Condiciones de Venta - Servicio de Consultoría de Protección de Datos
1.- ALCANCE DEL SERVICIO
El alcance del servicio comprende las actuaciones necesarias para llevar a cabo la ADAPTACIÓN RGPD de los clientes de Thomson Reuters (referidos estos en adelante como EL CLIENTE). Quedan expresamente excluidas del alcance del proyecto cualesquiera otras sociedades no expresamente acordadas entre Thomson Reuters y el cliente, incluso si son matrices o filiales de EL CLIENTE.
El proyecto se centrará en realizar la Adaptación RGPD de EL CLIENTE teniendo en cuenta su actividad principal y alineando esta adecuación a la finalidad propia del negocio del cliente.
El objetivo del Proyecto es dar respuesta a la Solicitud de Oferta para la Prestación de servicios de Cumplimiento del Reglamento General de Protección de Datos.
Servicios:
· Análisis de situación, diagnóstico de cumplimiento y planificación de acciones
· Adaptación global a la normativa LOPD-RGPD (plano jurídico y plano técnico-informático)
· Soporte continuado y revisiones periódicas
· Soporte para la adopción de medidas correctoras
· Soporte ante inspecciones y denuncias de la AGPD
· Auditoría bienal RLOPD
· Auditoría interna de protección de datos y proyectos específicos de protección de datos personales
· Difusión, comunicación interna y formación genérica y específica
De esta forma, este documento detalla un servicio consistente en la prestación de servicios de CONSULTORÍA PARA EL CUMPLIMIENTO DEL REGLAMENTO (UE) 2016/679 de 27 de abril de 2016, en adelante RGPD.
Se describen como sub-objetivos necesarios los siguientes:
· Análisis de situación: el Programa actual debe centrarse, en primer lugar, en conocer con exactitud los avances y carencias de la Compañía respecto al cumplimiento de la LOPD y el RLOPD.
· Alcanzar un Plan de Acción de Medidas eficaces: el exhaustivo análisis de situación, debe permitir a los auditores conocer la naturaleza de los problemas en materia de protección de datos personales y por tanto ubicarlos en situación de emitir propuestas de medidas correctoras ajustadas a las condiciones de EL CLIENTE así como proponer las soluciones a dichas carencias y el modo de implantarlas. Dicho análisis de desarrollará de manera gratuita para EL CLIENTE. A partir de ahí, se proponen dos tipos de actuaciones:
o Plan de acción para la adaptación jurídica
o Plan de acción para la adaptación técnica
· Desarrollar un plan de mantenimiento de la situación de adaptación conseguida.
2.- SERVICIOS DE CONSULTORÍA RGPD
· Identificación de:
o los datos de carácter personal que EL CLIENTE trata, la forma de recogida de los mismos o su origen, los titulares de los datos, el tipo de datos (concretamente si se tratan categorías especiales de datos: datos sensibles, datos de menores…).
o las finalidades del tratamiento de los datos.
o los procesos clave de tratamiento que se llevan a cabo en EL CLIENTE
· Análisis de la legitimación del tratamiento, es decir, la base jurídica para el tratamiento de los datos (consentimiento, ley, contrato, interés legítimo, etc.)
o Se revisarán las cláusulas de solicitud del consentimiento (con el RGPD todo consentimiento debe ser inequívoco mediante una manifestación del interesado o una clara acción afirmativa)
o Si es necesario, se realizarán pruebas de sopesamiento, es decir, se evaluará si el interés legítimo del responsable del tratamiento o de terceros prevalece o no frente a los intereses o derechos y libertades de los interesados.
· Revisión de los destinatarios de los datos:
o Cesiones de datos
o Transferencias internacionales de datos
o Prestaciones de servicios. Se analizarán y revisarán las relaciones entre responsable del tratamiento y encargado del tratamiento, así como los contratos (el RGPD establece un contenido mínimo):
§ con terceros prestadores de servicios: la elección de encargados de tratamientos debe garantizar que el tratamiento se realiza conforme al RGPD. El responsable del tratamiento debe estar en condiciones de demostrarlo.
§ de servicios prestados por EL CLIENTE: el RGPD prevé obligaciones expresamente dirigidas a los encargados del tratamiento.
· Revisión de las cláusulas informativas que EL CLIENTE utiliza actualmente. Se harán las modificaciones necesarias para su adecuación al RGPD (la información que exige el RGPD es más amplia que la de la LOPD) y se analizará la necesidad de crear nuevas cláusulas. En este punto, se recomienda informar en forma de “tablas” y en dos niveles: primero, facilitando una información básica, resumida, en el momento de la recogida; y segundo, facilitando detalladamente la información exigida por el RGPD a través de correos electrónicos, enlaces a páginas web, etc.
· Revisión y Asesoramiento en la elaboración de nuevos procedimientos de ejercicio de derechos, teniendo en cuenta los nuevos derechos incluidos en el RGPD:
o Derechos de acceso, rectificación, cancelación (borrado) y oposición
o Derecho al olvido (como consecuencia de la aplicación del derecho al borrado)
o Derecho a la limitación del tratamiento (bloqueo a petición del interesado)
o Derecho a la portabilidad de los datos (forma avanzada del derecho de acceso)
FASE II: MEDIDAS DE RESPONSABILIDAD PROACTIVA
· Revisión de la necesidad de designar a un Delegado de Protección de Datos (DPO).
· Elaboración de los Registros de Actividades de Tratamiento (este documento formará parte de la Política de Protección de Datos de Carácter Personal de EL CLIENTE) para cada una de las actividades de tratamiento (lo equivalente a los actuales “Ficheros”).
· Asesoramiento sobre el cumplimiento de la “Protección de datos desde el diseño o por defecto”:
o Por defecto: se revisará la necesidad del tratamiento de los datos: cantidad de datos tratados, extensión del tratamiento, periodos de conservación y accesibilidad a los datos.
o Desde el diseño: aunque el RGPD prevé estos procedimientos en una fase inicial del tratamiento de los datos, se estudiará la posibilidad de adoptar medidas que permitan aplicar procedimientos de minimización, seudonimización y/o anonimización de los datos.
· Brechas de seguridad:
o Elaboración de un procedimiento que permita a EL CLIENTE notificar a la AEPD en el plazo máximo de 72 horas, y a los interesados tan pronto como sea posible, las violaciones o quiebras de seguridad que supongan un riesgo para los derechos y libertades de los afectados.
· Análisis de Riesgos: realización de un primer análisis de riesgos que determine el nivel de riesgo del tratamiento de datos, las medidas de seguridad a aplicar y la necesidad de realizar una Evaluación de Impacto sobre la Protección de Datos (EIPD):
o Riesgo bajo: se elaborará un Informe de necesidad que justifique la no necesidad de realizar la evaluación de impacto.
o Riesgo alto: se realizará una evaluación de impacto.
· Adecuación de las medidas de seguridad: Se analizará si las medidas de seguridad que EL CLIENTE tiene implantadas garantizan un nivel de seguridad adecuado en función del nivel de riesgo detectado en el análisis de riesgos.
· Realización EIPD: Si se considera necesario (tras la realización del análisis de riesgos inicial), se asesorará sobre la realización de la Evaluación de Impacto sobre la Protección de Datos (EIPD):
o Se asesorará sobre la elaboración del Documento de Descripción del Proyecto, en el que se analizará el Ciclo de Vida de los Datos (entrada de datos, clasificación, registro, almacenamiento y acceso) y las 5 Capas del Sistema (procesos clave, modelo conceptual de datos, agentes del sistema, flujos de información y tecnología)
o Se asesorará sobre las fases de la evaluación de riesgos (identificación, análisis y gestión de riesgos) y en la elaboración del Informe de Evaluación de Impacto.
FASE III: POLÍTICA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL
· Asesoramiento sobre la elaboración de la Política de protección de datos de carácter personal, conforme al Principio de Responsabilidad Proactiva, que contenga, como mínimo:
o La Política Interna de protección de datos de carácter personal
§ Las Funciones y Responsabilidades de las Áreas, Departamentos o Personas responsables de los tratamientos de datos.
§ Los Registros de Actividades de Tratamiento.
§ Los Principios generales recogidos en el RGPD.
o La Política de protección de datos de carácter personal para el personal externo:
§ Funciones y Responsabilidades del personal externo respecto al tratamiento de datos que realice.
§ Los Principios generales recogidos en el RGPD.
o Los Procedimientos de revisión, modificación y actualización de las políticas (interna y externa).
· Definición de los Requisitos y Funciones del DPO
· Asesoría en materia de protección de datos personales: Thomson Reuters dispondrá a favor de EL CLIENTE los recursos necesarios para dar respuesta a los nuevos acontecimientos o prácticas de relevancia para la observancia del RGPD.
· Soporte al DPO, en su caso de que exista, para la coordinación y control del complimiento, así como el establecimiento de las directrices generales de actuación en materia de protección de datos.
· seguimiento con responsables de Áreas seleccionadas: el cumplimiento de la legislación en materia de protección de datos exige comprobar frecuentemente el mantenimiento de las buenas prácticas en este ámbito.
· Comunicación de novedades legislativas y noticias: Thomson Reuters comunicará a EL CLIENTE las novedades que se produzcan en la legislación de protección de datos, así como los Informes Jurídicos que emita la Agencia Española de Protección de Datos y que Thomson Reuters considere de interés para EL CLIENTE. Estas comunicaciones permitirán a EL CLIENTE conocer la evolución legislativa en la materia y la incidencia de las novedades legislativas en su Compañía.
· Controles periódicos del cumplimiento: Además de las actuaciones anteriores, Thomson Reuters atenderá los cambios operativos y estructurales de EL CLIENTE que supongan modificaciones en la documentación. Se verificará la actualización de forma proactiva por Thomson Reuters periódicamente así como el cumplimiento de los distintos procedimientos.
· Están excluidos de los servicios de mantenimiento anual tanto la implantación de medidas correctoras como la defensa jurídica en sentido estricto, así como la emisión de Informes o Dictámenes distintos de los expresamente descritos en este texto, comprendidos en el ámbito de la protección de datos. El presente servicio es compatible con otros trabajos de consultoría singularmente determinados y paralelos al presente, cuya valoración económica será individualmente considerada.
3.- PROYECTOS DE CONSULTORÍA
Los proyectos de Consultoría en protección de datos y aplicación del Reglamento General de Protección de Datos son siempre realizados a medida y por profesionales especializados con un perfil muy elevado y contrastado. El servicio se presta de forma telefónica, y por este medio se hace el diagnóstico y la toma de datos. Thomson Reuters tiene un acuerdo de colaboración con Alaro Avant, S.L., por el que ambas empresas colaboran para dar servicio a los clientes de la primera en el ámbito de la adecuación a la normativa vigente de protección de datos de carácter personal. Toda referencia en este documento al servicio prestado por Thomson Reuters debe entenderse como referencia al servicio prestado por Alaro Avant, S.L., para los clientes de la primera.
4.- RÉGIMEN, CONDICIONES Y PRECIO
El precio y la forma de pago se establecen en las tablas de referencia publicadas en esta web. No será aplicable el derecho desistimiento para el caso de que se haya iniciado la prestación del servicio contratado. El servicio de consultoría objeto de este contrato es un servicio de suscripción anual, por lo que una vez contratado por el cliente será renovado anualmente de forma tácita salvo que el cliente manifieste por escrito a Thomson Reuters su voluntad de no renovar la suscripción con al menos un mes de antelación a la fecha de renovación.
5.- OBLIGACIONES DE LAS PARTES
Obligaciones de Thomson Reuters Aranzadi:
· Proporcionar al Cliente el servicio en las condiciones y conforme a las estipulaciones acordadas.
· Custodiar con la diligencia debida la información remitida por el cliente.
· Realizar la adaptación a la normativa de acuerdo con el estado actual de la legislación vigente.
· El presente contrato no abarca la adecuación a posibles futuros cambios en la normativa de protección de datos.
Obligaciones del cliente:
· Facilitar información veraz para poder prestar correctamente el servicio. Asimismo, el cliente si en el plazo de 4 meses desde la contratación no ha suministrado la información necesaria para realizar el servicio, Thomson Reuters Aranzadi entenderá que el cliente no desea la realización del mismo, por lo que paralizará las actuaciones iniciadas y dará por finalizado el servicio. En este caso el cliente no tendrá derecho a la devolución de los importes abonados por el servicio. No obstante, este supuesto quedará exceptuado en los casos de fuerza mayor manifestadas por el cliente y aceptadas por Thomson Reuters Aranzadi.
6.- RESPONSABILIDAD:
Thomson Reuters Aranzadi, no será responsable de la falta de implantación de las recomendaciones y obligaciones indicadas en la consultoría de protección de datos personales. Asimismo, tampoco será responsable, de los posibles cambios legislativos o de los cambios que se produzcan en la estructura organizativa del cliente con posterioridad a la realización del servicio.
Thomson Reuters Aranzadi, no quedará vinculada por los compromisos o promesas realizadas por personas ajenas a su empresa, ni por expectativas erróneas con respecto al servicio contratado.
7.- PROTECCIÓN DE DATOS
Le informamos de que sus datos personales serán tratados por Thomson Reuters Aranzadi con la finalidad de gestionar los pedidos que Ud. nos solicite, así como facilitarle información sobre ofertas y nuevos productos de interés para su actividad profesional. Sus datos podrán ser comunicados a la Administración Tributaria y a las entidades bancarias necesarias para realizar dicha gestión.
Este tratamiento de datos está legitimado en el contrato que Ud. formaliza con Thomson Reuters Aranzadi al solicitar el pedido correspondiente y es imprescindible para la prestación del servicio.
Para cumplir con la finalidad descrita, Thomson Reuters Aranzadi necesita comunicar sus datos a prestadores de servicios con los que se han firmado los correspondientes contratos entre responsable y encargado del tratamiento. Dichas empresas se encuentran ubicadas en España y cumplen con un nivel de protección adecuado, según la normativa europea de protección de datos.
Igualmente le informamos que sus datos serán conservados durante los plazos establecidos por la legislación fiscal.
Por otra parte, Thomson Reuters Aranzadi, como encargado del tratamiento, podría acceder y tratar datos personales responsabilidad del CLIENTE únicamente con el fin de cumplir los servicios de adaptación de la actividad del CLIENTE a la normativa de protección de datos personales de acuerdo con el estado de la legislación vigente, ofertados en la solicitud de pedido y, siempre, siguiendo las instrucciones del CLIENTE. En estos casos, Thomson Reuters Aranzadi podría tener acceso a diferentes categorías de datos personales dependiendo de la actividad del CLIENTE. El tratamiento de estos datos consistirá en la recogida y registro de los mismos, en su conservación, en su modificación en caso de ser necesario, así como en su destrucción o, bajo solicitud del CLIENTE, en su devolución.
Corresponde al CLIENTE facilitar el derecho de información en el momento de la recogida de los datos. Por su parte, Thomson Reuters Aranzadi y su personal, convenientemente formado en materia de protección de datos, quedan obligados a guardar la debida confidencialidad respecto a los datos objeto de la prestación del servicio; a implantar las medidas de seguridad necesarias para garantizar la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas y servicios de tratamiento; a mantener actualizado un registro de las actividades de tratamiento efectuadas por cuenta del CLIENTE; a asistir al CLIENTE antes las posibles solicitudes de ejercicio de derechos; a notificarle en la mayor brevedad posible las violaciones de seguridad de los datos a su cargo, de forma que el CLIENTE tenga tiempo suficiente para informar, en su caso, a la AEPD o a los interesados; así como a poner a disposición del CLIENTE toda la información necesaria para demostrar el cumplimiento de sus obligaciones en materia de protección de datos.
Thomson Reuters Aranzadi ha subcontratado el servicio descrito a la empresa Alaro Avant, S.L., sita en Avda. Brasil 17, 7G, 28020, Madrid. En caso de que fuese necesario realizar alguna otra subcontratación del servicio prestado al CLIENTE, Thomson Reuters Aranzadi comunicará al CLIENTE, previamente a la contratación, la identificación de la empresa subcontratista, sus datos de contacto y el tratamiento subcontratado.
El presente contrato tiene una duración de un año prorrogable tácitamente salvo comunicación en contra con una antelación mínima de 30 días antes del vencimiento.
8.- CAUSAS DE RESOLUCIÓN:
· El impago de cualquier cantidad por el cliente o el incumplimiento de cualquiera de las cláusulas establecidas en las presentes condiciones, dará lugar a su resolución automática.
· Por cualquiera de las establecidas legalmente.
· Thomson Reuters Aranzadi, se reserva la facultad de resolver unilateralmente la relación contractual, si agotadas todas las vías posibles para su prestación, se diera el caso de la imposibilidad justificada del servicio
9.- DISPOSICIONES GENERALES
· El Cliente no podrá ceder, traspasar ni subarrendar a ninguna persona física o jurídica los derechos y obligaciones que le corresponden en virtud de este servicio contratado, sin la expresa autorización escrita de Thomson Reuters Aranzadi siendo nulo cualquier acto efectuado sin dicha autorización.
· El Cliente reconoce la propiedad Intelectual e Industrial o títulos de Thomson Reuters Aranzadi o de cualquier empresa perteneciente al Grupo Thomson Reuters.
· Cuando sea preciso el equipo y la aportación de medios técnicos por parte del Cliente para la prestación de los servicios previstos en este contrato, el Cliente acepta ponerlos a disposición de Thomson Reuters Aranzadi, durante el tiempo necesario, el horario razonable y sin cargo alguno para Thomson Reuters Aranzadi
· Las partes se obligan a no revelar, ceder o transferir a terceros ninguna información referente a los negocios, Clientes, operaciones, instalaciones, procedimientos, métodos, transacciones, o cualquier otro aspecto relacionado con la actividad de la contraparte que pudieran conocer o hayan conocido con motivo de la prestación de servicios.
· El incumplimiento de obligaciones no será imputable a la parte si tal incumplimiento es debido, pese a la diligencia debida de la parte, a causas de fuerza mayor tales como guerras, revoluciones, desórdenes públicos, huelgas, desastres naturales, incendios o explosiones y, en general a todo hecho, independiente de la voluntad de las partes, que reúna las circunstancias de imprevisibilidad, irresistibilidad y exterioridad. En el caso de que la duración de tales causas sea superior a un mes, cualquiera de las partes estará facultada a resolver el contrato.
En el supuesto de que una de las partes resultase responsable frente a la otra por la consecución de daños y/o perjuicios de cualquier tipo al amparo del presente Contrato, no será en ningún caso responsable de los daños indirectos, lucro cesante, pérdida de negocio, reputación en el mercado u otros similares que pudiera ocasionar a la otra parte. Ante cualquier circunstancia acaecida (de tipo distinto al citado en el párrafo anterior), e imputable a una parte, que deviniera en perjuicio o pérdida de la otra, la parte imputada no estará obligada a remunerar con cuantía económica alguna, superior al coste total del período contractual en vigor.
· Estas condiciones constituyen el total acuerdo de las partes, en relación con su contenido, anulando todas las negociaciones, compromisos y escritos anteriores.
· En el caso de que alguna o algunas de sus cláusulas pasen a ser inválidas, ilegales o inejecutables en virtud de alguna norma jurídica, se considerarán ineficaces en la medida que corresponda, pero en lo demás, este contrato conservará su validez.
· La legislación aplicable es la española.
· Las partes se someten a los Juzgados y Tribunales españoles que correspondan para la resolución de los litigios que pudieran derivarse de su ejecución o interpretación