Aviso Legal y política de privacidad

Protección de datos personales

De acuerdo con lo establecido en la ley Orgánica 3/2018, de 5 de diciembre, de protección de datos de carácter personal y al Reglamento General de Protección de Datos 679/2016, las partes se comprometen a cumplir las obligaciones estipuladas en este contrato, en cuanto al tratamiento de los datos personales.

A los efectos del presente contrato, EL CLIENTE tendrá la consideración de RESPONSABLE DEL TRATAMIENTO en los términos definidos en la presente cláusula, y, por otro lado, EINATEC tendrá la consideración de ENCARGADO DE TRATAMIENTO en los términos definidos en la presente cláusula.De acuerdo con lo establecido en la ley Orgánica 3/2018, de 5 de diciembre, de protección de datos de carácter personal y al Reglamento General de Protección de Datos 679/2016, las partes se comprometen a cumplir las obligaciones estipuladas en este contrato, en cuanto al tratamiento de los datos personales.

A los efectos del presente contrato, EL CLIENTE tendrá la consideración de RESPONSABLE DEL TRATAMIENTO en los términos definidos en la presente cláusula, y, por otro lado, EINATEC tendrá la consideración de ENCARGADO DE TRATAMIENTO en los términos definidos en la presente cláusula.

EINATEC tratará datos de carácter personal relativos a las personas trabajadoras (vínculo laboral con el Cliente) de forma automatizada /o no.
Las finalidades que motivan el tratamiento de datos del CLIENTE por parte de EINATEC, son única y exclusivamente para la prestación de los servicios definidos en el presente contrato, vinculados al aplicativo Einatime.

Queda terminantemente prohibida la aplicación o utilización de los datos de carácter personal objeto de tratamiento para fines distintos a los aquí previstos, salvo autorización expresa manifestada por escrito por el CLIENTE.

Se prohíbe, asimismo, la comunicación de los datos objeto de tratamiento, ni siquiera para su conservación a otras personas, salvo las cesiones legalmente establecidas y las que resulten necesarias para el cumplimiento de las finalidades de la relación contractual.

Los datos personales de los firmantes del contrato, así como de las personas que participen o estén en contacto con ocasión de la prestación del servicio, serán tratados por EL CLIENTE en calidad de Responsable de Tratamiento.

La base jurídica que legitima el tratamiento de los datos es la relación contractual, para la formalización y ejecución de la misma.
La finalidad del tratamiento es mantener la relación contractual, en los aspectos económicos y técnicos derivados, así como el desarrollo y control del/los servicio/s contratado/s y, en su caso, remisión de información sobre las incidencias relacionadas con aquéllos. Los datos no serán cedidos o comunicados a terceros, salvo en los supuestos previstos, según la Ley.

Los datos serán conservados por el tiempo en que puedan ser requeridos por las autoridades públicas competentes (Agencia Tributaria, Juzgados o Tribunales).

De conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 (Reglamento General de Protección de Datos), y la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de derechos digitales, podrá ejercitar los derechos de acceso, rectificación, supresión, oposición, limitación y portabilidad, respecto de sus datos personales, enviando un escrito acompañado de su DNI, dirigida a la dirección especificada en el encabezamiento.

Asimismo, en caso de considerar vulnerado su derecho a la protección de datos personales, podrá contactar o interponer una reclamación ante nuestro Delegado de Protección de Datos o en su caso, ante la Agencia Española de Protección de Datos (www.aepd.es).

EINATEC podrá tratar datos de carácter personal de los siguientes tipos o categorías:
• Datos identificativos [Nombre y Apellidos, DNI, Dirección, Teléfono, Huella,]
• Datos categorías especiales Datos biométricos
• Datos detalle de empleo [Estamento; Categoría/grado; Puestos de trabajo;]

El personal que actúe bajo las directrices de EINATEC tiene el deber de guardar confidencialidad y, en su caso, secreto profesional respecto a la información de carácter personal objeto de tratamiento. Esta obligación será exigible al personal, aun después de haber cesado su relación con EINATEC.
Además, será obligación de este último comunicar y exigir a su personal el cumplimiento del deber de confidencialidad o secreto profesional, así como el resto de condiciones y términos fijados en el presente contrato. Garantizará, en su caso, la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.

EINATEC deberá mantener a disposición del Responsable la documentación acreditativa del cumplimiento de esta obligación.

EINATEC atenderá a cuantas instrucciones en seguridad pueda transmitir EL CLIENTE, teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos de probabilidad variables para los derechos y las libertades de las personas físicas.

EINATEC con carácter periódico (y también siempre que haya cambios relevantes en su infraestructura de software y hardware) realizará una evaluación de riesgos en materia de seguridad de la información, de la que se derivarán la implantación de mecanismos adecuados a los riesgos detectados tal y como se describe en el artículo 32 del RGPD y en concreto:

  • La seudoanimización y el cifrado de datos personales;
  • La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
  • La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico;
  • Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
En cualquier caso, EINATEC adoptará las medidas de seguridad, técnicas y organizativas, apropiadas para garantizar la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos y los riesgos a que estén expuestos, ya provengan de la acción humana o del medio físico natural.
La evaluación de riesgos de seguridad de la información deberá ser recogida en un informe por EINATEC, que deberá ser proporcionado al CLIENTE.
En el caso de estar adherido a códigos de conducta o la posesión de una certificación, deberá indicarlo y enviar copia de dicha certificación al CLIENTE, ya que son elementos que sirven para demostrar el cumplimiento de los requisitos anteriormente indicados.

En todo caso, las medidas mínimas que deberán respetarse se enumeran a continuación:

Medidas organizativas. Todo el personal al que EINATEC proporcione acceso a los datos personales deberá ser informado de las siguientes medidas organizativas:

  • Deber de confidencialidad y secreto.
  • Se deberá evitar el acceso de personas no autorizadas a los datos personales, a tal fin se evitará: dejar los datos personales expuestos a terceros (pantallas electrónicas desatendidas, documentos en papel en zonas de acceso público, soportes con datos personales, etc.), esta consideración incluye las pantallas que se utilicen para la visualización de imágenes del sistema de videovigilancia si lo hubiera. Cuando la persona se ausente del puesto de trabajo, procederá al bloqueo de la pantalla o al cierre de la sesión.
  • Los documentos en papel y soportes electrónicos se almacenarán en lugar seguro (armarios o estancias de acceso restringido) durante las 24 horas del día, y serán custodiados cuando, con motivo de su tramitación, se encuentren fuera de los dispositivos o salas de archivo.
  • No se desecharán documentos (papel) o soportes electrónicos (cd, pen drives, discos duros, etc.) con datos personales sin garantizar su destrucción, de forma que la información no sea recuperable.
  • No se comunicarán datos personales o cualquier información personal a terceros, se prestará atención especial en no divulgar datos personales protegidos durante las consultas telefónicas, correos electrónicos, etc.
  • El deber de secreto y confidencialidad persiste incluso cuando finalice la relación laboral o de prestación de servicios.
  • Deberá contar con un procedimiento de gestión de las Violaciones de seguridad de datos de carácter personal.

Medidas de seguridad técnicas, relativas a la identificación. EINATEC implantará como mínimo las siguientes medidas técnicas para garantizar la identificación y autenticación de los usuarios con acceso a los datos:
  • No se permitirá el uso para fines particulares de aquellos ordenadores y dispositivos destinados al tratamiento de los datos personales.
  • Cuando el mismo ordenador o dispositivo se utilice para el tratamiento de datos personales y fines de uso personal se recomienda disponer de varios perfiles o usuarios distintos para cada una de las finalidades. Deben mantenerse separados los usos profesional y personal del ordenador o dispositivo.
  • Se recomienda disponer de perfiles con derechos de administración para la instalación y configuración del sistema y usuarios sin privilegios o derechos de administración para el acceso a los datos personales. Esta medida evitará que en caso de ataque de ciberseguridad puedan obtenerse privilegios de acceso o modificar el sistema operativo.
  • Se garantizará la existencia de contraseñas (o mecanismos equivalentes) para el acceso a los datos personales almacenados en sistemas electrónicos. La contraseña tendrá al menos 8 caracteres, mezcla de números y letras, y se renovarán periódicamente (al menos de forma anual).
  • Cuando a los datos personales accedan distintas personas, para cada persona con acceso a los datos personales, se dispondrá de un usuario y contraseña específicos (identificación inequívoca).
  • Se debe garantizar la confidencialidad de las contraseñas, evitando que queden expuestas a terceros. En ningún caso se compartirán las contraseñas ni se dejarán anotadas en lugar común y el acceso de personas distintas del usuario.
  • Medidas de seguridad técnicas para salvaguardar los datos. A continuación, se exponen las medidas técnicas mínimas para garantizar la salvaguarda de los datos personales:
  • Actualización de ordenadores y dispositivos. Los dispositivos y ordenadores utilizados para el almacenamiento y el tratamiento de los datos personales deberán mantenerse actualizados en la media posible.
  • Malware. En los ordenadores y dispositivos donde se realice el tratamiento de los datos personales se dispondrá de un sistema de antivirus que garantice en la medida posible el robo y destrucción de la información y datos personales. El sistema de antivirus deberá ser actualizado de forma periódica.
  • Cortafuegos. Para evitar accesos remotos indebidos a los datos personales se velará para garantizar la existencia de un cortafuegos activado en aquellos sistemas en los que se realice el almacenamiento y/o tratamiento de datos personales.
  • Cifrado de datos. Cuando se precise realizar la extracción de datos personales fuera del recinto donde se realiza su tratamiento, ya sea por medios físicos o por medios electrónicos, se deberá valorar la posibilidad de utilizar un método de cifrado para garantizar la confidencialidad de los datos personales en caso de acceso indebido a la información.
  • Copia de seguridad. Periódicamente se realizará una copia de seguridad en un segundo soporte distinto del que se utiliza para el trabajo diario. La copia se almacenará en lugar seguro, distinto de aquél en que esté ubicado el equipo con los ficheros originales, con el fin de permitir la recuperación de los datos personales en caso de pérdida de la información.

EINATEC pondrá a disposición del CLIENTE toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente contrato, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del CLIENTE o de otro auditor autorizado por el CLIENTE.
En su caso, EINATEC colaborará en el supuesto de tener que efectuar una notificación de violaciones de datos a las Autoridades de Protección de Datos y, en su caso, la comunicación a los interesados.
La comunicación se efectuará sin dilación indebida, y en cualquier caso antes del plazo máximo de 48 horas, y a través de correo electrónico, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia.

Si se dispone de ella se facilitará, como mínimo, la información siguiente: a) Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados. b) El nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información. c) Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales. d) Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.

EINATEC también colaborará en la realización de las evaluaciones de impacto relativa la protección de datos y, en su caso, la realización de consultas previas.

En todo caso, EINATEC colaborará con el CLIENTE ante cualquier requerimiento hecho por la autoridad competente en relación al tratamiento de datos personales encomendado.

No obstante, si EINATEC considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, EINATEC informará inmediatamente al responsable.

Corresponde al CLIENTE:
a) Entregar a EINATEC los datos a los que se refiere el punto 1 y 3 de la presente cláusula.
b) Realizar una evaluación del impacto en la protección de datos personales de las operaciones de tratamiento a realizar por EINATEC, en su caso.
c) Realizar las consultas previas que corresponda, en su caso.
d) Velar, de forma previa y durante todo el tratamiento, por el cumplimiento del RGPD por parte de EINATEC.
e) Supervisar el tratamiento, incluida la realización de inspecciones y auditorías.

Los derechos de acceso, rectificación, supresión y, en su caso, limitación, portabilidad u oposición (artículos 15 a 21 RGPD) se ejercerán por los interesados ante EL CLIENTE.

Si EINATEC recibiese una petición de ejercicio de derechos deberá informar inmediatamente al interesado o afectado de la identidad del CLIENTE, para que aquél se dirija al mismo. La comunicación debe hacerse de forma inmediata y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud.

A elección del CLIENTE, EINATEC suprimirá o devolverá todos los datos personales una vez finalice la prestación de los servicios de tratamiento, y suprimirá las copias existentes a menos que se requiera la conservación de los datos personales en virtud de disposición legal, en cuyo caso de conformidad con el artículo 33.3 de la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales, deberán ser devueltos al CLIENTE para garantizar su conservación mientras tal obligación persista. En el caso de los datos ofrecidos para acceder a la Demo, se conservarán durante los 14 días de prueba gratuita más 5 días y en caso de que no se formalice el contrato, serán eliminados.
Aquellos datos que no se devuelvan, deberán destruirse adoptando las medidas de seguridad pertinentes para evitar el acceso, recuperación o restauración por parte de terceros.

En el caso de que EINATEC destine los datos a finalidad distinta de las señaladas, los comunique o utilice incumpliendo las estipulaciones del presente contrato, será considerado a todos los efectos, Responsable del Tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente ante las autoridades competentes.

Y para que así conste y en prueba de conformidad con el contenido de este contrato, la aceptación de este documento por parte de EL CLIENTE queda demostrado al marcar la casilla de aprobación.