El presente acuerdo vincula al CLIENTE y a la empresa del grupo THE COCKTAIL con la que el CLIENTE haya firmado la propuesta u oferta comercial y es una adenda a dicha propuesta con el objetivo de regular los derechos y obligaciones que aplican para ambas Partes, en cuanto al cumplimiento normativo en materia de protección de datos, a partir del 25 de mayo de 2018, con la aplicación del REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS (“RGPD”).
Acuerdo sobre tratamiento de datos personales (DPA)
Los servicios prestados por THE COCKTAIL al CLIENTE, serán los indicados en la propuesta comercial y/o contrato de servicio aceptado por el CLIENTE.
THE COCKTAIL se configura frente al CLIENTE, como encargado del tratamiento de los datos de carácter personal responsabilidad del CLIENTE a los que va a tener acceso.
Identificación de la información tratada
THE COCKTAIL accederá a datos de carácter personal relativos a una serie de categorías de personas de los que es responsable del tratamiento el CLIENTE. Dichos colectivos estarán identificados en documento relativo al registro de operaciones del tratamiento que lleva THE COCKTAIL para el CLIENTE.
Duración
Las obligaciones establecidas en el presente documento tienen la misma duración que el servicio que se preste al CLIENTE establecido en la propuesta comercial.
Destino de los datos tras finalizar el contrato
Cuando finalice el presente contrato, THE COCKTAIL deberá devolver al CLIENTE los datos de carácter personal que han sido tratados para la prestación del servicio o bien, transmitirlos a un tercero designado por el propio CLIENTE a solicitud de este último. Asimismo THE COCKTAIL deberá suprimir cualquier copia de los datos del CLIENTE que permanezcan en sus servidores, sistemas y dispositivos de almacenamiento (digital o en papel) de información. No obstante, THE COCKTAIL podrá mantener bloqueados los datos mientras puedan derivarse responsabilidades de la ejecución de la prestación.
Obligaciones de THE COCKTAIL
THE COCKTAIL se compromete a que todos sus trabajadores traten los datos de carácter personal para la prestación del servicio conforme a las siguientes obligaciones:
1. Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto del encargo. En ningún caso podrá utilizar los datos para fines propios.
2. Tratar los datos de acuerdo con las instrucciones del CLIENTE.
3. Llevar un registro, de todas las categorías de actividades de tratamiento efectuadas por cuenta del CLIENTE que contenga:
- El nombre y los datos de contacto del encargado o encargados y el responsable por cuenta del cual actúe el encargado.
- Las categorías de tratamientos efectuados por cuenta de cada responsable.
- En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49 apartado 1, párrafo segundo del RGPD, la documentación de garantías adecuadas.
- Una descripción general de las medidas técnicas y organizativas de seguridad apropiadas que esté aplicando relativas, entre otras a:
- La seudoanonimización y el cifrado de datos personales.
- La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
- La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
- El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
4. No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del CLIENTE, en los supuestos legalmente admisibles. Si THE COCKTAIL quiere subcontratar algún servicio que implique tratamiento de datos personales, habrá de informar al CLIENTE de tal extremo y solicitar su autorización previa por correo electrónico informando de quiénes son dichos proveedores y las finalidades para las cuales se van a contratar sus servicios.
Los proveedores subcontratados deben cumplir con los mismos requisitos de seguridad requeridos para el tipo de servicios que se va a prestar al CLIENTE asumidos por THE COCKTAIL en el presente contrato. Además THE COCKTAIL deberá formalizar un acuerdo con los proveedores subcontratados en los mismos términos recogidos en el presente DPA.
5. Mantener el deber de secreto respecto a los datos de carácter personal a los que vaya a tener acceso en virtud del presente contrato y después de que finalice el contrato.
6. Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente.
7. Mantener a disposición del CLIENTE la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior.
8. Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.
9. En el caso de que los titulares de los datos ejerzan sus derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento y portabilidad de datos, THE COCKTAIL será la encargada de gestionar dichos derechos por cuenta del CLIENTE, lo cual puede incluir transmitir dicho ejercicio de derechos al CLIENTE en un plazo no superior a 72 horas.
10. Poner a disposición del CLIENTE toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la colaboración en las auditorías o las inspecciones que realice el CLIENTE u otro auditor autorizado por él.
11. Implantar las medidas de seguridad técnicas y organizativas necesarias para garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. THE COCKTAIL aplicará por defecto y desde el diseño las medidas de seguridad que se indican en el anexo de la presente adenda. Si el CLIENTE considera necesario que se apliquen medidas de seguridad adicionales, deberá notificar dicha circunstancia a THE COCKTAIL.
12. THE COCKTAIL ayudará al CLIENTE a cumplir con las obligaciones del CLIENTE respecto a las Evaluaciones de Impacto de Protección de Datos y consulta previa incluidas en los artículos 35 y 36 del RGPD.
Obligaciones del CLIENTE
Corresponde al CLIENTE cumplir con las siguientes obligaciones para garantizar que el tratamiento de datos por cuenta de THE COCKTAIL se realiza en cumplimiento de la legislación vigente:
- Facilitar el derecho de información y, en su caso, el consentimiento en el momento de recogida de los datos a los titulares de los mismos.
- Poner a disposición de THE COCKTAIL los datos necesarios para que pueda prestar el servicio.
- Velar, de forma previa y durante todo el tratamiento, por el cumplimiento de la normativa de protección de datos por parte de THE COCKTAIL lo cual incluye, con carácter enunciativo pero no limitativo:
- Indicar a THE COCKTAIL los plazos máximos de conservación de datos informados al titular de los datos, principalmente si dichos plazos concluyen durante el periodo de la prestación del servicio.
- Comunicar a THE COCKTAIL los supuestos en los que debe atender el ejercicio de los derechos de los titulares de los datos.
- Supervisar el tratamiento.
Notificación de las brechas de la seguridad de los datos
THE COCKTAIL notificará al CLIENTE, a través del correo electrónico que el propio CLIENTE le indique para ello, las brechas de la seguridad de las que tenga conocimiento de los datos personales a su cargo. En dicha notificación deberá incluir toda la información relevante para la documentación y comunicación de la incidencia.
Se facilitará, como mínimo, la siguiente información:
1. Descripción de la naturaleza de la violación de la seguridad de los datos personales y, cuando sea posible, las categorías y el número aproximado de titulares de datos afectados, y las categorías y el número aproximado de registros de datos personales afectados.
2. Datos de la persona de contacto de THE COCKTAIL para obtener más información.
3. Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.
4. Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.
THE COCKTAIL previa petición expresa y por escrito del CLIENTE, comunicará esas brechas de la seguridad de los datos a los interesados, cuando sea probable que la brecha suponga un alto riesgo para los derechos y las libertades de las personas físicas.
La comunicación debe realizarse en un lenguaje claro y sencillo y deberá incluir los elementos que en cada caso señale el CLIENTE y como mínimo:
1. La naturaleza de la violación de datos.
2. Datos del punto de contacto de THE COCKTAIL o del CLIENTE donde se pueda obtener más información.
3. Descripción de las posibles consecuencias de la brecha de la seguridad de los datos personales.
4. Descripción de las medidas adoptadas o propuestas por el CLIENTE para poner remedio a la brecha de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
Delegado de protección de datos
El CLIENTE puede ponerse en contacto con el Delegado de Protección de datos en la siguiente dirección de correo electrónico
Jurisdicción y legislación aplicable
Será de aplicación la jurisdicción establecida y la ley aplicable en el contrato de prestación de servicios suscrito entre las partes o, en su defecto, los Juzgados y Tribunales de Madrid y la legislación española.
Medidas de seguridad por defecto y desde el diseño para todos nuestros clientes
El Grupo The Cocktail tiene entre sus más altas prioridades garantizar el cumplimiento normativo y la seguridad de los datos que tratamos para la prestación de nuestros servicios, para lo cual hemos desarrollado y tenemos en continuo mantenimiento un programa RGPD Compliance.
Intervinientes y roles involucrados en las actividades de tratamiento realizadas por el Grupo The Cocktail
Servicios
Administración de sistemas
Roles y responsabilidades
Alojamiento de aplicaciones subcontratadas en proveedores de infraestructuras cloud con garantías de seguridad.
Posición frente al titular de los datos como responsables del tratamiento o encargados del tratamiento
The Cocktail se configura como encargado del tratamiento ante nuestro cliente.
Los proveedores de infraestructuras son sub-encargados del tratamiento frente a nuestro cliente.
Servicios
Consultoría
Roles y responsabilidades
Proyectos de estrategia y diseño en los que analizamos información de nuestros clientes con garantías de confidencialidad para todos los accesos a datos que realizamos.
Posición frente al titular de los datos como responsables del tratamiento o encargados del tratamiento
The Cocktail se configura como encargado del tratamiento frente al cliente.
Servicios
Ecommerce
Roles y responsabilidades
Definición, diseño y construcción de productos digitales enfocados a la venta de productos.
Posición frente al titular de los datos como responsables del tratamiento o encargados del tratamiento
The Cocktail se configura como encargado del tratamiento frente al cliente.
Servicios
Captación de Leads
Roles y responsabilidades
Definición, diseño y construcción de productos digitales enfocados a la captación de emails.
Posición frente al titular de los datos como responsables del tratamiento o encargados del tratamiento
The Cocktail se configura como encargado del tratamiento frente al cliente.
Servicios
Programática & advanced analytics
Roles y responsabilidades
Definición y construcción de modelos de perfilado de clientes y monetización de publicidad en sites.
Posición frente al titular de los datos como responsables del tratamiento o encargados del tratamiento
The Cocktail se configura como encargado del tratamiento frente al cliente.
Servicios
Salesforce
Roles y responsabilidades
Posición frente al titular de los datos como responsables del tratamiento o encargados del tratamiento
The Cocktail se configura como encargado del tratamiento frente al cliente.
Servicios
Estudios de mercado
Roles y responsabilidades
Estudios de mercado basados en análisis cualitativos y cuantitativos de mercado.
Posición frente al titular de los datos como responsables del tratamiento o encargados del tratamiento
The Cocktail se configura o puede configurarse como encargado del tratamiento en función de las finalidades de tratamiento derivadas de la prestación del propio servicio.
Consentimiento u otras bases legitimadoras para el tratamiento de los datos
En base a la tabla del punto 1 anterior, el consentimiento o cualquier otra base legitimadora que justifique el tratamiento de los datos de los titulares, deberá ser recabado por parte del Clliente del Grupo The Cocktail en sus propios términos y condiciones como responsables del tratamiento de dichos datos, quien deberá facilitar dichas políticas de privacidad al Grupo The Cocktail para que pueda implementarlas en los desarrollos, en su caso.
Los desarrollos tecnológicos que lleva a cabo The Cocktail en la elaboración de sus productos, permiten recoger, validar y almacenar el consentimiento, por cuenta del cliente, para generar evidencias del consentimiento expreso del titular de los datos.
Ejercicio de derechos por parte de los titulares
Para poder garantizar estos derechos a los titulares de los datos que utilizan las tecnologías de The Cocktail, nuestros desarrollos incorporan implementaciones y procesos que permiten el ejercicio de los mismos. Los requisitos claves de estos procesos implican:
- Garantizar el ejercicio de revocación del consentimiento mediante medios técnicos simples.
- Garantizar los plazos de conservación de los datos comprometidos por los clientes de The Cocktail con sus clientes y/o usuarios finales titulares de los datos.
Transferencia de datos fuera del Espacio Económico Europeo
The Cocktail trata y almacena datos de ciudadanos europeos en la Unión Europea. Cualquier transferencia que pueda realizarse fuera del Espacio Económico Europeo se llevará a cabo exclusivamente mediante las correspondientes garantías que implicarán, en cualquier caso, la suscripción de los adecuados acuerdos o Cláusulas Contractuales Tipo (SCC)con aquellos terceros a los que puedan transferirse datos.
Medidas de seguridad por defecto sobre los sistemas de información desde los que se tratan datos por cuenta del cliente
Proveedores que facilitan la infraestructura de sistemas
The Cocktail contrata los servicios de Amazon Web Services, Google Cloud y Azure para el despliegue de las infraestructuras de sistemas que se llevan a cabo para nuestros clientes y cuyos datos se almacenan dentro del EEE. Dichos proveedores son reconocidos por sus garantías en la implementación de medidas de seguridad y han actualizado sus propios contratos a través de Data Processing Amendment y/o SCC para dar cumplimiento normativo al RGPD.
Asimismo, The Cocktail contrata los servicios de Google WorkSpace estando también ubicados los datos dentro del EEE.
Medidas de seguridad sobre las comunicaciones
Todas las comunicaciones con las plataformas de The Cocktail se realizan con protocolo seguro HTTPS para mantener la privacidad de los datos en todo momento.
Datos
Los datos albergados en los sistemas de The Cocktail, alojados en Google Cloud, cuentan con cifrado en reposo por defecto. Se puede consultar más información en este enlace.
Controles de acceso lógico
Sistemas de autenticación mediante verificación de credenciales de distintos niveles, con una sola credencial por usuario.
Los sistemas están diseñados para detectar acceso no consentidos a los mismos.
Copias de seguridad
Se realizan copias de seguridad siguiendo una política de copias de seguridad diarias y procedimientos que garantizan la restauración de datos.
Confidencialidad por parte de los trabajadores
Todo el personal de The Cocktail acepta un código de conducta en base a las políticas de la compañía, en el que se compromete a mantener unos niveles de ética, confidencialidad y comportamientos profesionales, así como un adecuado tratamiento con respecto a los datos de carácter personal.