Google

Data Processing Agreement

DATA PROCESSING AGREEMENT

El siguiente documento sobre el tratamiento de los datos (en adelante el “DPA”) es parte integrante del contrato entre Easy4Cloud España SL y el Cliente en el cual se establecen los términos y las condiciones aplicables a los servicios ofrecidos por Easy4Cloud España SL (en adelante el “Contrato”)

La función del presente DPA, es la de definir las condiciones básicas a las que Easy4Cloud España SL, en calidad de Responsable del tratamiento y como parte de los servicios establecidos en el Contrato, tenga título para tratar datos personales, en el respeto del articulo 28 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, del 27 de abril de 2016, sobre la protección de las personas físicas con respecto al tratamiento de los datos personales, y, además, la libertad de circulación de estos datos (GDPR), El tratamiento de los Datos Personales por parte de Easy4Cloud España SL en calidad de titular del tratamiento no forma parte del presente DPA.

A efectos del presente DPA, Easy4Cloud España SL, con sede en Madrid, calle Jesús Aprendiz, 13, en persona legal representante pro tempore, actúa en calidad de Responsable del tratamiento de los datos y el Cliente interviene en calidad de Titular de los datos personales.

 

Artículo 1- Definiciones

DATOS PERSONALES: cualquier tipo de información perteneciente a una persona física identificada o identificable; se considera identificable la persona física que pueda ser identificada, directa o indirectamente, con particular referencia a identificativos como el nombre, el número de identificación, datos relativos a la ubicación, con identificativos online y/o a uno o más elementos característicos de su identidad física, fisiológica, genética, psíquica, económica, cultural y social.

CATEGORIAS PARTICULARES DE DATOS PERSONALES: Datos personales que revelan las orígenes de raza o de etnia, las opiniones políticas, las convenciones religiosas o filosóficas, o la afiliación a sindicatos de trabajadores, y además cualquier dato genérico o dato biométrico aptos a identificar de manera unívoca una persona física, datos sobre la salud física o la vida sexual o la orientación sexual de la persona.

INFORMACIÓN: cualquier dato que sea también de carácter no personal cuyo titular es el Comitente.

TRATAMIENTO: cualquier operación o conjunto de operaciones, llevadas a cabo con o sin la ayuda de procesos automáticos y aplicadas a los datos personales o conjunto de datos personales, como la recopilación, la registración, la organización, la estructuración, la conservación, la adaptación y/o la modificación, la extracción, la consulta, el uso, la comunicación a través de transmisión, difusión y/o cualquier otra forma de puesta a disposición, la comparación y/o interconexión, la limitación, la cancelación o la destrucción.

TITULAR DEL TRATAMIENTO: la persona física o jurídica, la autoridad pública, el servicio o el órgano que, singularmente o junto con otros, determina las finalidades y los medios de tratamiento de los datos personales; cuando las finalidades y los medios de este tratamiento estén determinados por el derecho de Unión Europeos o de sus Estados miembros, el titular del tratamiento o los criterios específicos aplicables a la designación pueden estar establecidos por el derecho de la Unión Europea o de sus Estados miembros.

RESPONSABLE DEL TRATAMIENTO: la persona física o jurídica, la autoridad pública, el servicio u otro órgano que trata los datos personales en nombre del titular del tratamiento.

PERSONAS AUTORIZADAS AL TRATAMIENTO: las personas físicas autorizadas por parte del Titular o del responsable a realizar las operaciones de tratamiento de los datos

INTERESADO: la persona física a la que se refieren los datos personales;

AUTORIDAD DE CONTROL: autoridad pública independiente nombrada por cada Estado Miembro, para controlar la correcta aplicación del Reglamento (UE) n. 2016/679 con el fin de tutelar los derechos y las libertades fundamentales de las personas físicas con respecto al tratamiento.

COMUNICACIÓN: dar a conocer los datos personales a uno o a más sujetos distintos al interesado, por parte del representante del titular en el territorio de Estado, del responsable y de las personas autorizadas al tratamiento, en cualquier forma, incluido a través de su puesta a disposición o consultación;

DIFUSION: dar a conocer los datos personales a sujetos indeterminados, en cualquier forma, también a través de su puesta a disposición o consultación.

MEDIDAS DE SEGURIDAD: el conjunto de las medidas técnicas, informáticas, de organización, lógicas y de procedimiento de seguridad aptas a garantizar un nivel de seguridad adecuado teniendo en cuenta los riesgos derivados por la destrucción, pérdida, modificación, comunicación no autorizada o por el acceso, de manera accidental o ilegal a datos personales transmitidos, almacenados o en todo caso tratados.

VIOLACIÓN DE LOS DATOS PERSONALES: la violación de seguridad que implica accidental o de forma ilícita la destrucción, la pérdida, la modifica, la comunicación no autorizada o el acceso a los datos personales trasmitidos, almacenados o, en todo caso, tratados.

 

Artículo 2- Objeto

  • El presente contrato regula y disciplina los roles privacy de las Partes involucradas en el tratamiento de los datos personales y, además, los términos y condiciones con las que Easy4Cloud España SL es autorizada a tratar los datos personales de los que es Titular el Cliente, en ejecución del Contrato.
  • La tipología de datos personales y categorías de interesados son establecidas y controladas por el Cliente. Las actividades del tratamiento de los datos personales son realizadas por Easy4Cloud España SL por el periodo de tiempo establecido en el Contrato.

 

  • El tratamiento será realizado para las operaciones funcionales a la realización y gestión de los Servicios contratados por el Cliente sin realizar, por lo tanto, tratamientos adicionales a los que sean estrictamente necesarios con respeto a las actividades debidas.
  • Todas las informaciones tratadas por cuenta del Titular, o en todo caso conocidas auque sea de manera accidental se consideran estrictamente reservadas y permanecen de propiedad exclusiva del Titular. Por lo tanto, el Proveedor, incluidos a través de sus empleados o colaboradores, no puede utilizar libremente, las informaciones reservadas ni directa ni indirectamente, por finalidades distintas a las pactadas. El uso de estas informaciones es establecida únicamente para la correcta ejecución de las mansiones debidas o para las que puedan ser establecidas en un futuro sucesivo.

 

Artículo 3- Obligaciones del Cliente

3.1 Para el tratamiento de Datos Personales, el Cliente suministrará a Easy4Cloud España SL por escrito (a) todas las instrucciones del caso y (b) cualquier tipo de información necesaria a la creación de los registros del Responsable sobre las actividades de tratamiento de los datos.

3.2 El Cliente queda el único exclusivo responsable de las informaciones tratadas y las instrucciones comunicadas a Easy4Cloud España SL. El Cliente es responsable de asegurar que (a) el tratamiento de los Datos Personales tenga una base legal adecuada (p.ej consentimiento del interesado y del Titular; legítimos intereses, autorización de la Autoridad de Supervisión, etc.); (b) todos los procedimientos  y formalidades necesarias (como la evaluación del impacto de la tutela de datos, la notificación y la solicitud de autorización a las autoridades de control u otros órganos competentes, donde necesario) sean debidamente realizadas.; y (c) los interesados estén informados del tratamiento de sus propios Datos Personales de manera concisa, transparente, comprensible y de fácil acceso, utilizando un lenguaje claro y sencillo como lo requiere el GDPR, directamente a través del Cliente o del Titular en los casos en los cuales el Cliente sea el responsable del Tratamiento.

3.3 El Cliente es responsable de adaptar las medidas técnicas y de organización adecuadas para garantizar la seguridad de recursos, sistemas, aplicaciones y operaciones que no están bajo la responsabilidad de Easy4Cloud España SL.

3.4 El Cliente/Titular del tratamiento es totalmente responsable de informar los interesados sobre sus derechos y el respeto de los mismos, es decir los de acceso, modifica, cancelación, limitación y portabilidad.

 

Artículo 4- Obligaciones del Cliente en caso de que opere como responsable del tratamiento

4.1 Si el Cliente opera como Responsable del tratamiento en nombre de terceros titulares, las Partes, a partir de ahora, expresamente exprimen el consentimiento mutuo a las siguientes condiciones:

  1. El cliente garantizará: (i) que todas las necesarias autorizaciones que se tienen que insertar en el presente DPA, incluida la nomina por parte del Cliente de Easy4Cloud España SL como sub-responsable del tratamiento, hayan sido obtenidas por el Titular del tratamiento, (ii) que se subscriba con el Titular del tratamiento un acuerdo coherente con los términos y las condiciones del Contrato, incluido el presente DPA, así como requiere el articulo 28 del GDPR, (iii) que cualquier tipo de instrucción que Easy4Cloud España SL reciba por parte del Cliente para la ejecución del Contrato y del presente DPA en su totalidad en línea y conforme con las del Titular del Tratamiento, así como, (iv) que todas las informaciones comunicadas o puestas a disposición de Easy4Cloud España SL, en el respeto del presente DPA, sean comunicadas al Titular del Tratamiento.
  2. Easy4Cloud España SL se encargará: (i) del tratamiento de Datos Personales solo y exclusivo bajo las instrucciones del Cliente y (ii) no recibirá algún tipo de instrucción directamente por el Titular del tratamiento.

4.2 El Cliente, que se considera el único y exclusivo responsable hacia Easy4Cloud España SL para la correcta ejecución de las obligaciones del Titular del tratamiento, según lo previsto en este DPA, indemnizará y mantendrá Easy4Cloud España SL indemne por (i) cualquier incumplimiento del Titular del tratamiento en la aplicación de las normas y leyes vigentes en materia, así como (ii) de acciones, requerimientos o reclamaciones por parte del Titular del tratamiento con referencia a lo establecido en el presente contrato (DPA incluido) u otra instrucción que Easy4Cloud España SL por parte del Cliente.

 

Artículo 5- Obligaciones de Easy4Cloud España SL

5.1 En la ejecución del presente contrato Easy4Cloud España SL se compromete: (a) a tratar los Datos Personales cargados, almacenados y utilizados por el Cliente solo por lo necesario a la prestación del Servicio, así como se define en el Contrato; (b) a no acceder ni utilizar los Datos Personales para cualquier otro propósito a excepción de los que sean estrictamente necesarios para prestar los Servicios; (c) a adoptar las medidas técnicas y de organización necesarias indicada mas adelante para garantizar la seguridad de los Datos Personales durante la prestación del Servicio; (d) a garantizar que los empleados de Easy4Cloud España SL autorizados al tratamiento de los Datos Personales según el Contrato estén vinculados por una obligación de confidencialidad y que reciban una formación adecuada sobre la tutela de estos datos; (e) a informar al Cliente en caso de, en base a las informaciones a su disposición, considerar que una instrucción del mismo Cliente viole el GDPR u otras disposiciones para la tutela de los datos de la Unión Europea o de un Estado Miembro del UE; (f) en caso de petición o requerimiento de Datos Personales aquí tratados por parte de una autoridad competente, a informar al Cliente (a excepción de que lo prohíban las normas vigentes o por una orden de una autoridad competente) y además a limitar la comunicación de datos a lo que la autoridad haya pedido de forma expresa.

5.2 Previa solicitud por escrito del Cliente, Easy4Cloud España SL suministrará al Cliente una razonable asistencia para la realización de las evaluaciones del impacto de la tutela de los datos, y además, en las consultaciones con autoridad competentes a las supervisión del tratamiento, únicamente cuando este tipo de asistencia sea necesaria y sea acerca del tratamiento de Datos Personales por parte de Easy4Cloud España SL.

 

Artículo 6- Localización de los datos personales

6.1 Easy4Cloud España SL garantiza que el tratamiento de los datos personales del Titular se realizará a través de un uso sistemático y continuativo de infraestructuras informáticas localizadas en Países que forman parte del Espacio Económico Europeo y que no se trasladaran  al exterior de  dicho espacio, es decir traslados hacia Países no pertenecientes al Espacio Económico Europeo.

6.2. El Proveedor se compromete a comunicar al Titular del tratamiento por escrito y con un adecuado preaviso, cualquier tipo de traslado de los datos personales a infraestructuras informáticas localizadas en Países dentro de la Unión Europea y/o extra UE.

 

Artículo 7- Medidas de seguridad

7.1. Easy4Cloud España SL se compromete en adoptar las siguientes medidas de seguridad técnicas y de organización:

(a) medidas de seguridad físicas, aptas a prevenir el acceso por sujetos no autorizados en las infraestructuras dentro de las que están almacenados los datos del Cliente; (b) controles de identidad y acceso utilizando un sistema de autenticación y una política de gestión de las contraseñas; (c) un sistema de gestión de los accesos que limite el ingreso a las estructuras solo a las personas para la que sea indispensable para llevar a cabo sus tareas y dentro se sus propias responsabilidades; (d) personal dedicado responsable del control de la seguridad física de las estructuras Easy4Cloud España SL; (e) procedimiento de autenticación para usuario y administrador; (f) un sistema de gestión de los accesos para las actividades de soporte y mantenimiento que trabaje sobre los principios de privilegio mínimo y de la necesidad de comunicación; y (g) procesos y medidas para controlar las acciones realizadas en su propio sistema informático.

7.2. Las medidas de seguridad adoptadas por Easy4Cloud España SL deben de ser en todo caso idóneas y garantizar permanentemente la confidencialidad, la integridad, la disponibilidad y la resiliencia de los sistemas y de los datos objeto del tratamiento.

 

Artículo 8- Específicas técnicas para el data processing

8.1. Easy4Cloud España SL declara, con el fin de verificar la correcta aplicación de la normativa del data protection y en conformidad con lo establecido en el Reglamento Europeo 679/2016 sobre el trazamiento del dato, que el servidor donde se encuentra el servicio Easycall, está situado dentro de la Comunidad Europea, y que en los contratos establecidos con el Proveedor del servicio, éste se compromete a garantizar la máxima seguridad de sus propias infraestructuras.

8.2. Por lo que concierne al servicio prestado, Easy4Cloud España SL declara que una vez que se hayan dado las credenciales de acceso al servicio, el único habilitado a ver los contenidos del espacio es el Cliente Final. El Cliente Final podrá pedir una asistencia a Easy4Cloud España SL. La asistencia se suministra desde remoto compartiendo la pantalla con el Cliente que monitorea y comparte en tiempo real la asistencia. Una vez que concluida la sesión de trabajo, el encargado de Esay4Cloud España SL sale del ordenador y no puede volver a entrar sin recibir autorización por parte del mismo Cliente. En casos excepcionales, cuándo la intervención de asistencia no se pueda realizar a través de la modalidad antes indicada, el Cliente final podrá facilitar las credenciales de acceso con una autorización provisional al fin de conseguir la actividad de revisión. Una vez que se termine la intervención, el Cliente final volverá a configurar la contraseña y Easy4Cloud España SL no asume la responsabilidad en caso en que el Cliente no vuelva a configurar la contraseña.

8.3. Por la seguridad del dato en transito, EasyCall está configurado con un protocolo HTTPS, que permite la encriptación de los datos con estándares entre los más seguros disponibles en el mercado. Durante la realización del protocolo HTTPS se utiliza el protocolo TLS 1.2, con intercambio de llave ECDHE, autenticación RSA, encriptación AES A 256 bit en modalidad Galois/Counter y hashing SHA384.

8.4 La única actividad de tratamiento efectuada en el data base del Cliente final por parte de Easy4Cloud España SL es la de backup. La actividad de backup se realiza directamente en el servidor del Proveedor que alberga el servicio indicado en el punto 8.1. y es completamente automatizada.  En particular, la base de datos donde se encuentran los datos del Cliente final, es objeto de controles periódicos a través de proceso de backup, en modalidad “snapshot”, con un intervalo de 12 horas. El backup se comprime y se cifra con criptografía AES y llave a 256 bit. El file elaborado finalmente, se almacena, offsite, en la infraestructura de backup del proveedor. Al terminar el proceso, los backup con una dimensión entre 0 y 120% más antiguos de 24 horas se borran automáticamente.  Después de 48 horas todos los backup se borran sin condiciones. Con la caducidad del contrato todos se cancelarán todos los datos, tanto los de los backup como los operativos.

 

Artículo 9- Estándares de seguridad para las credenciales de autenticación de la plataforma EasyCall.

9.1 En aplicación a lo establecido en el Reglamento 679/2016, el acceso a la plataforma Easycall se permite exclusivamente a los encargados por el Cliente Final que tengan las credenciales de autenticación. Las credenciales de autenticación están formadas por una parte pública y otra privada (palabra clave). La palabra clave es elegida por los encargados que serán los únicos propietarios. En la sección “Propiedades Call Center”, es posible efectuar y gestionar los ajustes de la autenticación a través de 6 opciones:

  1. Permitir al operador cambiar la contraseña
  2. Permitir insertar solo contraseñas seguras
  3. Obligar el cambio de la contraseña al primer login
  4. Caducidad contraseña cada 6 meses
  5. Pedir la contraseña al volver de la pausa
  6. Limitar usuarios inactivos

Si se selecciona la opción “Permitir insertar solo contraseñas seguras” el sistema durante la inserción de la palabra clave controla que la palabra esté formada por lo menos de 8 caracteres y que tenga por lo menos 2 entre las siguientes características: (i) que tenga por lo menos un carácter numérico; (ii) que tenga por lo menos un carácter en minúscula; (iii) que tenga por lo menos una cifra numérica; (iv) que tenga por lo menos un carácter no alfanumérico. Además la palabra clave no puede contener: a) el nombre del encargado; b) el apellido del encargado; c) el correo del encargado; d) el código de identificación del encargado; e) la secuencia de 3 o más caracteres en secuencia numérica (Ej. 123…); f) la secuencia de 3 o más caracteres en orden alfabético (Ej.: abc…); g) la secuencia de 3 o más caracteres repetidos (Ej.: aaa…; 111…); h) la secuencia de 3 o más caracteres en una posición de proximidad en el teclado (es: qwerty…).

9.2 El código de identificación, cuándo se utilice, no puede ser asignados a más encargados; ni siquiera en tiempos distintos. La opción número 4, “Caducidad de las contraseñas cada 6 meses”, obliga al cambio de la propia contraseña personal por lo menos cada 6 meses para poder seguir accediendo al servicio.

La opción número 5, “Pedir la contraseña al volver de la pausa”, pide la inserción de la clave personal al volver de la pausa, para no permitir el acceso no autorizado al puesto de trabajo sin vigilancia.

La opción número 6. “Limitar usuarios inactivos”, desactiva de automático las credenciales que no se hayan utilizado por un tiempo limite configurable.

9.3 Los usuarios del sistema tendrán un perfil para permitir el acceso exclusivamente al conjunto de datos de competencia, según el rol que tengan en la estructura organizativa.

 

Artículo-10 Violación de los datos personales

10.1 En el caso de que se verifiquen situaciones de violación de los datos personales o de las informaciones gestionadas por Easy4Cloud España SL, ésta avisará de inmediato el Titular del tratamiento dentro de 24horas del acontecimiento (si no contextual al momento de la violación)

10.2 Easy4Cloud España SL se compromete en mantener la absoluta confidencialidad sobre las violaciones acontecidas. A tal respecto éstas noticias no serán en ningún caso difundidas bajo ninguna forma, tampoco a través de su puesta a disposición y/o consultación.

 

Artículo 11- Duración del Acuerdo

11.1 El presente contrato tiene validez a partir de la fecha de subscripción del mismo y se considera válido todo el tiempo de prestación del servicio por parte de Easy4Cloud España SL.

 

Artículo 12- Ley aplicable y Jurisdicción

12.1 Las partes convienen expresamente que el presente Acuerdo está regulado por la ley Española

12.2. En caso de controversia entre las Partes relativamente a la ejecución y/o interpretación del presente Contrato, las Partes se comprometen en buscar un acuerdo de la controversia. En caso en que no se encuentre un acuerdo en tres (3) días laborales, las Partes se comprometen en intercambiar propuestas y observaciones para solucionar la posible controversia. En caso no se encuentre una solución el tiempo limite adicional de seis (6) días laborales, la misma controversia será puesta a la atención de los legales representantes de las Partes y sus delegados.

12.3 En el caso que no se pudiera activar el proceso indicado en el párrafo anterior, para cualquier litigio que surja de la validez, interpretación, ejecución y finalización del presente Contrato será transferido a la jurisdicción exclusiva del Tribunal de Madrid.

 

Artículo 13- Heat mapping (Mapa de calor) y registración sesiones – Smartlook

Datos Personales: Cookie, Datos de uso, varias tipologías de Datos según como está especificado por la política de privacidad del servicio.

Uso de los datos Google en la plataforma EasyCall Cloud 

EasyCall Cloud se integra con Google Calendar para la sincronización de sus propias citas Easycall en Google Calendar

En caso de habilitación a la integración con Google Calendar en la plataforma EasyCall, se tratarán los datos que siguen:

Nombre de cuenta de Google

Calendarios asociados a la cuenta Google Calendar

Los datos serán tratarán al fin de insertar citas en los calendarios Google Calendar según las modalidades de uso de la plataforma EasyCall

Para más informaciones sobre la Política de Privacidad del servicio Google Calendar puede acudir al enlace que sigue