o
- Dicha rescisión afecta únicamente a los Servicios que CRM PERSONA no puede proporcionar sin recurrir al nuevo Subencargado objetado;
Y que se lo notifique a CRM PERSONA mediante carta certificada en un plazo razonable.
7. Delegado de la protección de datos
7.1 CRM PERSONA ha designado a un delegado de protección de datos.
7.2 Dicho delegado de protección de datos podrá ser contactado a través de hello@crmpersona.com.
8. Transferencia de Datos Personales de la Cuenta del Cliente fuera del EEE
Cualquier transferencia de Datos Personales de la Cuenta del Cliente fuera del EEE a un destinatario cuya residencia o domicilio social no esté incluido en una decisión de adecuación emitida por la Comisión Europea, se regirá por los términos de un acuerdo de transferencia de datos, que contendrá (i) cláusulas contractuales tipo de conformidad con la Decisión (UE) 2021/914 de la Comisión Europea de 4 de junio de 2021 u (ii) otros mecanismos previstos por la Legislación sobre Privacidad y/o y otras normas aplicables relativas al Tratamiento de Datos Personales.
9. Confidencialidad
9.1 CRM PERSONA mantendrá la confidencialidad de los Datos Personales de la Cuenta del Cliente y, por lo tanto, no revelará ni transferirá ningún Dato Personal de la Cuenta del Cliente a terceros, sin el consentimiento previo por escrito del Cliente, a menos que:
- En caso de una desviación explícita por escrito de esta obligación de confidencialidad (por ejemplo, en las Condiciones de Servicio);
- Cuando la ley o una sentencia judicial o una decisión de una autoridad administrativa (del tipo que sea) imponga su comunicación/publicación. En tal caso, CRM PERSONA Tratará previamente con el Cliente el alcance y el procedimiento para la publicación y/o la comunicación.
9.2 CRM PERSONA se asegurará de que su personal, dedicado a la prestación de los Servicios en virtud del Acuerdo, esté informado de la naturaleza confidencial de los Datos Personales de la Cuenta del Cliente, haya recibido la formación adecuada sobre sus responsabilidades y haya firmado acuerdos de confidencialidad por escrito. Además, CRM PERSONA se asegurará de que dichas obligaciones de confidencialidad permanezcan vigentes una vez terminado el contrato laboral.
9.3 CRM PERSONA se asegurará de que su acceso a los Datos Personales de la Cuenta del Cliente esté limitado al personal que preste los Servicios en virtud del Acuerdo de conformidad con el ATD.
10. Notificación
10.1 CRM PERSONA hará todo lo posible para informar al Cliente en un plazo razonable cuando:
- Reciba una solicitud de información, una citación o una solicitud de inspección o auditoría de una autoridad pública competente en relación con el Tratamiento de Datos Personales de la Cuenta del Cliente;
- Tenga la intención de revelar los Datos Personales de la Cuenta del Cliente a una autoridad pública competente;
- Determine o sospeche razonablemente que se ha producido una violación de datos en relación con los Datos Personales de la Cuenta del Cliente.
10.2 En el caso de una Filtración de Datos, CRM PERSONA:
- Notificará al Cliente sin dilación innecesaria tras la identificación de la Filtración de Datos, y en la medida de lo posible asistirá al Cliente para que éste cumpla con su obligación de informar en virtud de la Legislación sobre Privacidad;
- Se compromete a tomar las medidas correctivas adecuadas de la forma más rápida posible para detener la Filtración de Datos y prevenir y/o limitar la misma en el futuro.
11. Derechos de los Interesados
11.1 En la medida en que el Cliente, en su uso de los Servicios, no tenga la capacidad de corregir, modificar, bloquear o eliminar los Datos Personales de la Cuenta del Cliente, tal y como exige la Legislación sobre Privacidad, CRM PERSONA cumplirá, en la medida en que esté legalmente autorizado a hacerlo, con cualquier solicitud comercialmente razonable del Cliente para facilitar dichas acciones.
En la medida en que lo permita la ley, el Cliente correrá con todos los gastos derivados de la ayuda prestada por CRM PERSONA para dicha asistencia.
11.2 En la medida en que lo permita la ley, CRM PERSONA notificará inmediatamente al Cliente cuando reciba una solicitud de un Interesado relacionada con el acceso a, la corrección, la modificación o la supresión de los Datos Personales del Interesado. Sin embargo, CRM PERSONA no atenderá tal solicitud de un Interesado sin el consentimiento previo por escrito del Cliente, excepto para confirmar que la solicitud está relacionada con el Cliente, para lo cual el Cliente da su consentimiento por la presente.
CRM PERSONA proporcionará al Cliente una cooperación y asistencia comercialmente razonables en relación con la gestión de la solicitud de acceso de un Interesado a los Datos Personales de esa persona, en la medida en que esté legalmente permitido y en la medida en que el Cliente no tenga acceso a dichos Datos Personales a través de su uso de los Servicios.
En la medida en que lo permita la ley, el Cliente correrá con todos los gastos derivados de la ayuda prestada por CRM PERSONA para dicha asistencia.
12. Devolución y supresión de Datos de la Cuenta del Cliente
12.1 CRM PERSONA proporciona al Cliente, en la medida de lo posible, la opción de eliminar los Datos Personales de la Cuenta del Cliente durante la vigencia del Acuerdo. Esto permite al Cliente cumplir con sus propias responsabilidades en cuanto a la minimización de los datos y la limitación del almacenamiento como Responsable del Tratamiento.
12.2 Al finalizar la Suscripción, el Cliente tiene la posibilidad de exportar los Datos Personales de la Cuenta del Cliente (así como otros datos, tanto personales como no personales) de la Cuenta del Cliente a través de las herramientas de exportación disponibles. Esto debe hacerse antes de que finalice la Suscripción.
12.3 Una vez finalizada la Suscripción, CRM PERSONA procederá en primer lugar a la eliminación suave de los Datos Personales de la Cuenta del Cliente durante un periodo de treinta (30) días naturales. El restablecimiento de la Cuenta del Cliente o la exportación de los Datos de la Cuenta del Cliente durante este periodo de tiempo solo podrá realizarse con la asistencia de CRM PERSONA, pudiendo CRM PERSONA cargar los costes por los esfuerzos realizados.
Posteriormente, CRM PERSONA eliminará los Datos Personales de la Cuenta del Cliente en un plazo mínimo de treinta (30) días y máximo de tres (3) meses tras la finalización de la Suscripción. Una vez que los Datos Personales de la Cuenta del Cliente han sido borrados de forma permanente, ya no es posible restaurar la Cuenta del Cliente ni proporcionar una exportación de los Datos de la Cuenta del Cliente.
13. Control
13.1 CRM PERSONA se compromete a facilitar al Cliente toda la información que éste requiera para permitir verificar si CRM PERSONA cumple con lo dispuesto en el presente ATD.
13.2 13.2 En este contexto, CRM PERSONA deberá además permitir al Cliente (o a un tercero contratado por este último) a llevar a cabo inspecciones –como, pero no limitado a, auditorias– y prestar la asistencia necesaria para ello al Cliente o a dicha tercera parte.
En la medida en que lo permita la ley, el Cliente correrá con todos los gastos derivados de la ayuda prestada por CRM PERSONA para dicha asistencia.
En cualquier caso, las inspecciones deben llevarse a cabo durante el horario comercial habitual en las instalaciones correspondientes, con sujeción a las políticas de CRM PERSONA, y no pueden interferir de forma injustificada con las actividades comerciales de CRM PERSONA.
14. Disposiciones varias
14.1 El ATD seguirá en vigor mientras el Acuerdo no haya llegado a su fin. Las disposiciones del presente ATD se aplicarán en la medida necesaria para la realización del mismo y en la medida en que estén destinadas a sobrevivir a la finalización del presente ATD (como por ejemplo, pero sin limitarse a, los artículos 9 y 15).
14.2 Si una o más disposiciones del presente ATD se considerasen inválidas, ilegales o inaplicables, en su totalidad o en parte, el resto de esa disposición y del presente ATD permanecerán en pleno vigor y efecto como si dicha disposición inválida, ilegal o inaplicable nunca hubiese existido. Además, en tal caso, las Partes negociarán la sustitución de la disposición inválida por una disposición equivalente de conformidad con el espíritu del presente ATD. En caso de que las Partes no lleguen a un acuerdo, el juez competente podrá limitar la cláusula nula a lo que esté permitido (por ley).
14.3 Las desviaciones, modificaciones y/o adiciones al presente ATD solo serán válidas y vinculantes en la medida en que hayan sido aceptadas por escrito por ambas Partes.
14.4 El presente ATD y los correspondientes derechos y obligaciones que existan respecto a las Partes, no podrán ser transferidos, directa o indirectamente, sin el previo consentimiento por escrito de la otra Parte.
14.5 La falta de aplicación (repetida) por una o ambas Partes de cualquier derecho o disposición contenido en el presente ATD, solo se considerará como una tolerancia de un determinado estado, y no conllevará su renuncia a ello.
14.6 El presente ATD prevalece sobre cualquier otro ATD entre las Partes, así como sobre cualquier disposición contradictoria relativa al Tratamiento de Datos Personales de la Cuenta del Cliente en otros acuerdos o comunicaciones escritas entre las Partes.
15. Derecho aplicable y jurisdicción
15.1 Todas las cuestiones y disputas relativas a la validez, interpretación, ejecución, cumplimiento o terminación del presente ATD se regirán e interpretarán con arreglo a la legislación belga, sin dar efecto a ninguna otra elección de leyes o disposiciones de conflicto entre leyes (belgas, extranjeras o internacionales) que hagan aplicable la legislación de cualquier país distinto a Barcelona, España.
15.2 Cualquier controversia sobre a la validez, interpretación, ejecución, cumplimiento o terminación del presente ATD se someterá a la jurisdicción exclusiva de los tribunales del domicilio social de CRM PERSONA.
Resumen I – Tratamiento de Datos Personales de la Cuenta del Cliente por parte de CRM PERSONA
El presente documento contiene una descripción general de los Datos Personales que CRM PERSONA debe Tratar en nombre del Cliente en el contexto del Acuerdo, así como las categorías de los Interesados implicados, la(s) forma(s) de Tratamiento de los Datos Personales, los medios y los fines del Tratamiento y el plazo durante el cual se almacenarán los Datos Personales.
El Cliente reconoce que el resumen, tal y como se ha mencionado anteriormente, proporciona una visión general de los Datos Personales de la Cuenta del Cliente que CRM PERSONA espera Tratar en el contexto del Acuerdo. CRM PERSONA también podrá Tratar determinados Datos Personales de la Cuenta del Cliente adicionales que reciba de proveedores de Integraciones Opcionales seleccionados por el Cliente. Los Datos Personales de la Cuenta del Cliente que CRM PERSONA espera Tratar, así como los fines del Tratamiento, dependen de la Integración Opcional concreta. En aras de la claridad, este resumen no abarca todas las situaciones posibles.
I. Datos Personales Tratados
Datos Personales de los Usuarios:
- Firma
- Foto de perfil
- Otros Datos Personales, dependiendo del uso de los Servicios por parte del Cliente (por ejemplo, cargar o proporcionar documentos que contengan Datos Personales; introducir descripciones de campos libres como en las tareas, proyectos y seguimiento del tiempo que contengan Datos Personales; etc.)
Datos Personales de terceros (por ejemplo, clientes potenciales, socios comerciales y clientes del Cliente, denominados «contactos» y «empresas» en la Herramienta):
- Nombre
- Apellido
- Dirección de correo electrónico
- Dirección principal
- Número(s) de teléfono (fijo/móvil)
- Fax
- Género
- Fecha de nacimiento
- IBAN y BIC
- Idioma
- Grabaciones de vídeo
- Otros Datos Personales de la Cuenta del Cliente, dependiendo del uso de los Servicios por parte del Cliente (por ejemplo, añadir campos personalizados para introducir más Datos Personales de la Cuenta del Cliente; cargar o proporcionar documentos que contengan Datos Personales de la Cuenta del Cliente; introducir descripciones de campos libres como en tareas, proyectos, tickets y seguimiento del tiempo que contengan Datos Personales de la Cuenta del Cliente; etc.)
CRM PERSONA no prevé, en ningún caso, la recogida de categorías especiales de Datos Personales, tal y como se definen en la Legislación sobre Privacidad, incluyendo, pero sin limitarse a: información sobre la salud del Interesado, raza, opiniones políticas, creencias religiosas o de otro tipo, orientación sexual, etc. La responsabilidad de cualquier Tratamiento de dichos datos sensibles a través de la Cuenta del Cliente y de los Servicios recae enteramente en el Cliente.
II. Categorías de Interesados
- Usuarios;
- Perspectivas del cliente;
- Clientes del cliente;
- Proveedores del cliente;
- Socios comerciales del cliente;
- Proveedores de servicios del cliente;
- Otros Interesados cuyos Datos Personales sean introducidos en la Herramienta por los Usuarios.
III. Uso de los Datos Personales, medios y fines del Tratamiento
Uso de Datos Personales:
- Hacer que los Datos Personales de la Cuenta del Cliente estén fácilmente disponibles, sean editables, exportables y analizables para el Cliente en la Cuenta del Cliente;
- Almacenar los Datos Personales de la Cuenta del Cliente en la nube;
- Realizar copias de seguridad de los Datos Personales de la Cuenta del Cliente con fines de recuperación en caso de catástrofe.
Medios del Tratamiento:
- La Herramienta;
- Las Integraciones Estándar.
Fines del Tratamiento:
- Administración de tareas, reuniones y llamadas
- Incorporación de los Datos Personales de la Cuenta del Cliente a la sección CRM para el seguimiento de los correos electrónicos enviados y la gestión de contactos y empresas
- Seguimiento de los proyectos de venta (incluida la gestión de los presupuestos)
- Planificación de proyectos (incluidos los proyectos internos)
- Gestión de Usuarios / equipos de Usuarios
- Registro de tiempo
- Creación y gestión de tickets de soporte (incluidas las estadísticas de los mismos)
- Creación y administración de objetivos
- Facturación
- Creación, envío y firma de presupuestos
- Voz sobre IP
- Gestión de envíos masivos de correos (dirigidos)
- Creación y gestión de notas de entrega
- Creación y gestión de pedidos
- Creación, planificación y gestión de eventos
- Almacenamiento y recopilación de documentos
- Gestión de existencias
- Programación y realización de videoconferencias
IV. Período de conservación
CRM PERSONA conservará los Datos Personales de la Cuenta del Cliente mientras el Acuerdo esté en vigor, a menos que el Cliente realice o solicite una eliminación anterior.
Una vez finalizado el Acuerdo, CRM PERSONA eliminará en primer lugar los Datos Personales de la Cuenta del Cliente. Posteriormente, CRM PERSONA eliminará los Datos Personales de la Cuenta del Cliente en un plazo mínimo de treinta (30) días y máximo de tres (3) meses tras la finalización del Acuerdo.
En algunos casos, CRM PERSONA aplicará primero una «eliminación suave» antes de eliminar de forma permanente (dura) los Datos Personales de la Cuenta del Cliente. CRM PERSONA opta por el «borrado suave» para poder revertir posibles errores cometidos por el Cliente y poder recuperar los Datos Personales de la Cuenta del Cliente y reactivar la Cuenta del Cliente en un plazo de 30 días tras la desactivación de la misma.
Tras la terminación del Contrato, CRM PERSONA tendrá derecho a conservar los Datos de la Cuenta del Cliente anónimos y anonimizados (o parte de ellos) con fines de investigación, formación, educativos, estadísticos y comerciales.
Resumen II: descripción de las medidas de seguridad
El presente documento recoge las medidas de seguridad técnicas y organizativas implementadas por CRM PERSONA en apoyo a sus actividades (de Tratamiento), tal como se contempla en la Legislación sobre Privacidad.
I. Control de acceso (físico) a áreas de Tratamiento
Las aplicaciones web y los servidores de bases de datos y comunicaciones de CRM PERSONA se encuentran en centros de datos seguros situados en Francia, los cuales son operados por Amazon Web Services, Inc., con quien CRM PERSONA ha firmado la «Adenda sobre el tratamiento de datos AWS» a fin de cumplir los estándares y las obligaciones descritos en la Legislación sobre Privacidad.
II. Control de acceso (lógico) a sistemas de Tratamiento de Datos Personales
CRM PERSONA ha implementado medidas adecuadas para evitar que sus sistemas de Tratamiento de Datos Personales de la Cuenta del Cliente sean utilizados por personas no autorizadas.
Esto se logra mediante:
- El establecimiento de la identificación de la terminal y/o del usuario de la terminal de los sistemas de CRM PERSONA;
- El pausado automático de la terminal del Usuario después de un periodo de inactividad. La identificación y contraseña obligatorias para reiniciar su utilización;
- El bloqueo automático de la ID del Usuario después de la introducción de varias contraseñas erróneas. Los eventos se guardan y los registros se revisan regularmente;
- El uso de controles de acceso basados en cortafuegos, enrutador y VPN para proteger las redes de servicio privadas y los servidores “back-end”;
- La seguridad de infraestructuras con monitorización ad hoc;
- El examen regular de los riesgos de seguridad por parte de empleados internos y auditores externos;
- La emisión y salvaguardia de códigos de identificación;
- El control de acceso basado en roles, implementado de manera coherente con el principio del menor privilegio;
- El registro de accesos a servidores de alojamiento, aplicaciones, bases de datos, enrutadores, interruptores, etc.;
- Utilización de herramientas comerciales y personalizadas para recopilar y examinar la Herramienta y los registros del sistema en busca de anomalías.
III. Control de disponibilidad
CRM PERSONA ha implementado medidas adecuadas para garantizar que los Datos Personales de la Cuenta del Cliente estén protegidos frente a la destrucción o pérdida accidental.
Esto se logra mediante:
- Una infraestructura de servicio redundante;
- La evaluación constante de los centros de datos y de los proveedores de servicios de internet (ISP) para optimizar el rendimiento para sus clientes en lo relativo al ancho de banda, la latencia y el aislamiento para la recuperación tras un desastre;
- La ubicación de los centros de datos en instalaciones seguras de ubicación conjunta que son neutras para los operadores de ISP y proporcionan seguridad física, alimentación redundante y redundancia de infraestructura;
- Los acuerdos del nivel de servicio mínimo con los ISP para garantizar un elevado nivel de disponibilidad;
- La capacidad de conmutación rápida.
IV. Control de transmisión
CRM PERSONA ha implementado medidas adecuadas para evitar que los Datos Personales de la Cuenta del Cliente puedan ser leídos, copiados, alterados o borrados por terceros no autorizados durante la transmisión de los mismos o durante el transporte de los soportes de datos.
Esto se logra mediante:
- El uso adecuado de las tecnologías de cortafuegos y cifrado para proteger las puertas de enlace y las redes por las que circulan los datos;
- Los Datos Personales de la Cuenta del Cliente se cifran durante la transmisión mediante versiones actualizadas de TLS u otros protocolos de seguridad que utilizan algoritmos y claves de cifrado potentes;
- La protección de acceso basada en la web a las interfaces de administración de cuentas por empleados por medio de TLS encriptada;
- El cifrado de extremo a extremo de pantallas compartidas para acceso remoto, soporte o comunicación en tiempo real.
V. Control de entradas
CRM PERSONA ha implementado medidas adecuadas para garantizar que sea posible comprobar y establecer si los Datos Personales de la Cuenta del Cliente se han introducido en los sistemas de Tratamiento de Datos Personales o se han eliminado, y quién lo ha hecho.
Esto se logra mediante:
- La autenticación del personal autorizado;
- Medidas de protección de los Datos Personales de la Cuenta del Cliente introducidos en la memoria, así como de la lectura, alteración y supresión de los Datos Personales de la Cuenta del Cliente almacenados, incluso documentando o registrando los cambios materiales en los datos o la configuración de la cuenta;
- Segregación y protección de todos los Datos Personales de la Cuenta del Cliente almacenados mediante esquemas de bases de datos, controles lógicos de acceso y/o cifrado;
- La utilización de credenciales para la identificación del Usuario;
- Seguridad física de las instalaciones de Tratamiento de datos;
- Límites de tiempo de las sesiones.
VI. Monitorización
CRM PERSONA no accede a los Datos Personales de la Cuenta del Cliente, excepto para:
- Prestar los Servicios requeridos en el marco del Acuerdo;
- Llevar a cabo comprobaciones de seguridad;
- Proporcionar asistencia al Cliente;
- Realizar investigaciones del uso y análisis estadísticos;
- Según lo requerido por ley; o
- Bajo solicitud del Cliente.
Esto se logra mediante:
- El nombramiento individual de los administradores de sistemas;
- Una política estricta de control de acceso que prevé derechos de acceso proporcionales a la función del empleado;
- La adopción de medidas adecuadas para registrar los accesos de los administradores de sistemas a la infraestructura.