Política de privacidad del módulo Sensitive Data

  1. POLÍTICA DE DATOS PERSONALES MÓDULO “SENSITIVE DATA”
    1. Tratamiento de los datos personales derivados de la prestación del servicio. Para la prestación del Servicio, Tiralíneas podría tener acceso, por razones de provisión de servicio de aplicaciones (ASP/SaaS), a datos de carácter personal que sean responsabilidad del Cliente. A los efectos de esta cláusula se entenderá por: (i) Responsable del tratamiento o «responsable»: al Cliente, persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; (ii) Encargado del tratamiento o «encargado»: Tiralíneas, la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.
    2. El contexto de funcionamiento operativo del Módulo “Data Sensitive” conlleva la prestación de un servicio SaaS proporcionado por Tiralíneas. En virtud de esta circunstancia, se determina que el Cliente actúa como el Responsable del Tratamiento de los datos personales que, eventualmente, se manejen, recolecten, procesen o almacenen en el curso de la utilización del citado Módulo y/o por la prestación del Servicio. Como tal, el Cliente asume la plena responsabilidad de garantizar que el tratamiento de los datos personales se realice en estricta conformidad con las disposiciones establecidas en el RGPD y demás legislación aplicable en materia de protección de datos.
    3. El Cliente se compromete a establecer y mantener todas las medidas necesarias, tanto técnicas como organizativas, para proteger los derechos y libertades de los titulares de los datos, asegurando que cualquier tratamiento de datos personales se lleve a cabo con el debido respeto a la legalidad, lealtad y transparencia. Esto incluye, pero no se limita a, la obligación de informar a los titulares de los datos acerca de la recopilación y uso de sus datos personales, obtener el consentimiento apropiado cuando sea necesario, y responder a las solicitudes de acceso, rectificación, supresión o limitación del tratamiento de los datos personales.
    4. Tiralíneas, en su rol de Encargado del Tratamiento, actuará únicamente bajo las instrucciones documentadas del Cliente, asegurando que todas las personas autorizadas para procesar los datos personales se comprometan a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria.
    5. Ubicación física de los servidores: Con carácter general, Tiralíneas declara que sus servidores, sistemas e instalaciones, se encuentran dentro de la Unión Europea y realiza todos los tratamientos de datos conforme al Reglamento General de Protección de Datos, ofreciendo garantías suficientes para aplicar las medidas técnicas y organizativas apropiadas. En particular, el almacenamiento (base de datos) y el tratamiento de los datos (aplicación de software) sincronizados por el Módulo “Sensitive Data”., se realiza en el CPD de Azure conocido como "France Central", sito en la región de París.
    6. ACUERDO DE ENCARGADO DE TRATAMIENTO DE DATOS. En aplicación de lo previsto en la normativa vigente de protección de datos personales, en esta cláusula se establecen las condiciones que habilitan a Tiralíneas para los tratamientos de datos personales que se deriven de la utilización del Servicio por el Cliente, conforme a lo previsto en el Reglamento UE 2016/679 delimitando las obligaciones del Responsable y del Encargado de tratamiento. Este Acuerdo forma parte integral de los Términos y Condiciones de Uso del Módulo “Sensitive Data” proporcionado por Tiralíneas.
      • Objeto del encargo del tratamiento: El Responsable autoriza al Encargado a tratar por su cuenta los datos de carácter personal que éste incorpore a los recursos asignados por el Encargado en virtud de la utilización del Servicio por el Cliente de Registro. Las operaciones de tratamiento autorizadas serán las estrictamente necesarias para alcanzar la finalidad de la prestación del Servicio contratado produciéndose, en todo caso, tratamientos de alojamiento y transmisión en una red de telecomunicaciones de datos, no realizando ningún otro tratamiento como puede ser la recogida, estructuración, difusión etc., de los datos de carácter personal del Responsable.
      • Identificación de la información afectada: El Responsable realiza, en los recursos asignados por el Encargado para la prestación del servicio, el/los tratamiento/s de datos y categorías de datos personales que se derivan del funcionamiento del Servicio contratado y siempre según sus propias instrucciones, siendo el único responsable en determinar las finalidades, los objetivos y los medios de los tratamientos efectuados.
      • En cualquier caso, el Responsable declara y garantiza al Encargado que, si mediante el Servicio se procesan datos personales contemplados en el Artículo 9, apartado 1, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo —es decir, datos que revelen origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos para identificación única, datos de salud, o datos sobre vida sexual u orientación sexual de una persona física—, dicho tratamiento está legitimado conforme a las condiciones estipuladas en el apartado 2 del mismo Artículo 9 del Reglamento (UE) 2016/679, eximiendo expresamente al Encargado de cualquier responsabilidad derivada del incumplimiento de esta garantía.
      • Duración del encargo de tratamiento: La duración del presente encargo de tratamiento será la misma que la de la prestación del Servicio del que este encargo es parte inseparable, de forma que, una vez finalizado aquél, este se considerará igualmente finalizado. Una vez finalice el presente encargo, el Encargado del tratamiento debe devolver al Responsable o trasmitir a otro encargado que éste designe, los datos personales, y suprimir cualquier copia que esté en su poder. No obstante, podrá mantener bloqueados los datos para atender posibles responsabilidades administrativas o jurisdiccionales.
      • Obligaciones del Responsable (Cliente): Además de las establecidas con carácter general en la normativa de protección de datos, corresponden al Responsable, en relación con este encargo de tratamiento, las siguientes: (i) Comprobar que las condiciones técnicas y de seguridad del servicio de alojamiento ofertadas por el Encargado se adecúan a la naturaleza, contexto, alcance y/o fines de los datos o tratamientos de los que es Responsable, conforme a sus propias evaluaciones de impacto en materia de protección de datos y/o análisis de riesgos realizados. (ii) Facilitar al Encargado el acceso a los datos a tratar o entregárselos del modo que resulte apropiado para la correcta prestación del servicio. (iii) Informar, conforme a la normativa de protección de datos, a los interesados cuyos datos sean objeto de tratamiento y haber obtenido de los mismos lícitamente su consentimiento expreso o contar con motivos legítimos y acreditables para el mismo. (iv) Disponer de mecanismos sencillos para que los interesados puedan ejercitar sus derechos conforme a la normativa de protección de datos. (v) Contar con evaluaciones de riesgo, con un registro de los tratamientos y evaluaciones de impacto si fuera necesario por la naturaleza de los datos tratados. (vi) Realizar las consultas previas que corresponda. (vii) Nombrar un delegado de protección de datos en los casos que fuera obligatorio y comunicar su identidad al Encargado. (viii) Comunicar las violaciones de la seguridad de los datos a la Autoridad de Protección de Datos y/o los interesados, cuando proceda.
      • Obligaciones del Encargado (Tiralíneas). Respecto de las instrucciones de uso y comunicación de los datos, el Encargado se obliga a: (i) Utilizar los datos personales objeto de tratamiento sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios.(iii) Tratar los datos de acuerdo con las instrucciones del Responsable, derivadas del contrato de servicios de Registro de nombres de dominio vinculado. Si el Encargado considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, el encargado informará inmediatamente al responsable. (iv) No comunicar los datos a terceros, salvo que cuente con la autorización expresa del Responsable, en los supuestos legalmente admisibles.
      • El Encargado puede comunicar los datos a otros encargados de tratamiento del mismo Responsable de acuerdo con sus instrucciones. En este caso, el Responsable identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación. Si el Encargado debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, informará al Responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público.
      • Respecto de las medidas de seguridad aplicables al tratamiento, el Encargado tiene implantadas las siguientes medidas: (i) La verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. (ii) Garantizar que cualquier persona que actúa bajo su responsabilidad y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones del Responsable. El personal bajo la responsabilidad del Encargado recibe formación periódica en materia de confidencialidad y protección de datos, conoce sus obligaciones en la materia y las consecuencias del incumplimiento de la ley. (iii) Guardar secreto profesional respecto de los datos de carácter personal cuyo acceso se regula por las presentes cláusulas, obligándose a no comunicarlos, ni siquiera para su conservación, a otras personas, obligación que subsistirá aún después de finalizar sus relaciones con el Responsable. (iv) Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable (cuando proceda), que contiene: (a) El nombre y los datos de contacto del encargado y de cada responsable por cuenta del cual actúe el encargado y, en su caso, del representante del responsable o del encargado y del delegado de protección de datos. (b) Las categorías de tratamientos efectuados por cuenta de cada responsable. (c) En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49 apartado 1, párrafo segundo del RGPD, la documentación de garantías adecuadas.
      • En todo caso, se entenderá que el Responsable, con carácter previo a la formalización del presente encargo de tratamiento, ha valorado y aceptado como conforme a los fines y medios del tratamiento, el nivel de medidas de seguridad implantado por el Encargado en su organización e instalaciones.
      • Notificación de violaciones de la seguridad de los datos: Conforme al Reglamento (UE) 2016/679, corresponde al Responsable del tratamiento comunicar las violaciones de la seguridad de los datos a la Autoridad de Protección de Datos y/o los interesados. El Encargado notificará al Responsable del tratamiento, sin dilación indebida, y, a través del correo electrónico de contacto, las violaciones de la seguridad de los datos personales de las que tenga conocimiento que se produzcan en las instalaciones, medios y recursos técnicos asignados a la gestión y mantenimiento del servicio alojamiento el Servicio, junto con toda la información relevante para la documentación y comunicación de la incidencia por parte del Responsable a la autoridad de control competente y/o a los interesados. No será necesaria esta notificación por parte del Encargado cuando sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.
      • En los casos que sea precisa esta notificación se facilitará, si se dispone de ella, la siguiente información: (i) Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados. (ii) El nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información. (iii) Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales. Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
      • Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.
      • Colaboración con el Responsable. El Encargado colaborará de buena fe con el Responsable al (i) Dar apoyo al responsable del fichero en la realización de las evaluaciones de impacto relativas a la protección de datos, cuando proceda. (ii) Apoyar al Responsable en la realización de las consultas previas a la autoridad de control, cuando proceda. Poner disposición del Responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el responsable u otro auditor autorizado por él. (iii) Comunicar la identidad y datos de contacto del Delegado de Protección de Datos al Responsable. (iv) Asistir al Responsable del tratamiento en la respuesta al ejercicio de los derechos que asisten al interesado: Acceso, rectificación, supresión, oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles).
      • Cuando las personas afectadas ejerzan estos derechos ante el Encargado, éste debe comunicarlo por correo electrónico a la dirección del Responsable. La comunicación debe hacerse de forma inmediata y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud.
      • SUBCONTRATACIÓN: El Encargado declara, y el Cliente acepta expresamente esta circunstancia, que tiene subcontratada la capacidad de procesamiento y el almacenamiento de los datos sincronizados a través del Módulo “Sensitive Data”. en el CPD de Azure conocido como "France Central", sito en la región de París.