Condiciones Generales de Contratación Nube

1.    Términos de suscripción

DEFINICIONES

En estos términos y condiciones generales del contrato (los «Términos y Condiciones»), los términos y expresiones siguientes, cuando se empleen con mayúscula inicial, tendrán el significado definido en esta sección.

El significado de los términos aquí definidos en singular será aplicable al plural y viceversa.

Credenciales de Acceso: sistema de autenticación a través del cual se permite que el Cliente acceda y use el Programa para disfrutar de los Servicios en la Nube, tales como el código de identificación, las claves de acceso proporcionadas por Software DELSOL o alguna empresa del Grupo TeamSystem al Cliente y asociadas a cada Usuario, así como los autentificadores o tokens de identificación (si los hubiera).

Contrato: Términos y Condiciones, anexos pertinentes, la Suscripción, documentación técnica (si la hubiera) entregada al Cliente, formularios de suscripción (si los hubiera) e instrucciones en línea para el uso de los productos del Programa.

Infraestructura en la Nube: sistema de la Nube, propiedad de TeamSystem, de cualquier empresa del Grupo TeamSystem, de terceros, el cual aloje los Programas.

Servicios en la Nube: servicios prestados por Software DELSOL o cualquier empresa del Grupo TeamSystem al Cliente, a través del acceso y uso por parte de este último de los Programas.

Conectividad: conexión al Centro de Datos que realiza el Cliente al conectarse a una red de telecomunicaciones o a internet.

Sociedades Controladas: empresas controladas directa o indirectamente por el Cliente y posiblemente enumeradas en la Suscripción.

Cliente: sociedad especificada en la Suscripción.

Centro de Datos: centros de servicio que alojan los servidores interconectados, pertenecientes a Software DELSOL, a una de las sociedades del Grupo TeamSystem o a terceros, en los que reside la Infraestructura en la Nube.

Normativa de Protección de Datos: RGPD y cualquier otra ley y/o reglamento de desarrollo (si existe) que sea aplicable en virtud del RGPD o que de otra forma sea aplicable con respecto a la Protección de los Datos Personales, incluida cualquier resolución emitida por una autoridad de control que tenga competencia con respecto al objeto de estos Términos y Condiciones, y que sea, y siga siendo, vinculante y efectiva.

Cuotas: importe especificado en la Suscripción que debe pagar el Cliente a Software DELSOL o, si se especifica en la Suscripción, al Distribuidor de Software DELSOL como contraprestación por el suministro de Servicios en la Nube.

RGPD: se refiere al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.

Derechos de Propiedad Intelectual e Industrial: todos los Derechos de Propiedad Intelectual e Industrial y/o Industrial, registrados o no, en su totalidad o en parte, en cualquier parte del mundo, incluyendo, con carácter enunciativo y no limitativo, las marcas y nombres comerciales, las patentes, los modelos de utilidad, los diseños y modelos, los nombres de dominio, los conocimientos técnicos, las obras de autoría cubiertas por derechos de propiedad intelectual, incluyendo los relativos a bases de datos y programas de ordenador (incluyendo, con carácter enunciativo y no limitativo, las obras derivadas, el código fuente, el código de objeto y las interfaces).

Licencia: tiene el significado especificado en el párrafo 2.5.

MDPA: Acuerdo Marco de Tratamiento de Datos y el DPA - Condiciones Especiales, que se adjuntan a este Contrato.

Producto Nuevo: tiene el significado especificado en el epígrafe (b) del párrafo 12.1.

Aviso de Retirada: tiene el significado especificado en el epígrafe (b) del párrafo 12.1.

Producto Obsoleto: tiene el significado especificado en el párrafo 12.1.

Suscripción: se refiere al formulario o cupón, en formato electrónico o en papel, cumplimentado y aceptado (en línea o de otro modo) por el Cliente, y que incluye ciertos términos y condiciones aplicables a los Servicios en la Nube especificados en la misma Suscripción. Por la presente se acuerda entre Software DELSOL y el Cliente que, en caso de conflicto entre las condiciones generales especificadas en la Suscripción y las disposiciones de los Términos y Condiciones, prevalecerán los términos y condiciones de la Suscripción. 

Partes: Software DELSOL y el Cliente conjuntamente.

Socio: persona(s)/entidad(es) que será seleccionada (también de entre los Distribuidores de Software DELSOL) por Software DELSOL y que colaborará con esta última para proporcionar Servicios en la Nube y/o Asistencia.

Software DELSOL: SOFTWARE DEL SOL, S.A.U., sociedad de nacionalidad española, con domicilio en Parque Científico y Tecnológico GEOLIT, Edificio Software del Sol, CP 23620, Mengíbar (Jaén), inscrita en el Registro Mercantil de Jaén y con CIF número A-11682879

SaaS: Programa como un servicio (por sus siglas en inglés: «software-as-a-service»).

Programa: Programas de ordenador especificado en la Suscripción propiedad de Reviso, de Software DELSOL, de cualquier empresa perteneciente al Grupo TeamSystem o de cualquier tercero, alojados en la Infraestructura en la Nube, actualizados y/o modificados mediante las Actualizaciones y Mejoras.

Sublicencia: tiene el significado especificado en el párrafo 2.9.

Asistencia: Asistencia técnica destinada a sugerir al Cliente, a petición de este y cuando sea posible, las soluciones técnicas para garantizar el correcto disfrute de los Servicios en la Nube. 

Grupo TeamSystem: TeamSystem S.p.A. (NIF 01035310414) y todas las sociedades que son controladas, ya sea directa o indirectamente, por TeamSystem S.p.A.o son filiales de Reviso, como Software DELSOL y Reviso.

Reviso: Reviso International APS (n.º 37098477 del Registro Mercantil de Dinamarca), con domicilio social en el n.º 3, Ewaldsgade (2200) Copenhague N, Dinamarca (que es propietaria de todos y cada uno de los Derechos de Propiedad Intelectual e Industrial sobre el Programa DELSOL REVISO).

Distribuidor de Software DELSOL: persona/entidad con derecho a llevar a cabo la comercialización de los Servicios en la Nube basada en un acuerdo válido firmado Software DELSOL.

Actualizaciones y Mejoras: todas las actualizaciones, complementos, ajustes, mejoras, optimizaciones y, en general, todas las modificaciones realizadas a los productos del Programa por Reviso, Software DELSOL, y/o por cualquier tercero propietario. Las Actualizaciones y Mejoras no incluirán las modificaciones que puedan resultar necesarias debido a cualquier enmienda, complemento, derogación o promulgación de una ley, decreto, reglamento, directiva, orden o decisión de la UE o de cualquier país que, a discreción de Reviso / Software DELSOL, afecten significativamente al funcionamiento y/o los costes de Reviso / Software DELSOL y/o la estructura del Programa o impliquen modificaciones sustanciales o estructurales de las leyes vigentes en la fecha del Contrato.

Usuario: todos y cada uno de los empleados y/o colaboradores del Cliente, debidamente autorizados por este último, a utilizar las Credenciales de Acceso para acceder y utilizar el Programa necesario para disfrutar de los Servicios en la Nube.

1. Ámbito y aceptación de los Términos y Condiciones

1.1. Estos Términos y Condiciones regirán el uso, por parte del Cliente, del Programa, así como la disposición, por parte de Software DELSOL, de los Servicios en la Nube especificados en la Suscripción, mediante la posibilidad de que el Cliente acceda y utilice cada uno de los Programas a los que se refiere la Suscripción. Estos Términos y Condiciones regirán también todas las Actualizaciones y Mejoras, salvo disposición en contrario.

1.2. El Cliente acepta estos Términos y Condiciones al marcar la casilla «He leído y acepto las condiciones generales de la suscripción» en la Suscripción, o al utilizar el Programa o los Servicios en la Nube, y se aplican entre Software DELSOL y el Cliente. Si el Cliente es una persona jurídica, estos Términos y Condiciones se aceptan en nombre del Cliente. Se trata de un servicio únicamente empresarial y no hay intención de establecer un contrato con ningún consumidor. Si usted es consumidor y desea utilizar el Programa, contáctenos en info@sdelsol.com.

1.3. Las empresas de contabilidad, asesorías contables y fiscales, las agencias de gestión y otras empresas similares también pueden aceptar estos Términos y Condiciones en nombre del Cliente, por ejemplo, en lo relativo a nuevas suscripciones, y, al hacerlo, declaran que tienen la autoridad necesaria para ello y que el Cliente ha sido debidamente informado de estos Términos y Condiciones antes de su aceptación.

2. Servicios en la Nube

2.1. En virtud de este Contrato, en contraprestación al pago puntual de las Cuotas, Software DELSOL proporcionará al Cliente, quien acepta, los Servicios en la Nube especificados en la Suscripción. El Cliente tendrá derecho a disfrutar de los Servicios en la Nube exclusivamente mediante el acceso y uso del Programa en modo SaaS (Software como servicio).

2.2. El Programa permite al Cliente administrar diversas funciones para la contabilidad y/o la gestión empresarial. En concreto, el Programa permite al Cliente disponer de los Servicios en la Nube específicos asociados a cada paquete y habilitar las características adicionales que componen el Programa («Módulos»), tal y como se identifican y describen concretamente en la sección correspondiente de la página web dedicada al Programa en el sitio de internet de Software DELSOL («Sitio»). Hay diferentes paquetes («Paquetes»), cada uno de los cuales tiene un contenido y un valor económico diferente, cuyas características específicas también se exponen y describen en el Sitio. Para poder utilizar el Programa, es imprescindible la activación de, al menos, uno de los Paquetes.

Una vez activado el Paquete seleccionado, el Cliente podrá solicitar la activación de otros Módulos no incluidos en el Paquete originalmente adquirido, entendiéndose que la activación de cada Módulo adicional implicará el pago de Cuotas suplementarias según lo especificado en el Sitio.

2.3. A través del Programa, el Cliente puede reducir los servicios suscritos y eliminar los Módulos adicionales cada uno de ellos con efecto a partir del último día del mes natural vigente (a menos que se indique lo contrario en la descripción o en las condiciones generales aplicables al servicio o módulo específico).

2.4. Según el paquete seleccionado, el número de apuntes contables que se pueden registrar a través del Programa DELSOL REVISO («Transacciones») puede estar limitado. Las transacciones que excedan (si las hubiera) del número máximo de transacciones permitidas por cada Paquete implicarán el pago de Cuotas suplementarias según se especifica en el Sitio.

2.5. Al suscribir el Contrato, Software DELSOL otorga al Cliente, quien acepta, una licencia no exclusiva, intransferible y de carácter no perpetuo para utilizar el Programa, limitada a los Módulos activados y para un número indefinido de Usuarios (la «Licencia»), sin perjuicio del derecho del Cliente a utilizar el Programa en forma de SaaS a través de las Credenciales de Acceso proporcionadas por Software DELSOL, o el Distribuidor de Software DELSOL, al Cliente.

2.6. Independientemente del Paquete adquirido, el Cliente podría tener derecho a utilizar el Paquete seleccionado durante un período de prueba gratuito de duración especificada en el Sitio («Período de Prueba Gratuito»). El Cliente que tenga la intención de seguir utilizando el Programa una vez finalizado el Período de Prueba Gratuito deberá solicitar la activación de un Paquete de acuerdo con las disposiciones del párrafo anterior 2.2.

2.7. El Programa está provisto de API específicas que permiten intercambiar datos e información entre el Programa y las aplicaciones de terceros («Programa Relacionado»). Sin perjuicio de las limitaciones de la responsabilidad de Reviso, que se han establecido en el artículo 14, Reviso y las empresas del Grupo Reviso, en la medida máxima permitida por la ley, no se hacen responsables de los daños y perjuicios y/o pérdidas directas o indirectas, de cualquier tipo o gravedad, que puedan sufrir el Cliente o terceros debido a un mal funcionamiento del Programa y/o a un tratamiento inadecuado derivado de (i) errores y/o mal funcionamiento durante el tratamiento y/o la transmisión de datos e información que se deban a cada Programa Relacionado y/o (ii) al uso inadecuado de la API por parte del Cliente.

2.8. El Cliente puede, a través de una función del Programa especialmente diseñada, permitir a terceros que, a su vez, también sean Usuarios del Programa («Terceros Autorizados»), incluidos —a título enunciativo y no limitativo— las personas inscritas en el registro de contables y expertos en contabilidad; acceder al perfil del Cliente para buscar datos y documentos almacenados en él y/o utilizar el Programa en nombre del Cliente. El Cliente reconoce y asume ser el único responsable de las autorizaciones concedidas a Terceros Autorizados para utilizar el Programa en nombre del Cliente. Por lo tanto, sin perjuicio de las limitaciones de la responsabilidad de Software DELSOL que se han establecido en el artículo 14, Software DELSOL y las empresas del Grupo TeamSystem, en la medida máxima permitida por la ley, no serán responsables de los daños y perjuicios y/o pérdidas directas o indirectas de cualquier naturaleza o alcance que puedan sufrir el Cliente o Terceros por el uso o la falta de uso del Programa por parte de cualquier Tercero Autorizado que incumpla el Contrato, las leyes vigentes y/o las instrucciones del Cliente.

2.9. Sin perjuicio de lo dispuesto en el párrafo 2.5, a cambio del pago de las Cuotas suplementarias especificadas individualmente en la Suscripción o que puedan determinarse en contratos escritos por separado, Software DELSOL se compromete a prestar los Servicios en la Nube especificados en la Suscripción, también a favor de las Sociedades Controladas en virtud de la concesión por parte del Cliente a las Sociedades Controladas de una Sublicencia para el uso del Programa (la «Sublicencia»). Cada Sociedad Controlada tendrá derecho a disfrutar de los Servicios en la Nube exclusivamente a través del acceso y uso del correspondiente producto del Programa en modo SaaS.

3. Obligaciones del Cliente

3.1. En virtud de este Contrato, el Cliente se compromete a:

(a) Pagar a Software DELSOL o, si así se especifica en la Suscripción, al Distribuidor de Software DELSOL, las Cuotas pagaderas de acuerdo con el artículo 7;

(b) Obtener, de fuentes independientes, el equipamiento de hardware y software, y la Conectividad adecuada, con el fin de poder acceder al Centro de Datos y usar los productos del Programa necesarios para disfrutar de los Servicios en la Nube.

(c) Ajustar de manera independiente las funciones de sus propios sistemas informáticos y de la Conectividad, en caso de modificaciones, sustituciones y correcciones (si las hubiera) que se podrían implementar en los productos del Programa y en los Servicios en la Nube tras el momento de formalización del Contrato;

(d) Usar los productos del Programa y/o los Servicios en la Nube cumpliendo con la Licencia y exclusivamente para los fines previstos;

(e) Facilitar a Software DELSOL toda la información necesaria para que el propio Software DELSOL pueda formalizar sus obligaciones según el presente Contrato, así como avisar de inmediato en caso de cualquier modificación pertinente, por ejemplo, modificaciones relativas a los Usuarios y/o Sociedades Controladas;

(f) Encargarse de que todos los Usuarios revisen estos Términos y Condiciones;

(g) Encargarse de que todas las Sociedades Controladas revisen y acepten estos Términos y Condiciones.

3.2. El Cliente asegurará que el Programa no se usa de ninguna manera contraria al buen nombre, reputación y/o buena voluntad de Software DELSOL o que incumpla cualquier ley o reglamento aplicable.

3.3. Sin perjuicio de lo establecido en el párrafo 2.8 anterior, únicamente el Cliente tiene derecho a usar el Programa, y el Programa no se puede usar para, o en nombre de, ningún tercero o para tratar datos o prestar servicios a terceros que no sean el Cliente. El Cliente acepta asumir toda la responsabilidad de terceros (tales como los Usuarios y las Sociedades Controladas) que tengan acceso al Programa por cuenta del Cliente o que usen los datos de registro del Cliente.

4. Credenciales de Acceso

4.1. El Cliente y/o todo Usuario y/o toda Sociedad Controlada accederá al Programa y disfrutará de los Servicios en la Nube tras la activación por medio de las Credenciales de Acceso suministradas por Software DELSOL y/o una empresa del Grupo TeamSystem.

4.2. El Cliente sabe que en caso de que otras personas averigüen las Credenciales de Acceso, aquellas tendrán la posibilidad de usar el Programa y disfrutar de los Servicios en la Nube sin autorización, así como tener acceso sin autorización a cualquier información ahí almacenada. El Cliente se considerará responsable en exclusiva por cualquier uso (ya sea autorizado o no) del Programa que se efectúe mediante sus Credenciales de Acceso.

4.3. El Cliente deberá mantener, y encargarse de que todo Usuario y/o Sociedad Controlada mantiene, las Credenciales de Acceso en la más estricta confidencialidad y con el mayor cuidado, y por la presente se compromete a no transferirlas ni permitir que las usen terceros con excepción de que dichos terceros estén autorizados expresamente a obtener acceso o usar las Credenciales de Acceso.

4.4. En ningún caso se considerará a Software DELSOL y/o a ningún Socio de este responsable de daños y perjuicios algunos, ya sean fortuitos o consecuentes, que se puedan ocasionar al Cliente, a cualquier Usuario y/o terceros como consecuencia del incumplimiento de cualquier disposición establecida en este artículo 4 por parte del Cliente y/o de cualesquiera Usuarios.

5. Asistencia

5.1. En virtud de este Contrato, como contraprestación por el pago puntual de las Cuotas, Software DELSOL se compromete a poner a disposición del Cliente un servicio de asistencia, en cumplimiento con los horarios y tipos especificados en el sitio web de Software DELSOL.

5.2. El Cliente sabe y acepta que el servicio de asistencia se proporcionará solo a distancia, aceptándose expresamente que no se llevará a cabo ningún servicio en los sistemas informáticos del Cliente y/o de las Sociedades Controladas.

6. Actualizaciones y Mejoras

6.1. El Cliente sabe y acepta que, en caso de que Reviso o Software DELSOL —a su propia discreción— lo considere necesario, las Actualizaciones y Mejoras pueden: (i) causar la alteración o eliminación de ciertas funciones de los productos del Programa o (ii) consistir en el reemplazo o migración (total o parcial) de los productos del Programa y los Servicios en la Nube pertinentes.

6.2. El Cliente exime a Reviso / Software DELSOL de toda responsabilidad en relación con cualesquiera daños y perjuicios derivados de cualesquiera Actualizaciones y Mejoras implementadas, salvo en caso de negligencia grave o dolo por parte de Reviso / Software DELSOL.

6.3. Las Actualizaciones y Mejoras no incluirán las modificaciones, ajustes, mejoras, ampliaciones, y, en general, todas las modificaciones que sean necesarias debidas a cualquier enmienda, complemento, revocación o promulgación de una ley, decreto, reglamento, directiva, orden o resolución de la UE o de cualquier país que, a discreción exclusiva de Reviso o Software DELSOL, afecten significativamente al funcionamiento y/o los costes de Reviso o Software DELSOL y/o la estructura del Programa o impliquen modificaciones sustanciales o estructurales de la legislación vigente en la fecha del Contrato.

7. Cuotas

7.1. En consideración al suministro de Servicios en la Nube, el Cliente se compromete a pagar las Cuotas especificadas en la Suscripción, de acuerdo con las formalidades y los términos aquí detallados, a Software DELSOL o, si se especifica en la Suscripción, al Distribuidor de Software DELSOL. Si no se establece explícitamente en la Suscripción, las Cuotas se pagarán en un plazo de 8 (ocho) días desde la recepción de la factura emitida por Software DELSOL o, en caso de que se indique de otra manera en la Suscripción, al Distribuidor de Software DELSOL pertinente.

7.2. El primer periodo de facturación comprende desde la fecha de Suscripción hasta el último día del mes, trimestre o año natural. Posteriormente, la facturación es mensual, trimestral o anual por adelantado, salvo que se establezca de otra manera en la Suscripción o en un acuerdo separado.

7.3. Todas las Cuotas se especificarán con importes que no incluyen el Impuesto sobre el Valor Añadido (IVA) o cualesquiera otros cargos pagaderos en virtud de la legislación aplicable.

7.4. El Cliente reconoce y acepta que el Programa y los Servicios en la Nube pertinentes están sujetos, por su propia naturaleza, a un desarrollo constante, tanto desde el punto de vista tecnológico como del legal; de ahí, la necesidad de las actividades de actualización continuas y caras, o –en ciertos casos— la sustitución, para garantizar el funcionamiento. Por consiguiente, Software DELSOL tendrá derecho a aumentar las Cuotas, de acuerdo con las normas estipuladas más adelante en el art. 15.

7.5. Sin perjuicio de las disposiciones del párrafo anterior 7.4, si surgen circunstancias imprevistas durante el término del Contrato que supongan una carga mayor a Software DELSOL con respecto al suministro de los Servicios en la Nube, Software DELSOL tendrá el derecho de recibir una remuneración excepcional, que se determinará de manera equitativa, o se ajustarán de manera unilateral las Cuotas según las normas establecidas más adelante en el art. 15.

7.6. En caso de impago o demora en el pago de cualquier importe pagadero conforme a este Contrato, el Cliente perderá automáticamente el beneficio del vencimiento, y en los importes impagados por el Cliente se aplicará un interés por demora según el porcentaje establecido en la legislación aplicable. En este caso, sin perjuicio de las disposiciones establecidas en los párrafos 19.1 y 19.2 más adelante, Software DELSOL también tendrá derecho a (i) suspender la ejecución de otros contratos existentes (si los hubiera) suscritos con el Cliente (tales como el derecho a impedir el uso de la licencia del programa de dichos contratos y suspender el suministro cualquier servicio relacionado) y/o (ii) resolver en cualquier momento tales contratos.

7.7. Si las Cuotas no se pagan puntualmente, el recordatorio 1 se enviará 7 días después del vencimiento de la factura sin aplicar una tarifa por recordatorio. Si la Cuota continúa impagada, el recordatorio 2 se enviará 7 días más tarde y se aplicará una tarifa por recordatorio de 5€.

7.8. Por la presente, el Cliente renuncia al derecho de retrasar el cumplimiento de las obligaciones de pago contempladas en este art. 7 previa presentación de alegatos y defensas.

7.9. El Cliente es consciente de que la relación contractual entre Reviso y el Distribuidor de Reviso en lo que se refiere a la comercialización de los Servicios en la Nube puede finalizar durante el periodo de este Contrato y acepta que en tal caso:

(a) Reviso informará al Cliente de la terminación de la relación contractual entre Reviso y el Distribuidor Software DELSOL;

(b) En la fecha de recepción del aviso según la letra anterior (a) el Cliente tendrá el deber de pagar las Cuotas a Reviso directamente, cumpliendo con los términos y formalidades especificadas en dicho aviso;

(c) Todos y cada uno de los contratos existentes entre el Cliente y el Distribuidor de Software DELSOL que estén relacionados con los Servicios en la Nube se cederán a Reviso por parte del Distribuidor de Software DELSOL, según la legislación aplicable;

(d) Por la presente, el Cliente consiente la cesión mencionada en la letra anterior (c).

8. Confidencialidad

8.1. La comunicación y/o revelación así como el uso en cualquier modalidad, de manera directa o a través de otra persona o entidad, de cualquier noticia, información y documentos que las Partes conozcan, o que tengan en posesión que estén en relación de cualquier manera con la ejecución de este Contrato, y que Software DELSOL haya clasificado como «confidencial» o «reservado» está prohibido estrictamente, ya sea un secreto industrial o no, y con independencia de si atañe a las Partes o alguno de sus clientes y/o proveedores, salvo que dicha comunicación y/o revelación:

(a) Se necesite expresamente para el cumplimiento del presente Contrato;

(b) Haya sido explícitamente autorizada por escrito por la otra Parte;

(c) Sea imprescindible en virtud de una disposición legal y/o por orden de las autoridades administrativas y/o judiciales que así lo hagan las Partes contratantes.

8.2. Excepto la información y/o documentos contemplados en el párrafo 8.1 que constituyen secreto conforme a la legislación aplicable, la prohibición establecida en el anterior párrafo 8.1 permanecerá en vigor sin reservas, incluso tras la terminación de este Contrato, con independencia del motivo de la misma, y durante un periodo que ambas Partes por la presente declaran apropiada, de 3 (tres) años, salvo que dicha información sea de dominio público sin mediar incumplimiento por parte de las Partes.

9. Socios

9.1. Al cumplir sus obligaciones conforme al presente Contrato, Software DELSOL tendrá derecho, a su exclusiva discreción, de valerse de la cooperación técnica, organizativa y comercial de sus Socios; por tanto, podrá encomendarles que realicen las actividades enumeradas en estos Términos y Condiciones, ya sean todas o una parte, y/o en la Suscripción.

10. Derechos de Propiedad Intelectual e Industrial

10.1. Todos los Derechos de Propiedad Intelectual e Industrial, tales como los derechos relativos a la explotación económica, sobre la Infraestructura en la Nube, el Programa, los Servicios en la Nube, la documentación pertinente, las Actualizaciones y Mejoras y sobre el material preliminar relacionado y las obras derivadas continuarán siendo, total o parcialmente y en todo el mundo, propiedad exclusiva de Reviso, Software DELSOL y/o de cualquier tercero que pueda ser propietario de los mismos y que podrá ser especificado en la Suscripción, o en la documentación técnica de ayuda.

10.2. El Cliente se compromete (comprometiendo así mismo a cada Usuario y Sociedades Controladas) a usar el Programa, así como las Actualizaciones y Mejoras estrictamente en la medida que lo permita la Licencia (o Sublicencia, si se trata de Sociedades Controladas). Por lo tanto, con carácter enunciativo y no limitativo, y, en cualquier caso, sin transgredir los límites establecidos por imperativo legal, el Cliente no tiene permitido:

(a) Eludir las restricciones técnicas y medidas de protección tecnológica existentes en el Programa y/o en las Actualizaciones y Mejoras, incluido el sistema de autenticación;

(b) Efectuar ingeniería inversa, descompilar o desmontar el Programa y/o las Actualizaciones y Mejoras;

(c) Hacer copias o permitir que otros copien el Programa y/o las Actualizaciones y Mejoras;

(d) Hacer público el Programa y/o las Actualizaciones y Mejoras o permitir a otros que lo hagan;

(e) Usar el Programa y/o las Actualizaciones y Mejoras fuera de la Infraestructura en la Nube;

(f) Comercializar el Programa y/o las Actualizaciones y Mejoras de cualquier manera y en cualquier formato que sea;

10.3. Asimismo, todos los derechos en marcas comerciales, logotipos, nombres comerciales, nombres de dominios y otros signos distintivos asociados de alguna forma con la Infraestructura en la Nube, el Programa, las Actualizaciones y Mejoras y/o los Servicios en la Nube, continuarán perteneciendo a Reviso y/o Software DELSOL (y/o, si procede a cualquier tercero que las posea, tal y como se menciona en el párrafo anterior 10.1). Por consiguiente, el Cliente no tiene permitido usar tales derechos de ninguna manera, salvo con consentimiento previo por escrito del Grupo Reviso, Software DELSOL y/o cualquier tercero propietario.

11. Declaraciones del Cliente y su Responsabilidad

11.1. Al aceptar estos Términos y Condiciones, el Cliente declara y garantiza que tiene capacidad legal para formalizar y ejecutar el presente Contrato —de manera efectiva y en su totalidad—.

11.2. El Cliente se compromete a que cada Usuario y Sociedad Controlada, tales como los empleados y/o colaboradores pertinentes, cumplan las disposiciones de este Contrato. El Cliente es el único responsable de los actos de dichas personas/entidades, y por la presente declara y garantiza que la normativa vigente, incluyendo en el ámbito del derecho privado y tributario, se cumplirá.

11.3. Está estrictamente prohibido usar el Programa, los Servicios en la Nube y/o las Actualizaciones y Mejoras con el fin de depositar, mantener, enviar, publicar, transmitir y/o compartir datos, aplicaciones y documentos electrónicos que:

(a) Infrinjan, o entren en conflicto con, los Derechos de Propiedad Intelectual e Industrial de Reviso, Software DELSOL y/o terceros;

(b) Incluyan contenidos discriminatorios, difamatorios, amenazantes o falsos testimonios;

(c) Incluyan pornografía, pornografía infantil, material indecente o material del tipo que sea que entre en conflicto con la moral pública;

(d) Incluyan virus, gusanos, troyanos o cualquier otro componente informático malicioso o disruptivo;

(e) Supongan o constituyan: correo basura (spam), suplantación de identidad (phishing) o actividades similares;

(f) Esté de algún modo en conflicto con las disposiciones aplicables de la legislación y/o reglamentos.

11.4. Reviso y Software DELSOL se reservan el derecho a suspender el suministro de los Servicios en la Nube y el derecho de cualquier Cliente Usuario y/o Sociedad Controlada a acceder al Programa, o a impedir el acceso a los datos ahí almacenados, en el caso de que descubran que se hayan incumplido cualesquiera de las disposiciones contempladas en este artículo y/o si un órgano judicial o administrativo lo solicita expresamente basándose en las disposiciones de aplicación. En tal caso, Reviso y/o Software DELSOL informarán al Cliente sobre los motivos de la suspensión, sin perjuicio del derecho a finalizar el Contrato conforme al artículo 19.

11.5. El Cliente declara que es consciente del hecho de que el Programa, las Actualizaciones y Mejoras y/o los Servicios en la Nube pueden incluir y/o necesitar el uso de ciertos programas de código abierto y por la presente se compromete, también en nombre de todo Usuario y toda Sociedad Controlada, a cumplir todos los términos y condiciones aplicables a dichos programas. En caso necesario, tales condiciones se revelarían por parte de Reviso o Software DELSOL al Cliente si fuera oportuno.

12. Retirada y reemplazo

12.1. El Cliente es consciente de que el Programa, los Servicios en la Nube, además del entorno en que funcionan, están sometidos, por su propia naturaleza, a un desarrollo tecnológico constante. Por lo tanto, el Programa y el entorno se pueden quedar obsoletos y, en ciertos casos, podría ser conveniente retirarlos del mercado y, posiblemente reemplazarlos con soluciones tecnológicas nuevas. Así pues, Reviso y Software DELSOL pueden decidir en cualquier momento durante el término de este Contrato, a su exclusivo criterio, retirar los Servicios en la Nube y/o el Programa pertinente del mercado (reemplazándolos, en ciertos casos con soluciones tecnológicas nuevas, si las hubiera). En tales casos:

(a) Reviso o Software DELSOL informarán al Cliente, con un aviso por escrito en un plazo no inferior a 6 meses (incluso por correo electrónico), sobre su deseo de retirar del mercado uno o más Servicios en la Nube y/o el Programa pertinente (a cada uno de los cuales se referirá como un «Producto Obsoleto»).

(b) El aviso en la letra (a) anterior (el «Aviso de Retirada») constará de una descripción del Servicio en la Nube y/o el Programa nuevos (si los hubiera, en adelante denominados «Producto Nuevo») que reemplazarán el Producto Obsoleto. Por la presente se reconoce que dicho Producto Nuevo puede basarse en tecnologías diferentes a aquellas del Producto Obsoleto.

(c) En caso de que el Producto Obsoleto no sea reemplazado por un Producto Nuevo, el Contrato se extinguirá con respecto al Producto Obsoleto en un plazo que el último día de un plazo de seis meses desde la fecha especificada por Reviso o Software DELSOL en el Aviso de Retirada; en esta fecha, el Producto Obsoleto dejará de suministrarse y el Cliente tendrá derecho a recibir un reembolso prorrateado de las Cuotas pagadas, si las hubiera, por el periodo en que el Cliente no ha podido disfrutar del Producto Obsoleto.

(d) En caso de que el Producto Obsoleto sea reemplazado, en sustitución, por un Producto Nuevo, el Cliente tendrá derecho, en un plazo de 15 días desde la fecha del Aviso de Retirada, a resolver el Contrato únicamente respecto del Producto Obsoleto, en un plazo que se computará desde el último día del sexto mes tras la fecha del Aviso de Retirada (que es la fecha en la que el Producto Obsoleto dejará de suministrarse). En caso de no resolver el Contrato, el Contrato permanecerá vigente (aunque según lo que se especifica expresamente en el Aviso de Retirada) con respecto al Producto Nuevo y cualquier referencia al Producto Obsoleto se considerará dirigida al Producto Nuevo.

13. Indemnización

13.1. El Cliente se compromete a eximir de toda responsabilidad a Reviso y Software DELSOL por cualesquiera daños y perjuicios, reclamaciones, responsabilidades y/o cargos, ya sean directos, indirectos, fortuitos o consecuenciales, e incluyendo las costas judiciales sufridas, o en que incurra Reviso o Software DELSOL, debido al incumplimiento por parte del Cliente y/o de cualquier Usuario y/o Sociedades Controladas, de las obligaciones establecidas en este Contrato y, en particular, de las disposiciones establecidas en el artículo 1 (aceptación de los Términos y Condiciones), artículo 3 (Obligaciones del Cliente), artículo 4 (Credenciales de Acceso), artículo 8 (Confidencialidad), artículo 10 (Derechos de Propiedad Intelectual e Industrial), artículo 11 (Declaraciones del Cliente y su Responsabilidad), artículo 12 (Retirada y reemplazo), artículo 23 (Cesión del Contrato).

14. Responsabilidad de Reviso y Software DELSOL

14.1. Reviso / Software DELSOL no declara ni garantiza, de manera tácita o explícita, en lo que se refiere a los Servicios en la Nube, el Programa y/o las Actualizaciones y Mejoras, que sean adecuadas para las necesidades particulares del Cliente o o que no haya errores o sobre la disponibilidad de cualesquiera funciones que no estén mencionadas expresamente en las especificaciones técnicas o en la documentación pertinente.

14.2. Reviso / Software DELSOL no asume la responsabilidad de cualesquiera daños y perjuicios, ya sean directos, indirectos, fortuitos o consecuenciales, independientemente del tipo o gravedad, ocasionados al Cliente y/o a cualquier Usuario y/o Sociedad Controlada y/o a un tercero, a causa del uso de los Servicios en la Nube, el producto del Programa y/o las Actualizaciones y Mejoras que no cumplan las disposiciones del presente Contrato y/o las leyes vigentes.

14.3. Reviso / Software DELSOL no se hace responsable de ningún mal funcionamiento y/o indisponibilidad de los Servicios en la Nube, del Programa y/o de las Actualizaciones o Mejoras derivadas de la Conectividad inadecuada para las características técnicas.

14.4. Reviso / Software DELSOL no asume la responsabilidad de cualesquiera daños y perjuicios, independientemente del tipo o gravedad, derivados del tratamiento de datos que se lleva a cabo en los Servicios en la Nube, en los productos del Programa y/o en las Actualizaciones y Mejoras, por parte del Cliente y/o a cualquier Usuario y/o Sociedad Controlada, quienes continúan obligados a verificar en cualquier momento que dicho tratamiento es correcto.

14.5. Salvo disposición legal y/o por mandato judicial en contrario, Software DELSOL no estará obligado a verificar o controlar de ninguna manera los datos y contenidos guardados en la Infraestructura en la Nube mediante los Servicios en la Nube por parte del Cliente, y/o cualquier Usuario y/o cualquier Sociedad Controlada. Por consiguiente, Reviso / Software DELSOL no asumirán la responsabilidad de cualesquiera daños y perjuicios y/o pérdidas, ya sean directas, indirectas, fortuitas o consecuenciales, independientemente de su naturaleza, que se deriven de errores y/u omisiones de dichos datos y contenidos y/o en relación con la naturaleza y/o funciones pertinentes.

14.6. En ninguna circunstancia, en la medida permitida por la ley, Reviso / Software DELSOL asumirán la responsabilidad de cualesquiera daños y perjuicios, costes, pérdidas y/o gastos, ya sean directos, indirectos, fortuitos o consecuenciales, ocasionados al Cliente y/o a cualquier tercero debido a ciberataques, actividades de piratería informática y más en general, por terceros que obtengan el acceso ilegal o sin autorización al Centro de Datos, la Infraestructura en la Nube, el Programa y, en general, a los sistemas informáticos del Cliente y/o Software DELSOL que supongan, a título enunciativo pero no limitativo, alguna de las siguientes situaciones: (i) imposibilidad de utilizar los Servicios en la Nube; (ii) pérdida de datos que son propiedad del Cliente —o independiente de cómo estos estén a su disposición—, y (iii) daños al hardware y/o software y/o a la Conectividad del Cliente.

14.7. En ningún caso, salvo en aquellos en los que haya mediado dolo o negligencia grave, la responsabilidad de Reviso / Software DELSOL excederá las Cuotas anuales pagadas por el Cliente conforme a este Contrato durante el año en el cual se produzca el suceso del que se derive la responsabilidad. Reviso / Software DELSOL no asumirá la responsabilidad de cualesquiera daños y perjuicios derivados del lucro cesante, pérdida de ingresos o daños y perjuicios indirectos, pérdida o corrupción de datos, cese de la producción, pérdida de oportunidades de negocio o cualquier otro beneficio de cualquier tipo, ni de penalizaciones a abonar, retrasos u otras responsabilidades del Cliente y/o de las Sociedades Controladas para con terceros.

14.8. Nada en este Acuerdo excluye o limita la responsabilidad de cualquiera de las partes por fraude, tergiversación fraudulenta o muerte o lesiones personales causadas por su negligencia.

15. Derecho de modificación del Contrato por parte de Reviso y/o Software DELSOL

15.1. A la luz del gran nivel de complejidad técnica y legislativa del ámbito operativo de Reviso y Software DELSOL, así como de los productos y servicios ofrecidos por este último, tomando en consideración que este ámbito está sujeto al desarrollo constante, tanto desde el punto de vista tecnológico como legislativo, y las necesidades cambiantes continuas del mercado, y por último, considerando que, en consecuencia de lo antedicho, Reviso y Software DELSOL tienen la obligación de reajustar periódicamente su propia organización y/o estructura técnica y funcional de sus productos y servicios (también en beneficio de los clientes), el Cliente por la presente reconoce y acepta que este Contrato puede ser modificado por Reviso y/o Software DELSOL en cualquier momento con aviso previo por escrito (que también puede enviarse por correo electrónico a través de programas informáticos) al Cliente. Las modificaciones pueden comprender: (i) modificaciones relacionadas con los reajustes de la estructura técnica y funcional de los productos y servicios de Software DELSOL; (ii) modificaciones relacionadas con el cambio de la estructura organizativa de Software DELSOL; (iii) modificaciones relacionadas con las cuotas pagaderas por el Cliente en vista de los reajustes y modificaciones incluidas en los puntos (i) y (ii) anteriores.

15.2. En tal caso, el Cliente tendrá derecho de resolución del Contrato mediante aviso por escrito a Reviso y/o Software DELSOL por correo certificado en un plazo de 15 días desde la recepción de la notificación de Reviso o Software DELSOL contemplada en el párrafo anterior.

15.3. Si no ejerce su derecho a resolver el Contrato conforme a los trámites y según los términos especificados anteriormente, se considerará que el Cliente es consciente, y ha aceptado, las modificaciones del Contrato, que entrarán en vigor y pasarán a ser vinculantes de manera definitiva.

16. Suspensión y cancelación

16.1. Reviso y Software DELSOL realizarán todos los esfuerzos razonables para garantizar la más amplia disponibilidad de los Servicios en la Nube. No obstante, el Cliente reconoce que Reviso y Software DELSOL tendrán el derecho de suspender y/o cancelar el suministro de los Servicios en la Nube, previo aviso por escrito al Cliente, en caso de que surja la necesidad de mantenimiento habitual o extraordinario del Centro de Datos, la Infraestructura en la Nube y/o los productos del Programa. En tales casos, Reviso y Software DELSOL se comprometen a restaurar la disponibilidad de los Servicios con la menor demora posible.

16.2. Asimismo, sin perjuicio de las cláusulas del párrafo 11.4 y 19.2, Reviso y Software DELSOL se reservan el derecho a suspender o cancelar el suministro de los Servicios en la Nube en caso de:

(a) Impago total o parcial, o demora en el pago, de las Cuotas; o

(b) Motivos de seguridad y/o confidencialidad; o

(c) El incumplimiento de las obligaciones legales relativas al uso de los servicios informáticos e internet por parte del Cliente y/o cualquier Usuario y/o Sociedad Controlada.

(d) Problemas que afecten al Centro de Datos y/o a la Infraestructura en la Nube y/o al Programa que no puedan ser subsanados sin suspender el acceso o sin reemplazarlos, total o parcialmente, y/o migrarlos, mediando previo aviso por escrito al Cliente de los motivos de la suspensión y del momento oportuno para subsanarlos.

17. Duración

17.1. Salvo que se especifique de otro modo en la Suscripción, el Contrato durará 365 (trescientos sesenta y cinco) días desde la firma de la Suscripción y se renovará automáticamente por más periodos sucesivos de la misma duración, a menos que el Cliente resuelva dicho Contrato mediante previo aviso a Software DELSOL o —siempre que proceda— al Distribuidor Software DELSOL. Dicha resolución se efectuará mediante la función pertinente del programa o, si no se especifica de otro modo, mediante correo certificado antes del vencimiento del plazo vigente. Dicha notificación impedirá la renovación del Contrato desde el momento de la primera fecha de vencimiento tras la notificación, sin perjuicio de la obligación de pagar las Cuotas para el periodo comprendido entre la fecha del aviso de resolución del contrato y la fecha de terminación del mismo.

18. Resolución del contrato

18.1. Después de la contratación de la Suscripción, los nuevos Clientes tienen derecho a cancelar gratuitamente la Suscripción durante un periodo de 14 días desde la firma de la Suscripción.

18.2. Software DELSOL tendrá el derecho a resolver el presente Contrato en cualquier momento previa notificación al Cliente de al menos 6 (seis) meses.

18.3. En caso de que Software DELSOL ejerza su derecho de resolución del contrato por cualquier causa objetiva que no sea ninguna de las indicadas en el párrafo 18.4 a continuación, el Cliente tendrá derecho al reembolso prorrateado de las Cuotas pagaderas, y efectivamente pagadas, por los Servicios en la Nube y correspondiente al periodo en que no se hayan disfrutado.

18.4. Asimismo, Software DELSOL se reserva el derecho a resolver el presente Contrato con notificación por escrito de efecto inmediato también en el caso de incumplimiento por parte del Cliente de cualquier otra obligación contractual que pudiera estar en vigor entre el mismo Cliente y Software DELSOL (o cualquier sociedad del Grupo TeamSystem distribuidor autorizado de Software DELSOL) en caso de que tal incumplimiento represente una causa objetiva para la terminación de dicho contrato.

19. Terminación por causas objetivas y suspensión del suministro de los Servicios en la Nube

19.1. Sin perjuicio de su derecho a recibir una compensación por todos los daños y perjuicios ocasionados, Software DELSOL tendrá derecho a resolver de inmediato este Contrato con solo notificarlo previamente por escrito, si el Cliente y/o cualquier Sociedad Controlada y/o Usuarios incumplen al menos una (o más) de las disposiciones siguientes: 1.2 (Servicio empresarial); artículo 2 (Servicios en la Nube); artículo 3 (Obligaciones del Cliente), párrafo 4.3 (Credenciales de Acceso), artículo 7 (Cuotas), artículo 8 (Confidencialidad), artículo 10 (Derechos de Propiedad Intelectual e Industrial), artículo 11 (Declaraciones del Cliente y su Responsabilidad), artículo 12 (Retirada y reemplazo), artículo 13 (Indemnización) y artículo 23 (Cesión del Contrato).

19.2. Sin perjuicio de la obligación del Cliente de pagar la Cuotas, Software DELSOL se reserva el derecho de suspender el suministro de los Servicios en la Nube prestados al Cliente y/o cualquier Sociedad Controlada en caso de (i) incumplimiento por parte del Cliente y/o cualquier Usuario y/o Sociedad Controlada de cualesquiera obligaciones contempladas en el párrafo 19.1 (en caso de impago de las Cuotas en el plazo correspondiente, los Servicios en la Nube se suspenderán tras el recordatorio 2, tal como figura en el artículo 7.7); (ii) de incumplimiento por parte del Cliente de cualquier obligación estipulada en cualquier otro contrato que pudiera estar en vigor entre el mismo Cliente y Software DELSOL (o cualquier sociedad del Grupo TeamSystem o distribuidor oficial de Software DELSOL) si tal incumplimiento representa una causa objetiva para la terminación de dicho contrato. En tal caso, Software DELSOL informará al Cliente sobre su intención de suspender el suministro de los Servicios en la Nube y ofrecerá al Cliente subsanar, si fuera posible, el incumplimiento dentro de un periodo especificado. Será así sin perjuicio de la obligación del Cliente de abonar los importes pagaderos según el Contrato incluso en caso de que el suministro de los Servicios en la Nube se suspenda.

20. Consecuencias de la Terminación - Devoluciones

20.1. En caso de terminación del Contrato, con independencia de la causa, Software DELSOL cesará de manera definitiva e inmediata de suministrar los Servicios en la Nube al Cliente y a cualquier Sociedad Controlada y/o Usuario.

20.2. Sin perjuicio de las disposiciones del párrafo 20.1, durante un período de 60 (sesenta) días posteriores tras la terminación del Contrato, con independencia de la causa, el Cliente tendrá permiso, a petición especial de este, para descargar una copia de sus propios datos, documentos y/o contenidos mediante las funciones del Programa.

20.3. Salvo acuerdo en contrario entre las Partes, a la terminación del Contrato, Reviso y Software DELSOL tendrán derecho a eliminar permanentemente los datos del Cliente.

20.4. Las siguientes disposiciones continuarán en vigor tras la terminación del Contrato, con independencia de la causa: artículo 1 (Ámbito de los Términos y Condiciones), artículo 7 (Cuotas), artículo 8 (Confidencialidad), artículo 10 (Derechos de Propiedad Intelectual e Industrial), artículo 11 (Declaraciones del Cliente y su Responsabilidad), artículo 12 (Retirada y reemplazo), artículo 13 (Indemnización), artículo 14 (Responsabilidad de Reviso y Software DELSOL), artículo 21 (Notificaciones), artículo 22 (Derecho aplicable y fuero exclusivo), artículo 24 (Contrato completo), artículo 25 (Renuncia a derechos y relación), artículo 26 (Divisibilidad).

21. Notificaciones

21.1. Todas las notificaciones para el Cliente en relación con el Contrato se transmitirán a la dirección de correo electrónico que dicho Cliente haya especificado en la Suscripción. Será responsabilidad del Cliente informar de cualquier cambio en la dirección de correo electrónico que el Cliente haya especificado para la recepción de todas las notificaciones. El Cliente acepta que las facturas y recordatorios enviados por correo electrónico a dicha dirección se considerarán entregados cuando Reviso los envíe.

22. Derecho aplicable y fuero exclusivo

22.1. Estas condiciones generales, cuando se refieran al programa DELSOL REVISO, se interpretarán conforme a la legislación de Italia y cada parte se somete por la presente irrevocablemente a la jurisdicción exclusiva de los tribunales de Milán (Italia), sin aplicación de disposiciones sobre conflictos de leyes.

22.2. Estas condiciones generales, cuando se refieran al programa DELSOL 10, se interpretarán conforme a la legislación de España y cada parte se somete por la presente irrevocablemente a la jurisdicción exclusiva de los tribunales de Jaén (España), sin aplicación de disposiciones sobre conflictos de leyes.

 

23. Cesión del Contrato

23.1. Salvo consentimiento previo por escrito de Software DELSOL, el Cliente no tendrá permiso para ceder total o parcialmente el presente Contrato.

23.2. Por la presente, el Cliente acepta que en caso de que el Distribuidor Software DELSOL haya cesado, debido al motivo que sea, de ser un distribuidor autorizado de Software DELSOL, dicho Distribuidor de Software DELSOL podrá ceder cualquier acuerdo relativo al suministro de Servicios en la Nube existente entre el Cliente y el mismo Distribuidor de Software DELSOL a Reviso o Software DELSOL o a cualquier otro Distribuidor de Software DELSOL designado por esta sociedad.

24. Contrato completo

24.1. Todos los Contratos y acuerdos previos entre las partes que se refieran al objeto de este Contrato, si los hubiera, por la presente se considerarán cancelados y revocados, comprendidos en el presente Contrato y reemplazados por las cláusulas del mismo.

25. Renuncia a derechos y relación entre las Partes

25.1. El hecho de no ejercer, si así fuera, los derechos otorgados a cada una de las Partes conforme a este Contrato no se considerará que manifieste una renuncia final en relación con dichos derechos; por consiguiente, no impedirá que cualquiera de las dos Partes solicite, en cualquier momento, ejercicio estricto y puntual de dicho derecho.

25.2. Nada en el presente Contrato deberá considerarse que genera una sociedad o empresa conjunta o contrato laboral de ningún tipo entre las Partes ni se considerará que otorgue autoridad alguna que no se estipule expresamente en el Contrato o que se cree una agencia entre las Partes.

26. Divisibilidad

26.1. En el caso de que alguna de estas estipulaciones de estos Términos y Condiciones se invalide o pierda validez o no se pueda hacer cumplir, no afectará a la validez y cumplimiento de las otras estipulaciones que sean, tanto desde el punto de vista legal como funcional, independientes de la primera.

27. Tratamiento de los Datos Personales

27.1. Por la presente, las partes reconocen y aceptan que tanto la ejecución de este contrato como de los Servicios en la Nube pueden implicar la recopilación y tratamiento de los datos personales del Cliente por parte de Reviso y/o Software DELSOL (o de terceros relacionados con el Cliente, tales como agentes, representantes legales, etc.) para los fines que son necesarios para la ejecución del Contrato y en cumplimiento con la Normativa de Protección de Datos Personales y otras disposiciones legales aplicables (si las hubiera). Reviso y Software DELSOL, en su calidad de responsable con respecto a las actividades del tratamiento necesarias para la ejecución del Contrato, se compromete a tratar estos datos de conformidad con el aviso informativo publicado por Software DELSOL conforme al art. 13 del RGPD, que está disponible en el sitio web de la empresa.

27.2. Sin embargo, las Partes por la presente acuerdan que Reviso / Software DELSOL tendrá derecho en cualquier caso a tratar de manera agregada y seudonimizada, los datos que estén disponibles para Reviso / Software DELSOL en relación con el uso por parte del Cliente de los Servicios en la Nube para fines de investigación estadística, incluidos cuando su objetivo sea la mejora de los servicios prestados en virtud de este Contrato. 

27.3. Las Partes reconocen por la presente que el Cliente es el responsable en el sentido especificado en el RGPD en lo que se refiere a los datos personales de terceros («Datos Personales de Terceros») tratado por Reviso / Software DELSOL para proporcionar Servicios en la Nube. En relación con estos datos, Reviso / Software DELSOL actuará como encargado conforme al art. 28 del RGPD («Encargado del Tratamiento») y las Partes por la presente acuerdan cumplir las disposiciones del MDPA anexo a este Contrato (Apéndice A). Si el Cliente actúa, por su parte, como el encargado en nombre de un tercero en calidad de responsable, el Cliente por la presente garantiza que dicha responsabilidad ha sido autorizada por Reviso / Software DELSOL para actuar como sub-encargado del tratamiento («Sub-encargado del Tratamiento») conforme a los art. 28 y 29 del RGPD.

27.4. En referencia a los Datos Personales de Terceros, el Cliente continuará siendo totalmente responsable respecto al cumplimiento de todas las obligaciones para con terceros que están establecidas en el RGPD y en la Normativa de Protección de Datos aplicable al Cliente en calidad de responsable. En ningún caso Reviso / Software DELSOL será responsable en modo alguno de las consecuencias que se deriven del incumplimiento de las obligaciones correspondientes al Cliente en calidad de responsable, salvo —y solo en esa medida— que tales consecuencias se deriven de un incumplimiento de Reviso / Software DELSOL de sus obligaciones en calidad de encargado o un incumplimiento del MDPA.

28. Validez

28.1. Estos Términos y Condiciones entrarán en vigor el día 21 de junio de 2021 y sustituye a todos los términos y condiciones anteriores.

MDPA - Acuerdo Marco de Tratamiento de Datos (de conformidad con el artículo 28 del Reglamento UE 2016/679)

ENTRE

Este acuerdo para la protección de Datos Personales se celebra entre el Proveedor, como se indica a continuación, y el Cliente, quien acepta el acuerdo. "Proveedor" indica la(s) siguiente(s) entidad(es):

Reviso Soluciones Cloud, S.L., con NIF B87388120, domiciliada en Calle Orense, 62, C.P. 28020, Madrid (España),

Y

la entidad a la que se refiere el Acuerdo como Cliente (en lo sucesivo, el "Cliente"),

en lo sucesivo denominadas colectivamente las "Partes" o individualmente como la "Parte".

CONSIDERANDO QUE:

1. a)           El Cliente ha celebrado un acuerdo (o acuerdos) con el Proveedor (en lo sucesivo, el "Acuerdo").
2. b)           En este "Acuerdo marco de tratamiento de datos" (en adelante, el "MDPA", por sus siglas en inglés), las Partes desean establecer cómo y en qué condiciones el Proveedor tratará los Datos Personales en relación con el Acuerdo y la prestación de los Servicios, así como sus obligaciones relacionadas con dicho tratamiento, incluido el deber del Proveedor como Encargado del Tratamiento en virtud del artículo 28 del Reglamento General sobre Protección de Datos n.º 679, del 27 de abril de 2016 (en adelante, "RGPD").
3. c)            Las características específicas de la actividad de tratamiento con respecto a cada uno de los Servicios se detallan en los "Términos y condiciones especiales para el tratamiento de Datos Personales" que están disponibles en el sitio web: www.Software DELSOL.com/es/gdpr (en lo sucesivo, "DPA - Condiciones Especiales") y se incorporan aquí por esta referencia.

A CONTINUACIÓN, POR LO TANTO, las Partes acuerdan lo siguiente:

1. DEFINICIONES E INTERPRETACIÓN

1.1.        Los considerados anteriormente se incorporan a este MDPA mediante esta referencia. Tal como se utiliza en este MDPA, las siguientes palabras y expresiones tendrán los significados que se indican a continuación:

"Autoridad de Control", se refiere a la autoridad pública independiente establecida por un Estado Miembro con arreglo a lo dispuesto en el artículo 51 del RGPD que resulte competente en cada caso, en España la "Agencia Española de Protección de Datos" o "AEPD".

"Decisión de Adecuación" significa una decisión de la Comisión Europea, basada en el Artículo 45 (3) del RGPD, que evalúa que las leyes de un determinado país aseguran un nivel adecuado de protección, según lo exige la Normativa de Protección de Datos Aplicable.

"LOPDGDD", se refiere a la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales.

"Normativa de Protección de Datos Aplicable" significa el RGPD y cualquier otra implementación legal y/o regulación (si corresponde) que sea aplicable de acuerdo con lo dispuesto por el RGPD o, en cualquier caso, en España con respecto a la normativa relativa a la Protección de Datos Personales, incluyendo, entre otros, la LOPDGDD y cualquier decisión o directriz emitida por una Autoridad de Control que tenga competencia en la materia, que sea y siga siendo vinculante y efectiva (incluidas las obligaciones establecidas en cualquier legislación anterior de protección de datos, en la medida en que sean aplicables y sigan siendo efectivos y vinculantes después del 25 de mayo de 2018).

"Sub-encargado del Tratamiento" significa cualquier subcontratista contratado por el Proveedor para cumplir, en su totalidad o en parte, obligaciones contractuales y que, durante dicho desempeño, puede ser requerido para recopilar, acceder, recibir, almacenar o, de cualquier modo, tratar Datos Personales.

"Dirección de Correo Electrónico" significa la dirección o direcciones de correo electrónico proporcionadas por el Cliente al suscribirse a los Servicios o comunicadas por otros medios oficiales al Proveedor, donde el Cliente desea recibir comunicaciones del Proveedor.

"Usuario Final" significa la persona (en su caso) que se beneficia de los Servicios en última instancia, actuando como Responsable del Tratamiento.

"Instrucciones" significa las Instrucciones escritas dadas por el Responsable del Tratamiento en este MDPA (incluyendo en el DPA - Condiciones Especiales) y, si corresponde, en el Acuerdo.

"Fecha de Entrada en Vigor del MDPA" significa la fecha en que el Cliente celebra este MDPA con el Proveedor.

"Violación de la Seguridad de Datos Personales" significa cualquier Violación de Seguridad que conduzca de manera accidental o ilegal a la destrucción, pérdida, alteración, divulgación no autorizada o acceso a Datos Personales en los sistemas de información operados por el Proveedor o bajo su control.

"Datos Personales" tiene el significado interpretado de acuerdo con la Normativa de Protección de Datos Aplicable e incluye, entre otros, todos los datos proporcionados, almacenados, transmitidos, recibidos o tratados, o creados por el Cliente o el Usuario Final en relación con la prestación de los Servicios, en la medida en que sean tratados por el Proveedor en virtud del Acuerdo. Se incluye una lista de las categorías de Datos Personales en el DPA - Condiciones Especiales.

"Personal del Proveedor" significa los directivos, empleados, consultores y otro personal del Proveedor, pero no el personal de un Sub-encargado del Tratamiento.

"Solicitud" significa una solicitud presentada por un Interesado sobre el acceso, supresión o rectificación en relación con sus Datos Personales o para el ejercicio de otros de sus derechos establecidos en el RGPD.

"Servicio(s)" significa el Servicio o Servicios contemplados en los Acuerdos celebrados ocasionalmente entre el Cliente y el Proveedor.

"Días laborables" significa cada día del calendario que no sea un sábado, domingo o un día festivo en España.

1.2.        Las palabras "incluyendo", "incluso" o "incluido" se interpretarán como si estuvieran acompañadas por la expresión "con carácter enunciativo y no limitativo", de modo que cualquier lista que siga a cualquiera de estas palabras estará compuesta en consecuencia de meros ejemplos y no será exhaustiva.

1.3.        A los efectos de interpretar este MDPA, los términos "Interesado", "Tratamiento", "Responsable del Tratamiento", "Encargado del Tratamiento", "Transferencia" y "Medidas Técnicas y Organizativas Apropiadas" se interpretarán de conformidad con la Normativa de Protección de Datos Aplicable.

2. ROLES DE LAS PARTES

2.1.        Las Partes reconocen y acuerdan que, en relación con el Tratamiento de Datos Personales, el Proveedor actúa como el Encargado del Tratamiento y, como regla general, el Cliente actúa como Responsable del Tratamiento.

2.2.        Si el Cliente está llevando a cabo el tratamiento en nombre de otro Responsable del Tratamiento, el mismo Cliente puede actuar como un Encargado del Tratamiento. En tal caso, el Cliente declara y garantiza que todas las Instrucciones dadas y actividades llevadas a cabo en relación con el Tratamiento de Datos Personales, incluido el nombramiento del Proveedor como un Sub-encargado del Tratamiento, que surjan de la ejecución por parte del Proveedor de este MDPA, han sido autorizadas por el correspondiente Responsable del Tratamiento. El Cliente deberá presentar evidencia al Proveedor, previa solicitud por escrito de este último, sobre lo anterior.

2.3.        En el Tratamiento de Datos Personales, cualquiera de las Partes se compromete a cumplir con sus obligaciones de acuerdo con la Normativa de Protección de Datos Aplicable.

3. TRATAMIENTO DE DATOS PERSONALES

3.1.        Al celebrar este Acuerdo (y en cualquier DPA - Condiciones Especiales), el Cliente confía al Proveedor el Tratamiento de los Datos Personales con el fin de proporcionar los Servicios, tal como se detalla en el Acuerdo y en el DPA - Condiciones Especiales, disponibles a través de un enlace en el siguiente sitio web: www.reviso.com/es/gdpr.

3.2.        El Proveedor solo puede procesar Datos Personales en nombre del Cliente de acuerdo con sus Instrucciones, a menos que así lo requiera la ley de la UE o la ley de un estado miembro de la UE a la que esté sujeto el Proveedor; en tal caso, el Proveedor informará al Cliente de ese requisito legal antes del procesamiento, a menos que la ley prohíba dicha información por motivos importantes de interés público. Si el Cliente hace una solicitud de rectificación a cualquier Instrucción dada inicialmente, el Proveedor examinará la viabilidad de dicha rectificación, y luego acordará con el Cliente cómo gestionar dichas modificaciones y los costes asociados.

3.3.        Si las solicitudes realizadas por el Cliente conducen, en opinión del Proveedor, a la infracción de la Normativa de Protección de Datos Aplicable, el Proveedor quedará liberado de la obligación de llevar a cabo tales Instrucciones, e informará de inmediato al Cliente de esta cuestión. En tal caso, el Cliente puede considerar si rectifica las Instrucciones dadas, o si se dirige a la Autoridad de Control para someter a examen la licitud de dichas Instrucciones.

4. RESTRICCIONES AL USO DE DATOS PERSONALES

4.1.        Al tratar Datos Personales para proporcionar los Servicios, el Proveedor se compromete a que dicho tratamiento se lleve a cabo:

4.1.1.    Solo en la medida y del modo necesarios para prestar los Servicios o para llevar a cabo correctamente sus obligaciones en virtud del Acuerdo y este MDPA, establecidas por la ley, o según se requiera por una Autoridad de Control competente. En este último caso, el Proveedor debe informar al Cliente (a menos que se lo impida la normativa aplicable, con base en un interés público) mediante un aviso a la Dirección de Correo Electrónico.

4.1.2.    De conformidad con las Instrucciones del Cliente.

4.2         El personal del Proveedor que tiene acceso a, o que lleva a cabo el Tratamiento de Datos Personales dispone de las autorizaciones apropiadas, y también ha recibido formación específica, según sea necesario, con respecto a dicho tratamiento. Además, este Personal está obligado a cumplir con las obligaciones de confidencialidad y con el código ético de la compañía, y debe cumplir con las Políticas de Confidencialidad y Protección de Datos Personales que han sido adoptadas por el Proveedor.

5. ACTIVIDADES DE TRATAMIENTO ATRIBUIDAS A TERCEROS

5.1.        En lo que respecta a las actividades de tratamiento encomendadas a los Sub-encargados del Tratamiento, las Partes acuerdan lo siguiente:

5.1.1.    El Cliente acepta expresamente que el Proveedor pueda confiar ciertas operaciones de tratamiento en relación con los Datos Personales a otras compañías pertenecientes al grupo de empresas de TeamSystem y/o a aquellos terceros que están especificados en el DPA - Condiciones Especiales, siempre que se cumpla el requisito del párrafo 5.1.4.3.

5.1.2.    El Cliente acepta además que el Proveedor puede confiar ciertas operaciones de tratamiento en relación con los Datos Personales también a otros terceros, de acuerdo con las formas especificadas en el siguiente párrafo 5.1.4.

5.1.3.    El Cliente reconoce y acepta que la ejecución de cláusulas contractuales estándar (según lo exige el siguiente artículo 7 para el caso de la transferencia de Datos Personales al extranjero) entre el Proveedor y un Sub-encargado del Tratamiento supondrá la aceptación implícita del Cliente para que el Proveedor pueda contratar a ese Sub-encargado del Tratamiento.

5.1.4.    En aquellos casos en los que el Proveedor haga uso de los Sub-encargados del Tratamiento para realizar específicas actividades de tratamiento en relación con Datos Personales, el Proveedor: 

5.1.4.1. Se compromete a contratar exclusivamente a los Sub-encargados del Tratamiento que garanticen la implementación de medidas técnicas y organizativas apropiadas, y a que el tratamiento por parte de estos de los Datos Personales se limitará al estrictamente necesario para proporcionar los Servicios.

5.1.4.2. Deberá informar al Cliente sobre dicho compromiso, notificando al menos 15 (quince) días antes del inicio de las actividades de tratamiento por parte del Sub-encargado del Tratamiento (incluyendo detalles relativos a la identidad del tercero en cuestión, su ubicación con, si corresponde, la especificación de la ubicación de los servidores para el almacenamiento de datos y las actividades encomendadas) por medio de la Dirección de Correo Electrónico o de cualquier otro medio que el Proveedor considere apropiado. El Cliente tendrá derecho a resolver el Contrato dentro de los 15 (quince) días posteriores a la recepción del aviso, sin perjuicio de las obligaciones del Cliente de pagar las cantidades adeudadas a la fecha de terminación del Contrato.

5.1.4.3. Celebrará un acuerdo por escrito con cada Sub-encargado del tratamiento en el que se impondrán las mismas obligaciones al Sub-encargado del tratamiento que se imponen al Proveedor en virtud de este MDPA.

5.1.5.    Información adicional sobre la lista de Sub-encargados del Tratamiento, las actividades de tratamiento confiadas a dichas entidades y el lugar donde se encuentran, están disponibles en el DPA - Condiciones Especiales, dependiendo de los Servicios activados por el Cliente.

5.1.6.    El Proveedor seguirá siendo totalmente responsable ante el Cliente por el cumplimiento de las obligaciones de Protección de Datos delegadas al Sub-encargado del Tratamiento de Datos relacionadas con esta MDPA.

6. SEGURIDAD

6.1.        MEDIDAS DE SEGURIDAD DEL PROVEEDOR - Al tratar los Datos Personales a los efectos de la prestación de los Servicios, el Proveedor se compromete a aplicar las medidas técnicas y organizativas adecuadas para prevenir el tratamiento ilegal o no autorizado, destrucciones accidentales o ilícitas, daños, pérdidas accidentales, la alteración y la divulgación no autorizada de, o acceso a, Datos Personales, como se describe en el Anexo 1 de este MDPA ("Medidas de Seguridad").

6.1.1.    El Anexo 1 a la MDPA establece medidas apropiadas para la protección de los sistemas de información, proporcionales al nivel de riesgo en relación con los Datos Personales, con el fin de garantizar la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas y de los Servicios del Proveedor, las medidas apropiadas destinadas a permitir el restablecimiento del acceso a los Datos Personales de manera oportuna en el caso de una Violación de la Seguridad de Datos Personales, y las medidas destinadas a evaluar periódicamente la eficacia de tales medidas en el transcurso del tiempo. El Cliente reconoce y acepta que, teniendo en cuenta el estado de las gestiones técnicas, los costes de implementación y la naturaleza, alcance, contexto y propósitos del tratamiento de los Datos Personales, los procedimientos de seguridad y los principios que han sido adoptados por el Proveedor aseguran un nivel de protección adecuada al riesgo en relación con los Datos Personales.

6.1.2.    El Proveedor puede actualizar y/o modificar las Medidas de Seguridad especificadas con anterioridad cada cierto tiempo, siempre que tales actualizaciones y/o modificaciones no impliquen una reducción del nivel general de seguridad de los Servicios. El Cliente será informado de cualquier actualización y/o modificación de las Medidas de Seguridad mediante notificación transmitida a su Dirección de Correo Electrónico.

6.1.3.    Si el Cliente solicita medidas adicionales para la seguridad, no incluidas en las Medidas de Seguridad, el Proveedor se reserva el derecho a evaluar la procedencia de su implementación, y podría cargar algún coste adicional de implementación al Cliente.

6.1.4.    El Cliente reconoce y acepta que el Proveedor, teniendo en cuenta la naturaleza de los Datos Personales y la información que se pone a disposición del Proveedor con base en las disposiciones específicas establecidas en el correspondiente DPA - Condiciones Especiales, ayudará al Cliente a garantizar el cumplimiento de las obligaciones de seguridad establecidas en los artículos del 32 al 34 del RGPD de la siguiente manera:

6.1.4.1. Implementando y manteniendo las Medidas de Seguridad actualizadas de acuerdo con las disposiciones establecidas en los párrafos anteriores 6.1.1, 6.1.2, 6.1.3.

6.1.4.2. Al cumplir con las obligaciones especificadas en el párrafo 6.3.

6.1.5.    Las Partes acuerdan que, con referencia a los acuerdos relativos a productos que se deban instalar en las instalaciones del Cliente o de cualquier Proveedor del Cliente (en adelante, "Productos Instalables"), las Medidas de Seguridad anteriores solo se aplicarán en relación con los Servicios que requieren el Tratamiento de Datos Personales por parte del Proveedor o por cualquier parte delegada involucrada por este último (por ejemplo, soporte y asistencia remota o servicios de migración).

6.1.6.    En caso de que el producto admita la integración con aplicaciones de terceros, el Proveedor no será responsable de la implementación de las Medidas de Seguridad en relación con los componentes de dichos terceros o de la forma operativa de ningún producto como consecuencia de dicha integración.

6.2.        MEDIDAS DE SEGURIDAD DEL CLIENTE - Sin perjuicio de las obligaciones del Proveedor según el párrafo 6.1 anterior, el Cliente reconoce y acepta que, al utilizar los Servicios, sigue siendo un deber exclusivo del Cliente proteger la confidencialidad de los Datos Personales (también en el uso que realicen aquellos autorizados por el mismo Cliente para acceder a los Servicios), implementando medidas de seguridad apropiadas en relación con el uso de los Servicios.

6.2.1.    A tal efecto, el Cliente se compromete a utilizar los Servicios y las características para el Tratamiento de Datos Personales garantizando siempre un nivel de seguridad adecuado al riesgo real.

6.2.2.    El Cliente además se compromete a implementar todas las medidas apropiadas para garantizar la protección de las credenciales de autenticación, los sistemas y dispositivos utilizados por el Cliente o por los usuarios del Usuario Final, para obtener acceso a los Servicios. El Cliente también se compromete a guardar y hacer copias de seguridad de los Datos Personales para garantizar su restauración en conformidad con las disposiciones de las leyes.

6.2.3.    El Proveedor no tendrá ninguna obligación ni asumirá ninguna responsabilidad en relación con la Protección de Datos Personales que el Cliente, o -si corresponde- el Usuario Final, almacena o transfiere fuera de los sistemas utilizados por el Proveedor o por los Sub-encargados del Tratamiento contratados por el Proveedor (por ejemplo, en archivos en papel, o en centros de datos que pertenecen al Cliente o al Usuario Final, como puede ocurrir en el caso de acuerdos sobre productos locales).

6.3.        VIOLACIONES DE LA SEGURIDAD DE DATOS PERSONALES - Salvo los Acuerdos relativos a los Productos Instalables, a los que no se aplicará este párrafo 6.3, el Proveedor, después de haber tenido conocimiento de una Violación de la Seguridad de Datos Personales, deberá:

6.3.1.    Informar al Cliente sin demora indebida a través de la Dirección de Correo Electrónico.

6.3.2.    Adoptar medidas razonables para mitigar los daños que puedan surgir y proteger los Datos Personales.

6.3.3.    Proporcionar al Cliente una descripción de la Violación de la Seguridad de Datos Personales, en la medida de lo posible, incluyendo las medidas tomadas para prevenir o mitigar sus posibles efectos adversos y las actividades recomendadas por el Proveedor al Cliente a fin de abordar la Violación de la Seguridad de Datos Personales.

6.3.4.    Guardar toda la información relativa a las Infracciones de Datos Personales, documentos relevantes, comunicaciones y avisos, confidenciales según lo dispuesto en el Acuerdo, y abstenerse de divulgar cualquier dato e información a terceros sin la autorización previa por escrito del Responsable del Tratamiento, salvo y en la medida en que dicha divulgación pueda ser estrictamente necesaria para cumplir las obligaciones del Cliente derivadas de la Normativa de Protección de Datos Aplicable.

6.3.5.    Proporcionar cualquier otra información y asistencia que se requieran en relación con las infracciones de Datos Personales por la ley de Protección de Datos Aplicable.

6.3.6.    En los casos contemplados en el párrafo anterior 6.3, el Cliente será el único responsable, cuando lo exija la Normativa de Protección de Datos Aplicable, con respecto a cualquier obligación de informar a terceros (o al Usuario Final si el Cliente es el Encargado del Tratamiento) en el caso de una Violación de la Seguridad de Datos Personales y de cualquier obligación de informar a la Autoridad de Control y los Interesados (si el Cliente es el Responsable del Tratamiento).

6.4.        Las Partes reconocen y aceptan que una comunicación sobre una Violación de la Seguridad de Datos Personales o la implementación de medidas destinadas a abordar dicha Violación de la Seguridad de Datos Personales no implica el reconocimiento por parte del Proveedor de un incumplimiento en relación con la Violación de la Seguridad de Datos Personales.

6.5.        El Cliente informará oportunamente al Proveedor de cualquier abuso o uso indebido de las cuentas o credenciales de autenticación, o de cualquier Violación de la Seguridad de Datos Personales de los que pueda tener conocimiento en relación con los Servicios.

7. RESTRICCIONES A LA TRANSFERENCIA DE DATOS PERSONALES A PAÍSES FUERA DEL ESPACIO ECONÓMICO EUROPEO (EEE)

7.1.        El Proveedor no transferirá Datos Personales a países que estén fuera del EEE a menos que el Cliente dé su consentimiento a dicha transferencia.

7.2.        Si el Cliente da su consentimiento e Instrucción para procesar Datos Personales fuera del EEE de conformidad con el párrafo 7.1, y a falta de una decisión de adecuación por parte de la Comisión Europea sobre ese país de conformidad con el Artículo 45 de la RGPD, el Proveedor:

7.2.1.    Hará que el Sub-encargado del Tratamiento firme las cláusulas contractuales estándar contempladas en la Decisión 2010/87/UE de la Comisión, de 5 de febrero de 2010, para la transferencia de Datos Personales a los Encargados del Tratamiento establecidos en terceros países ("Cláusulas Contractuales Estándar"), o texto equivalente que resulte aplicable, ya que puede ser modificado cada cierto tiempo. Se le proporcionará a este último una copia de dichas Cláusulas Contractuales Estándar celebradas por el Proveedor en nombre del Cliente. Y/O

7.2.2.    Puede presentar formas alternativas al Cliente para la transferencia de Datos Personales que cumplan con los requisitos de la Normativa de Protección de Datos Aplicable (por ejemplo, el "Escudo de Privacidad" o "Privacy Shield" en caso de que el Encargado del Tratamiento esté en los EE. UU, y su pertenencia al mismo pueda ser verificada a través de medios y registros oficiales, o mediante una transferencia intragrupo, si el Sub-encargado del Tratamiento pertenece a un grupo de empresas cuyas Normas Corporativas Vinculantes (BCRs por sus siglas en inglés) hayan sido aprobados en relación con los Encargados del Tratamiento).

7.3.        En los casos contemplados en el párrafo anterior 7.2.1, mediante la ejecución de este MDPA, el Cliente otorga expresamente al Proveedor la autorización para celebrar Cláusulas Contractuales Estándar u otras aprobadas por el Cliente de conformidad con la cláusula 7.1 o similar para atender futuras transferencias a terceros países con los Sub-encargados del Tratamiento mencionados en el DPA correspondiente - Condiciones Especiales. Si el Usuario Final actúa como Responsable del Tratamiento, el Cliente se compromete a informar a dicho Usuario Final de la transferencia, y declara y garantiza que la autorización otorgada por dicho Usuario Final para contratar Sub-encargados del Tratamiento fuera del EEE supone una autorización equivalente a la mencionada anteriormente.

8. AUDITORÍAS Y CONTROLES

8.1.        El Proveedor pondrá a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en este MDPA. En este contexto, el Proveedor auditará periódicamente la seguridad de los sistemas de tratamiento de Datos Personales y los entornos utilizados por él para la prestación de los Servicios, así como las instalaciones donde se lleva a cabo el Tratamiento. El Proveedor puede decidir seleccionar y confiar a ciertos consultores independientes la realización de tales auditorías, que se realizarán de acuerdo con estándares internacionales y/o mejores prácticas y cuyo resultado se describirá en informes especiales ("Informes"). Los Informes, que se considerarán como información confidencial del Proveedor, pueden ponerse a disposición del Cliente para permitir la verificación por este último del cumplimiento por parte del Proveedor de las obligaciones de seguridad establecidas en este MDPA.

8.2.        En los casos contemplados en el párrafo 8.1, el Cliente acepta ejercer su derecho de verificación simplemente accediendo a los Informes puestos a su disposición por el Proveedor.

8.3.        A pesar del párrafo 8.2, el Proveedor reconoce que el Cliente tiene derecho, en el modo y en la medida que se especifican a continuación, a realizar auditorías independientes para verificar el cumplimiento por parte del Proveedor de las obligaciones de este MDPA y el DPA - Condiciones Especiales, y con las disposiciones de la ley. Para realizar tales actividades de auditoría, el Cliente puede decidir recurrir a empleados especializados o, a su elección, a consultores externos, siempre que estos últimos estén previamente obligados por las obligaciones de confidencialidad apropiadas.

8.4.        En los casos contemplados en el párrafo 8.3 anterior, el Cliente debe enviar una solicitud previa al Delegado de Protección de Datos (DPO por sus siglas en inglés) del Proveedor. Ante tal solicitud de auditoría o inspección, el Proveedor y el Cliente acordarán, antes del inicio de las actividades, los detalles de las actividades de verificación (fecha de inicio y duración), los tipos de controles y el alcance de la verificación, las obligaciones de confidencialidad por las cuales el Cliente y quienes realizan las actividades deben estar vinculados, los costes, los cuales deben establecerse en función del tamaño y la duración de las actividades de verificación, y el Proveedor tendrá derecho a cobrar por dichas actividades.

8.5.        El Proveedor tiene derecho a objetar, mediante aviso por escrito, en caso de que los auditores externos designados por el Cliente, en la opinión exclusiva del Proveedor, no cumplan con los requisitos de calificación o independencia adecuados, sean competidores del Proveedor, o sean claramente no aptos para la realización de la auditoría. En dicho caso, el Cliente debe designar nuevos auditores o realizar las auditorías directamente por sí mismo.

8.6.        El Cliente se compromete a asumir los costes, si los hubiere, según los determine el Proveedor y se los comunique al Cliente de conformidad con el párrafo 8.4 anterior, en los términos establecidos en el mismo. Todos los costes relacionados con cualquier actividad de verificación confiada por el Cliente a terceros se mantendrán total y exclusivamente a cargo del Cliente.

8.7.        Todo lo anterior se entiende sin perjuicio de los derechos del Responsable del Tratamiento y de las Autoridades de Control establecidas en las Cláusulas Contractuales Estándar ejecutadas en virtud del Artículo 7 anterior (si corresponde), que no se verán afectadas por ninguna disposición establecida en este MDPA o en el DPA - Condiciones Especiales.

8.8.        Este artículo 8 no se aplicará a los acuerdos sobre productos locales.

8.9.        Las actividades de verificación que involucren a los Sub-encargados del Tratamiento se llevarán a cabo de conformidad con las reglas de acceso y con las Políticas de Seguridad establecidas por dichos Sub-encargados del Tratamiento.

9. ASISTENCIA PARA GARANTIZAR EL CUMPLIMIENTO

9.1.        El Proveedor ayudará al Cliente y promoverá la cooperación que se especifica a continuación para que el Cliente pueda cumplir con sus obligaciones según la Normativa de Protección de Datos Aplicable, incluyendo, por ejemplo, lo relacionado con la respuesta a las solicitudes de conformidad con el Capítulo III del RGPD.

9.2.        En el caso en el que el Proveedor reciba una Solicitud o un requerimiento sobre Datos Personales de un Interesado, el Proveedor recomendará a éste que se comunique directamente con el Cliente o el Usuario Final (si este último es el Responsable del Tratamiento). En cualquier caso, el Proveedor informará oportunamente al Cliente de la recepción de la Solicitud a través de la Dirección de Correo Electrónico, y le proporcionará al Cliente toda la información disponible, junto con una copia de la Solicitud o requerimiento. Esta cooperación se llevará a cabo mediante una excepción a la regla general de que las relaciones con los Interesados quedan fuera del alcance de los Servicios y que la responsabilidad de gestionar los requerimientos (si los hubiera) y de servir como contacto para los Interesados en el ejercicio de sus derechos recae exclusiva y directamente con el Cliente o con el Usuario Final (si este último es el Responsable del Tratamiento). El Cliente, o Usuario Final (si este último es el Responsable del Tratamiento), será exclusivamente responsable de cualquier respuesta a tales Solicitudes o requerimientos (si corresponde).

9.3.        El Proveedor informará sin demora al Cliente, a menos que la ley lo prohíba, por medio de una notificación a través de la Dirección de Correo Electrónico, de cualquier inspección o solicitud de información que reciba de cualquier Autoridad de Control o autoridad gubernamental en relación con el Tratamiento de Datos Personales.

9.4.        Si para cumplir con dicha Solicitud, el Cliente necesita recibir cierta información del Proveedor sobre el Tratamiento de Datos Personales, el Proveedor deberá proporcionar asistencia en la medida que sea razonablemente posible, siempre que las solicitudes se hayan presentado con el aviso adecuado.

9.5.        El Proveedor, teniendo en cuenta la naturaleza de los Datos Personales y de la información disponible para él, deberá ofrecer una asistencia razonable al Cliente para poner a su disposición información útil que permita al Cliente llevar a cabo evaluaciones de impacto en la Protección de Datos Personales cuando sea requerido por la ley. En tales casos, el Proveedor deberá poner a disposición información general, basada en el Servicio, como la información incluida en el Acuerdo, en este MDPA y en el DPA - Condiciones Especiales relacionados con los Servicios en cuestión. En caso de solicitudes de asistencia personalizada, es posible que el Cliente deba pagar un cargo. Es responsabilidad exclusiva del Cliente, o del Usuario Final (si este último es el Responsable del Tratamiento), llevar a cabo la evaluación de impacto en función de las características del Tratamiento de Datos Personales realizado por el mismo con respecto a los Servicios.

9.6.        El Proveedor se compromete a proporcionar los Servicios basándose en los principios de minimización del tratamiento (privacidad por diseño y por defecto), sin perjuicio de que es responsabilidad del Cliente, o del Usuario Final (si este último es el Responsable del Tratamiento), garantizar que el tratamiento se lleva a cabo en cumplimiento de dichos principios y verificar que las medidas técnicas y organizativas del Servicio cumplirán con los requisitos de cumplimiento del Cliente, o del Usuario Final (si este último es el Responsable del Tratamiento), incluidos los requisitos establecidos por la Normativa de Protección de Datos Aplicable.

9.7.        El Cliente reconoce y acepta que, en caso de una Solicitud de un Interesado relativa a la portabilidad de Datos Personales, y con referencia exclusiva a los Servicios que generan Datos Personales que son relevantes a este respecto, el Proveedor ayudará al Cliente poniendo a disposición la información necesaria para recuperar los datos requeridos en un formato que cumpla con la Normativa de Protección de Datos Aplicable.

9.8.        Los párrafos 9.5 y 9.7 no se aplicarán con respecto a ningún acuerdo relativo a los productos locales.

10. OBLIGACIONES DEL CLIENTE Y RESTRICCIONES

10.1.      El Cliente se compromete a dar Instrucciones de conformidad con la normativa y a utilizar los Servicios de conformidad con la Normativa de Protección de Datos Aplicables y con el exclusivo propósito de tratar los Datos Personales que se hayan recopilado de conformidad con la Normativa de Protección de Datos Aplicable.

10.2.      El tratamiento de Datos Personales (si corresponde) según el artículo 9 y el artículo 10 de la RGPD solo se permitirá si así lo establece expresamente el DPA - Condiciones Especiales. Sin embargo, para tales casos, el Tratamiento de los Datos Personales contemplado en los artículos mencionados anteriormente se realizará exclusivamente previo acuerdo por escrito entre las Partes realizado de conformidad con las disposiciones del párrafo 3.2.

10.3.      El Cliente se compromete a cumplir todas las obligaciones impuestas al Responsable del Tratamiento de conformidad con la Normativa de Protección de Datos Aplicable (y, en el caso de que dichas obligaciones recaigan sobre el Usuario Final, garantiza que el Usuario Final asuma un compromiso equivalente), incluidas las obligaciones de proporcionar cierta información a los Interesados (y garantiza que se asignen obligaciones equivalentes al Usuario Final si este último es el Responsable del Tratamiento). Además, el Cliente se compromete a garantizar que el tratamiento de los Datos Personales realizado como consecuencia de la utilización de los Servicios se realice siempre sobre una base legal adecuada.

10.4.      Si debe darse un aviso de información o debiera recabarse el consentimiento de los Interesados o Usuarios Finales en virtud del tipo de producto contemplado en el Acuerdo, el Cliente declara haber evaluado el producto y las obligaciones asociadas al mismo, y que dicho producto cumple con las necesidades del Cliente. El Cliente también tendrá la responsabilidad de evaluar si los formularios puestos a disposición por el Proveedor (si corresponde) para ayudar al Cliente a cumplir sus obligaciones de informar y recabar el consentimiento (por ejemplo, modelo de Política de Privacidad para Aplicaciones o avisos de información que acompañan a las aplicaciones), cuando estén disponibles, cumplen con la Normativa de Protección de Datos Aplicable y deberá modificar dichos formularios si lo considera apropiado.

10.5.      El Cliente asumirá además la total y exclusiva responsabilidad del Tratamiento de los Datos Personales en cumplimiento de las Solicitudes (si las hubiera) enviadas por los Interesados y, por lo tanto, para llevar a cabo, por ejemplo, cualquier limitación, acceso, rectificación y supresión de Datos Personales.

10.6.      El Cliente tiene la obligación de mantener la cuenta asociada a la Dirección de Correo Electrónico siempre activa y actualizada.

10.7.      El Cliente reconoce que, de acuerdo con el artículo 30 de la RGPD, el Proveedor tiene el deber de mantener un registro de las actividades de Tratamiento llevadas a cabo en nombre de los Responsables del Tratamiento (o Encargados del Tratamiento) y que para ello recoge los datos de identificación y contacto de cada Responsable del Tratamiento (y/o Encargado del Tratamiento) en nombre del cual actúa y que dicha información debe ponerse a disposición de las autoridades competentes cuando así lo soliciten las mismas. Por lo tanto, cuando se solicite, el Cliente se compromete a proporcionar al Proveedor los datos de identificación y contacto mencionados anteriormente, de la manera especificada por el Proveedor periódicamente, y a mantener dicha información actualizada a través de los mismos medios.

10.8.      Por lo tanto, el Cliente declara que el Tratamiento de Datos Personales, como se describe en los Acuerdos, en este MDPA y en el correspondiente DPA - Condiciones Especiales, es legal.

11. DURACIÓN

11.1.      Este MDPA entrará en vigor en la Fecha de Entrada en Vigor del MDPA y terminará automáticamente en la fecha de supresión de todos los Datos Personales por parte del Proveedor, según lo dispuesto en este MDPA y, si así se estipula, en el pertinente DPA - Condiciones Especiales.

12. DISPOSICIONES SOBRE LA DEVOLUCIÓN O ELIMINACIÓN DE DATOS PERSONALES

12.1.      Al momento de la terminación, por cualquier motivo, del Servicio, el Proveedor dejará de tratar Datos Personales y:

12.1.1.  Borrará los Datos Personales (incluidas las copias, si corresponde) de los sistemas del Proveedor o que están bajo el control del Proveedor, dentro del plazo establecido en el Acuerdo, a menos que se requiera la retención de dichos datos para cumplir con las disposiciones de las leyes de España o de Europa.

12.1.2.  Destruirá los Datos Personales que puedan haber sido almacenados en papel por el mismo Proveedor, a menos que se requiera la retención de dichos datos para cumplir con las disposiciones de las leyes de España o de Europa.

12.1.3.  Pondrá a disposición del Cliente los Datos Personales para su recuperación durante un período de 60 (sesenta) días posteriores a la finalización del Acuerdo. Durante dicho período, el Tratamiento se limitará exclusivamente a la recuperación contemplada en el párrafo 12.2.

12.2.      A menos que se disponga lo contrario en este MDPA, el Cliente reconoce que se le permite, después de la terminación del Servicio, recuperar los Datos Personales de las maneras especificadas en el Acuerdo y acepta su deber de recuperar los Datos Personales, en su totalidad o en parte, para la medida exclusiva que considere apropiada para la retención, y que dicha recuperación debe completarse dentro del término especificado en el párrafo 12.1.3.

12.3.      Las Partes acuerdan que las disposiciones de los párrafos 12.1 y 12.2 no se aplicarán a los Acuerdos relativos a productos locales. En estos casos, el Cliente tiene el deber de recuperar los Datos Personales que considere apropiados para el almacenamiento, a más tardar 30 (treinta) días después de la finalización del Acuerdo. El Cliente reconoce y acepta que después de la expiración de este término, los Datos Personales pueden no estar disponibles. Además, en los eventos considerados en este párrafo 12.3, es deber del Cliente procurar el borrado de los Datos Personales como lo exige la ley.

12.4.      Lo anterior se entiende sin perjuicio de lo que se puede establecer más adelante o de otro modo con respecto al borrado de Datos Personales en el DPA - Condiciones Especiales respectivo.

13. RESPONSABILIDAD

13.1.      Cualquiera de las Partes es responsable del cumplimiento de las obligaciones impuestas a esa Parte en virtud de este MDPA y el DPA - Condiciones Especiales, así como en virtud de la Normativa de Protección de Datos Aplicable.

13.2.      Sin perjuicio de las disposiciones legales obligatorias, el Proveedor compensará al Cliente en caso de incumplimiento de este MDPA y/o de la DPA - Condiciones Especiales en la medida máxima acordada en el Acuerdo.

14. VARIOS

14.1.      Este MDPA reemplaza cualquier otro acuerdo, contrato o acuerdo entre las Partes con respecto a su objeto, así como cualquier Instrucción, en cualquier forma, entregada por el Cliente al Proveedor antes de la fecha de este MDPA en relación con el Tratamiento de los Datos Personales en el marco de la ejecución del Acuerdo.

14.2.      El Proveedor puede modificar este MDPA por medio de una notificación por escrito que se enviará al Cliente (por correo electrónico a la Dirección de Correo Electrónico o con la ayuda de programas informáticos o de otro tipo). En este caso, el Cliente tendrá derecho a resolver el Acuerdo mediante notificación por escrito al Proveedor que debe realizarse mediante correo certificado con acuse de recibo dentro de los 15 días posteriores a la recepción de la notificación del Proveedor. Si el Cliente no ejerce este derecho de resolución en los términos descritos anteriormente, las modificaciones de este MDPA se considerarán reconocidas y aceptadas por el Cliente y serán efectivas y vinculantes para las Partes.

14.3.      En el caso de cualquier inconsistencia entre las disposiciones de este MDPA y las establecidas en el Acuerdo para la prestación de los Servicios o en cualquier documento del Cliente que no haya sido aceptado expresamente por el Proveedor al resolver este MDPA y/o de las respectivas DPA - Condiciones Especiales, las disposiciones de este MDPA y las correspondientes DPA - Condiciones Especiales prevalecerán.

15. LEY APLICABLE Y LUGAR DE APLICACIÓN

15.1 Este DPA se interpretará de acuerdo con las leyes de Italia y cada parte se somete irrevocablemente a la jurisdicción no exclusiva de los tribunales de Milán (Italia), sin aplicación de las disposiciones sobre conflictos de leyes.

ANEXO 1

Medidas técnicas y organizativas

Además de las medidas de seguridad establecidas en el Acuerdo y en el MDPA, el Responsable del Tratamiento aplicará las siguientes medidas de seguridad organizativas según el tipo de Servicio a través del cual se entrega o suscribe el producto:

A – Cloud SaaS (Nube - Software como servicio)

B – Servicios IaaS

C – BPO (Externalización de Procesos de Negocio)

D – BPI (Procesos de Negocio Internos)

E – En las instalaciones

A - CLOUD SaaS

Medidas de Seguridad organizativas      

• Políticas y regulaciones para el Usuario - El Proveedor ha adoptado políticas y regulaciones detalladas, que todos los Usuarios que tienen acceso a los sistemas de información deben cumplir, con el objetivo de garantizar que el comportamiento de los Usuarios sea apropiado para garantizar el cumplimiento de los principios de confidencialidad, disponibilidad e integridad de los datos al utilizar recursos de información.
• Autorización de acceso lógico - El Proveedor define los perfiles de acceso según los privilegios mínimos necesarios para llevar a cabo las tareas asignadas. Los perfiles de autorización se seleccionan y configuran antes del inicio del tratamiento y de tal manera que el acceso se restringirá solo a aquellos datos que sean estrictamente necesarios para las Actividades de Tratamiento. Los perfiles se someten a auditorías periódicas para evaluar si los requisitos para mantener los perfiles asignados todavía se cumplen.
• Intervenciones de asistencia - Las intervenciones de asistencia se gestionarán con el objetivo de garantizar que solo se realicen actividades contractuales y que se evite cualquier tratamiento innecesario en relación con los Datos Personales del Usuario o del Usuario Final.
• Evaluación de Impacto de la Protección de Datos (DPIA) - De conformidad con los artículos 35 y 36 del RGPD y en base al documento "WP248 - Directrices sobre la evaluación de impacto de la protección de datos", adoptada por el Grupo de trabajo del artículo 29, el Proveedor ha preparado su propia metodología para el análisis y las evaluaciones de aquellas actividades de Tratamiento que, teniendo en cuenta la naturaleza, el alcance, el contexto y los propósitos del Tratamiento, pueden generar un alto riesgo para los derechos y libertades de las personas naturales, a fin de poder llevar a cabo una evaluación del impacto en la Protección de Datos Personales antes del Tratamiento.
• Gestión de incidentes - El Proveedor ha adoptado un procedimiento específico de gestión de incidentes destinado a garantizar la restauración de las operaciones de Servicio ordinarias lo antes posible, al tiempo que garantiza el mantenimiento de los mejores niveles de Servicio.
• Violación de la Seguridad de Datos - El Proveedor ha implementado un procedimiento especial, dirigido a la gestión de eventos e incidentes que probablemente tengan un impacto en los Datos Personales, que define los roles y responsabilidades, el proceso de detección del incidente / incumplimiento (sospechoso o real), la implementación de las acciones correctivas, la respuesta y la contención de tal incidente / Violación de la Seguridad, así como las formalidades para informar al Usuario de Violaciones de Datos Personales.
• Capacitación - El Proveedor ofrecerá periódicamente cursos de capacitación sobre el manejo adecuado de los Datos Personales a los miembros de su personal que participan en las actividades de tratamiento.

Medidas técnicas de seguridad 

• Cortafuegos, IDPS - Los Datos Personales deben estar protegidos contra el riesgo de una intrusión criminal mediante los Sistemas de Detección y Prevención de Intrusos (IDPS), que se mantendrán actualizados en función de las mejores tecnologías disponibles.
• Seguridad de las líneas de comunicación - Dentro del alcance de sus responsabilidades, el Proveedor deberá implementar protocolos de comunicación seguros que estén en línea con la tecnología disponible.
• Protección contra malware - Los sistemas deben estar protegidos contra el riesgo de una intrusión y de la actividad de ciertos programas mediante la activación de las herramientas electrónicas adecuadas que se actualizarán periódicamente. Las características del antivirus deben ser implementadas y actualizadas constantemente.
• Credenciales de autenticación - Los sistemas se configurarán de tal manera que el acceso se otorgará exclusivamente a aquellos que cuenten con credenciales de autenticación que permitan una identificación única del Usuario. Esto incluye: un código asociado a una contraseña confidencial que solo será conocida por el Usuario, o un dispositivo de autenticación que solo será retenido y usado por el Usuario, que puede, en ciertos casos, estar asociado con un código de identificación o una contraseña.
• Contraseña - El uso de una contraseña, en lo que concierne a sus características básicas, es la obligación de cambiarla en el primer acceso, la longitud mínima, la ausencia de elementos que puedan ser fácilmente referidos a su titular, las reglas sobre su complejidad, la caducidad, el historial, la evaluación de la fuerza en contexto, la visualización y el almacenamiento, cumplirán con las mejores prácticas. Los Usuarios que reciben credenciales también deben recibir Instrucciones específicas sobre las medidas que deben adoptarse para garantizar que dichas credenciales permanezcan secretas.
• Acceso - Los sistemas pueden configurarse de tal manera que rastreen las solicitudes de acceso y, cuando sea apropiado, otras actividades que se llevan a cabo en relación con los diferentes tipos de Usuarios (Administrador, Superusuario, etc.), y deben estar protegidos por Medidas de Seguridad adecuadas que garanticen su integridad.
• Copia de seguridad y restauración - Se implementarán medidas apropiadas destinadas a garantizar la restauración del acceso a los datos en caso de daños a dichos datos o herramientas electrónicas, dentro de términos que sean ciertos y coherentes con los derechos de los interesados.
  Si cualquier acuerdo así lo requiere, se implementará un plan de operación de continuidad y, cuando sea necesario, se integrará con el plan de recuperación de desastres. Estos planes garantizan la disponibilidad y el acceso a los sistemas también en caso de eventos adversos graves que puedan persistir en el tiempo.
• Evaluación de Vulnerabilidad y Prueba de Penetración - El Proveedor realizará periódicamente análisis de vulnerabilidad dirigidos a evaluar el nivel de exposición a vulnerabilidades conocidas, en relación con las infraestructuras y el marco de operaciones, teniendo en cuenta los sistemas ya operativos que se encuentran en desarrollo. 
  Cuando se considere apropiado, en relación con los riesgos potenciales que se han identificado, las evaluaciones anteriores se complementan, de vez en cuando, con técnicas especiales de prueba de penetración, que simulan el acceso no autorizado en varios escenarios de ataque, con el objetivo de controlar el nivel de seguridad alcanzado por las aplicaciones / sistemas / redes mediante el uso de las vulnerabilidades identificadas para eludir los mecanismos de seguridad físicos / lógicos y obtener acceso a ellos.
  El resultado de dichas evaluaciones se examina a fondo para detectar e implementar mejoras que son necesarias para garantizar el alto nivel de seguridad que se requiere.
• Administradores del sistema - Todos los Usuarios que operen como administradores del sistema deberán estar indicados en una lista que se actualizará periódicamente y las tareas que se les asignen deberán estar debidamente definidas en documentos especiales de nombramiento. La actividad realizada por los administradores del sistema debe ser monitoreada por medio de un sistema de administración de registros que permita rastrear con precisión todas las actividades realizadas y almacenar dichos datos de manera inmutable para permitir el monitoreo también después del desempeño. El comportamiento de los administradores del sistema debe ser auditado para verificar el cumplimiento de las medidas organizativas, técnicas y de seguridad en relación con el tratamiento de Datos Personales según lo exigen las normativas vigentes.
• Centro de Datos - El acceso físico al Centro de Datos está restringido solo a personas autorizadas.
  
  Para obtener más detalles sobre las medidas de seguridad adoptadas en relación con los Servicios del Centro de Datos proporcionados por el Sub-encargado del Tratamiento especificado en el DPA - Condiciones Especiales, consulte las descripciones de dichas medidas de seguridad preparadas por los mismos Sub-encargados de datos, disponibles en los sitios oficiales relevantes, en la dirección especificada a continuación (o en la dirección que puede estar disponible en el futuro por los mismos Sub-encargados del Tratamiento):
  Con referencia a los Servicios del Centro de Datos proporcionados por los Servicios Web de Amazon:
  https: // aws.amazon.com/it/compliance/data-center/controls/
  Con referencia a los Servicios del Centro de Datos proporcionados por Microsoft:
  https://www.microsoft.com/en-us/trustcenter

            

B – Servicios Iaas

Medidas de Seguridad Organizativa       

• Certificaciones - El Proveedor ha obtenido las siguientes certificaciones / evaluaciones:
• ISO / IEC 27001: 2013: “Prestación de Servicios para el diseño y gestión de infraestructura de TIC, gestión de aplicaciones dentro del grupo y gestión de infraestructura Cloud (IaaS)”.
• ISO / IEC 27018: 2014 para la Protección de Datos Personales en Servicios de Nube pública.
• Autorización de acceso lógico - El Proveedor define los perfiles de acceso según el privilegio mínimo necesario para llevar a cabo las tareas asignadas. Los perfiles de autorización se seleccionan y configuran antes del inicio del tratamiento y de tal manera que el acceso se restringirá solo a aquellos datos que sean estrictamente necesarios para las actividades de tratamiento.
  Los perfiles se someten a auditorías periódicas para evaluar si los requisitos para mantener los perfiles asignados todavía se cumplen.
• Usuarios - Los usuarios de los Servicios se dividen en usuarios administrativos de la infraestructura de virtualización y usuarios administrativos de la consola para la administración de la infraestructura de la Nube de TeamSystem.
  Las máquinas virtuales se configurarán de tal manera que el acceso se otorgará exclusivamente a aquellos que cuenten con credenciales de autenticación que permitan la identificación única del usuario.
• Seguridad de las líneas de comunicación - Dentro del alcance de sus responsabilidades, el Proveedor deberá implementar protocolos de comunicación seguros que estén en línea con la tecnología disponible en relación con el proceso de autenticación.
• Gestión de cambios - El Proveedor ha implementado un procedimiento específico para regular el proceso de gestión de cambios en vista de la introducción (en su caso) de innovaciones tecnológicas o en caso de modificaciones (en su caso) de su estructura básica y organizativa.
• Capacitación - El Proveedor ofrecerá periódicamente cursos de capacitación sobre el manejo adecuado de los Datos Personales a los miembros de su personal que participan en las actividades de tratamiento.
• Protección contra malware - Las máquinas virtuales deben estar protegidas contra el riesgo de una intrusión y de la actividad de ciertos programas mediante la activación de herramientas electrónicas apropiadas actualizadas periódicamente.
  Todas las máquinas virtuales se administrarán a través de funciones antivirus (tanto a nivel de hipervisor como de infraestructura).
• Copia de seguridad y restauración - Si así lo exige cualquier acuerdo, se deberán implementar medidas adecuadas para garantizar la restauración del acceso a los datos en caso de daños a dichos datos o herramientas electrónicas, dentro de términos que sean ciertos y consistentes con los derechos de los interesados.
  Es responsabilidad del Responsable del Tratamiento decidir si realizar copias de seguridad de forma independiente durante el término del Acuerdo y durante un período de 60 días después de su finalización.
• Acceso - Los sistemas pueden configurarse de tal manera que rastreen las solicitudes de acceso y, cuando sea apropiado, otras actividades que se llevan a cabo, en relación con los diferentes tipos de Usuarios (Administrador, Superusuario, etc.), y deben estar protegidos mediante medidas de seguridad adecuadas garantizando su integridad.
• Cortafuegos, IDS / IPS - Los sistemas para prevenir intrusiones, tales como Firewall e IDS / IPS, se colocarán en el segmento de red que conecta la infraestructura de la Nube con Internet para interceptar cualquier actividad maliciosa dirigida a degradar, total o parcialmente, la prestación del Servicio. En el caso en cuestión, el equipo adoptado pertenece al tipo UTM SourceFire (Cisco), que incluye tanto el Firewall como el componente IDS / IPS.
• Gestión de incidentes - El Proveedor ha adoptado un procedimiento específico de gestión de incidentes destinado a garantizar la restauración de las operaciones de Servicio ordinarias lo antes posible, al tiempo que garantiza el mantenimiento de los mejores niveles de Servicio.
• Alta confiabilidad - El Proveedor garantiza una alta confiabilidad en los siguientes términos:
• La arquitectura del servidor se basará en la solución de virtualización VMWare y se implementará mediante la creación de redundancias físicas y virtuales de cada sistema, a fin de garantizar la tolerancia a fallos y la eliminación de puntos únicos de fracaso. En particular, en caso de fallo del sistema, el software de administración del entorno virtual podrá reasignar las actividades actuales a otros sistemas (principios de alta disponibilidad y balanceo de carga), minimizando las ineficiencias del Servicio y asegurando la persistencia de las conexiones existentes. Cada servidor se coloca en una SAN conectada a través de iSCSI de alta velocidad.
• Todos los componentes de la infraestructura, incluidos los servidores, la seguridad y el equipo de red, los sistemas de almacenamiento y la infraestructura SAN, se han duplicado en su totalidad para eliminar puntos únicos de fallo.
• La infraestructura de red ha sido diseñada para proteger los sistemas de front-end de Internet y de las redes internas mediante un DMZ protegido por medio de cortafuegos separados de dos capas (estrategia de defensa en profundidad): un cortafuegos de límite conectado a Internet y un segundo firewall, incluidas las funciones de prevención de intrusiones y antimalware y pertenecientes a la organización, configuración para proteger la DMZ y los sistemas back-end.
• Centro de Datos - El entorno de virtualización (incluida la red de área de almacenamiento SAN) se coloca en servidores que están alojados en un Centro de Datos ubicado en Italia y administrados por un Proveedor certificado ISO 27001. En particular, se deben implementar las siguientes medidas de seguridad para proteger el Centro de Datos:
• Seguridad del perímetro exterior:
  Cerco externo que marca el límite de la propiedad a una altura no inferior a 3 metros, equipado con protección pasiva contra el ascenso.
  Monitoreo de áreas externas mediante barreras infrarrojas y / o sistemas de análisis de vídeo y por videovigilancia con sistemas de registro.
  Acceso peatonal individual restringido.
  Restringido el acceso a vehículos.
  Patrullas armadas.
• Seguridad del perímetro interior:
  Sala de vigilancia para el control de áreas internas y externas, supervisión.
  Uso de alarmas, manejo de visitantes mediante la entrega de insignias relativas a políticas de la empresa y con las regulaciones específicas para Centros de Datos.
  Escritorio de recepción para el control de entrada.
  Torniquetes de tres brazos colocados frente a la sala de vigilancia y recepción.
• Alta seguridad del perímetro interno:
  Acceso sincronizado a salas de sistemas equipados con protección pasiva.
  Sistema de control de entrada basado en listas de personas “AUTORIZADAS”.
  Sensores magnéticos que detectan el estado de las puertas.
  Salidas de emergencia con sensores que detectan el estado de las puertas.
  Todas las alarmas están conectadas de forma remota a la sala de vigilancia.
   

C – BPO (EXTERNALIZACIÓN DE PROCESOS DE NEGOCIO)

Medidas de Seguridad Organizativa

• Certificaciones - El Proveedor ha obtenido las siguientes certificaciones / evaluaciones:
• ISO / IEC 27001: 2013: “Entrega de Servicios para el diseño y gestión de infraestructura de TIC, gestión de aplicaciones dentro del Grupo y Gestión de infraestructura en la Nube (IaaS)”.
• ISO / IEC 27018: 2014 para la Protección de Datos Personales en Servicios de Nube pública.
• Políticas y regulaciones de Usuario - El Proveedor ha adoptado políticas y regulaciones detalladas, que todos los Usuarios que tienen acceso a los sistemas de información deben cumplir, con el objetivo de garantizar que el comportamiento de los Usuarios sea apropiado para garantizar el cumplimiento de los principios de confidencialidad, disponibilidad e integridad de los datos al utilizar recursos de información.
• Autorización de acceso lógico - El Proveedor define los perfiles de acceso según el privilegio mínimo necesario para llevar a cabo las tareas asignadas. Los perfiles de autorización se seleccionan y configuran antes del inicio del tratamiento y de tal manera que el acceso se restringirá solo a aquellos datos que sean estrictamente necesarios para las actividades de tratamiento.
  Los perfiles se someten a auditorías periódicas para evaluar si los requisitos para mantener los perfiles asignados todavía se cumplen.
• Intervenciones de asistencia - El Proveedor debe gestionar las intervenciones de asistencia con el objetivo de garantizar que solo se realicen actividades contractuales y que se evite cualquier tratamiento innecesario en relación con los Datos Personales del Usuario o del Usuario Final.
• Gestión de cambios - El Proveedor ha implementado un procedimiento específico para regular el proceso de gestión de cambios en vista de la introducción (en su caso) de innovaciones tecnológicas o en caso de modificaciones (en su caso) de su estructura básica y organizativa.
• Evaluación de Impacto de la Protección de Datos (DPIA) - De conformidad con los artículos 35 y 36 del RGPD y en base al documento "WP248 - Directrices sobre la evaluación de impacto de la protección de datos", adoptada por el Grupo de trabajo del artículo 29, el Proveedor ha preparado su propia metodología para el análisis y las evaluaciones de aquellas actividades de tratamiento que, teniendo en cuenta la naturaleza, el alcance, el contexto y los propósitos del tratamiento, pueden generar un alto riesgo para los derechos y libertades de las personas naturales, a fin de poder llevar a cabo una evaluación del impacto en la Protección de Datos Personales antes del tratamiento.
• Gestión de incidentes - El Proveedor ha adoptado un procedimiento específico de gestión de incidentes destinado a garantizar la restauración de las operaciones de Servicio ordinarias lo antes posible, al tiempo que garantiza el mantenimiento de los mejores niveles de Servicio.
• Violación de la Seguridad de Datos - El Proveedor ha implementado un procedimiento especial, dirigido a la gestión de eventos e incidentes que probablemente tengan un impacto en los Datos Personales, que define los roles y responsabilidades, el proceso de detección del incidente / incumplimiento (sospechoso o real), la implementación de las acciones correctivas, la respuesta y la contención de dicho incidente / Violación de la Seguridad, así como los trámites para informar al Usuario sobre Violaciones de la Seguridad de Datos Personales.
• Capacitación - El Proveedor ofrecerá periódicamente cursos de capacitación sobre el manejo adecuado de los Datos Personales a los miembros de su personal que participan en las actividades de Tratamiento.

Medidas de Seguridad técnicas 

• Alta confiabilidad - El Proveedor garantiza una alta confiabilidad en los siguientes términos:
• La arquitectura del servidor se basará en la solución de virtualización VMWare y se implementará mediante la creación de redundancias físicas y virtuales de cada sistema, a fin de garantizar la tolerancia a fallos y la eliminación de puntos únicos de fracaso. En particular, en caso de fallo del sistema, el software de administración del entorno virtual podrá reasignar las actividades actuales a otros sistemas (principios de alta disponibilidad y balanceo de carga), minimizando las ineficiencias del Servicio y asegurando la persistencia de las conexiones existentes.
• Cada servidor se coloca en una SAN conectada a través de iSCSI de alta velocidad.
• Todos los componentes de la infraestructura, incluidos los servidores, la seguridad y el equipo de red, los sistemas de almacenamiento y la infraestructura SAN, se han duplicado en su totalidad para eliminar puntos únicos de fallo.
• La infraestructura de red ha sido diseñada para proteger los sistemas de front-end de Internet y de las redes internas mediante un DMZ protegido por medio de cortafuegos separados de dos capas (estrategia de defensa en profundidad): un cortafuegos de límite conectado a Internet y un segundo firewall, incluidas las funciones de prevención de intrusiones y antimalware y pertenecientes a la organización, configuración para proteger la DMZ y los sistemas back-end.
• Endurecimiento - Las actividades de endurecimiento especialmente diseñadas deben implementarse con el objetivo de prevenir incidentes de seguridad, minimizando las debilidades arquitectónicas de los sistemas operativos, las aplicaciones y los equipos de red teniendo en cuenta, en particular, la reducción de los riesgos relacionados con el sistema, vulnerabilidades, la reducción de los riesgos relacionados con las aplicaciones instaladas en los sistemas y el aumento del nivel de protección que cubre los Servicios prestados.
• Cortafuegos, IDS / IPS - Los sistemas para prevenir intrusiones, tales como Firewall e IDS / IPS, se colocarán en el segmento de red que conecta la infraestructura de la Nube con Internet para interceptar cualquier actividad maliciosa dirigida a degradar, total o parcialmente, la prestación del Servicio. En el caso en cuestión, el equipo adoptado pertenece al tipo UTM SourceFire (Cisco), que incluye tanto el Firewall como el componente IDS / IPS.
• Seguridad de las líneas de comunicación - Dentro del alcance de sus responsabilidades, el Proveedor deberá implementar protocolos de comunicación seguros que estén en línea con la tecnología disponible.
• Protección contra malware - Las máquinas virtuales deben estar protegidas contra el riesgo de una intrusión y de la actividad de ciertos programas mediante la activación de herramientas electrónicas apropiadas para ser actualizadas periódicamente.
  Todas las máquinas virtuales se administrarán a través de funciones antivirus (tanto a nivel de hipervisor como de infraestructura).
• Credenciales de autenticación - Los sistemas se configurarán de tal manera que el acceso se otorgará exclusivamente a aquellos que cuenten con credenciales de autenticación que permitan una identificación única del Usuario. Esto incluye: un código asociado a una contraseña confidencial que solo será conocida por el usuario, o un dispositivo de autenticación que solo será retenido y usado por el Usuario, que puede, en ciertos casos, estar asociado con un código de identificación o una contraseña.
• Contraseña - El uso de una contraseña, en lo que concierne a sus características básicas, es la obligación de cambiarla en el primer acceso, la longitud mínima, la ausencia de elementos que puedan ser fácilmente referidos a su titular, las reglas sobre su complejidad, la caducidad, el historial, la evaluación de la fuerza en contexto, la visualización y el almacenamiento, cumplirán con las mejores prácticas. Los Usuarios que reciben credenciales también deben recibir Instrucciones específicas sobre las medidas que deben adoptarse para garantizar que dichas credenciales permanezcan secretas.
• Acceso - Los sistemas pueden configurarse de tal manera que rastreen las solicitudes de acceso y, cuando sea apropiado, otras actividades que se llevan a cabo, en relación con los diferentes tipos de Usuarios (Administrador, Superusuario, etc.), y deben estar protegidos mediante medidas de seguridad adecuadas garantizando su integridad.
• Copia de seguridad y restauración - Se implementarán medidas apropiadas destinadas a garantizar la restauración del acceso a los datos en caso de daños a dichos datos o herramientas electrónicas, dentro de términos que sean ciertos y coherentes con los derechos de los interesados.
  Es responsabilidad del Responsable del Tratamiento decidir si realizar copias de seguridad de forma independiente durante el término del acuerdo y durante un período de 60 días después de su finalización.
  Si cualquier acuerdo así lo requiere, se implementará un plan de operación de continuidad y, cuando sea necesario, se integrará con el plan de recuperación de desastres. Estos planes garantizan la disponibilidad y el acceso a los sistemas también en caso de eventos adversos graves que puedan persistir en el tiempo.
• Evaluación de Vulnerabilidad y Prueba de Penetración - El Proveedor realizará periódicamente análisis de vulnerabilidad dirigidos a evaluar el nivel de exposición a vulnerabilidades conocidas, en relación con las infraestructuras y el marco de operaciones, teniendo en cuenta los sistemas ya operativos que se encuentran en desarrollo.
  Cuando se considera apropiado, en relación con los riesgos potenciales que se han identificado, las evaluaciones anteriores se complementan, de vez en cuando, con técnicas especiales de prueba de penetración, que simulan el acceso no autorizado en varios escenarios de ataque, con el objetivo de controlar el nivel de seguridad alcanzado por las aplicaciones / sistemas / redes mediante el uso de las vulnerabilidades identificadas para eludir los mecanismos de seguridad físicos / lógicos y obtener acceso a ellos.
  El resultado de dichas evaluaciones se examina a fondo para detectar e implementar mejoras que son necesarias para garantizar el alto nivel de seguridad que se requiere.
• Administradores del sistema - Todos los usuarios que operen como administradores del sistema deberán estar indicados en una lista que se actualizará periódicamente y las tareas que se les asignen deberán estar debidamente definidas en documentos especiales de nombramiento. La actividad realizada por los administradores del sistema debe ser monitoreada por medio de un sistema de administración de registros que permita rastrear con precisión todas las actividades realizadas y almacenar dichos datos de manera inmutable para permitir el monitoreo también después del desempeño. El comportamiento de los administradores del sistema debe ser auditado para verificar el cumplimiento de las medidas organizativas, técnicas y de seguridad en relación con el Tratamiento de Datos Personales según lo exigen las normativas vigentes.
• Centro de Datos - El entorno de virtualización (incluida la SAN - Red de área de almacenamiento) se coloca en servidores que están alojados en un Centro de Datos ubicado en Italia y administrados por un Proveedor certificado ISO 27001. En particular, se deben implementar las siguientes medidas de seguridad para proteger el Centro de Datos:
• Seguridad del perímetro exterior:
  Cerco externo que marca el límite de la propiedad a una altura no inferior a 3 metros, equipado con protección pasiva contra el ascenso.
  Monitoreo de áreas externas mediante barreras infrarrojas y / o sistemas de análisis de vídeo y por videovigilancia con sistemas de registro.
  Acceso peatonal individual restringido.
  Restringido acceso a vehículos.
  Patrullas armadas.
• Seguridad del perímetro interior:
  Sala de vigilancia para el control de áreas internas y externas, supervisión.
  Uso de alarmas, manejo de visitantes con la entrega de insignias relativas a políticas de la empresa y con las regulaciones específicas para Centros de Datos.
  Escritorio de recepción para el control de entrada.
  Torniquetes de tres brazos colocados frente a la sala de vigilancia y recepción.
• Alta seguridad del perímetro interno:
  Acceso sincronizado con salas de sistemas equipados con protección pasiva.
  Sistema de control de entrada basado en listas de personas “AUTORIZADAS”.
  Sensores magnéticos que detectan el estado de las puertas.
  Salidas de emergencia con sensores que detectan el estado de las puertas.
  Todas las alarmas están conectadas de forma remota a la sala de vigilancia.

 

D – BPI (PROCESOS DE NEGOCIO INTERNOS)

Medidas de Seguridad Organizacional   

• Políticas y regulaciones del usuario - El Proveedor ha adoptado políticas y regulaciones detalladas, que todos los Usuarios que tienen acceso a los sistemas de información deben cumplir, con el objetivo de garantizar que el comportamiento de los Usuarios sea apropiado para garantizar el cumplimiento de los principios de confidencialidad, disponibilidad e integridad de los datos al utilizar recursos de información.
• Autorización de acceso lógico - El Proveedor define los perfiles de acceso según el privilegio mínimo necesario para llevar a cabo las tareas asignadas. Los perfiles de autorización se seleccionan y configuran antes del inicio del tratamiento y de tal manera que el acceso se restringirá solo a aquellos datos que sean estrictamente necesarios para las actividades de tratamiento.
  Los perfiles se someten a auditorías periódicas para evaluar si los requisitos para mantener los perfiles asignados todavía se cumplen.
• Violación de la Seguridad de Datos - El Proveedor ha implementado un procedimiento especial, dirigido a la gestión de eventos e incidentes que probablemente tengan un impacto en los Datos Personales, que define los roles y responsabilidades, el proceso de detección del incidente / incumplimiento (sospechoso o real), la implementación de las acciones correctivas, la respuesta y la contención de dicho incidente / Violación de la Seguridad, así como los trámites para informar al Usuario sobre Violaciones de la Seguridad de Datos Personales.
• Capacitación - El Proveedor ofrecerá periódicamente cursos de capacitación sobre el manejo adecuado de los Datos Personales a los miembros de su personal que participan en las actividades de tratamiento.

Medidas Técnicas de Seguridad

• Seguridad de las líneas de comunicación - Dentro del alcance de sus responsabilidades, el Proveedor deberá implementar protocolos de comunicación seguros que estén en línea con la tecnología disponible en relación con el proceso de autenticación.
• Copia de seguridad y restauración - Si así lo exige cualquier acuerdo, se deben implementar medidas adecuadas para garantizar la restauración del acceso a los datos en caso de daños a dichos datos o herramientas electrónicas, dentro de términos que sean ciertos y consistentes con los derechos de los interesados.

 

E – EN LAS INSTALACIONES

Medidas de Seguridad Organizativas      

• Políticas y regulaciones del Usuario - El Proveedor ha adoptado políticas y regulaciones detalladas, que todos los Usuarios que tienen acceso a los sistemas de información deben cumplir, con el objetivo de garantizar que el comportamiento de los Usuarios sea apropiado para garantizar el cumplimiento de los principios de confidencialidad, disponibilidad e integridad de los datos al utilizar recursos de información.
• Autorización de acceso lógico - El Proveedor define los perfiles de acceso según el privilegio mínimo necesario para llevar a cabo las tareas asignadas. Los perfiles de autorización se seleccionan y configuran antes del inicio del Tratamiento y de tal manera que el acceso se restringirá solo a aquellos datos que sean estrictamente necesarios para las actividades de Tratamiento.
  Los perfiles se someten a auditorías periódicas para evaluar si los requisitos para mantener los perfiles asignados todavía se cumplen.
• Intervenciones de asistencia - El Proveedor debe gestionar las intervenciones de asistencia con el objetivo de garantizar que solo se realicen actividades contractuales y que se evite cualquier Tratamiento innecesario en relación con los Datos Personales del Usuario.
• Gestión de Incidentes y Violación de la Seguridad de Datos - El Proveedor ha implementado un procedimiento especial, dirigido a la gestión de eventos e incidentes que probablemente tengan un impacto en los Datos Personales, que define los roles y responsabilidades, el proceso de detección del incidente / incumplimiento (sospechoso o real), la implementación de las acciones correctivas, la respuesta y la contención de dicho incidente / Violación de la Seguridad, así como los trámites para informar al Usuario sobre Violaciones de la Seguridad de Datos Personales.
• Capacitación - El Proveedor ofrecerá periódicamente cursos de capacitación sobre el manejo adecuado de los Datos Personales a los miembros de su personal que participan en las actividades de Tratamiento.

Medidas Técnicas de Seguridad

• Seguridad de las líneas de comunicación - Dentro del alcance de sus responsabilidades, durante la fase de asistencia técnica, el Proveedor deberá implementar protocolos de comunicación seguros que estén en línea con la tecnología disponible.
• Protección contra malware - Las estaciones de trabajo utilizadas durante la fase de asistencia técnica deben protegerse contra el riesgo de una intrusión y de la actividad de ciertos programas mediante la activación de las herramientas electrónicas adecuadas que se actualizarán periódicamente.
  Todas las máquinas virtuales se administran a través de funciones antivirus (tanto a nivel de hipervisor como de infraestructura).
• Administradores del sistema - Todos los usuarios que operen como administradores del sistema deberán estar indicados en una lista que se actualizará periódicamente y las tareas que se les asignen deberán estar debidamente definidas en documentos especiales de nombramiento. La actividad realizada por los administradores del sistema debe ser monitoreada por medio de un sistema de administración de registros que permita rastrear con precisión todas las actividades realizadas y almacenar dichos datos de manera inmutable para permitir el monitoreo también después del desempeño. El comportamiento de los administradores del sistema debe ser auditado para verificar el cumplimiento de las medidas organizativas, técnicas y de seguridad en relación con el Tratamiento de Datos Personales según lo exigen las normativas vigentes.