ACUERDO DE TRATAMIENTO DE DATOS

1.      Responsabilidad e instrucciones

1.1 El tipo de datos y las categorías de interesados cuyos datos son tratados en virtud del presente Acuerdo de Tratamiento por el Encargado del Tratamiento en relación con la prestación de Whistlelink por parte del Encargado, así como la finalidad, la naturaleza, la duración y el objeto del tratamiento se describen en la sección 5. El Cliente se asegurará de que el Encargado del Tratamiento no trate otras categorías de datos distintas de las especificadas en la sección 5.

1.2 El Cliente es consciente de que Whistlelink es una plataforma que se distribuye a un gran número de clientes y que, por tanto, Nosotros no podremos seguir necesariamente aquellas instrucciones que no sean consecuencia directa de la necesidad del Cliente de cumplir las Normas de Protección de Datos. Si el Cliente nos da tales instrucciones que no tenemos la posibilidad de seguir, el Cliente se compromete a dejar de introducir y exportar todos los Datos del Cliente afectados por las instrucciones actuales. Lo anterior no constituirá un incumplimiento del contrato ni una interrupción de la disponibilidad de Whistlelink.

1.3 El Cliente es el responsable del tratamiento de todos los datos personales que el Encargado del Tratamiento trata en nombre del Cliente en virtud del Acuerdo de Tratamiento. Por lo tanto, el Cliente es responsable del cumplimiento de las normas de protección de datos aplicables y se compromete a seguir las directrices para el uso de Whistlelink que sean aplicables en cada momento y la legislación que se aplica al trato de los denunciantes.

1.4 Al celebrar el presente Acuerdo, el Cliente acepta que las medidas de seguridad establecidas en las actuales medidas organizativas y técnicas de Whistlelink son adecuadas para el uso previsto por el Cliente de Whistlelink.

2.     Compromiso del Encargado del Tratamiento

2.1 El Encargado del Tratamiento se compromete a:

1. contar con una seguridad técnica y organizativa adecuada y adoptar las medidas de seguridad establecidas en las actuales medidas organizativas y técnicas de Whistlelink y en el artículo 32 del RGDP para proteger los datos tratados en virtud del presente Acuerdo, incluido un deber de confidencialidad adecuado impuesto a las personas del Encargado facultadas para tratar estos datos;
2. ayudar al Cliente a cumplir con los requisitos de seguridad establecidos en los artículos 32-36 del RGDP (como las medidas técnicas y organizativas, notificación e información al Cliente sin demora indebida respecto a la violación de los datos personales, la evaluación del impacto y la consulta previa), y se cumple con las obligaciones del Cliente con respecto a los derechos individuales en el Capítulo III del RGDP (como el derecho a la información, acceso, corrección, eliminación, restricción del tratamiento, portabilidad de los datos, objeción a la toma de decisiones automatizada);
3. conceder al Cliente el derecho a recibir información del Encargado del Tratamiento con el fin de comprobar y verificar las medidas adoptadas por el Encargado del Tratamiento de conformidad con este acuerdo. El Encargado del Tratamiento facilitará y contribuirá a las investigaciones (incluidas las inspecciones) realizadas por el Cliente o un auditor que lleve a cabo dichas investigaciones en nombre del Cliente. Además, si una autoridad de control u otro tercero solicita información sobre el tratamiento de los datos personales al Encargado del Tratamiento, este los remitirá al Cliente cuyos datos personales se tratan. El Encargado del Tratamiento informará sin demora al Cliente de cualquier contacto con la autoridad de control que esté relacionada o pueda ser importante para el tratamiento de los datos personales;
4. en función de lo que el Cliente elija: eliminar, anonimizar o devolver al Cliente todos los datos personales cuando concluya el Acuerdo, independientemente del motivo, incluida la eliminación de todas las copias que, según la Ley de Protección de Datos, no deben guardarse;
5. facilitar al Cliente el acceso a la información necesaria para que pueda cumplir sus obligaciones como un responsable del Tratamiento frente a la autoridad de control y/o a los particulares;
6. no transferir los datos a terceros países o una organización internacional, a no ser que lo exija la Ley de Protección de Datos, con lo cual el Encargado del Tratamiento informará inmediatamente al Cliente, a no ser que dicha información esté prohibida.

2.2 Además, el Encargado del Tratamiento se compromete a tratar siempre los datos de acuerdo con las Normas de Protección de Datos. Esto incluye, pero no se limita a, mantener un registro de todas las categorías de procesos realizados, proporcionar un extracto del registro del tratamiento completado a petición del Cliente e informar al Cliente inmediatamente si el Encargado del Tratamiento sospecha que existe un riesgo de que se violen las libertades y los derechos de la persona.

3.     Subencargados del tratamiento de datos y transferencia a terceros países

3.1 Siempre que el Encargado (i) informe al Responsable de sus planes con una antelación razonable, y con el derecho de que el Responsable se oponga, el Encargado tiene una autorización general para contratar subprocesadores para el procesamiento de datos en nombre del Cliente, por los que el Encargado será totalmente responsable ante el Cliente.

3.2 Siempre que el Encargado (i) informe al Responsable de sus planes con al menos 30 días de antelación, y con el derecho de objeción del Responsable, (ii) aplique los mecanismos de seguridad adecuados y de acuerdo con las Reglas de Protección de Datos en vigor, el Encargado podría transferir datos fuera de la UE / EEE.

3.3 Al aceptar este Acuerdo, el Cliente aprueba los subencargados del tratamiento de datos que aparecen en la Sección 5. Actualmente, el Encargado no transfiere datos personales a terceros paises.     

4.      Varios

4.1 Las disposiciones del Acuerdo también se aplicarán al presente Acuerdo de Tratamiento. En caso de conflicto entre el Acuerdo y el presente Acuerdo de Tratamiento, prevalecerá este último.

5.     Instrucciones

5.1 Esta sección 5 constituye las instrucciones iniciales del Cliente para el Encargado del Tratamiento y puede, sujeto a la sección 1.2, ser complementada en una fecha posterior

5.2 Categorías de interesados. Todos los que tienen acceso a Whistlelink y aquellos que son mencionados en una denuncia de irregularidades en Whistlelink.

5.3. Finalidad, naturaleza y objeto del tratamiento, y Categorías de datos personales. Teniendo en cuenta la función y el propósito principal del Encargado del Tratamiento de proporcionar Whistlelink y, por lo tanto, constituirse en Encargado del tratamiento específicamente para el almacenamiento de los Datos del Cliente que pueden contener datos personales, las categorías de datos personales incluyen todas las categorías de datos que pueden ocurrir en el contexto de una denuncia de irregularidades, incluidos los datos confidenciales y las presuntas infracciones de la ley.

5.4 Conservación de datos. El encargado de datos conservará los datos de los casos de todos los informes durante el tiempo de establecido por el cliente en el sistema.

5.5 Subencargados. En el momento de la celebración del presente Acuerdo, el Encargado tiene los siguientes subencargados, que, no obstante, podrán modificarse de acuerdo con la Sección 3:

• Sub-Encargados: Swerolab AB (Suecia), Interactive Security (Suecia), SMSAPI (Polonia), Brevo (Francia), OPSWAT (Alemania), Glesys (Suecia), T-Systems International (Alemania), Friendly Captcha (Alemania), DeepL (Alemania), Mistral AI (Francia).

5.6 Transferencias a terceros países. En el momento de la celebración del presente Acuerdo, el Encargado no tiene transferencias de Datos fuera de la UE / EEE, lo cual, sin embargo, se puede modificar de acuerdo con la Sección 3:

• Transferencias fuera de la UE/EEE: ninguna.