Terminos y condiciones del servicio
Última actualización: 20 de julio de 2023
OBJETO E IDENTIFICACIÓN
Los presentes términos y condiciones del servicio (en adelante TCS) regulan las relaciones comerciales entre el titular de este sitio web y los usuarios que contraten los servicios presentados en dicho sitio, a través de cualquiera de los medios disponibles.
Dicha contratación, está también sujeta a lo dispuesto en el resto de políticas legales publicadas en este sitio web, tales como el Aviso Legal, la Política de Privacidad y la Política de Cookies, así como a las Condiciones Particulares de Contratación aplicables en caso concreto o cualquier otra normativa de aplicación de conformidad con la legislación vigente en cada momento. Tal y como consta en las primeras, las soluciones ofrecidas en el dominio firmio.es, y todos sus subdominios (en adelante el SITIO WEB), pertenecen a (en adelante EL TITULAR):
Denominación Social: FIRMIO TECH S.L.
Nombre Comercial: FIRMIO
Domicilio Social: C/ Jose Luis Lassaletta 6, esc. 6, 8L – 03008 ALICANTE
NIF: B56195522
Teléfono: 605 64 83 42
e-Mail: legal@firmio.es
Datos registrales: Registro Mercantil de Alicante con fecha 13 de julio de 2023, Tomo 4592, Folio 40, Hoja A-186542
Sitio Web: firmio.es (y todos sus subdominios)
El titular se reserva el derecho a modificar en todo momento los presentes TCS, respetando en todo caso las condiciones vigentes en el instante de contratación por parte del usuario. Para ello, el titular, archivará las evidencias electrónicas en las que queden formalizadas las contrataciones de cualesquiera de los servicios ofrecidos.
EL CLIENTE
La contratación de los servicios ofrecidos por el titular puede realizarse por cualquier persona física o jurídica, mayor de edad, con independencia de si lleva a cabo una actividad comercial o privada. En cualquier caso, el registro en la plataforma es un requisito obligatorio y gratuito, siendo de aplicación los presentes TCS, así como el resto de políticas legales del sitio web. Adicionalmente, las personas físicas también estarán sujetas a lo dispuesto en la normativa relativa a la defensa y protección de los consumidores y usuarios.
En España se establecen los 18 años como la mayoría de edad para contratar, por lo que cualquier servicio contratado por un menor, no será considerado válido. En caso de actuar en representación de una persona física, empresa o persona jurídica, el cliente reconoce expresamente disponer de los poderes pertinentes y/o autorizaciones para la contratación de los servicios del titular, responsabilizándose de las consecuencias que del incumplimiento de ello pudieran derivarse.
Por lo tanto, al confirmar su registro en la plataforma del titular, el usuario declara ser mayor de edad, con capacidad para contratar, que la información enviada es correcta, veraz y exacta y, que ha leído, comprendido y acepta los presentes TCS, así como el resto de normativa aplicable. A partir de ese momento, el usuario adquiere la condición de cliente y tendrá derecho a utilizar los servicios que expresamente contrate al titular. Este proceso se dividirá en 2 fases: una primera durante la cual se crearán y verificarán las credenciales de acceso (email y contraseña), así como se recabará el consentimiento expreso para cumplir con la normativa relativa a protección de datos y, una segunda, en la cual se completarán los datos de usuario necesarios para personalizar la plataforma y los del negocio, en caso de no existir previamente. Esta última figura de negocio centraliza la gestión de los documentos, así como la asignación de un plan de precios concreto y la aceptación de los presentes TCS a través de su usuario propietario. A este respecto, la gestión de un negocio y sus documentos se puede complementar mediante la figura de usuario invitado, el cual solo requerirá del registro de sus credenciales y datos adicionales para la personalización, en caso de no ser ya usuario de la plataforma, dándole el usuario propietario acceso al negocio bajo su responsabilidad y quedando sujeto a las condiciones y limitaciones de uso expuestas en los presentes TCS, así como en el resto de políticas legales. Este usuario invitado es, por tanto, considerado cliente a efectos funcionales de la plataforma, aunque se le exime de las obligaciones de pago y de la responsabilidad en el tratamiento de los datos de los firmantes, las cuales recaerán únicamente en la figura del usuario propietario.
Consecuentemente, el cliente se compromete a hacer un buen uso de su área privada, siendo este el único con capacidad de uso sobre los servicios contratados, lo que supone que no podrá ponerlos a disposición de terceros sin el consentimiento previo y expreso del titular (como ya se ha mencionado para los usuarios invitados), que seguirá una política de seguridad adecuada para evitar el acceso de personas no autorizadas a su cuenta, informando al titular en caso de detectar cualquier posible riesgo derivado de la pérdida, robo o suplantación de credenciales de acceso, y que se compromete a evitar cualquier acción que pueda dañar sistemas, equipos o servicios accesibles directa o indirectamente, incluyendo la congestión intencionada de enlaces o sistemas.
El cliente no podrá enviar documentos cuyo contenido contenga lenguaje inapropiado, susceptible de situaciones de acoso, actividades fraudulentas, material para adultos, malware, virus o que pueda vulnerar los derechos de las personas. En este sentido y, en relación con la normativa vigente en materia de protección de datos, el cliente es el responsable del tratamiento de los datos de las personas a las que remita dichos documentos, por lo que deberá informar adecuadamente a sus receptores, asumiendo el titular del sitio web, únicamente, la figura de encargado del tratamiento. Para formalizar esta relación entre el cliente y el titular, así como establecer la finalidad del tratamiento y las responsabilidades de cada interesado, se anexa a estos TCS el correspondiente contrato de encargado de tratamiento que deberá ser leído, comprendido y aceptado a la vez que el presente documento.
En este sentido, el titular se reserva el derecho de revisar los contenidos del cliente para determinar si son ilegales o incumplen alguna de las normativas aplicables, incluidos los presentes TCS, tratándolos siempre con la mayor discreción y confidencialidad.
En caso de constatarse un mal uso de los servicios por parte del cliente o el incumplimiento de estos TCS u otras políticas legales, el titular se reserva el derecho de interrumpir el servicio, revocar el acceso o incluso expulsar al cliente de sus servicios, así como tomar las medidas legales oportunas y reclamar una indemnización en función de la gravedad de los hechos. En estos casos, el cliente no tendrá derecho a la devolución de los importes abonados.
EL SERVICIO
El titular pone a disposición de su cliente un servicio para la gestión de documentos firmados electrónicamente, a través de una plataforma web y bajo diferentes planes de precios. Dichos planes estarán expuestos en el sitio web del titular con el objeto de informar en todo momento de sus características y precios concretos.
El titular se reserva el derecho a decidir en todo momento los servicios puestos a disposición de sus clientes, así como la nomenclatura, características y precios de los planes, incluidas posibles promociones u ofertas sobre estos. No obstante, el cliente será informado debidamente de las condiciones particulares, así como del precio detallado, incluido el IVA aplicable al comprador, y siempre previo a la contratación.
Para poder utilizar los servicios del titular, es condición indispensable, como ya se ha mencionado anteriormente, el registro previo del cliente mediante la cumplimentación voluntaria de un formulario web, la validación de su dirección de correo electrónico y la aceptación expresa de los presentes TCS y de la Política de Privacidad, así como el cumplimiento de los mismos durante la duración del contrato. A lo largo de este proceso, la plataforma le irá guiando mediante ventanas y correos electrónicos para facilitar y agilizar el mismo.
Bien durante este proceso, o bien desde la información publicada en el sitio web, el cliente podrá seleccionar el plan concreto que mejor se ajuste a las necesidades de su negocio. Este plan será, por tanto, asignado al negocio seleccionado sobre el que sea propietario, debiendo contratar tantos planes como negocios gestione en propiedad o siendo compartidos si las condiciones del plan así lo permiten.
En caso de seleccionar un plan de pago, el cliente se compromete a realizar el abono del importe indicado mediante tarjeta bancaria, introduciendo los datos requeridos en el TPV virtual, no siendo válido el contrato hasta la comprobación de que dicho abono haya sido autorizado por la entidad correspondiente. El titular informa de la adopción de las medidas técnicas y de seguridad correspondientes a este tipo de servicios, en este caso, el uso de una pasarela bancaria impide el acceso del titular a los datos de la tarjeta garantizando la confidencialidad de los mismos.
El servicio tendrá una duración mínima de un mes, salvo que se indique lo contrario, y será renovado automáticamente mientras alguna de las partes no notifique expresamente su deseo de rescindir el contrato con una antelación mínima de 15 días a la finalización del mes. En el caso de recibir la solicitud de cancelación por parte del cliente con un plazo inferior al indicado, el servicio se renovará y facturará automáticamente el mes siguiente, manteniéndose totalmente operativo hasta la finalización del mismo. A partir de ese momento, el servicio pasará a un modo limitado de solo descarga durante 30 días más sin ningún coste, para permitir al cliente la descarga de sus documentos. Transcurrido este periodo, el contrato quedará completamente finalizado y los datos del cliente serán bloqueados y conservados durante el plazo mínimo imprescindible para dar cumplimiento a obligaciones legales, fiscales y mercantiles, tras lo cual serán suprimidos por completo. Si se solicitara la rescisión con una antelación superior a la indicada, se mantendrá el servicio plenamente funcional hasta la finalización del mes y no se renovarán ni facturarán meses sucesivos. Igualmente, el servicio pasará al modo limitado de solo descarga durante los 30 días posteriores sin cargo adicional.
En caso de haber adquirido un plan con descuento por pago anticipado, el cliente no tendrá derecho a la devolución de la parte proporcional del servicio no disfrutado, salvo que sea el titular del servicio quien haya decidido cancelarlo y, siempre y cuando, esta cancelación no haya sido motivada por las causas de mal uso expuestas en el apartado anterior. Como norma general, en caso de cancelación del servicio, el titular se atribuirá los importes ya abonados por el cliente hasta el momento, pudiendo reclamar cualquier cantidad no satisfecha.
Salvo el momento puntual de selección del plan concreto, cuando se abonará la parte proporcional restante del mes o del periodo completo promocionado, cada renovación deberá abonarse por la cuota completa contratada entre los días 1 y 5 del mes o, en el caso de los planes de pago por uso, por el importe y en los días indicados en la factura, por norma general entre los días 1 y 5 del mes siguiente. En el supuesto de impago, la plataforma limitará sus funcionalidades a modo de solo descarga hasta regularizar dicha situación. Si transcurrido un periodo de gracia de 30 días, a contar desde el día 1 del primer mes impagado, no se han abonado las cantidades adeudadas, el titular podrá rescindir completamente el contrato sin preaviso, pudiendo reclamar además el abono de los intereses de demora. En dicha situación, no se habilitará un nuevo periodo para la descarga de documentos, estando ya contemplado dentro de los 30 días de gracia anteriormente expuestos.
Según lo establecido en la Ley General para la Defensa de los Consumidores y Usuarios, el cliente que tenga la consideración de consumidor dispondrá de un plazo de 14 días para desistir de la contratación sin indicar el motivo, a contar desde el momento en que se seleccione el plan. Para ello, simplemente deberá ponerse en contacto con el titular identificándose y expresando su deseo de cancelar el servicio. El ejercicio de este derecho de desistimiento, supondrá el reintegro de los importes ya cobrados y extinguirá las obligaciones de las partes de ejecutar el contrato.
La entrega del servicio se realizará al acceder directamente el cliente a su zona privada mediante las credenciales indicadas durante el proceso de registro (email y contraseña). El titular se compromete a prestar el servicio contratado por el cliente en tiempo y forma según las características del plan y los presentes TCS, adoptando las medidas técnicas y protegiendo la confidencialidad de los datos de sus usuarios con la mayor diligencia según lo expuesto en todas las políticas legales aplicables.
A la finalización del servicio, el titular seguirá el protocolo descrito en el contrato de Encargado de Tratamiento respecto a los datos almacenados en sus sistemas.
LÍMITES A LA RESPONSABILIDAD
El titular no se hará responsable del mal uso de la plataforma por parte del cliente, ni de los daños o perjuicios que se hayan producido por negligencia o como consecuencia de la utilización de la información extraída a partir de los servicios ofrecidos por el titular, quien notificará y colaborará con las autoridades competentes en este tipo de situaciones cuando puedan suponer un daño a la empresa, terceros o haya indicios de ilegalidad.
De igual modo, el titular no se hace responsable de cualquier error, fallo o demora en el envío o firma de los documentos que se produzca por acciones de los usuarios, problemas en la red, causas fortuitas o fuerza mayor o cualquier otra contingencia imprevisible y ajena a la buena fe del titular. No obstante, el titular se compromete a solucionar los problemas que puedan surgir de la manera más rápida posible, siempre y cuando los mismos se deban única y exclusivamente a causas internas del sistema del titular.
Respecto a la normativa en materia de protección de datos, el titular no es responsable de los datos solicitados por el cliente a los usuarios firmantes, asumiendo únicamente el rol de encargado de tratamiento bajo las finalidades y términos acordados en el acuerdo que se anexa a estos TCS. Es responsabilidad del cliente informar adecuadamente a los usuarios firmantes y garantizar la idoneidad de sus encargos.
Si bien la normativa actual con respecto a las firmas electrónicas, tanto en la Unión Europea a través del reglamento eIDAS como en EEUU a través de las leyes E-Sign Act y UETA Act, da plena validez legal al servicio del titular, esto es, cualquier firma electrónica será totalmente admisible en cualquier proceso judicial y no podrá ser desestimada por el mero hecho de ser electrónica, el resultado en caso de un litigio dependerá de otros muchos aspectos ajenos al control del titular (parametrización del emisor, manipulación de los sistemas, labor del equipo legal contratado por los interesados, procedimientos legales…). El titular, a petición de los interesados, facilitará todas aquellas pruebas que durante el proceso haya podido recabar, con el fin de dotar al mismo de las mayores garantías posibles, pero no será responsable del incumplimiento de los requisitos procesales, ni de la revisión pericial de las pruebas presentadas, ni de la decisión tomada por el juez o tribunal. No obstante, el titular manifiesta su total compromiso con este aspecto, por lo que, en la medida de lo posible, tendrá presente las novedades legales y técnicas para mejorar su servicio.
La responsabilidad del titular en cualquiera de los casos imputables a él, estará limitada al importe de los servicios prestados objeto de reclamación.
PROPIEDAD INTELECTUAL E INDUSTRIAL
Todos los contenidos del sitio web, incluyendo a título enunciativo, pero no limitativo su programación, edición, compilación y demás elementos necesarios para su funcionamiento, los diseños, logotipos, texto y/o gráficos, así como los materiales difundidos a través de la plataforma (correos electrónicos, boletines de noticias…) son propiedad del prestador, o en su caso dispone de licencia o autorización expresa por parte de los autores, por lo que se encuentran debidamente protegidos por la normativa de propiedad intelectual, industrial y/o derechos de autor.
El usuario reconoce, expresamente, que estos contenidos, a los cuales puede acceder a través del sitio web o alguna de sus comunicaciones, están sujetos a los derechos de propiedad intelectual, industrial o de cualquier otra índole del prestador y/o de los terceros propietarios y, salvo previo acuerdo escrito entre las partes, no se le confiere ningún derecho sobre los mismos. En este sentido, el usuario se compromete a utilizar dicha información únicamente para sus propias necesidades, no estando facultado para utilizar, distribuir, modificar, reproducir, ceder, copiar, imitar y/o poner a disposición de terceros cualquiera de los contenidos anteriormente citados con otros fines sin el consentimiento del respectivo titular, siendo el usuario directamente responsable de todas las consecuencias, daños y perjuicios que se deriven para el titular y/o terceros a causa de la infracción que de su actuación u omisión se pudiera derivar.
Asimismo, el prestador no autoriza la utilización de enlaces a contenidos específicos dentro de su sitio web, ni su incrustación en marcos (frames) o cualquier otra manipulación similar sin su consentimiento expreso previo, debiendo en todo caso redirigir a la página principal del sitio. El simple hecho de establecer un enlace no le confiere el rol de colaborador ni socio, ni implica ningún tipo de relación entre las partes. La página web, aplicación o perfil de redes sociales desde donde se establezca el enlace no realizará manifestaciones falsas, inexactas o incorrectas sobre el prestador, no contendrá información ilícita, contraria a la moral o a las buenas costumbres generalmente aceptadas o al orden público, así como cualquier otro contenido que atente contra los derechos de terceros.
Por otro lado, el usuario acepta que el prestador pueda hacer uso de sus datos y logotipo en los diferentes medios de promoción que utilice, con objeto de presentar y/o promocionar sus servicios frente a terceros, comprometiéndose a tratarlos respetando, en todo momento, el derecho al honor e imagen de marca del cliente. Esto no implica cesión alguna de la marca del cliente, sino tan solo que pueda ser usada bajo los fines anteriormente expuestos.
Para realizar cualquier tipo de observación respecto a posibles incumplimientos de los derechos de propiedad intelectual o industrial, así como sobre cualquiera de los contenidos del sitio web, puede ponerse en contacto con el prestador a través de su correo electrónico.
LEY APLICABLE Y JURISDICCIÓN
El presente documento se complementa con el resto de políticas establecidas en el sitio web, así como cualquier otra que fuese necesario añadir, siguiendo lo dispuesto en la legislación vigente en cada momento y, con el firme propósito de velar por el interés de los usuarios, proporcionándoles la máxima seguridad, garantías y transparencia. Por ello se recomienda al usuario leer atentamente cada una de ellas en el momento en el que se requiera su aceptación y periódicamente durante sus accesos, ya que pueden sufrir modificaciones que solo serán notificadas en caso de ser sustanciales.
Cada cláusula de estos TCS es válida en sí misma y, en ningún caso, invalidará el resto. La cláusula inválida o incompleta podrá ser sustituida por otra equivalente y válida por acuerdo de las partes.
Para la resolución de todas las controversias o cuestiones relacionadas con el presente sitio web o de las actividades en él desarrolladas, será de aplicación la legislación española, a la que se someten expresamente las partes, siendo competentes para la resolución de todos los conflictos derivados o relacionados con su uso los Juzgados y Tribunales de ALICANTE.
ANEXO 1: CONTRATO DE ENCARGADO DE TRATAMIENTO
OBJETO DEL ENCARGO DEL TRATAMIENTO
Mediante las presentes cláusulas se habilita a Firmio como Encargado del Tratamiento, para tratar por cuenta del cliente firmante del presente contrato como Responsable del Tratamiento, los datos de carácter personal necesarios para prestar el SERVICIO: Gestión del proceso de firma de documentos redactados por el RESPONSABLE, por parte de las personas firmantes a las cuales vayan dirigidos dichos documentos.
El tratamiento consistirá en: La captura de los datos de los firmantes y su posterior procesamiento para su integración en los documentos firmados por los mismos.
Concreción de los TRATAMIENTOS a realizar:
Recogida, Registro, Estructuración, Modificación, Conservación, Consulta, Comunicación, Cotejo, Destrucción y Copia.
IDENTIFICACIÓN DE LA INFORMACIÓN AFECTADA
Para la ejecución de las prestaciones derivadas del cumplimiento del objeto de este encargo, el RESPONSABLE, autoriza al ENCARGADO, a realizar los TRATAMIENTOS sobre los DATOS que se describe a continuación:
- Datos de identificación básicos (nombre, DNI, dirección, teléfono, email, firma, firma electrónica, núm. de Seguridad Social o mutualidad).
- Datos biométricos dirigidas a identificar inequívocamente a una persona física (imagen, voz, marcas físicas, huella, firma manuscrita).
- Datos solicitados por el RESPONSABLE para la cumplimentación de los documentos.
- Datos técnicos: dirección IP, geolocalización, datos del dispositivo (sistema operativo, navegador…), operador de telecomunicaciones.
- Datos relativos a la valoración del servicio.
DURACIÓN
El presente acuerdo está ligado a la aceptación de los TCS, cuya duración mínima es de 1 mes, salvo que se indique lo contrario y, será renovado automáticamente mientras alguna de las partes no notifique expresamente su deseo de rescindirlo en los plazos y forma indicados
A la finalización del presente contrato o cuando se produzca una situación de impago, tal como se describe en los TCS, el RESPONSABLE podrá acceder a los datos en el plazo de 30 días únicamente para su descarga, no estando operativa la plataforma para el resto de funcionalidades habituales. Transcurrido este periodo, los datos serán bloqueados y conservados durante el plazo mínimo imprescindible para dar cumplimiento a obligaciones legales, fiscales y mercantiles, tras lo cual serán SUPRIMIDOS por completo.
OBLIGACIONES DEL ENCARGADO DEL TRATAMIENTO
El ENCARGADO y todo su personal se obliga a:
- Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios.
- Tratar los datos de acuerdo con las instrucciones del RESPONSABLE. Si el ENCARGADO considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, el ENCARGADO informará inmediatamente al RESPONSABLE.
- Llevar, por escrito, un registro de todas las categorías de Actividades De Tratamiento efectuadas por cuenta del RESPONSABLE, que contenga:
- El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el ENCARGADO y, en su caso, del representante del responsable o del encargado y del Delegado De Protección De Datos.
- Las categorías de tratamientos efectuados por cuenta de cada RESPONSABLE.
- En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49 apartado 1, párrafo segundo del RGPD, la documentación de garantías adecuadas.
- Una descripción general de las medidas técnicas y organizativas de seguridad relativas a:
- La pseudonimización y el cifrado de datos personales.
- La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
- La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
- El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
- No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del RESPONSABLE, en los supuestos legalmente admisibles.
- El ENCARGADO puede comunicar los datos a otros encargados del tratamiento del mismo RESPONSABLE, de acuerdo con las instrucciones del RESPONSABLE. En este caso, el RESPONSABLE identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación.
- Si el ENCARGADO debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, informará al RESPONSABLE de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público.
- Subcontratación:No subcontratar ninguna de las prestaciones que formen parte del objeto de este contrato que comporten el tratamiento de datos personales, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios del encargado.Si fuera necesario subcontratar algún tratamiento, este hecho se deberá comunicar previamente y por escrito al RESPONSABLE, con una antelación de 30 días, indicando los tratamientos que se pretende subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el RESPONSABLE no manifiesta su oposición en el plazo establecido.El subcontratista, que también tendrá la condición de Encargado Del Tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el ENCARGADO y las instrucciones que dicte el RESPONSABLE. Corresponde al ENCARGADO regular la nueva relación de forma que el subencargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, el ENCARGADO seguirá siendo plenamente responsable ante el RESPONSABLE en lo referente al cumplimiento de las obligaciones.
- Mantener el deber de secreto respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice su objeto.
- Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente.
- Mantener a disposición del RESPONSABLE la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior.
- Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.
- Asistir al RESPONSABLE en la respuesta al ejercicio de los derechos de: Acceso, rectificación, supresión y oposición, Limitación del tratamiento, Portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles).Cuando las personas afectadas ejerzan los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas, ante el ENCARGADO, éste debe comunicarlo por correo electrónico a la dirección del RESPONABLE. La comunicación debe hacerse de forma inmediata y en ningún caso más allá de 7 días laborables siguientes al de la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud.
- Derecho de información:Corresponde al RESPONSABLE facilitar el derecho de información en el momento de la recogida de los datos. Si bien el ENCARGADO podrá asistir al RESPONSABLE para cumplir dicha responsabilidad.
- Notificación de violaciones de la seguridad de los datos: El ENCARGADO notificará al RESPONSABLE, sin dilación indebida, y en cualquier caso antes del plazo máximo de 48 horas, y a través de correo electrónico, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia.No será necesaria la notificación cuando sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.Si se dispone de ella se facilitará, como mínimo, la información siguiente:
- Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
- El nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.
- Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.
- Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos. Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.
- Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
- El nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.
- Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.
- Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos. Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.
- Dar apoyo al RESPONSABLE en la realización de las Evaluaciones de Impacto relativas a la protección de datos, cuando proceda.
- Dar apoyo al RESPONSABLE en la realización de las consultas previas a la Autoridad de Control, cuando proceda.
- Poner a disposición del RESPONSABLE toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el RESPONSABLE u otro auditor autorizado por él.
- Implantar las medidas de seguridad siguientes:Las medidas de seguridad establecidas en documento anexo. En todo caso, deberá implantar mecanismos para:
- Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
- Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
- Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento.
- Pseudonimizar y cifrar los datos personales, en su caso.
- Designar un Delegado de Protección de Datos siempre que sea obligación legal y comunicar su identidad y datos de contacto al RESPONSABLE.
- Destino de los datos:Los datos estarán accesibles hasta la finalización del contrato en forma y plazos según lo descrito en el apartado Duración. A partir de ese momento se bloquearán y conservarán mientras puedan derivarse responsabilidades de la ejecución de la prestación.
OBLIGACIONES DEL RESPONSABLE DEL TRATAMIENTO
Corresponde al RESPONSABLE:
- Realizar una evaluación del impacto en la protección de datos personales de las operaciones de tratamiento a realizar por el ENCARGADO.
- Realizar las consultas previas que corresponda.
- Velar, de forma previa y durante todo el tratamiento, por el cumplimiento del RGPD por parte del ENCARGADO.
- Supervisar el tratamiento, incluida la realización de inspecciones y auditorías.
El RESPONSABLE acepta estas condiciones durante la contratación del servicio.
ANEXO 2: MEDIDAS DE SEGURIDAD
MEDIDAS PARA GARANTIZAR LA INTEGRIDAD, DISPONIBILIDAD Y CONFIDENCIALIDAD DE LOS DATOS
- Establecimiento y protección de un perímetro de seguridad:
- Las áreas que contengan DATOS y recursos para su procesamiento dispondrán de un perímetro de seguridad que impida el acceso de personas no autorizadas, separándolas físicamente de otras zonas mediante paredes e implantando un sistema de control de entrada mediante tarjetas de control de entrada a las puertas o bien un lugar manual de recepción.
- Todas las salidas de emergencia en el perímetro de seguridad dispondrán de alarmas sonoras y cierre automático.
- Se dispondrá de un sistema de detección de calor y humo y de extintores de incendios. El sistema y será probado como mínimo con una frecuencia semestral. Los extintores serán revisados con una frecuencia anual.
- Se dispondrá de un sistema de alarma que detecte intrusos en el horario de cierre de las instalaciones.
- Los visitantes y personal no autorizado deberán estar acompañado durante su estancia en el perímetro de seguridad.
- Los puntos de envío y recepción de correo, máquinas de fax y fotocopiadoras deben estar protegidos de acceso y/o uso no autorizado.
- Seguridad relativa a los Recursos Humanos:
- Se definirá una relación de puestos de trabajo que detalle las funciones de cada trabajador y determine si se le autoriza a acceder al perímetro de seguridad y cuáles concretos privilegios y derechos de acceso a los sistemas de información que le corresponden.
- Se establecerá un protocolo para el caso de finalización de la relación laboral con un trabajador que garantice que se cancelará su autorización para acceder al perímetro de seguridad y los privilegios y derechos de acceso a los sistemas de información y se verificará que el trabajador cesado devuelva cualquier equipo o soporte informático con datos personales que tuviera asignado.
- Copias de seguridad:
- Se realizará copia de seguridad de los DATOS y del software con una frecuencia al menos semanal.
- Las copias de seguridad se almacenarán en una ubicación diferente a las instalaciones donde se ubican los sistemas de información.
- Las copias de seguridad se conservarán durante un período de al menos 4 semanas en soportes diferenciados.
- Se realizarán pruebas de restauración de las copias de seguridad con una frecuencia mínima semestral.
- Seguridad de los equipos:
- Los equipos estarán ubicados a una altura superior al nivel del suelo para evitar inundaciones.
- Se dispondrá de UPS (Uninterruptable power suply) que garanticen el tiempo suficiente para realizar las funciones de apoyo en servidores y aplicaciones.
- Se implementarán controles de detección, prevención y recuperación contra software malicioso en la totalidad de los equipos, incluidos dispositivos móviles y los medios de almacenamiento externo. El sistema implantado deberá permitir las siguientes funcionalidades:
- Detección de amenazas en tiempo real.
- Actualización de manera automática.
- Análisis de páginas web y correo electrónico incluyendo antiphishing y antispam.
- Comprobación automática de cualquier descarga de archivos.
- Programación de análisis periódicos.
- Los terminales dispondrán de un sistema de desconexión automática de la sesión una vez transcurrido un determinado período de inactividad.
- Se garantizará que todos los dispositivos y aplicaciones están permanentemente actualizados y se configurarán los sistemas de tal modo que las actualizaciones se instalen automáticamente en un horario que no afecte el trabajo de los usuarios.
- Uso de los equipos:
- Se establecerán diferentes perfiles de usuarios, asignando los privilegios y restringiendo el acceso a los recursos estrictamente necesarios para las funciones de cada usuario.
- Existirá un protocolo que garantice la revisión regular de los privilegios y derechos de acceso de los usuarios.
- Cada usuario dispondrá de un único identificador propio para su uso personal y exclusivo y se implementará una técnica de autentificación adecuada que verifique la identidad del usuario.
- Se establecerá que las claves de acceso tengan un mínimo de 8 caracteres y deban combinar mayúsculas, minúsculas, números y símbolos y que sean diferentes para cada recurso o aplicación.
- Red WIFI de la empresa:
- Se cambiará el usuario y la clave de paso de acceso a la configuración del punto de acceso establecidas por defecto por el proveedor de la red.
- Se modificará, y cambiará regularmente, la llave de paso de acceso a la red WIFI que viene configurada de fábrica en el punto de acceso.
- Se utilizará como mínimo WPA2 con cifrado AES y WPS deshabilitado en las comunicaciones por WIFI.
- Teletrabajo y uso de dispositivos móviles:
- El trabajador cambiará el usuario y la clave de paso de acceso a la configuración del router personal establecidas por defecto por el proveedor de la red.
- Se evitará el uso de redes WIFI públicas abiertas o poco seguras y, cuando sea necesario utilizarlas se hará uso de una Red Privada Virtual o VPN (Virtual Private Network) o bien se utilizará la propia conexión 3G/4G del móvil.
- Los dispositivos y software utilizado estarán siempre actualizados.
- Los dispositivos utilizados dispondrán de un sistema contra software malicioso de características comparables al de la empresa.
- Si se utilizan aplicaciones de intercambio de archivos en la nube, se procurará evitar un intercambio real de archivos y se almacenarán y tratarán los archivos directamente en la nube.
- Los dispositivos móviles se gestionarán mediante un programa específico de gestión o MDM (Mobile Device Management) para administrarlos y monitorizarlos.
- Los dispositivos móviles dispondrán de sistema de cifrado mediante llaves de paso de acceso.
- En los dispositivos móviles que lo permitan, se activarán las funcionalidades de localización de terminales, bloqueo remoto del terminal, eliminación remota de datos y seguimiento de la actividad del dispositivo para vigilar las aplicaciones que se ejecutan.
- Se utilizará exclusivamente software del que se disponga de licencia de uso válida.
- Se recomienda el uso de NAP o autenticación de doble factor.
- Almacenado de datos en la nube:
- Los archivos que contengan datos personales almacenados mediante un servicio de nube se cifrarán en origen.
- Seguridad del sitio web corporativo:
- Si el sitio web permite cualquier tipo de interacción con el usuario (valoración de productos, sugerencias, comentarios, reclamaciones, etc.) habrá que incorporar, en caso de ser necesario, un sistema captcha para asegurar que quien interactúa es un humano y no una máquina actuando de forma automática.
- Antes de la publicación de cualquier documento se eliminarán las meta-datos que puedan contener.
- Si el sitio web está basado en un gestor de contenidos (CMS) deberá mantenerlo permanentemente actualizado y también sus complementos. Y en la medida de lo posible se procederá a suscribirse a un servicio de avisos de seguridad del propio fabricante del CMS u otro software equivalente.
- Las llaves de paso que dan acceso al panel de control tendrán un mínimo de 8 caracteres y combinarán mayúsculas, minúsculas, números y símbolos. Las llaves de paso se cambiarán cada 6 meses como mínimo.
- Se modificarán tanto las llaves de paso como los nombres de usuarios que vienen por defecto con el gestor de contenidos.
- Se activará siempre que sea posible la funcionalidad del servidor web de registro de toda interacción con el sitio web. En caso de que la gestión del servidor web sea externa, se deberá incluir en el contrato con el proveedor la activación de esta funcionalidad.
- Se hará copia de seguridad de toda la información y elementos que permitan el funcionamiento de la web, incluidas las bases de datos que pudieran estar asociadas, con una periodicidad semanal y las copias se conservarán un mínimo de 4 semanas y en lugar diferente al del servidor web. En caso de web gestionada por un tercero, se incorporará el servicio de copia de seguridad en el contrato con el proveedor.
- En caso de alojamiento de la web en las propias instalaciones de la organización, se ubicará el servidor web en una subred aislada del resto de servidores internos de la empresa mediante segmentación de la red y accesible desde el exterior (DMZ). Desde el DMZ no puede haber visibilidad de la red interna de la empresa. El tráfico entre la DMZ y la red interna será filtrado mediante un cortafuegos.
- Se monitorizará y supervisará el tráfico de red de la web (recibido y generado) instalando herramientas apropiadas como un sistema de detección de intrusos (IDS) y un cortafuegos de aplicación web (WAF). En caso de gestión de la web por un tercero proveedor, se incluirán estos servicios en el contrato de nivel de servicio.
- Violaciones de seguridad de datos de carácter personal:
- Se dispondrá de un protocolo de actuación o procedimiento oficialmente aprobado relativo a la detección, gestión y notificación de violaciones de seguridad.
- Se dispondrá, cuando sea posible, de medios automatizados o manuales de detección de incidencias de seguridad basados en el análisis.
- Se llevará un registro de incidentes de seguridad.
- Videovigilancia: los sistemas de videovigilancia cumplirán las siguientes condiciones:
- Ubicación de las cámaras: Se ubicarán correctamente señalizadas en: zonas de tránsito, zonas comerciales, zonas de acceso, oficinas, aparcamiento, almacén, salas de trabajo, salas de servidores y zonas de carga y descarga. Como norma general está prohibido grabar vías públicas, áreas de descanso, comedores, vestuarios, ATM con visión directo del teclado, servicios y en general cualquier área publica (no confundir con privada de uso público). Si no fuera posible respetar las áreas públicas se tomarían las medidas para captar las imágenes imprescindibles de esas zonas y se haría constar el motivo razonado al registro del tratamiento.
- Ubicación de monitores: Los monitores donde se visualicen las imágenes de las cámaras se ubicarán en un espacio de acceso restringido de tal manera que no sean accesibles por terceros.
- Conservación de las imágenes: Las imágenes se almacenarán durante el plazo de 21 días con el máximo de un mes natural, excepto las imágenes que hayan de ser aportados a los tribunales y/o a las fuerzas y cuerpos de seguridad que se deberán reservar canceladas.
- Deber de información: Se informará sobre la existencia de las cámaras y grabación de imágenes mediante un distintivo informativo donde, mediante un pictograma y un texto, se detalle el responsable ante el que los interesados podrán ejercer su derecho de acceso. En el propio pictograma se podrá incluir el texto informativo.
- Control laboral: Cuando las cámaras se vayan a utilizar con el fin de control laboral según lo previsto en el artículo 20.3 del Estatuto de los Trabajadores, se informará al trabajador y a sus representantes sobre las medidas de control establecidas por el empresario con indicación expresa de la finalidad de control laboral de las imágenes captadas por las cámaras.
- Derecho de acceso a las imágenes: Para dar cumplimiento al derecho de acceso de los interesados se solicitará una fotografía reciente y el Documento Nacional de Identidad del interesado, Así como el detalle de la fecha y hora a la que se refiere el derecho de acceso.
- No se facilitará al interesado acceso directo a las imágenes de las cámaras en las que se muestren imágenes de terceros. En caso de no ser posible la visualización de las imágenes por el interesado sin mostrar imágenes de terceros, se facilitará un documento al interesado en el que se confirme o niegue la existencia de imágenes del interesado.
- Acceso para central de alarmas a las cámaras: Se recomienda electrónica de red independiente, internet independiente del de la red empresarial y usuario sin derechos excepto los de visualización.
- El software de control tendrá dos usuarios, el de quien controle las cámaras con sólo derechos de acceso y visualización y un usuario con derechos administrativos nombrado por la empresa.
MEDIDAS PARA GARANTIZAR EL EJERCICIO DE LOS DERECHOS DE LOS INTERESADOS
Se dispondrá de un protocolo de actuación o procedimiento oficialmente aprobado relativo a la atención de los derechos los interesados que contemplará, entre otros aspectos:
- Los mecanismos por los que los interesados pueden ejercer sus derechos. En todo caso:
- Articulará un sistema de presentación de las solicitudes de los interesados por medios electrónicos.
- En caso de recepción de una solicitud de ejercicio de derechos, y cuando el medio de presentación utilizado por el interesado no le garantice tener constancia fehaciente del momento y contenido de la solicitud, se procederá a enviarle un acuse de recibo en el plazo más breve posible.
- Se tomarán las medidas adecuadas para comprobar la identidad del interesado.
- Los requisitos y condicionantes de ejercicio de cada uno de los derechos. Se facilitará esta información a los interesados que lo soliciten, así como modelos de formularios de ejercicio de derechos.
- La forma y procedimiento en que se atenderá el ejercicio de los derechos por parte de los interesados.
- Se resolverán las solicitudes dentro del plazo de 1 mes desde su presentación y salvo casos excepcionales.
- Se articulará un sistema interno de tramitación de la solicitud, con la participación de los encargados del tratamiento cuando sea necesario, que garantice la celeridad y adecuación de la respuesta a dar.