Cláusulas de subcontratación que completan las Condiciones generales de venta de Trackforce

Las soluciones informáticas comercializadas por Trackforce se diseñan y desarrollan a nivel interno sin recurso a la subcontratación. No obstante, Trackforce puede verse obligada a recurrir a terceros para determinadas prestaciones, como el alojamiento de datos o el suministro de programas informáticos específicos, en particular para la gestión de la relación con el cliente, la gestión comercial, el equipo de venta, la gestión de la producción o la gestión de proyectos.

Por lo tanto, las presentes Cláusulas de subcontratación definen las condiciones en las que Trackforce podrá bien confiar este tipo de prestaciones a terceros subcontratistas, bien ejecutar ella misma, en calidad de Subcontratista, las prestaciones por cuenta del Cliente Responsable del tratamiento conforme al Reglamento europeo n.º 2016/679 de 27 de abril de 2016 sobre la protección de datos personales a partir de su entrada en vigor el 25 de mayo de 2018 (en adelante el «RGPD»).

Por ello, las presentes Cláusulas de subcontratación completan las CGV de Trackforce en materia de subcontratación como se prevé a continuación.

Cláusula n.º 1: Subcontratación entre Trackforce y terceros Subcontratistas

El Cliente autoriza expresamente a Trackforce a subcontratar la totalidad o parte de las prestaciones previstas en las CGV a cualquier tercero Subcontratista de su elección.

La compra por el Cliente de los Productos previstos y comercializados en las CGV de Trackforce implica la aceptación por el Cliente de la subcontratación y las condiciones generales de servicios del Subcontratista.

Corresponde a Trackforce asegurarse de que el Subcontratista elegido presenta garantías suficientes en cuanto a la aplicación de medidas técnicas y organizativas apropiadas para que el tratamiento cumpla los requisitos previstos en el RGPD.

Cláusula n.º 2: Subcontratación entre Trackforce y el Cliente

En virtud del presente artículo 2, Trackforce es el Subcontratista y el Cliente es el Responsable del tratamiento en el sentido del RGPD respecto a todos los datos personales tratados por Trackforce por cuenta del Cliente en ejecución de las CGV de Trackforce.

Cláusula n.º 2.1: Objetivos

La presente Cláusula n.º 2.1 y sus diferentes subsecciones tienen por objeto definir las condiciones en las que Trackforce (que actúa como Subcontratista del Cliente) se compromete a realizar por cuenta del Cliente (que actúe como Responsable del tratamiento) las operaciones de tratamiento de datos personales definidas a continuación.

En el marco de sus relaciones contractuales, las Partes se comprometen a respetar la reglamentación en vigor aplicable al tratamiento de datos personales y, en particular, el RGPD obligatorio a partir del 25 de mayo de 2018.

Cláusula n.° 2.2: Tratamiento conforme a instrucciones

Trackforce y cualquier persona que actúe bajo su autoridad que tenga acceso a los datos personales del Cliente se comprometen a tratar estos datos exclusivamente conforme a las instrucciones documentadas del Cliente, incluyendo en su caso la transmisión de dichos datos a un tercer país u organización internacional, a menos que Trackforce esté obligada a lo anterior en virtud del Derecho de la Unión o del Derecho del Estado miembro al que esté sujeta Trackforce. En este caso, Trackforce informará al Cliente de esta obligación jurídica antes del tratamiento, salvo si el derecho en cuestión prohíbe dicha información por motivos importantes de interés público.

Trackforce informará inmediatamente al Cliente en caso de que, en opinión de aquella, una instrucción del Cliente constituya una violación de la Legislación Europea relativa a la protección de datos personales.

Cláusula n.° 2.3: Descripción del tratamiento objeto de la subcontratación

Trackforce está autorizada a tratar por cuenta del Cliente los datos de carácter personal necesarios para prestar el servicio o servicios definidos de común acuerdo entre las Partes, incluida la duración del tratamiento, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y las categorías de personas afectadas, y las obligaciones y derechos del Cliente en su calidad de Responsable del tratamiento.

Cláusula n.° 2.4: Obligaciones del Subcontratista Trackforce frente al Cliente Responsable del tratamiento

En calidad de Subcontratista respecto a los datos relacionados con la subcontratación, Trackforce se compromete a lo siguiente:

  • Tratar los datos personales en cuestión únicamente para la finalidad o finalidades objeto de la subcontratación.
  • Tratar los datos en cuestión de conformidad con las instrucciones documentadas del Cliente Responsable del tratamiento.
  • Garantizar la confidencialidad de los datos personales tratados.
  • Velar por que las personas autorizadas para tratar los datos personales en virtud del presente contrato (i) se comprometan a respetar la confidencialidad o estén sujetas a una obligación legal apropiada de confidencialidad y (ii) reciban la formación necesaria en materia de protección de datos personales.
  • Tener en cuenta, tratándose de sus herramientas, productos, aplicaciones o servicios, los principios de protección de datos desde el diseño y de protección de los datos por defecto.

Cláusula n.º 2.5: Segunda subcontratación

En calidad de Subcontratista respecto a los datos relacionados con la Subcontrata, Trackforce puede recurrir a otro subcontratista (en adelante, el «Segundo subcontratista») para realizar actividades de tratamiento específicas.

En tal caso, Trackforce informará previamente y por escrito al Responsable de tratamiento de cualquier cambio previsto en relación con la adición o la sustitución de otros subcontratistas. Esta información deberá indicar claramente las actividades de tratamiento subcontratadas, la identidad y los datos del Subcontratista y las fechas del contrato de subcontratación. El Responsable de tratamiento dispone de un plazo de 10 (diez) días a partir de la fecha de recepción de esta información para presentar sus objeciones. Esta subcontratación solo puede efectuarse si el Responsable de tratamiento no ha formulado ninguna objeción durante el plazo convenido.

El Segundo subcontratista está obligado a cumplir las obligaciones del presente contrato por cuenta y según las instrucciones del Responsable de tratamiento. Corresponde al Subcontratista inicial asegurarse de que el Segundo subcontratista presenta las mismas garantías suficientes en cuanto a la aplicación de medidas técnicas y organizativas apropiadas de forma que el tratamiento cumpla los requisitos del RGPD. Si el Segundo subcontratista no cumple sus obligaciones en materia de protección de datos, el Subcontratista inicial seguirá siendo plenamente responsable ante el Responsable de tratamiento de la ejecución por parte del otro subcontratista de sus obligaciones.

Cláusula n.° 2.6: Derecho de información de las personas interesadas

El Cliente Responsable de tratamiento deberá facilitar la información a las personas interesadas en las operaciones de tratamiento con ocasión de la recogida de los datos.

Cláusula n.° 2.7: Ejercicio de los derechos de las personas

En la medida de lo posible, Trackforce deberá, en su calidad de Subcontratista, ayudar al Cliente Responsable del Tratamiento a cumplir su obligación de dar curso a las solicitudes de ejercicio de los derechos de las personas interesadas: derecho de acceso, rectificación, supresión y oposición, derecho a la limitación del tratamiento, derecho a la portabilidad de los datos, derecho a no ser objeto de una decisión individual automatizada (incluida la elaboración de perfiles).

Si las personas interesadas presentan al Subcontratista Trackforce solicitudes de ejercicio de sus derechos, Trackforce deberá dirigir dichas solicitudes desde el momento de su recepción por correo electrónico a la dirección de correo electrónico de contacto del Cliente que figura en su perfil.

Cláusula n.º 2.8: Notificación de las violaciones de datos personales

En su calidad de Subcontratista, en caso de que Trackforce tenga conocimiento de cualquier violación de datos personales, lo notificará al Cliente Responsable del tratamiento con la mayor brevedad posible, de conformidad con el artículo 34 del RGPD, y por correo electrónico a la dirección de contacto del Cliente que figura en su perfil.

Esta notificación irá acompañada de cualquier documentación útil para permitir al Cliente Responsable del tratamiento notificar dicha violación a la autoridad de control competente, en este caso la Comisión Nacional de Protección de Datos (CNPD) en lo relativo a Luxemburgo, o sus equivalentes europeos en lo relativo a los demás países miembros de la Unión Europea.

Cláusula n.° 2.9: Asistencia del Subcontratista Trackforce en el marco del cumplimiento de sus obligaciones por parte del Cliente Responsables

En su calidad de Subcontratista, Trackforce prestará asistencia al Cliente Responsable del Tratamiento para la realización de análisis de impacto relativos a la protección de datos y a la consulta previa a la autoridad de control.

Las prestaciones previstas en la presente Cláusula 2.9 serán efectuadas por Trackforce de conformidad con las condiciones, en particular financieras y de plazo, acordadas previamente entre el Cliente y Trackforce.

Cláusula n.° 2.10: Medidas de seguridad

En la medida en que el artículo 32 del RGPD prevé que la aplicación de las medidas de seguridad incumbe al responsable del tratamiento y al subcontratista, cada Parte se compromete, por lo que respecta a los datos personales a su cargo, a aplicar las medidas de seguridad técnicas y organizativas que garanticen un nivel de seguridad adaptado al riesgo, incluyendo, entre otras cosas, en función de las necesidades:

  • La utilización de seudónimo y el encriptado de los datos personales;
  • Los medios que permitan garantizar la confidencialidad, integridad, disponibilidad y resiliencia constantes de los sistemas y los servicios de tratamiento;
  • Los medios que permitan restablecer la disponibilidad de los datos personales y el acceso a estos en plazos apropiados en caso de incidente físico o técnico;
  • Un procedimiento destinado a probar, analizar y evaluar regularmente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

La aplicación de un código de conducta aprobado conforme al artículo 40 del RGPD o de un mecanismo de certificación aprobado conforme al artículo 42 del RGPD puede servir de elemento para demostrar el cumplimiento de los requisitos de seguridad previstos en el artículo 32, p. 1, del RGPD mencionados anteriormente.

Cláusula n.º 2.11: Destino de los datos

Trackforce se compromete a destruir los datos personales al término de su periodo de conservación fijado según la naturaleza de dichos datos, recordándose que el Cliente debe efectuar regularmente sus propias copias de seguridad utilizando las herramientas informáticas puestas a su disposición en la Plataforma Guardtek.

Cláusula n.° 2.12: Delegado para la protección de datos

En su calidad de Subcontratista, Trackforce comunicará al Cliente Responsable del Tratamiento el nombre y los datos de su Delegado para la Protección de Datos (o Data Protection Officer, en adelante «DPO») designado de conformidad con el artículo 37 del RGPD, si el Cliente así lo solicita.

Cláusula n.° 2.13: Registro de las categorías de actividades de tratamiento

En su calidad de Subcontratista, Trackforce declara llevar un registro por escrito de todas las categorías de actividades de tratamiento efectuadas por cuenta del Cliente Responsable del Tratamiento, que incluye:

  • El nombre y los datos del Cliente Responsable del tratamiento por cuenta del cual actúa el Subcontratista Trackforce, los eventuales Segundos subcontratistas y, en su caso, el Delegado para la Protección de Datos;
  • Las categorías de tratamientos efectuados por cuenta del Cliente Responsable del tratamiento;
  • Llegado el caso, las transferencias de datos personales a un tercer país o a una organización internacional, incluida la identificación de dicho tercer país o de dicha organización internacional y, en el caso de las transferencias contempladas en el artículo 49, apartado 1, párrafo segundo, del RGPD, los documentos que acrediten la existencia de garantías apropiadas;
  • En la medida de lo posible, una descripción general de las medidas de seguridad técnicas y organizativas, incluidas, entre otras cosas, la utilización de seudónimos y el encriptado de los datos personales; ii) los medios para garantizar la confidencialidad, integridad, disponibilidad y resiliencia constantes de los sistemas y servicios de tratamiento; iii) los medios para restablecer la disponibilidad de los datos personales y el acceso a los mismos en los plazos apropiados en caso de incidente físico o técnico; (i) un procedimiento destinado a probar, analizar y evaluar regularmente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

Cláusula n.° 2.14: Documentación

En su calidad de Subcontratista, Trackforce pondrá a disposición del Cliente Responsable del tratamiento la documentación necesaria para demostrar el cumplimiento de todas sus obligaciones y permitir la realización de auditorías, incluidas inspecciones, por el Cliente Responsable del tratamiento u otro auditor encargado por este, y contribuir a dichas auditorías.

Cláusula n.º 3: Obligaciones del Cliente Responsable del tratamiento frente al Subcontratista Trackforce

As a Data Controller, the Client undertakes to:

  • En su calidad de Responsable del Tratamiento, el Cliente se compromete a lo siguiente:
  • Facilitar al Subcontratista Trackforce las informaciones y datos previstos en la Cláusula 2.3 del presente documento.
  • Documentar por escrito cualquier instrucción relativa al tratamiento de datos por el Subcontratista Trackforce.
  • Asegurar, previamente y durante el periodo del tratamiento, el cumplimiento de las obligaciones previstas en el RGPD por parte del Subcontratista Trackforce.
  • Supervisar el tratamiento, incluida la realización de auditorías e inspecciones del Subcontratista Trackforce.

Cláusula n.º 4: Mantenimiento de las disposiciones no contrarias de las CGV de Trackforce

Las presentes Cláusulas de subcontratación completan las CGV de Trackforce cuyas disposiciones no contrarias siguen siendo aplicables.