Acuerdo de tratamiento de datos personales
en nombre de
(en lo sucesivo, «Anunciante» o «responsable del tratamiento»)
por parte de
ad pepper media Spain SA,
Avda. Alberto Alcocer, 46. 1ºA,
28016 Madrid (España)
)
(en lo sucesivo, «Webgains» o «encargado del tratamiento»)
ambos denominados en los sucesivo, según sea el caso, «parte» o «partes»
Al marcar la casilla «Estoy conforme con el acuerdo de tratamiento de datos personales», las partes ejecutan el contrato siguiente sobre el tratamiento de datos personales por parte del encargado en nombre del Anunciante.
Preámbulo
Este acuerdo de tratamiento de datos personales (en lo sucesivo, «acuerdo») expone las obligaciones de las partes asociadas con el tratamiento de datos personales (en lo sucesivo, «datos personales») que hace Webgains en nombre del Anunciante como responsable, en relación con el Plan de Comisiones y las condiciones generales de servicio para Anunciantes que ocasionalmente se ejecutan entre las partes (en conjunto, «contrato del Anunciante»). Sus normas se aplicarán a todas las actividades de tratamiento de datos personales asociadas con el contrato del Anunciante, en cuyo ámbito los empleados del encargado del tratamiento procesan los datos personales del responsable en nombre del Anunciante.
- Objeto, tipo, finalidad y alcance del tratamiento de datos personales
(1) El objeto del presente acuerdo es el tratamiento de datos personales por parte de Webgains en nombre del Anunciante y bajo sus instrucciones. Las obligaciones de las partes en virtud de este acuerdo se desprenden del contrato del Anunciante, del que el presente acuerdo y las instrucciones individuales constituyen un apéndice. En vista de lo anterior, y de conformidad con los principios del Reglamento General de Protección de Datos de la UE (en lo sucesivo, «RGPD»), Webgains asume el papel de encargado del tratamiento y el Anunciante el de responsable del tratamiento.
(2) La naturaleza y la finalidad del tratamiento de datos previsto, así como los datos personales pertinentes y el grupo de interesados se especifican en el anexo 1.
- Obligaciones del encargado del tratamiento
(1) El encargado del tratamiento solo procesará datos personales dentro del marco del presente acuerdo y bajo las instrucciones específicas del responsable del tratamiento. El encargado no procesará los datos personales del responsable de ninguna manera que contradiga estos requisitos.
(2) El apartado 1 está limitado por el Derecho de la Unión Europea o del Estado miembro al que esté sujeto el encargado del tratamiento. En este caso, el encargado del tratamiento tendrá la obligación de informar al responsable antes de procesar los datos, a menos que ello se oponga al interés público, como las obligaciones de información fiscal o comercial.
(3) El responsable del tratamiento o un representante autorizado emitirán las instrucciones por correo electrónico o a través del sistema de asistencia técnica en línea de la plataforma de Webgains. Las instrucciones verbales serán confirmadas a la mayor brevedad por correo electrónico o a través del mismo sistema de asistencia técnica.
(4) El encargado del tratamiento no corregirá, eliminará ni bloqueará datos personales, a menos que se hayan emitido las instrucciones pertinentes o si la eliminación se efectúa con base en la cláusula 14 del presente acuerdo (terminación del acuerdo). Las aplicaciones del cliente/usuario para corregir, eliminar o bloquear datos personales serán transferidas puntualmente al responsable del tratamiento, quien, a su vez, emitirá instrucciones al encargado del tratamiento de inmediato.
(5) El tratamiento de los datos tendrá lugar exclusivamente en un Estado miembro de la UE o del EEE y en el Reino Unido (en caso de que este ya no pertenezca a la UE). Cualquier tratamiento en un tercer país requiere el consentimiento del responsable del tratamiento. Si este da su consentimiento, se deberán garantizar estándares de seguridad mínimos.
(6) El encargado del tratamiento llevará un registro de todas las categorías de actividades de tratamiento realizadas en nombre del responsable, que contendrá toda la información que se expone en el artículo 30, apartado 2 del RGPD. El encargado del tratamiento pondrá a disposición del responsable toda la información requerida para llevar este registro a su petición, con un plazo de preaviso razonable.
- Personas con derecho a emitir instrucciones
(1) Si se deben emitir instrucciones o notificaciones en virtud del presente acuerdo frente a la otra parte, dichas instrucciones o notificaciones se dirigirán a las personas de referencia especificadas en el contrato del Anunciante y, en su defecto, a las personas responsables de llevar a cabo el programa publicitario del Anunciante en la plataforma de Webgains (para Webgains, el gestor de cuentas o Account Manager).
(2) Cada una de las partes podrá cambiar a las personas de contacto especificadas enviando un aviso por escrito a la otra parte, por correo electrónico o a través del sistema de asistencia técnica en línea de Webgains. Dichos cambios se harán efectivos inmediatamente cuando se reciba el aviso del cambio.
- Derechos y obligaciones del responsable del tratamiento
(1) El responsable del tratamiento será el único responsable de evaluar la admisibilidad legal según las disposiciones del RGPD, tal y como se ejecuten de conformidad con el presente acuerdo.
- Empleados del encargado del tratamiento vinculados por las instrucciones y obligados a respetar la confidencialidad
(1) El encargado del tratamiento garantiza que todos los empleados implicados en el tratamiento de los datos personales del responsable no estarán autorizados a procesar datos personales fuera del ámbito de este acuerdo y del contrato del Anunciante.
(2) El encargado del tratamiento tomará medidas para garantizar que todo el personal contratado cumpla las disposiciones legales en materia de protección de datos.
(3) Asimismo, el encargado del tratamiento garantiza que cualquier persona con derecho a procesar datos personales en nombre del responsable del tratamiento se ha sometido a un compromiso de confidencialidad o está sujeta a una obligación legal de confidencialidad apropiada.
- Nombramiento de un DPD (delegado de protección de datos)
(1) El encargado del tratamiento nombrará —siempre que esté obligado a ello en virtud del RGPD— a un delegado de protección de datos, cuyos datos de contacto figurarán en el sitio web del encargado y se podrán consultar en https://www.webgains.com/public/es/privacidad/
(2) Si el responsable del tratamiento no está establecido en ninguno de los Estados miembros de la Unión Europea o del EEE, designará a un representante en la UE, de conformidad con el artículo 27, apartado 1 del RGPD, y lo comunicará de manera adecuada.
- Preguntas de los interesados
El encargado informará al responsable del tratamiento por correo electrónico de cualquier pregunta o solicitud que reciba de una autoridad de control de protección de datos respecto al objeto del presente acuerdo. El encargado del tratamiento tomará las medidas apropiadas para ofrecer información para el ejercicio de los derechos de los interesados, tal y como se estipula en el artículo 12a y sig. del RGPD. Si un interesado reclama la rectificación, eliminación o acceso frente al encargado del tratamiento, este transmitirá dicha reclamación del interesado al responsable del tratamiento sin dilación indebida. El responsable tomará inmediatamente todas las medidas necesarias de conformidad con el RGPD. Las partes se apoyarán mutuamente, siempre que sea posible y con base en las instrucciones del responsable del tratamiento, en la medida acordada.
- Subcontratistas
(1) El encargado del tratamiento está autorizado a contratar a subcontratistas (encargados adicionales) para procesar los datos personales. El encargado informará al responsable del tratamiento de cualquier cambio previsto respecto a la adición o al reemplazo se subcontratistas, dando así al responsable la oportunidad de oponerse a dichos cambios. Si el responsable del tratamiento no se opone en un plazo de siete días, su consentimiento será implícito. En caso de que el responsable del tratamiento se oponga a dicho cambio —dicha oposición deberá ir acompañada de las razones que la motiven—, las partes discutirán de buena fe medidas razonables para que el responsable tenga la oportunidad de realizar cambios en los servicios, de manera que se evite que el nuevo subencargado del tratamiento haga uso de los datos personales. Si las partes no llegan a ningún acuerdo sobre estas medidas en un plazo de 60 días desde que Webgains recibiera la objeción, cualquiera de ellas podrá terminar el presente acuerdo y el contrato del Anunciante con un plazo de preaviso de 60 días.
(2) En caso de que se realice la subcontratación, el encargado del tratamiento seleccionará al subcontratista con la diligencia debida y elaborará los acuerdos contractuales de un modo que garantice que respeten los requisitos de protección de datos personales en las relaciones contractuales entre el responsable y el encargado del tratamiento.
(3) El encargado pondrá a disposición del responsable del tratamiento la lista actual de subencargados para los servicios, tal y como se enumeran en el anexo 2 de este acuerdo, en https://www.webgains.com/public/es/lista-de-subencargados/.
(4) Los servicios complementarios quedan excluidos del requisito de consentimiento. Esto cubre, en particular, los servicios de telecomunicación, incluida la ayuda al usuario, servicios de mantenimiento, servicios de auditoría y eliminación de soportes de datos. Webgains podrá designarlos a su discreción.
- Definición de las medidas técnicas y organizativas
(1) El encargado del tratamiento ha sido elegido con base en la expectativa de que tomará las medidas técnicas y organizativas apropiadas para su ámbito de responsabilidad, con el fin de garantizar el cumplimiento de las disposiciones de protección de datos personales.
(2) El encargado del tratamiento garantizará la confidencialidad, la integridad, la disponibilidad y la capacidad suficiente de los sistemas de tratamiento de datos personales. En caso de que se produzcan incidentes físicos o técnicos, restaurará el acceso a los datos personales y su disponibilidad inmediatamente por medio de procesos de encriptación para la transmisión y el almacenamiento de los datos personales. El encargado del tratamiento tomará las medidas técnicas y organizativas apropiadas para su ámbito de responsabilidad siguiendo las reglas que se enumeran en el anexo 3.
(3) Si se le solicita, el encargado del tratamiento confirmará el cumplimiento de las medidas de seguridad definidas, que se enumeran en el anexo 3, proporcionadas por un auditor independiente (seguridad informática, delegado de protección de datos, auditor o similar) por carta, fax o correo electrónico.
(4) Las medidas técnicas y organizativas están sujetas al progreso técnico y a desarrollos futuros. En este sentido, el encargado del tratamiento se reserva el derecho de implementar medidas adecuadas alternativas y a actualizarlas de forma razonable de vez en cuando.
- Obligaciones de control y notificación del encargado del tratamiento
(1) En caso de que el encargado del tratamiento crea que una instrucción del responsable del tratamiento infringe el RGPD u otras disposiciones de protección de datos personales, el encargado lo notificará al responsable de inmediato. El encargado del tratamiento tendrá el derecho de suspender la implementación de las instrucciones en cuestión hasta que el responsable del tratamiento las haya confirmado o cambiado, sea cual fuere el caso.
(2) En caso de que el encargado del tratamiento crea que las instrucciones emitidas por el responsable del tratamiento son insuficientes para cumplir las normas de protección de datos personales, el encargado lo notificará al responsable sin dilación y este último tomará de inmediato todas las medidas necesarias para cumplir el RGPD.
- Notificación de infracciones por parte del encargado del tratamiento
(1) El encargado notificará al responsable del tratamiento cualquier infracción de datos personales perpetrada en su propia organización sin dilación indebida tras llegar dicha infracción a su conocimiento.
(2) En el caso de una infracción de datos personales sujeta a notificación por parte del responsable del tratamiento a una autoridad de control, el encargado del tratamiento la notificará sin dilación indebida cuando no se puedan descartar la pérdida, la divulgación ilegal o el acceso ilícito a los datos personales. Las partes cooperarán de buena fe para alcanzar el cumplimiento con el RGPD sin dilación indebida.
(3) En caso de que se produzca una infracción real o presunta de la protección de datos personales, como la pérdida, la modificación ilícita o el acceso a una cantidad significativa de datos personales («violaciones de la seguridad de los datos personales»), la parte afectada la notificará a la otra inmediatamente por escrito. El aviso describirá, en un lenguaje claro y simple, la naturaleza de la violación de la seguridad de los datos personales, incluidas las consecuencias probables. El encargado del tratamiento documentará todas las violaciones de la seguridad de los datos personales y garantizará su disponibilidad si se lo solicita el responsable del tratamiento, en caso de que los datos personales de este último estén implicados.
- Derechos de supervisión del responsable del tratamiento
(1) El responsable del tratamiento tiene derecho a realizar auditorías (directamente o a través de un auditor profesional encargado) una vez por año natural sobre el cumplimiento del encargado del tratamiento de las disposiciones legales en materia de protección de datos, así como sobre el cumplimiento del presente acuerdo, también en la sede del negocio del proveedor, en particular, obteniendo información e inspeccionando los datos almacenados y los programas de tratamiento de datos en las instalaciones del encargado del tratamiento. El responsable del tratamiento dará un preaviso por escrito de 20 días laborables sobre dicha inspección o auditoría.
(2) Las partes acuerdan que el delegado de protección de datos del encargado del tratamiento sea contratado por el responsable del tratamiento para realizar dicha auditoría antes de contratar a otra persona. Si el informe de auditoría del delegado de protección de datos del encargado del tratamiento resulta insuficiente o incompleto, el responsable del tratamiento podrá contratar a otro auditor para realizar las inspecciones.
(3) Durante la auditoría, el encargado del tratamiento estará obligado a proporcionar información y a cooperar como corresponda. El encargado ayudará al responsable del tratamiento, en particular, en caso de que se efectúen comprobaciones en materia de protección de datos por parte de la autoridad de control, en la medida en que se vea afectado el tratamiento de datos en virtud del presente acuerdo.
- Duración del acuerdo y derechos de terminación
(1) Este acuerdo tendrá la misma duración que el contrato del Anunciante.
(2) Cualquiera de las partes podrá terminar este acuerdo y, por consiguiente, el contrato del Anunciante en cualquier momento si la otra parte comete una infracción grave del acuerdo o de las disposiciones del RGPD y no enmienda dicha infracción en un plazo de 30 días a partir de la recepción del aviso de la parte no infractora.
- Cumplimiento de órdenes y terminación de la relación contractual
(1) Al término del presente acuerdo, el encargado del tratamiento dejará de procesar datos personales en nombre del responsable del tratamiento inmediatamente. Si se le solicita, el encargado del tratamiento entregará al responsable una copia de los datos personales que tenga en su posesión. El encargado del tratamiento se reserva el derecho de archivar los datos personales de conformidad con las disposiciones legales o para demostrar sus servicios en virtud del contrato del Anunciante.
- Anexos
Los anexos siguientes constituyen una parte integral del presente acuerdo.
- Anexo 1: descripción de las obligaciones del contratista, incluida la descripción de la naturaleza de los datos personales y del grupo de interesados
- Anexo 2: lista de subencargados
- Anexo 3: requisitos de seguridad de los datos
Anexo 1
Datos Personales y el propósito de su procesamiento por parte de Webgains en nombre del Anunciante:
La lista debe indicar el alcance, la naturaleza y el propósito de cualquier recopilación, procesamiento y uso contemplados de los Datos Personales, así como el tipo de Datos y las personas y sujetos interesados.
Tipos de Datos Personales
- Dirección IP
- Detalles del Pedido
- ID de Transacción
Interesado
- Cliente
- Visitante
Propósito del procesamiento del uso de datos personales
- Provisión de servicios acordes al contrato principal
- Controlador
Anexo 2: lista de subencargados
- Experian Information Solutions, Inc. (41st Parameter): detección y prevención del fraude
- Afilias Technologies Limited (DeviceAtlas): huellas digitales para todas las operaciones en la red
- QuBit Digital Limited (sucursal del Reino Unido): solución de Container Tag e identificadores de transacción
- Tech Essence Ltd.: solución de rastreo
- Neory GmbH: solución de Container Tag e identificadores de transacción
- Amazon Web Services, Inc.: servicio de alojamiento
- OVH: servicio de alojamiento
- Pulsant Ltd.: servicio de alojamiento
- Periscope, Inc.: herramienta de informes empresariales
- Cubed – Herramienta para medir la atribución
- Cloudfind – Herramienta para descubrir y comparar
Anexo 3
Medidas técnicas y organizativas implementadas de conformidad con el artículo 32 del RGPD:
El encargado del tratamiento implementará las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo de los datos personales procesados en virtud del presente acuerdo. Dichas medidas tendrán en cuenta la última tecnología, los costes de implementación y la naturaleza, el alcance, el contexto y la finalidad del tratamiento, así como el riesgo de distinta probabilidad y gravedad para los derechos y las libertades de las personas físicas. Estas medidas deberán garantizar la confidencialidad, integridad, disponibilidad y resiliencia continuas de los sistemas y servicios de tratamiento.
- Proceso de control de la seguridad informática
El encargado del tratamiento implementará un proceso para probar, evaluar y valorar regularmente la efectividad de las medidas técnicas y organizativas con el fin de garantizar la seguridad del tratamiento.
- Medidas técnicas y organizativas para garantizar la seguridad del tratamiento
El encargado del tratamiento implementará las medidas técnicas y organizativas siguientes para garantizar la seguridad de los datos personales. Asimismo, supervisará su cumplimiento a través de medidas organizativas de vigilancia:
Objetivo: confidencialidad
Ninguna persona física —empleado o tercero— tomará nota de los datos personales en virtud del presente acuerdo, a menos que esté autorizado para hacerlo.
1 Control de entradas:
Solicitudes |
Se implementará un control de entradas para personas externas, p. ej., por medio de los puntos siguientes: |
|
|
|
|
|
Se implementará un control de entradas para los miembros del personal, p. ej., por medio de los puntos siguientes: |
|
|
|
Implementación de normas de autorización para la sala de ordenadores/servidores |
Implementación de medidas de autorización de acceso para la sala de ordenadores/servidores |
Uso de contenedores con cerradura para los empleados |
Política de llaves (puertas cerradas con llave, entrega de llaves solo a personas autorizadas y uso y almacenamiento de una llave maestra) |
Áreas/medidas de seguridad para la protección de la propiedad (p. ej., protección de ventanas y vigilancia de la propiedad) |
2 Control de acceso:
Solicitudes |
Medidas de identificación para el acceso de usuarios a los sistemas de tratamiento de datos personales, es decir, identificación mediante palabra clave, contraseña o medios de identificación biométricos |
Implementación de una política de contraseñas
· Contraseña individual (asignada por el propio usuario) · Al menos diez elementos, incluidos caracteres especiales y números · Asignación por parte del usuario · Expiración tras un plazo de tiempo predefinido (pasados seis meses a más tardar) · Las cuentas se bloquean después de tres intentos fallidos como máximo. · No se comunicará a terceros · Normas de ausencia (vacaciones, enfermedad, etc.) · Prohibición de las últimas cinco contraseñas utilizadas |
Bloqueo de acceso inmediato a los sistemas de protección de datos personales con la jubilación de los empleados |
Evaluación de los derechos de acceso regularmente, al menos una vez al año |
Activación automática de un salvapantallas protegido con contraseña (intervalos de tiempo de entre 5 y 15 minutos, en función del riesgo de uso indebido) |
Protección de las redes internas contra ataques externos mediante la implementación de cortafuegos, encriptación, redes privadas virtuales (VPN), etc. |
3 Control de autorización de acceso:
Solicitudes |
Implementación de perfiles de usuario, es decir, normas de autorización de acceso |
Normas de autorización específicas para la lectura, modificación y eliminación de datos personales |
Asignación de autorizaciones para empleados y ayudantes de acuerdo con el principio de minimización; el acceso a las aplicaciones y a los componentes del sistema solo se permitirá cuando sea necesario para la actividad concreta de los empleados. |
Establecimiento de un plan de autorización
|
Separación del modo de prueba y producción |
Configuración de los componentes informáticos para garantizar la desactivación en cuanto los componentes ya no sean necesarios para realizar las tareas contractuales. Revisión anual de la correcta configuración |
Eliminación de los soportes de datos personales y desecho de acuerdo con los principios vigentes de la protección de datos personales y la última tecnología (DIN 66399:2012), o bien el nombramiento de un proveedor de servicios especializado en desechar soportes de datos utilizando el mismo nivel de seguridad. Los soportes de datos cuya eliminación esté prevista estarán sujetos a un almacenamiento y un transporte seguros. |
Normativa escrita para las medidas relativas a la copia de datos personales |
Desactivación de puertos USB y otros medios portátiles en estaciones de trabajo en las que se pueda acceder a los datos personales del cliente |
Implementación de medidas contra flujos de datos no autorizados (restricción de puertos USB, software de detección, prevención y protección contra filtraciones de datos, etc.) |
4 Control de la finalidad:
Solicitudes |
Implementación de un plan de autorización que especifique los derechos de acceso |
Base de datos con capacidad para varios clientes |
Objetivo: integridad
El proveedor deberá garantizar que los procesos y sistemas informáticos cumplan en todo momento las especificaciones codificadas. Los datos personales permanecerán intactos, íntegros y actualizados.
5 Control de los procesos de transferencia:
Solicitudes |
Documentación de los destinatarios de los datos, las rutas de transporte, las personas autorizadas para la transferencia de datos y los datos que han sido transferidos |
Encriptación de los datos personales antes de la transferencia en caso de que las rutas de transferencia no sean seguras |
6 Control de introducción de datos:
Solicitudes |
Todas las entradas de datos personales estarán registradas mediante pruebas de auditoría y derechos de acceso por escrito. |
Registro de las entradas, modificaciones y eliminaciones de datos personales |
Existen derechos de acceso a los datos registrados. |
Existen normas respecto a la eliminación de los datos registrados. |
Objetivo: disponibilidad
7 Control de la disponibilidad de los datos:
Solicitudes |
Proceso de aprobación formalizado para la implementación de nuevos sistemas de tratamiento de datos personales y la implementación de cambios considerables respecto al sistema antiguo |
Todos los sistemas alimentados mediante un sistema de alimentación ininterrumpida (SAI) |
Detectores de humo y fuego automáticos |
Extintores en las salas de servidores |
Copia de seguridad de las bases de datos
|
Reconstrucción de bases de datos
|
Objetivo: capacidad
8 Control de acuerdo con las instrucciones del cliente:
Solicitudes |
Control del cumplimiento de las medidas de protección de datos personales por parte del proveedor y obligación de informar al cliente sobre incidentes relacionados con la seguridad de los datos |
Todos los empleados del proveedor que trabajen con datos personales del cliente estarán obligados contractualmente a cumplir los principios de protección de datos personales. |
Instrucciones del proveedor a los empleados que tengan acceso a datos personales respecto al tratamiento de dichos datos |
9 Proceso para garantizar la inspección regular
Solicitudes |
Implementación de un sistema que garantice el principio de rendición de cuentas y de control de la seguridad informática |
Gestión de respuesta a los incidentes |
Medidas para garantizar que, por defecto, solo se procesen los datos personales que sean necesarios para cada finalidad específica del tratamiento, p. ej.:
|
Procedimientos amplios de seudonimización y encriptación de datos personales |
Notificación de violaciones de la seguridad de los datos personales |
Supervisión regular de las medidas implementadas, al menos una vez al año |
Ajustes por defecto seguros y suficientes de los servidores para garantizar el reinicio del sistema de servidores dentro del plazo previsto |