Política de privacidad en la prestación de servicios de confianza electrónica.



La presente política de privacidad se elabora de conformidad con lo dispuesto en la vigente normativa de protección de datos personales y, en particular, las obligaciones establecidas en el REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD, en adelante), con relación a los servicios de confianza ofrecidos por ORIGINPATH. Esta política de privacidad podrá ser objeto de modificaciones y actualizaciones, en cuyo caso se referirá de modo expreso la fecha a partir de la cual se encuentra vigente la última versión publicada.

¿QUIÉN ES EL RESPONSABLE DE SUS DATOS?

El responsable del tratamiento de sus datos personales es la sociedad Originpath, S.L., con
N.I.F.B-87624888 y domicilio social en C/ los Nardos 12, 3ºA, Alcorcón, 28925, Madrid. Con el fin de garantizar el adecuado cumplimiento de la normativa de protección de datos personales, ORIGINPATH ha nombrado un delegado de protección de datos (DPO) al que podrá dirigirse para plantear cualquier cuestión relativa al tratamiento de sus datos personales. Para ello, podrá remitir sus consulta o petición con el asunto “Protección de datos” a la siguiente dirección electrónica: rgpd@originpath.com .

¿CON QUÉ FINALIDAD TRATAMOS SUS DATOS Y SOBRE QUÉ BASE LEGITIMADORA LO HACEMOS?

ORIGINPATH tratará sus datos para la realización de las siguientes finalidades:

- En base a la ejecución de relaciones contractuales o precontractuales: Por motivo de la ejecución de los servicios ofertados por ORIGINPATH que usted haya contratado o interese contratar en un futuro, podremos tratar sus datos para:

1) Desarrollar los servicios de confianza electrónica contratados por el interesado.

2) Gestionar las consultas y solicitudes que podamos recibir a través de los medios habilitados a tal fin, lo que implica la gestión de relaciones precontractuales por parte de ORIGINPATH.

- En base al consentimiento otorgado: En caso de que otorgue el oportuno consentimiento al efecto a través de alguno de los medios habilitados para ello, podremos usar sus datos para:

1 Realizar un perfil de su persona con el fin de realizar estudios estadísticos y comportamentales destinados a conocer sus hábitos y preferencias como usuario de nuestros productos y servicios.

2 Enviarle información comercial de ORIGINPATH basada en su perfil, con el fin de darle a conocer otros productos y servicios de ORIGINPATH que puedan ser de su interés.

¿QUÉ TIPO DE DATOS TRATAMOS?

La ejecución de los servicios de confianza de ORIGINPATH implica el tratamiento de las siguientes categorías de datos:

-Datos identificativos, como el nombre o apellidos del interesado.

-Datos de contacto, como son el mail o el número de teléfono de los usuarios de nuestros servicios.

-Datos biométricos, como es la captación del trazo utilizado para representar la firma de los participantes.

-Otros, como son los datos derivados de las acciones de navegación que lleva acabo durante la navegación por nuestra web.

-Datos de geolocalización, en caso de otorgar los consentimientos oportunos (en el dispositivo empleado) y en caso de que el gestor del proceso de firma electrónica configure el parámetro de activación de la geolocalización de los firmantes.

Todos estos datos son obtenidos directamente del interesado, bien de forma directa a través de la propia acción del usuario, o de forma indirecta, como es a través de las cookies y la información habilitada por el usuario durante su navegación.

¿DURANTE CUÁNTO TIEMPO TRATAREMOS SUS DATOS?

Sus datos serán tratados en tanto se mantenga la vigencia de los servicios prestados por ORIGINPATH. Una vez cumplida dicha finalidad, los datos se mantendrán bloqueados durante los plazos legalmente exigidos, momento a partir del cual se procederá a su definitiva supresión. Con carácter general, y considerando la naturaleza de la relación que se puede formalizar entre usted y ORIGINPATH, sus datos podrán ser conservados durante un período de 5 años, conforme a los plazos de prescripción de reclamaciones establecido en la normativa civil.

¿A QUIÉN COMUNICAREMOS SUS DATOS?

La ejecución de los servicios de confianza electrónicos de ORIGINPATH no implicará la comunicación de datos a terceros, salvo en aquellos supuestos en los que, por cumplimiento de las obligaciones legales que nos son de obligación, deban comunicarse por aplicación de algún precepto legal o por requerimiento de una Autoridad competente. No obstante, debemos indicar que, en el contexto de nuestros servicios, ORIGINPATH puede tener la necesidad de externalizar parte de los mismos a terceras entidades para poder garantizar el adecuado desarrollo de las condiciones acordadas con sus usuarios. Esta acción se formalizará conforme a las exigencias de la normativa de protección de datos y, si bien esta acción se considera una comunicación de datos a terceros, a continuación le indicamos los datos de las sociedades que participan de nuestra actividad:

- AMAZON WEB SERVICES SPAIN, S.L.: CIF B-86339595. Vía De La Dos Castillas, 33. CP 28224 de Pozuelo de Alarcón (MADRID). Esta entidad gestiona los servicios de almacenamiento y custodia de las evidencias que generamos durante nuestros servicios.

- MASVOZ TELECOMUNICACIONES INTERACTIVAS, S.L.U. (TWILIO para España): con N.I.FB 62959077 y domicilio social en Travessera de Gràcia 17-21, 1ª planta, 08021, Barcelona (España). Esta entidad gestiona el envío de SMS.

En cualquier caso, ninguna de las comunicaciones de datos o servicios externalizados por ORIGINPATH implicara la comunicación de sus datos fuera del Espacio Económico Europeo. Los servidores del proveedor AWS se encuentran ubicados en Francia.

¿QUÉ DERECHOS LE ASISTEN?

Conforme a lo dispuesto en la normativa de protección de datos personales, le informamos sobre los derechos que le asisten con relación al tratamiento de sus datos personales:

- Tiene derecho a ACCEDER a sus datos, conociendo qué información tratamos sobre usted y para qué fines.

- Tiene derecho a OPONERSE al tratamiento de sus datos, en aquellos supuestos que así se lo habiliten.

- Tiene derecho a la RECTIFICACIÓN de sus datos, pudiendo solicitar la corrección o modificación de cualquier información que sea imprecisa.

- Tiene derecho a solicitar la SUPRESIÓN de sus datos. En su caso, procederemos a su bloqueo conforme a los plazos legalmente establecidos antes de proceder a su definitiva destrucción.

- Tiene derechos a solicitar la PORTABILIDAD de sus datos a través de un formato estructurado y de uso común que permita su comunicación a otro responsable del tratamiento.

- Bajo ciertas condiciones, tiene derecho a solicitar la LIMITACIÓN del tratamiento de sus datos tales como, por ejemplo, cuando dichos datos sean objeto de una rectificación, en tanto dicha acción se concrete.

- Tiene derechos a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD), en caso de que considere que sus datos personales no han sido tratados conforme a lo dispuesto en la normativa aplicable.


ENCARGO DEL TRATAMIENTO

Los servicios prestados por ORIGINPATH, que se desarrollan por petición expresa de una de las partes intervinientes, tienen encaje en el desarrollo de una relación de encargo del tratamiento. Ello obedece a la circunstancia de que la participación de ORIGINPATH implica que su intervención como Prestador de Servicios de Confianza quede supeditada a la ejecución de una tarea cuyos fines y propósitos son determinados por el cliente de ORIGINPATH, que ostenta la consideración de responsable del tratamiento. Esta situación no afecta a las garantías de imparcialidad ni la presunción de veracidad de las acciones acometidas por ORIGINPATH ya que, conforme a lo dispuesto en el
art. 25 LSSI, es una actuación expresamente reconocida en la normativa aplicable en la que únicamente se podrán generar las oportunas evidencias de los efectivamente acordado por las partes. Debido a lo anterior, ORIGINPATH formaliza la ejecución de sus servicios conforme al modelo que se facilita a continuación, sin perjuicio de las acciones específicas que se puedan acordar particularmente con cada cliente.


CONTRATO DE ENCARGO DE TRATAMIENTO

Como complemento al contrato firmado entre las partes (en adelante, el Contrato) el [-] entre ORIGINPATH (en adelante, ENCARGADO) y __________________ (en adelante, el RESPONSABLE o el CLIENTE), se pacta entre ambas partes el siguiente contrato de encargo de tratamiento.

1 Objeto.

El presente acuerdo tiene por objeto definir las condiciones conforme a las cuales el ENCARGADO llevará a cabo el tratamiento de datos personales que resulten necesarios para la prestación de los servicios objeto del Contrato, y del que el presente Contrato de Encargo de Tratamiento trae causa.

2 Obligaciones del ENCARGADO.

El ENCARGADO DE TRATAMIENTO, llevará a cabo el tratamiento de datos personales derivado de la prestación del servicio contratado, de conformidad con las siguientes obligaciones:

- Limitarse a realizar, exclusivamente, las actuaciones que resulten necesarias para prestar al RESPONSABLE el Servicio contratado, sometiéndose a las instrucciones que le indique, inclusive con respecto a las transferencias de datos personales a un tercer país o a una organización internacional salvo el caso de cumplimiento de una obligación legal, en tal caso, informará al RESPONSABLE de esa exigencia legal previa al tratamiento. Si el ENCARGADO considera que alguna instrucción infringe la legislación vigente, informará inmediatamente al RESPONSABLE.

- Mantener un registro, por escrito, de todas las actividades de tratamiento efectuadas por cuenta del RESPONSABLE, que contenga al menos: identificación de autorizados; categorías de tratamientos y una descripción general de las medidas técnicas y organizativas de seguridad adoptadas.

- Comprometerse a guardar bajo su control y custodia los datos personales accedidos y a no comunicarlos en modo alguno a terceros.

- Dar apoyo al RESPONSABLE en la realización de las evaluaciones de impacto relativas a la protección de datos, cuando proceda, así como en la realización de las consultas previas a la autoridad de control, cuando proceda.

- Poner a disposición del RESPONSABLE toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el RESPONSABLE u otro auditor autorizado por él.

- Asistir al RESPONSABLE en la respuesta al ejercicio de los derechos de los interesados debiendo dar traslado de la solicitud de forma inmediata y, a no más tardar, dentro del plazo de tres días naturales a contar desde su recepción.


3 Seguridad de los datos personales.

El ENCARGADO implantará las medidas de seguridad y mecanismos establecidos en el artículo 32 del RGPD para:

- Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.

- Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.

- Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento.

- Seudonimizar y cifrar los datos personales, en su caso.

Asimismo, el ENCARGADO DE TRATAMIENTO deberá adoptar todas aquellas medidas técnicas y organizativas que, a tenor del análisis de riesgo efectuado por el RESPONSABLE, éste considere que resultan necesarias para garantizar un nivel de seguridad adecuado, teniendo en cuenta el estado de la técnica y el coste de su aplicación con respecto a los riesgos y la naturaleza de los datos personales que deban protegerse.

4 Notificación de violaciones de la seguridad de los datos.

El ENCARGADO deberá notificar al RESPONSABLE, sin dilación indebida, y en cualquier caso antes del plazo máximo de 72 horas, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, incluyendo toda la información relevante para la documentación y comunicación de la incidencia.

El ENCARGADO facilitará, como mínimo, la descripción de la naturaleza de la violación de la seguridad de los datos personales, el punto de contacto en el que pueda obtenerse más información, análisis de las posibles consecuencias de la violación de la seguridad de los datos personales y descripción de las medidas adoptadas o propuestas para mitigar los posibles efectos negativos. Si no fuera posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.

5 Deber de confidencialidad.

El ENCARGADO queda obligado a guardar secreto durante la vigencia del contrato y, en función de la tipología de información de que se trate, durante los plazos máximos previstos en la legislación vigente. Asimismo, garantizará que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de lo que informará al RESPONSABLE poniendo, además, a su disposición la documentación acreditativa del cumplimiento de esta obligación.

6 Deber de información.

Corresponde al RESPONSABLE facilitar el derecho de información en el momento de la recogida de los datos.

7 Obligación de devolución de los datos.

Una vez cumplida la prestación del servicio objeto del Contrato, el ENCARGADO se compromete a destruir aquella información que contenga datos de carácter personal que haya sido transmitida por el RESPONSABLE al ENCARGADO con motivo de la prestación del Servicio. Una vez destruidos, emitirá un certificado de destrucción al RESPONSABLE donde se relacionará la información, soportes físicos y documentación destruidos. Sin perjuicio de lo anterior, el ENCARGADO podrá conservar, una vez finalizada la relación mantenida con el RESPONSABLE, los datos personales afectados por la prestación de los servicios, debidamente bloqueados, en cumplimiento de obligaciones legales y ante la posibilidad de ser necesarios para el ejercicio, formulación o defensa de acciones y reclamaciones, durante el plazo legal que sea fijado en cada caso o durante el tiempo que resulte preciso para dichas finalidades.


8 Subcontratación.

El ENCARGADO no recurrirá a otro encargado sin la autorización previa por escrito del RESPONSABLE. Si fuera necesario subcontratar algún tratamiento, este hecho se deberá comunicar previamente y por escrito al RESPONSABLE, indicando los tratamientos que se pretende subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto.

Corresponde al ENCARGADO inicial regular la nueva relación de conformidad con el artículo 28 del RGPD, de forma que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, el ENCARGADO inicial seguirá siendo plenamente responsable ante el RESPONSABLE en lo referente al cumplimiento de las obligaciones.

El RESPONSABLE autoriza expresamente al ENCARGADO a sub-contratar con los siguientes proveedores:

- AMAZON WEB SERVICES SPAIN, S.L.: CIF B-86339595. Vía De La Dos Castillas, 33. CP28224 de Pozuelo de Alarcón (MADRID). Esta entidad gestiona los servicios del almacenamiento y custodia de las evidencias que generamos durante nuestros servicios.

- MASVOZ TELECOMUNICACIONES INTERACTIVAS, S.L.U. (TWILIO para España): con N.I.FB 62959077 y domicilio social en Travessera de Gràcia 17-21, 1ª planta, 08021, Barcelona (España). Esta entidad gestiona el envío de SMS.

9 Responsabilidades.

Si el ENCARGADO infringe lo establecido en el RGPD al determinar los fines y medios del tratamiento será considerado responsable del tratamiento con respecto a dicho tratamiento, debiendo mantener indemne al RESPONSABLE de cualquier daño ocasionado como consecuencia del incumplimiento del presente acuerdo.

Y en prueba de conformidad con cuanto antecede y con voluntad de obligarse desde su fecha,las partes firman el presente documento en duplicado ejemplar en el lugar y fecha indicados.

El RESPONSABLE

D/Dña _________________


El ENCARGADO


D/Dña _________________



¿Tienes dudas? Contacta con nosotros. Seguro que podemos ayudarte.

Gracias tu petición ha sido recibida :D

En breves momentos alguien del departamento comercial se pondrá en
contacto contigo.
Oops! Something went wrong while submitting the form.