Adenda de Tratamiento de Datos

1. Definiciones

Los términos empleados en esta ATD tienen el mismo significado que en el Reglamento General de Protección de Datos del Reino Unido (UK GDPR) y, cuando proceda, en el RGPD de la UE. Cuando esta ATD hace referencia a la «Legislación de Protección de Datos Aplicable», se entiende, según corresponda, el UK GDPR, la Data Protection Act 2018 (Ley de Protección de Datos de 2018), el RGPD de la UE, las Privacy and Electronic Communications Regulations 2003 (Reglamentos sobre Privacidad y Comunicaciones Electrónicas de 2003) y cualquier otra ley o directriz de protección de datos de una autoridad supervisora competente que sea de aplicación al tratamiento de las partes.

2. Objeto y roles

El objeto del tratamiento en virtud de esta ATD son los datos personales enviados a los Servicios por el Cliente o en su nombre, tal como se describe con mayor detalle en el Anexo A. El Cliente es el responsable del tratamiento y Specialist Electronics Ltd es el encargado del tratamiento de dichos datos personales. Cuando Specialist Electronics Ltd trate datos personales para sus propios fines (por ejemplo, análisis internos, prevención del fraude o cumplimiento de obligaciones legales como el mantenimiento de registros AML/KYC), Specialist Electronics Ltd actúa como responsable del tratamiento y será de aplicación la Política de Privacidad.

3. Obligaciones del encargado

Nosotros:

• Trataremos los datos personales únicamente siguiendo las instrucciones documentadas del Cliente, incluso en lo que respecta a las transferencias a un tercer país, salvo que la ley nos obligue a ello (en cuyo caso informaremos al Cliente de dicho requisito legal antes del tratamiento, salvo que la ley prohíba tal información por razones de interés público).
• Garantizaremos que las personas autorizadas para tratar datos personales se hayan comprometido con la confidencialidad o estén sujetas a una obligación legal de confidencialidad adecuada.
• Adoptaremos todas las medidas requeridas en virtud del artículo 32 del UK/EU GDPR, tal como se detalla en el Anexo B.
• Respetaremos las condiciones para recurrir a subencargados del tratamiento establecidas en la cláusula 6.
• Teniendo en cuenta la naturaleza del tratamiento, asistiremos al Cliente mediante medidas técnicas y organizativas adecuadas, en la medida en que sea posible, para que pueda cumplir su obligación de atender las solicitudes de los interesados que ejerciten sus derechos en virtud de la Legislación de Protección de Datos Aplicable.
• Asistiremos al Cliente para garantizar el cumplimiento de sus obligaciones en virtud de los artículos 32 a 36 del UK/EU GDPR, teniendo en cuenta la naturaleza del tratamiento y la información de que disponemos.
• A elección del Cliente, suprimiremos o devolveremos al Cliente todos los datos personales una vez concluida la prestación de los servicios, y eliminaremos las copias existentes, salvo que la Legislación de Protección de Datos Aplicable exija su conservación.
• Pondremos a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de esta ATD, y permitiremos y contribuiremos a las auditorías, incluidas las inspecciones, realizadas por el Cliente o por otro auditor designado por él (con sujeción a las condiciones de la cláusula 8).

4. Obligaciones del Cliente

El Cliente garantiza que ha proporcionado todos los avisos requeridos y, cuando proceda, ha obtenido todos los consentimientos necesarios de los interesados para permitir nuestro tratamiento de sus datos personales en virtud del acuerdo y de esta ATD. El Cliente es responsable de la exactitud de los datos personales que envía, de garantizar que sus instrucciones cumplen la Legislación de Protección de Datos Aplicable y de evaluar la licitud de cualquier comunicación de datos personales a Specialist Electronics Ltd en el marco de esta ATD.

5. Seguridad

Implantaremos y mantendremos las medidas técnicas y organizativas establecidas en el Anexo B. Podremos actualizar dichas medidas periódicamente, siempre que el nivel de seguridad no se reduzca de manera sustancial.

6. Subencargados

7. Transferencias internacionales

Cuando el tratamiento de datos personales en virtud de esta ATD implique una transferencia de datos personales fuera del Reino Unido o del Espacio Económico Europeo a un país que no haya sido objeto de una decisión de adecuación, las partes acuerdan quedar vinculadas por el UK International Data Transfer Agreement (Acuerdo Internacional de Transferencia de Datos del Reino Unido) o por las Cláusulas Contractuales Tipo de la UE (Módulo Dos: Responsable a Encargado) (las «CCT»), complementadas según sea necesario por el Addendum del Reino Unido a las CCT. Las CCT se incorporan por referencia a esta ATD. En caso de conflicto entre esta ATD y las CCT, prevalecerán las CCT.

8. Auditorías

A solicitud del Cliente y no más de una vez por año natural (salvo que sea necesario tras una violación de datos personales), pondremos a disposición la información razonablemente necesaria para demostrar nuestro cumplimiento de esta ATD, incluyendo la respuesta a un cuestionario de auditoría por escrito y la comunicación de los resultados de certificaciones y auditorías relevantes de terceros (como ISO 27001 o SOC 2, cuando se dispongan). Cualquier auditoría in situ se llevará a cabo a cargo del Cliente, por un auditor tercero independiente razonablemente aceptable para Specialist Electronics Ltd, con un preaviso mínimo de 30 días, durante el horario normal de trabajo y de una forma que no interfiera de manera irrazonable con nuestras operaciones ni exponga los datos personales de otros clientes.

9. Violación de datos personales

Notificaremos al Cliente sin dilación indebida (y en cualquier caso en un plazo de 72 horas) tras tener conocimiento de una violación de datos personales que afecte a los datos personales del Cliente. La notificación describirá, en la medida en que esté disponible en ese momento, la naturaleza de la violación (incluidas las categorías y el número aproximado de interesados y registros afectados), facilitará el punto de contacto para obtener más información, describirá las consecuencias probables y describirá las medidas adoptadas o propuestas para hacer frente a la violación y mitigar sus efectos adversos.

10. Solicitudes de los interesados

Si un interesado se dirige directamente a nosotros con una solicitud para ejercer sus derechos en virtud de la Legislación de Protección de Datos Aplicable en relación con los datos personales que tratamos por cuenta del Cliente, informaremos al interesado de que debe dirigirse directamente al Cliente y (cuando sea compatible con nuestras obligaciones legales) remitiremos la solicitud al Cliente. Asistiremos al Cliente en la respuesta a dichas solicitudes mediante medidas técnicas y organizativas adecuadas, teniendo en cuenta la naturaleza del tratamiento.

11. Devolución o supresión

Al término del acuerdo subyacente y, a elección del Cliente notificada por escrito en un plazo de 30 días desde la finalización, devolveremos o suprimiremos los datos personales del Cliente, incluidas todas las copias, salvo que la legislación aplicable exija su conservación continuada. Cuando los datos personales sean conservados por razones legales, seguiremos aplicando esta ATD a los mismos.

12. Responsabilidad

La responsabilidad de cada parte en virtud de esta ATD estará sujeta a las limitaciones de responsabilidad establecidas en el acuerdo subyacente, salvo que la Legislación de Protección de Datos Aplicable disponga otra cosa.

13. Orden de prelación

En caso de conflicto entre esta ATD y el acuerdo subyacente, prevalecerá esta ATD en la medida del conflicto, salvo que las CCT dispongan expresamente otra cosa.

Anexo A — Descripción del tratamiento

Objeto

Prestación de los Servicios al Cliente según lo establecido en el acuerdo subyacente.

Duración

Durante el plazo del acuerdo más cualquier período durante el cual conservemos datos personales de conformidad con esta ATD o la legislación aplicable.

Naturaleza y finalidad

Alojamiento, tratamiento, almacenamiento, transmisión y copia de seguridad de datos personales en relación con los Servicios; autenticación de usuarios; realización, cumplimiento y soporte de pedidos; análisis; seguridad.

Categorías de interesados

Los usuarios finales del Cliente (habitualmente personas físicas que compran al Cliente a través de los Servicios), el personal del Cliente y sus contactos autorizados, y cualquier otro individuo cuyos datos personales el Cliente envíe a los Servicios.

Categorías de datos personales

Datos de contacto (nombre, correo electrónico, teléfono, dirección), datos de cuenta, datos de pedidos, metadatos de pago, contenido de comunicaciones, datos de verificación de identidad cuando proceda, datos de dispositivo y de conexión, telemetría de seguridad.

Categorías especiales

Imágenes de documentos de identidad que pueden contener datos biométricos; información sobre nacionalidad que puede aparecer en los documentos de identidad.

Anexo B — Medidas técnicas y organizativas

• Cifrado: TLS 1.2 o superior para los datos en tránsito; AES-256 para los datos en reposo en almacenamiento en la nube; cifrado a nivel de columna para los campos de alta sensibilidad cuando proceda.
• Gestión de identidad y acceso: identificadores de usuario únicos; controles de acceso basados en roles con privilegio mínimo; autenticación multifactor obligatoria para las cuentas administrativas.
• Segregación: documentos de identidad almacenados en almacenamiento de objetos cifrado, aislado de la base de datos de la aplicación; entornos separados para desarrollo, pruebas y producción.
• Registro y supervisión: registros de auditoría estructurados para eventos sensibles en materia de seguridad; alertas sobre patrones anómalos; conservación de registros con acceso restringido.
• Gestión de vulnerabilidades: análisis de vulnerabilidades en dependencias; análisis periódico de infraestructuras; cadencia de aplicación de parches documentada con SLA más cortos para vulnerabilidades críticas.
• Respuesta a incidentes: plan de respuesta a incidentes documentado; guardia de disponibilidad; manuales de notificación de brechas alineados con esta ATD.
• Copias de seguridad: copias de seguridad cifradas periódicas; procedimientos de restauración probados; acceso restringido a los soportes de copia de seguridad.
• Personal: compromisos de confidencialidad en el momento de la contratación; formación anual en seguridad; revocación de accesos al término de la relación laboral.
• Gestión de proveedores: diligencia debida antes de incorporar encargados del tratamiento; acuerdos de tratamiento por escrito que cumplen el artículo 28 del UK GDPR; reevaluación periódica.
• Continuidad de negocio: infraestructura redundante; objetivos de recuperación documentados; ejercicios de continuidad periódicos.