El presente contrato vincula al Cliente (también mencionado como “Responsable”) y a THE COCKTAIL AMÉRICA, S.A DE C.V (mencionada con “Proveedor” o “Encargado”) para los servicios prestados por el Proveedor que impliquen el acceso a datos del Cliente.
Objeto
El objeto del presente contrato es establecer las condiciones que aplican a la remisión de datos personales que se producirá como consecuencia de la prestación de servicios del Proveedor al Cliente. Todo ello de acuerdo a las instrucciones del Cliente y conforme a las finalidades e instrucciones indicadas por este para el tratamiento de datos personales por parte del Proveedor en la prestación del servicio.
El Proveedor se configura como Encargado con el objeto de acceder a una o varias bases de datos de carácter personal de las que es Responsable el Cliente.
Ambas partes aceptan obligarse en los términos de este contrato y llevarán a cabo el tratamiento de acuerdo con los principios establecidos en la Ley Federal de Protección de Datos en Posesión de los Particulares y demás normas que la reglamenten o la modifiquen.
Finalidad de la remisión de los datos personales
Los datos personales serán tratados por el Encargado con la finalidad prevista en la propuesta o contrato de prestación de servicios firmado entre ambas partes. Bajo el alcance de dicho, el Encargado está autorizado a tratar los datos personales por cuenta del Responsable por el tiempo que sea necesario para la ejecución del servicio.
Obligaciones del Encargado
Son obligaciones del Encargado las siguientes:
- Tratar únicamente los datos personales conforme a las instrucciones del Responsable.
- Abstenerse de tratar los datos personales para finalidades distintas a las instruidas por el Responsable.
- Implementar las medidas de seguridad conforme a la Ley, el Reglamento y las demás disposiciones aplicables.
- Guardar confidencialidad respecto de los datos personales tratados.
- Suprimir los datos personales objeto de tratamiento una vez cumplida la relación jurídica con el Responsable o devolverlos al Responsable siguiendo sus instrucciones del responsable, siempre y cuando no exista una previsión legal que exija la conservación de los datos personales.
- Abstenerse de transferir los datos personales salvo en el caso de que el responsable así lo determine, la comunicación derive de una subcontratación, o cuando así lo requiera la Autoridad Competente.
- Velar para que todos sus trabajadores que deban acceder a las bases de datos del Responsable cumplan con su obligación de secreto profesional y absoluta confidencialidad y reserva sobre los datos de carácter personal a los que deban acceder para cumplir los servicios pactados.
- Apoyar al responsable para garantizar al titular de los datos el pleno y efectivo ejercicio de sus derechos. El Encargado no responderá directamente al titular de los datos salvo que sea requerido para ello por la ley aplicable a su gestión o que las partes acuerden expresamente que el Encargado sea quien debe responder.
- Cumplir con lo establecido en el aviso de privacidad correspondiente.
Obligaciones del Responsable
Son obligaciones del Encargado las siguientes:
- Notificar oportunamente al Encargado acerca de cualquier cambio en la legislación que el Responsable considere que puede afectar el tratamiento de los datos personales o este contrato.
- Garantizar al Encargado que todos los datos personales incluidos en la base de datos objeto del tratamiento han sido obtenidos de forma lícita y conforme a la legislación vigente.
Prohibición de comunicación de datos a terceros y de subcontratación
Queda prohibida la comunicación de datos de carácter personal titularidad del Responsable a terceras personas, ni siquiera a los efectos de conservación de los datos ni para realización de copias de seguridad de los mismos.
Queda prohibida, a su vez, la subcontratación de los servicios que debe prestar el Encargado salvo que cuente con la autorización expresa y por escrito del Responsable para la realización de la misma.
Para que se otorgue dicha autorización, el Encargado deberá informar al Responsable, con carácter previo a la subcontratación, de los servicios que han de ser subcontratados, con quién y la finalidad de dicha subcontratación.
El tratamiento de datos por parte del subcontratista debe ajustarse a las instrucciones facilitadas por el Responsable en los términos previstos en el presente contrato.
Si fuera autorizada la subcontratación, será responsabilidad del Encargado firmar los preceptivos contratos de acceso a datos de carácter personal con las entidades o personas subcontratadas. Y, en caso de que la subcontratación implique la realización de transferencia internacional, ésta deberá cumplir los adecuados requisitos legales, debiendo quedar formalizada en los mencionados contratos de acceso a datos.
En el momento de la firma del presente contrato están autorizadas las subcontrataciones previstas en el anexo 1 en el apartado “Proveedores que facilitan la infraestructura de sistemas”.
Medidas de seguridad
Con la firma del presente contrato, el Encargado se obliga a adoptar las medidas técnicas, humanas y organizativas necesarias para garantizar la seguridad de los datos personales objeto de tratamiento, evitando así su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. Además de las medidas de seguridad previstas en los documentos de seguridad del Encargado, por defecto se aplican siempre las medidas de seguridad previstas en el anexo 1.
Las medidas de seguridad deberán evitar los riesgos a los que están expuestos los datos teniendo en cuenta la probabilidad de que estos se produzca y el impacto que puedan producir a los titulares de los datos. Dichas medidas de seguridad deberán constar por escrito, tanto por parte del Encargado como del Responsable, en políticas de seguridad que deben aplicar al tratamiento de los datos.
El encargado evaluará la efectividad de las medidas de seguridad de manera periódica para verificar si son necesarias nuevas medidas de seguridad en base a los riesgos a los que puedan estar expuestos los datos personales.
Extinción del contrato
El presente contrato se resolverá cuando termine la prestación del servicio del cual deriva.
Una vez terminado el contrato, el Encargado deberá terminar todas las actividades encaminadas al tratamiento de datos personales derivadas del servicio.
Además, el Encargado deberá remitir de regreso o eliminar inmediatamente, según las instrucciones del Responsable, toda la información con datos personales que trata en nombre del Responsable.
Responsabilidad
Si el Encargado incumple las condiciones establecidas en el presente contrato y comunica a terceras personas los datos que le ha facilitado el Responsable para la prestación de los servicios contratados, el Encargado será considerado como Responsable, respondiendo de las infracciones en que incurra personalmente.
Anexo 1 - Medidas de seguridad por defecto sobre los sistemas de información desde los que se tratan datos
Proveedores que facilitan la infraestructura de sistemas
El proveedor contrata los servicios de Google WorkSpace para su infraestructura de sistemas estando ubicados los datos dentro del Espacio Económico Europeo.
Medidas de seguridad sobre las comunicaciones
Todas las comunicaciones con las plataformas del Proveedor se realizan con protocolo seguro HTTPS para mantener la privacidad de los datos en todo momento.
Controles de acceso lógico
Sistemas de autenticación mediante verificación de credenciales de distintos niveles, con una sola credencial por usuario.
Los sistemas están diseñados para detectar acceso no consentidos a los mismos.
Confidencialidad por parte de los trabajadores
Todo el personal del Proveedor acepta un código de conducta en base a las políticas de la compañía, en el que se compromete a mantener unos niveles de ética, confidencialidad y comportamientos profesionales, así como un adecuado tratamiento con respecto a los datos de carácter personal.