Entre los suscritos, a saber:
El presente contrato vincula al Cliente (también mencionado como “Responsable”) y a The Cocktail América S.A.S (mencionada con “Proveedor” o “Encargado”) para los servicios prestados por el Proveedor que impliquen el acceso a datos del Cliente.
Objeto
El objeto del presente contrato es establecer las condiciones que aplican a la transmisión de datos personales que se producirá como consecuencia de la prestación de servicios del Proveedor al Cliente. Todo ello de acuerdo a las instrucciones del Cliente y conforme a las finalidades e instrucciones indicadas por este para el tratamiento de datos personales por parte del Proveedor en la prestación del servicio.
Ambas partes aceptan obligarse en los términos de este contrato y llevarán a cabo el tratamiento de acuerdo con los principios establecidos en la Ley Estatutaria 1581 de 2012 por la cual se dictan disposiciones generales para la protección de datos personales, las normas contenidas en la Ley 1581 de 2012 y demás normas que la reglamenten o la modifiquen.
Finalidad de la transmisión de los datos personales
Los datos personales serán tratados por el Encargado con la finalidad prevista en la propuesta o contrato de prestación de servicios firmado entre ambas partes. Bajo el alcance de dicha propuesta, el Encargado está autorizado a tratar los datos personales por cuenta del Responsable por el tiempo que sea necesario para la ejecución del servicio.
Obligaciones del Encargado del tratamiento
Son obligaciones del Encargado del tratamiento las siguientes:
- Tratar y conservar los Datos Personales en nombre y por cuenta del Responsable aplicando los adecuados niveles de seguridad y confidencialidad de acuerdo a las instrucciones del Responsable y, en particular, cumpliendo con la Política de tratamiento de la Información del Responsable, la ley aplicable y cualquier instrucción adicional del Responsable, sin que pueda utilizarse los datos personales con una finalidad distinta de la establecida por el Responsable.
- Guardar absoluta confidencialidad sobre los datos personales tratados, debiendo alcanzar dicha confidencialidad a todos los empleados y cualquier personal que pueda intervenir en el tratamiento de datos personales del Responsable, debiendo firmar dichas personas un acuerdo de confidencialidad.
- Formar al personal que intervenga en el tratamiento sobre las medidas de seguridad que deben aplicar a los datos tratados.
- Apoyar al responsable para garantizar al titular de los datos el pleno y efectivo ejercicio de su derecho de hábeas data. El Encargado no responderá directamente al titular de los datos salvo que sea requerido para ello por la ley aplicable a su gestión o que las partes acuerden expresamente que el Encargado sea quien debe responder.
- Actualizar y rectificar los datos de la base de datos del Responsable cuando éste facilite instrucciones específicas para tal fin.
- Notificar al Responsable cualquier incidencia de seguridad que pueda poner en riesgo los datos tratados por el Encargado y apoyar al Responsable para cualquier notificación que esté deba hacer a los titulares y/o a la autoridad de protección de datos. Dicha notificación deberá realizarse al Responsable en un plazo máximo de 48 horas y en ella deberá indicarse una descripción del incidente, los datos personales que se han visto afectados y qué medidas de seguridad se han adoptado para mitigar el incidente.
- Garantizar la realización de auditorías por parte del Responsable para que pueda verificar que se aplican las medidas de seguridad de manera adecuada por parte del Encargado.
- Notificar al Responsable cualquier requerimiento que reciba de las autoridades competentes que impliquen la divulgación de datos personales conforme a la leyes aplicables. El Encargado no estará obligado a dar aviso al Responsable sobre los requerimientos mencionados cuando las leyes aplicables le impidan hacerlo.
- Atender de forma oportuna y apropiada las solicitudes que le haga el Responsable en relación con el Tratamiento de los Datos Personales sujetos a la Transmisión y cumplir con las recomendaciones, instrucciones y órdenes de la Autoridad de Protección de Datos en Cumplimiento de la Ley 1581 de 2012, en relación al Tratamiento de Datos Personales.
- El Encargado deberá cooperar y enviar al Responsable dentro de los términos y condiciones razonablemente establecidas por el Responsable, toda la información pertinente que sea requerida a través de éste por la Autoridad de Protección de Datos.
Obligaciones del Responsable del tratamiento
Son obligación es del Responsable del tratamiento las siguientes:
- Tratar los Datos Personales aplicando los más altos estándares de confidencialidad y en cumplimiento de la Política de Tratamiento, la Ley 1581 de 2012 las normas que la reglamenten o modifiquen y este Contrato.
- Notificar oportunamente al Encargado acerca de cualquier cambio en la legislación que el Responsable considere que puede afectar el tratamiento de los datos personales o este Contrato.
- Resolver oportuna y apropiadamente todas las solicitudes realizadas por el Encargado en relación con el Tratamiento de los Datos Personales sujetos a la Transmisión y acatar las recomendaciones, instrucciones y órdenes de la Autoridad de Protección de Datos en cumplimiento con la la Ley 1581 de 2012.
- Garantizar al Encargado que todos los datos personales incluidos en la base de datos objeto del tratamiento han sido obtenidos de forma lícita y conforme a la legislación vigente.
Prohibición de comunicación de datos a terceros y de subcontratación
Queda prohibida la comunicación de datos de carácter personal titularidad del Responsable a terceras personas, ni siquiera a los efectos de conservación de los datos ni para realización de copias de seguridad de los mismos.
Queda prohibida, a su vez, la subcontratación de los servicios que debe prestar el Encargado salvo que cuente con la autorización expresa y por escrito del Responsable para la realización de la misma.
Para que se otorgue dicha autorización, el Encargado deberá informar al Responsable, con carácter previo a la subcontratación, de los servicios que han de ser subcontratados, con quién y la finalidad de dicha subcontratación.
El tratamiento de datos por parte del subcontratista debe ajustarse a las instrucciones facilitadas por el Responsable en los términos previstos en el presente contrato.
Si fuera autorizada la subcontratación, será responsabilidad del Encargado firmar los preceptivos contratos de acceso a datos de carácter personal con las entidades o personas subcontratadas.
En el momento de la firma del presente contrato están autorizadas las subcontrataciones previstas en el anexo 1 en el apartado “Proveedores que facilitan la infraestructura de sistemas”.
Transmisiones internacionales
El Responsable deberá facilitar al Encargado instrucciones para el tratamiento bajo transmisión internacional y declarar si las mismas corresponden y están autorizadas con las finalidades que hayan sido autorizadas por el titular de los datos personales.
En el caso de que sea necesario requerir autorización previa para la transmisión internacional, el Responsable declara contar con capacidad suficiente y haber obtenido la autorización correspondiente del titular de los datos.
Medidas de seguridad
Con la firma del presente contrato, el Encargado se obliga a adoptar las medidas técnicas, humanas y organizativas necesarias para garantizar la seguridad de los datos personales objeto de tratamiento, evitando así su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
Las medidas de seguridad deberán evitar los riesgos a los que están expuestos los datos teniendo en cuenta la probabilidad de que estos se produzcan y el impacto que puedan producir a los titulares de los datos. Dichas medidas de seguridad deberán constar por escrito, tanto por parte del Encargado como del Responsable, en políticas de seguridad que deben aplicar al tratamiento de los datos.
El encargado evaluará la efectividad de las medidas de seguridad de manera periódica para verificar si son necesarias nuevas medidas de seguridad en base a los riesgos a los que puedan estar expuestos los datos personales.
Extinción del contrato
El presente contrato se resolverá cuando termine la prestación del servicio del cual deriva.
Una vez terminado el contrato, el Encargado deberá terminar todas las actividades encaminadas al tratamiento de datos personales derivadas del servicio.
Además, el Encargado deberá remitir de regreso o eliminar inmediatamente, según las instrucciones del Responsable, toda la información con datos personales que trata en nombre del Responsable.
Responsabilidad
Si el Encargado incumple las condiciones establecidas en el presente contrato y comunica a terceras personas los datos que le ha facilitado el Responsable para la prestación de los servicios contratados, el Encargado será considerado como Responsable del tratamiento, respondiendo de las infracciones en que incurran personalmente.
Por su parte el Responsable declara y comprende que es el sujeto obligado a cumplir con la ley aplicable y que el presente contrato cumple con los mandatos legales aplicables. En caso de que la autoridad competente requiera la revisión del presente contrato, el Responsable mantendrá indemne al Encargado de cualquier reclamación o quejas que puedan surgir con ocasión del mismo.
Anexo 1 - Medidas de seguridad por defecto sobre los sistemas de información desde los que se tratan datos
Proveedores que facilitan la infraestructura de sistemas
El proveedor contrata los servicios de Google WorkSpace para su infraestructura de sistemas estando ubicados los datos dentro del Espacio Económico Europeo.
Medidas de seguridad sobre las comunicaciones
Todas las comunicaciones con las plataformas del Proveedor se realizan con protocolo seguro HTTPS para mantener la privacidad de los datos en todo momento.
Controles de acceso lógico
Sistemas de autenticación mediante verificación de credenciales de distintos niveles, con una sola credencial por usuario.
Los sistemas están diseñados para detectar acceso no consentidos a los mismos.
Confidencialidad por parte de los trabajadores
Todo el personal del Proveedor acepta un código de conducta en base a las políticas de la compañía, en el que se compromete a mantener unos niveles de ética, confidencialidad y comportamientos profesionales, así como un adecuado tratamiento con respecto a los datos de carácter personal.