Apéndice sobre tratamiento de datos

Visión general

La presente Adenda de Tratamiento de Datos (la "Adenda") forma parte del Acuerdo entre ORGiD y el Cliente o de cualquier otro acuerdo firmado entre las Partes que incorpore la presente Adenda por referencia y regula el tratamiento de Datos Personales por parte de ORGiD en su calidad de Encargado del Tratamiento en relación con el suministro del Producto por parte de ORGiD. La presente Adenda sólo será de aplicación si ORGiD y el Cliente no han suscrito un acuerdo de tratamiento de datos independiente o un acuerdo contractual similar con respecto al tratamiento de Datos Personales. Todos los términos en mayúscula utilizados pero no definidos en el presente Anexo tienen el significado que se les atribuye en el Contrato. Los términos "datos personales", "interesado", "tratamiento", "responsable del tratamiento", "encargado del tratamiento", "representante" y "autoridad de control" tendrán el significado que se les atribuye en el GDPR o en el GDPR del Reino Unido, según proceda, en cada caso con independencia de la aplicación de la Ley de Protección de Datos.

1. Nombramiento como encargado del tratamiento de datos

El controlador

El Responsable designa a ORGiD como Encargado del Tratamiento para que reciba y trate los Datos Personales en nombre del Responsable únicamente en la medida en que sea necesario para prestar el Servicio en la Nube y según acuerden posteriormente las partes por escrito. Las instrucciones del Responsable del Tratamiento para el Tratamiento de Datos Personales en virtud de este Anexo o en relación con el mismo deberán cumplir las Leyes de Protección de Datos, según proceda. El Responsable del Tratamiento es responsable de garantizar una base jurídica válida para el tratamiento de los Datos Personales. La persona jurídica que acepta el presente apéndice como responsable del tratamiento declara que está autorizada a aceptar y suscribir el presente apéndice en nombre del responsable del tratamiento y que lo hace exclusivamente en su nombre.

El procesador

El Encargado del Tratamiento, recopilará, recibirá, tratará y utilizará los Datos Personales en nombre y por orden del Cliente como Responsable del Tratamiento, de conformidad con la Legislación sobre Protección de Datos, según corresponda, y no utilizará ni tratará los Datos Personales del Cliente para ningún otro fin que no sea en su calidad de Encargado del Tratamiento designado por el Responsable del Tratamiento. El objeto y los detalles del tratamiento se describen en el "Apéndice 1" del presente Addendum.

2. Transferencias internacionales de datos

Transferencia internacional de datos

Antes de que el Responsable transfiera Datos Personales al Encargado del Tratamiento, o permita al Encargado del Tratamiento acceder a Datos Personales ubicados en una jurisdicción que requiera un Mecanismo Internacional de Transferencia de Datos, el Responsable del Tratamiento verificará si se cumplen los requisitos pertinentes. Si no se cumplen, las partes colaborarán de buena fe para cumplir los requisitos de dicho Mecanismo Internacional de Transferencia de Datos. Las partes instituirán y cumplirán cualquier Mecanismo Internacional de Transferencia de Datos que pueda ser exigido por la Ley de Protección de Datos aplicable.

Mecanismo internacional de transferencia de datos

Si el Responsable del tratamiento está establecido en el Espacio Económico Europeo ("EEE"), Suiza o el Reino Unido ("RU") y transfiere Datos Personales al Encargado del tratamiento, el Anexo sobre transferencia de datos: (i) se aplicará a dichas transferencias; (ii) tendrá prioridad sobre todos los demás términos, incluidos los términos de este Acuerdo, con respecto a dichas transferencias; (iii) formará un contrato legalmente vinculante entre el exportador de datos y el Procesador como o en nombre del importador de datos; y (iv) se incorporará por la presente al Acuerdo.

Con respecto a los Datos Personales de los titulares de datos del EEE, Suiza y el Reino Unido, las Partes acuerdan que el Procesador podrá procesar los Datos Personales fuera del EEE, Suiza y el Reino Unido solo cuando se cumplan los requisitos de la Ley de Protección de Datos (incluidos, en su caso, los artículos 44 a 47 del GDPR), o se aplique una excepción (incluidos, en su caso, los enumerados en el artículo 49 del GDPR). Con respecto a los datos personales de los interesados brasileños, el Controlador de Datos acepta que ORGiD pueda procesar los Datos Personales del Cliente fuera de Brasil, y declara y garantiza que dicha transferencia de Datos Personales del Cliente cumple con la ley brasileña de protección de datos (LGPD).

3. 3. Protección de datos

3.1. Conformidad

Las partes cumplirán con sus respectivas obligaciones en virtud de la Ley de Protección de Datos y sus respectivos avisos de privacidad.

3.2. Confidencialidad

El Encargado del Tratamiento limitará el acceso a los Datos Personales a aquellas personas autorizadas que necesiten dicha información para prestar los Servicios. Dichas personas autorizadas están obligadas a mantener la confidencialidad de los Datos Personales. El Procesador no publicará, revelará ni divulgará (y se asegurará de que su personal no publique, revele ni divulgue) Datos Personales a terceros a menos que el Controlador haya dado su consentimiento previo por escrito.

3.3. Seguridad

El Encargado del Tratamiento aplicará las medidas técnicas, administrativas y organizativas apropiadas, según proceda, y tal como se describe en el "Apéndice 2" de la presente Adenda, necesarias para: (i) garantizar un nivel de confidencialidad y seguridad adecuado a los riesgos que representa el tratamiento y a la naturaleza de los Datos Personales; y (ii) evitar el tratamiento no autorizado o ilícito de los Datos Personales, la pérdida accidental, la revelación o destrucción de los Datos Personales facilitados por el Responsable y tratados por el Encargado, o los daños causados a los mismos. Dichas medidas de seguridad serán al menos tan protectoras como los requisitos de seguridad establecidos en el Acuerdo. Al elegir los controles de seguridad, el encargado del tratamiento tendrá en cuenta el estado de la técnica, el coste de su aplicación, la naturaleza, el alcance, el contexto y los fines del tratamiento de los datos personales, así como el riesgo para los interesados de que se produzca un incidente de seguridad o una violación de los datos personales que afecte a los datos personales.

3.4. Retención

Los Datos Personales recibidos del Cliente sólo se conservarán durante el tiempo que sea razonablemente necesario en relación con el cumplimiento del Contrato por parte del Procesador o según lo exija la Ley de Protección de Datos. Las obligaciones del Procesador relacionadas con la devolución o eliminación de Datos Personales sobrevivirán a la rescisión hasta que todos los Datos Personales hayan sido devueltos o eliminados de conformidad con el presente Anexo.

3.5. Cooperación

El encargado del tratamiento cooperará en la medida en que sea razonablemente necesario en relación con las solicitudes del responsable del tratamiento relativas a la seguridad de los datos, las notificaciones de violación de datos, las evaluaciones de impacto de la protección de datos y las consultas con las autoridades de control, así como para el cumplimiento de la obligación del responsable del tratamiento de responder a las solicitudes de ejercicio de los derechos de un interesado en virtud de la Ley de protección de datos. El encargado del tratamiento se reserva el derecho de cobrar al responsable del tratamiento el tiempo razonable que dedique a dicha cooperación y los costes derivados de las medidas especiales que se soliciten.

3.6. Solicitudes de terceros

Si el encargado del tratamiento recibe una solicitud de un interesado o de un tercero en relación con cualquier investigación gubernamental o procedimiento judicial que el encargado del tratamiento considere que le exigiría presentar cualquier Dato personal, el encargado del tratamiento informará inmediatamente por escrito al responsable del tratamiento de dicha investigación, solicitud o reclamación y cooperará con el responsable del tratamiento si desea limitar, impugnar o protegerse contra dicha divulgación, en la medida en que lo permita la legislación aplicable. El encargado del tratamiento ayudará al responsable del tratamiento, en la medida en que sea razonable desde el punto de vista comercial, a cumplir la obligación del responsable del tratamiento de responder a las solicitudes de los interesados y de las autoridades de control, tal y como exige la Ley de protección de datos. El responsable del tratamiento será el único responsable de responder a las solicitudes de los interesados y, si dicha solicitud se dirige directamente al encargado del tratamiento, éste informará inmediatamente al responsable del tratamiento y aconsejará a los interesados que presenten su solicitud al responsable del tratamiento.

3.7. Instrucciones del Cliente

No obstante cualquier disposición contraria en el Contrato, el Procesador solo procesará Datos Personales con el fin de prestar los Servicios al Controlador, de conformidad con las instrucciones escritas del Controlador, según lo permitido por la última oración de la Sección 3.8 a continuación, o según lo exija la Ley aplicable. El Responsable del tratamiento informará sin demora al Responsable del tratamiento si el cumplimiento de una instrucción pudiera dar lugar a una infracción de la Ley de protección de datos o cuando el Responsable del tratamiento deba revelar Datos personales en respuesta a una obligación legal (a menos que la obligación legal prohíba al Responsable del tratamiento realizar dicha revelación).

3.8. Alcance del tratamiento

Se prohíbe al encargado del tratamiento: (a) Vender Datos Personales, (b) conservar, utilizar o divulgar Datos Personales para cualquier fin que no sea el fin comercial específico de ejecutar las instrucciones documentadas del responsable del tratamiento para los fines comerciales definidos en el presente apéndice, incluida la conservación, utilización o divulgación de los Datos Personales para un fin comercial distinto de la ejecución de las instrucciones del responsable del tratamiento, o (c) conservar, utilizar o divulgar los Datos Personales fuera de la relación comercial directa entre las partes, tal como se define en el presente acuerdo. El Encargado del tratamiento certifica que comprende estas restricciones. No obstante lo anterior, el Procesador puede procesar Datos Personales para retener o emplear a otra persona como sub-Procesador de conformidad con este Anexo, para uso interno del Procesador para mejorar la calidad de sus servicios (siempre que el Procesador no utilice los Datos Personales para realizar servicios en nombre de otra persona), o para detectar incidentes de seguridad de datos o protegerse contra actividades maliciosas, engañosas, fraudulentas o ilegales.

3.9. Información sensible

El Responsable del Tratamiento informará al Encargado del Tratamiento si los Datos Personales son Datos Sensibles y el Responsable del Tratamiento obtendrá el consentimiento explícito de los Interesados para la transferencia de Datos Sensibles para su tratamiento en la medida en que dicho consentimiento sea necesario en virtud de la Ley de Protección de Datos.

3.10. Subprocesadores

El Responsable del tratamiento concede al Encargado del tratamiento autorización general, en calidad de encargado del tratamiento, para contratar a otros encargados del tratamiento ("Subencargados del tratamiento") que le ayuden a prestar los Servicios de conformidad con el Acuerdo. El Encargado del tratamiento se asegurará de que cada Subencargado del tratamiento sólo acceda a los Datos personales y los utilice en la medida necesaria para cumplir las obligaciones que le han sido subcontratadas y de conformidad con el presente Anexo. De conformidad con la legislación en materia de protección de datos, el Responsable del tratamiento pondrá a disposición del Encargado del tratamiento una lista de dichos subencargados en el Anexo 3 antes de transferir cualquier Dato personal a dichos subencargados. El Responsable del tratamiento podrá optar por que el Encargado del tratamiento le notifique por escrito y por correo electrónico cualquier cambio que se produzca en la lista de Subencargados del tratamiento, actualizando dicha lista de vez en cuando a fin de dar al Responsable del tratamiento la oportunidad de oponerse a dichos cambios en un plazo de 30 días a partir de la notificación. Si el Responsable y el Encargado del tratamiento no consiguen resolver dichas objeciones, cualquiera de las Partes podrá rescindir el Acuerdo mediante notificación por escrito a la otra Parte. El Responsable del tratamiento tendrá derecho a revisar todas las actividades del subencargado del tratamiento de conformidad con la legislación en materia de protección de datos, incluido el derecho a obtener información del Encargado del tratamiento, previa solicitud por escrito, sobre el cumplimiento de las obligaciones de protección de datos en virtud de cada contrato de subencargo del tratamiento.

3.11. Responsabilidad del subprocesador

Cuando el encargado del tratamiento contrate a un subencargado para llevar a cabo actividades de tratamiento específicas por cuenta del responsable del tratamiento, se impondrán a dicho subencargado, mediante contrato, obligaciones de protección de datos sustancialmente similares a las establecidas en el presente apéndice, en particular la aportación de garantías suficientes para aplicar las medidas técnicas y organizativas apropiadas de tal modo que el tratamiento cumpla los requisitos de la Ley de protección de datos. El Encargado del tratamiento será responsable de los actos u omisiones de sus Subencargados del tratamiento en la misma medida en que lo sería si realizara directamente los servicios del Subencargado del tratamiento.

3.12. Mantenimiento de registros

En caso de que una autoridad de control solicite registros relativos a Datos Personales, el Responsable del Tratamiento cooperará para proporcionar a la autoridad de control registros relacionados con las actividades de tratamiento realizadas en nombre del Responsable del Tratamiento, incluida información sobre las categorías de Datos Personales tratados y los fines del tratamiento, el uso de proveedores de servicios con respecto a dicho tratamiento, cualquier divulgación o transferencia de datos a terceros y una descripción general de las medidas técnicas y organizativas para proteger la seguridad de dichos datos.

3.13. Transferencia de datos personales

El Responsable del tratamiento autoriza al Procesador a transferir, almacenar o procesar Datos personales en Estados Unidos o en cualquier otro país en el que el Procesador o sus Subprocesadores dispongan de instalaciones. El Responsable del tratamiento nombra al Procesador para que realice dicha transferencia de Datos personales a cualquiera de dichos países y para que almacene y procese los Datos personales con el fin de prestar los Servicios. El Encargado del tratamiento llevará a cabo todas estas actividades de conformidad con el Contrato, el presente apéndice, la Ley de protección de datos, cualquier mecanismo internacional de transferencia de datos aplicable y las instrucciones del Responsable del tratamiento.

3.14. Supresión o devolución

Una vez cumplidas las obligaciones del Encargado del tratamiento en relación con el tratamiento de Datos Personales en virtud del presente Acuerdo o cuando así se lo indique el Responsable del tratamiento, el Encargado del tratamiento eliminará los Datos Personales o los devolverá al Responsable del tratamiento de forma segura y eliminará todas las copias restantes de los Datos Personales tras dicha devolución, salvo cuando la legislación aplicable exija lo contrario. El Encargado del tratamiento anonimizará los Datos personales que no puedan eliminarse o devolverse, de modo que dejen de constituir Datos personales. El Encargado del tratamiento transmitirá las instrucciones del Responsable a todos los Subencargados del tratamiento. El Responsable del tratamiento podrá, antes de la terminación o expiración y mediante la emisión de una Instrucción, estipular el método y el formato razonablemente seguros para devolver cualquier Dato personal antes de que se elimine. El Responsable del Tratamiento será responsable de cualquier coste adicional derivado del método seguro instruido para la devolución de los Datos Personales.

3.15. Notificación de infracción

De conformidad con el apartado 7.8.1 del Acuerdo, tras tener conocimiento de una violación de datos personales, el responsable del tratamiento notificará al responsable del tratamiento sin demora indebida: (a) la naturaleza de la violación de datos personales; (b) el número y las categorías de los interesados y los registros de datos afectados; y (c) el nombre y los datos de contacto de la persona de contacto pertinente en el responsable del tratamiento. El encargado del tratamiento investigará inmediatamente la violación de los datos personales, para identificar, prevenir y mitigar los efectos de dicha violación, y llevará a cabo cualquier acción de recuperación o de otro tipo que sea necesaria para subsanar la violación de los datos personales. A petición del Responsable del tratamiento, proporcionaremos inmediatamente toda la asistencia razonable necesaria para permitir la notificación a las autoridades competentes y/o a los Sujetos de datos afectados del Incidente de seguridad pertinente, si el Responsable del tratamiento está obligado a hacerlo en virtud de la Legislación sobre protección de datos.

3.16. Auditorías

Previa solicitud y a expensas del Responsable del tratamiento, el Encargado del tratamiento pondrá a disposición del Responsable del tratamiento toda la información necesaria, y permitirá y contribuirá a las auditorías, incluidas las inspecciones razonables, realizadas por el Responsable del tratamiento u otro auditor encargado por el Responsable del tratamiento, para demostrar el cumplimiento de la Ley de protección de datos. Para mayor claridad, dichas auditorías o inspecciones se limitan únicamente al tratamiento por parte del Encargado del tratamiento de los Datos personales para el Cliente, y no a cualquier otro aspecto de los sistemas empresariales o de información del Encargado del tratamiento. Si el Responsable del tratamiento exige al Encargado del tratamiento que contribuya a auditorías o inspecciones necesarias para demostrar el cumplimiento, el Responsable del tratamiento se lo notificará por escrito con al menos 60 días de antelación a dicha auditoría o inspección. Dicha notificación por escrito especificará las cosas, personas, lugares o documentos que deben ponerse a disposición. Dicha notificación por escrito, y todo lo que se produzca en respuesta a la misma, se considerará Información confidencial y, sin perjuicio de cualquier disposición en contrario del Contrato, seguirá siendo Información confidencial a perpetuidad o durante el mayor tiempo que permita la legislación aplicable tras la finalización del Contrato. Dichos materiales y productos de trabajo derivados producidos en respuesta a la solicitud del Interventor no se revelarán a nadie sin el permiso previo por escrito de ORGiD, a menos que dicha revelación sea exigida por la legislación aplicable. Si la legislación aplicable exige la divulgación, el Responsable del tratamiento notificará inmediatamente por escrito al Encargado del tratamiento dicha exigencia y le dará la oportunidad de obtener una orden cautelar para prohibir o restringir dicha divulgación, salvo en la medida en que dicha notificación esté prohibida por la legislación aplicable o por orden de un tribunal u organismo gubernamental. El Responsable del tratamiento hará todo lo posible por cooperar con el Encargado del tratamiento para programar auditorías o inspecciones en horarios que sean convenientes para el Encargado del tratamiento. El encargado del tratamiento podrá cobrar unos honorarios razonables por dichas solicitudes, excepto cuando dicha investigación se derive de un incumplimiento de sus obligaciones en virtud del presente documento, en la medida en que lo permita la legislación aplicable. Si, tras revisar la respuesta del Procesador a la solicitud de auditoría o inspección del Cliente, el Controlador requiere auditorías o inspecciones adicionales, el Controlador reconoce y acepta que será el único responsable de las tarifas razonables y de todos los costes en los que se incurra en relación con dichas auditorías o inspecciones adicionales.

3.17. Conflictos

En caso de conflicto o incoherencia entre el presente Apéndice sobre Tratamiento de Datos, el Apéndice sobre Transferencia de Datos y el Contrato, el orden de prioridad será: el Apéndice sobre Transferencia de Datos (pero sólo en la medida en que sea aplicable en virtud de la sección 3.6.a anterior), el presente Apéndice sobre Tratamiento de Datos, el Contrato. En caso de que alguna de las disposiciones de la presente Adenda sea inválida o inaplicable, la validez y aplicabilidad de las demás disposiciones de la presente Adenda no se verán afectadas.

3.18. Cambios

ORGiD puede actualizar cualquier parte o la totalidad de los términos de la Adenda según sea necesario para cumplir con la Legislación de Protección de Datos y entrará en vigor y será vinculante en la fecha de renovación de la siguiente Suscripción de Producto del Cliente o tras el acuerdo por escrito del Proveedor de Servicios, lo que ocurra antes. Si el presente Apéndice se incorpora por referencia como URL de una página web, la versión actualizada del Apéndice se publicará en la misma URL y se compartirá con el Responsable del tratamiento para su aprobación por escrito. Si el presente apéndice se incorpora como parte de un acuerdo comercial suscrito por las partes, la versión actualizada del apéndice se comunicará al responsable del tratamiento para su aprobación por escrito. Si el Responsable del tratamiento no está de acuerdo por escrito con una modificación, lo notificará por escrito al Encargado del tratamiento y las Partes colaborarán de buena fe para elaborar un nuevo apéndice sobre tratamiento de datos mutuamente aceptable.

Apéndice 1: Detalles del tratamiento de datos

a1.1. Lista de Partes

Exportador(es) de datos

El exportador de datos es la Parte Reveladora y será un Responsable del Tratamiento, tal y como se define en el presente Acuerdo, con el nombre, dirección y datos de contacto facilitados a ORGiD. Las actividades relacionadas con los datos transferidos en virtud de las presentes Cláusulas Contractuales Tipo incluyen el uso de los Servicios pertinentes de conformidad con el Acuerdo. El exportador de datos desempeñará la función de Responsable del tratamiento.

Importador(es) de datos

El importador de datos es la Parte Receptora y será ORGiD, tal y como se define en el presente Acuerdo, con el nombre, dirección y datos de contacto que se indican a continuación:

• Vspry Australia Pty Limited T/As ORGiD, con domicilio en L38, 71 Eagle St Brisbane Queensland Australia

El importador de datos desempeñará la función de Encargado del Tratamiento cuando las actividades relativas a los datos transferidos en virtud de las presentes Cláusulas Contractuales Tipo incluyan la prestación de los correspondientes Servicios al Cliente de conformidad con el Contrato.

El importador de datos desempeñará la función de Responsable del tratamiento cuando tanto el exportador como el importador sean cada uno un responsable independiente del tratamiento de datos personales y determinen de forma independiente la finalidad y los medios del tratamiento de datos personales con arreglo a la Ley de protección de datos cuando las actividades pertinentes a los datos transferidos en virtud de las presentes Cláusulas Contractuales Tipo incluyan el apoyo de los Servicios pertinentes al Cliente de conformidad con el Acuerdo.

A1.2. Descripción de la transferencia

Las actividades de tratamiento de datos llevadas a cabo por la Parte Receptora en virtud del presente Addendum son las siguientes:

Asunto

Prestación y apoyo de los Servicios por parte de los Proveedores de Servicios en virtud del Contrato.

Duración del tratamiento y conservación

Durante la vigencia del presente Acuerdo más el período comprendido entre la expiración y la anonimización, devolución o supresión de los datos de conformidad con el presente Acuerdo.

Naturaleza y finalidad

La Parte Receptora tratará los Datos Personales con el fin de prestar los Servicios de conformidad con el Contrato y según se describe en el mismo.

Categorías de datos

Datos Personales relativos a personas físicas facilitados a la Parte Receptora como Encargado del Tratamiento en la ejecución y prestación de los Servicios al Cliente, por (o por indicación de) la Parte Divulgadora, que pueden incluir:

• La información de contacto se procesa para autenticar y comunicarse con los interesados. La información de contacto incluye la dirección de correo electrónico, el número de teléfono y la dirección postal.

• Los Datos Personales se tratan para que el Responsable del Tratamiento y sus usuarios finales puedan utilizar el Servicio. La información personal se procesa con el fin de permitir que el Sujeto de Datos muestre, transfiera, pruebe o comparta toda o parte de su Información Personal con el Controlador o un tercero al utilizar su Tarjeta de Identificación. La Información Personal incluye nombre, sexo, edad, fecha de nacimiento, información de pago, ubicación, información educativa, información de afiliación, información de empleo, relaciones familiares, mascotas, certificaciones, licencias, credenciales, derechos, documentos de identidad, pruebas de identidad, fotos de cara y firmas,

• La Información de Uso se procesa con el fin de apoyar el uso del Servicio por parte de los Sujetos de Datos y los Controladores. La Información de Uso incluye información del dispositivo, información de la red, acciones y eventos realizados con la aplicación o el sitio web, como aperturas de aplicaciones, aperturas de mensajes, compras, búsquedas, escaneos de códigos de barras, eventos de registro de entrada y salida, verificaciones, pagos, instalaciones, desinstalaciones, acciones y métodos de registro, información de uso del sitio web y de la aplicación, datos de correo electrónico, datos de uso del sistema, datos de integración de aplicaciones y otros datos o comunicaciones electrónicos presentados, almacenados, enviados o recibidos por los usuarios finales.

Datos Personales relativos a personas físicas facilitados a la Parte Receptora como Responsable del Tratamiento en una transferencia de Responsable a Responsable del Tratamiento con el fin de vender los Servicios al Cliente o prestar apoyo a los Servicios para el Cliente, por (o por indicación de) la Parte Divulgadora, que pueden incluir:

• Información de contacto de los representantes, agentes, referencias o socios del Cliente que se procesa para autenticar y comunicarse con los Sujetos de Datos con el fin de vender el Servicio al Cliente o prestarle asistencia. La información de contacto incluye la dirección de correo electrónico y el número de teléfono.

• La Información personal de los representantes, agentes, referencias o socios del Cliente se procesa para que el Responsable del tratamiento pueda vender el Servicio al Cliente o prestarle asistencia. La Información Personal incluye el nombre de estos representantes, información de empleo, certificaciones, licencias, credenciales, derechos, documentos de identidad, pruebas de identidad y fotos de cara.

Los Datos Sensibles que pueden transferirse al Proveedor de Servicios de Encargado del Tratamiento como Encargado del Tratamiento a través de los Servicios, por el Responsable del Tratamiento o por orden de éste, pueden incluir las siguientes categorías:

• Origen racial o étnico, con el fin de expedir carnés de miembro en nombre de organizaciones que defienden los derechos de miembros o no miembros de determinados orígenes raciales o étnicos. 

• Opiniones políticas, con el fin de expedir carnés de afiliación política a distintas organizaciones políticas u organizaciones de afiliación que defiendan determinadas políticas.

• Creencias religiosas o filosóficas, con el fin de expedir carnés religiosos en nombre de grupos religiosos organizados.

• Afiliación sindical, para expedir carnés de afiliación sindical en nombre de los sindicatos.

• Datos biométricos, con el consentimiento explícito de los interesados, o para llevar a cabo las obligaciones del empleo o para el interés público sustancial para prevenir el fraude de identidad.

• Identidad de género u orientación sexual, con el fin de expedir carnés de miembro en nombre de organizaciones que defienden los derechos de género o de identidad sexual, o con el consentimiento explícito del interesado para que pueda compartir su identidad o pronombres con otros usuarios o instituciones.

• Datos de salud, con fines de medicina preventiva o laboral como credencial de paciente, profesional o servicio sanitario para su uso en la identificación de una discapacidad, paciente o cuidador. Los datos sanitarios también pueden tratarse por razones de interés público en el ámbito de la salud pública, cuando puedan exigirse credenciales sanitarias en el curso de un empleo o para viajes internacionales.

• Si no puede aplicarse la seudonimización de los datos, el responsable del tratamiento sólo tratará los datos sensibles si el responsable del tratamiento recibe el consentimiento explícito del interesado y el tratamiento está sujeto a una excepción de la ley.

• No se tratarán los Datos sensibles relativos a personas físicas facilitados al Proveedor de servicios en calidad de Responsable del tratamiento en una transferencia de Responsable a Responsable del tratamiento con el fin de vender el Servicio al Cliente o prestar apoyo al Servicio para el Cliente, por o bajo la dirección del Responsable del tratamiento.

Frecuencia de la transferencia 

Continuo

Sujetos de los datos

Entre los interesados se incluyen las personas físicas del EEE, Suiza, Reino Unido y Brasil sobre las que el Responsable del tratamiento proporciona datos personales al Encargado del tratamiento a través de los Servicios (o por orden de éste). Los Sujetos de datos pueden ser cualquier persona física que tenga una relación comercial, personal, de afiliación o institucional con el Responsable del tratamiento o cliente del Responsable del tratamiento, incluidos sus clientes, usuarios finales, miembros, proveedores, colaboradores, voluntarios, licenciatarios, vendedores, clientes potenciales, empleados, subcontratistas, invitados, familiares, tutores, pacientes, instructores, electores, amigos, representantes.

A1.3. Autoridad de supervisión competente

La autoridad de control competente será la Autoridad de Protección de Datos de los Países Bajos (Autoriteit Persoonsgegevens, AP).

Apéndice 2. Medidas de seguridad Medidas de seguridad

1. El Encargado del Tratamiento aplicará y cumplirá un programa escrito de seguridad de la información coherente con las normas establecidas del sector y adecuado a la naturaleza de los Datos Personales. Este programa incluirá salvaguardias administrativas, técnicas y físicas diseñadas para proteger dicha información contra el acceso, la destrucción, el uso, la modificación o la divulgación no autorizados, así como contra cualquier amenaza o peligro previstos para la seguridad o integridad de dicha información. El programa también incluirá salvaguardias contra el acceso o uso no autorizados que pudieran causar daños o inconvenientes sustanciales al Responsable del tratamiento, a sus clientes o a sus empleados.

2. El encargado del tratamiento adoptará y aplicará políticas y normas razonables en materia de seguridad.

3. El encargado del tratamiento asignará la responsabilidad de la gestión de la seguridad de la información.

4. El encargado del tratamiento dedicará los recursos de personal adecuados a la seguridad de la información.

5. El Encargado del Tratamiento llevará a cabo controles de verificación del personal permanente que tendrá acceso a los Datos Personales.

6. El Encargado del Tratamiento realizará las comprobaciones de antecedentes pertinentes y exigirá a los empleados, proveedores y demás personas con acceso a los Datos Personales que suscriban acuerdos de confidencialidad por escrito.

7. El encargado del tratamiento impartirá formación para que los empleados y demás personas con acceso a los Datos Personales sean conscientes de los riesgos para la seguridad de la información y para mejorar el cumplimiento de las políticas y normas del encargado del tratamiento relacionadas con la protección de datos.

8. El Procesador impedirá el acceso no autorizado a los Datos Personales mediante el uso, según proceda, de controles de entrada físicos y lógicos, áreas seguras para el procesamiento de datos, procedimientos para supervisar el uso de las instalaciones de procesamiento de datos, registros de auditoría del sistema incorporados, uso de contraseñas seguras, tecnología de detección de intrusiones en la red, tecnología de encriptación y autenticación, procedimientos seguros de inicio de sesión y protección contra virus, supervisando el cumplimiento de las políticas y normas del Procesador relacionadas con la protección de datos de forma continua. En particular, el procesador aplicará y cumplirá con:

1. Medidas de control de acceso físico para impedir el acceso no autorizado a los sistemas de tratamiento de datos.

2. Medidas de control de denegación de uso para impedir el uso no autorizado de los sistemas de protección de datos
   esquema de autorización y derechos de acceso para garantizar que las personas autorizadas a utilizar un sistema de tratamiento de datos sólo tengan acceso a los datos a los que tienen derecho de acceso, y que los Datos Personales no puedan ser leídos, copiados, modificados o eliminados sin autorización.

3. Medidas de control de la transmisión de datos para garantizar que los Datos Personales no puedan ser leídos, copiados, modificados o eliminados sin autorización durante su transmisión electrónica, transporte o almacenamiento en soportes de datos, así como durante la transferencia y recepción de registros.

4. Encriptación en el almacenamiento de cualquier conjunto de datos en posesión del Procesador, incluyendo datos personales sensibles, utilizando niveles de encriptación apropiados basados en estándares de encriptación líderes en la industria.

5. Garantizar que cualquier dato personal sensible transmitido electrónicamente (que no sea por fax) a una persona ajena al sistema informático del procesador o transmitido a través de una red pública se cifre utilizando las versiones más recientes del protocolo TLS 1.2 para proteger la seguridad de la transmisión.

6. Medidas de control de la introducción de datos para garantizar que el encargado del tratamiento pueda comprobar y establecer si los datos personales del cliente han sido introducidos en los sistemas de tratamiento de datos, modificados o eliminados, y por quién.

7. Medidas continuas de comprobación de la seguridad para garantizar que las prácticas de seguridad de la información sigan siendo pertinentes, eficaces y actualizadas, incluidas pruebas anuales de penetración, uso de herramientas de escaneado de sistemas, pruebas de restauración de copias de seguridad, conmutaciones por error previas a la producción y realización de autopsias sobre cualquier incidente real con el fin de actualizar los planes pertinentes de recuperación en caso de catástrofe.

8. Medidas de supervisión de los subencargados del tratamiento para garantizar que, en caso de que el encargado del tratamiento esté autorizado a utilizar subencargados, los Datos Personales se traten estrictamente de conformidad con las instrucciones del responsable del tratamiento

9. El encargado del tratamiento adoptará las medidas que resulten apropiadas en función de las circunstancias.

Anexo 3: Subprocesadores

Para que el Proveedor de Servicios pueda ofrecer la Suscripción, se contrata a Subprocesadores para que ayuden en determinadas actividades necesarias de procesamiento de datos. La lista de los Subencargados del Tratamiento utilizados y la finalidad de su contratación se encuentra en la página de Subencargados del Tratamiento, disponible en https://www.orgid.app/subprocessors/, que se incorpora al presente Anexo y podrá actualizarse periódicamente con sujeción a las condiciones establecidas en el mismo.