Condicions Generals

1. INTRODUCCIÓN Y FINALIDAD

Éste documento, surge como a propuesta específica por el Cliente, de modo que dertermina las condiciones económicas y de servicio en el ámbito de la adecuación a las Normas de Privacidad, concretamente la Ley Calificada 29/2021 de Protección de Datos de Andorra (en adelante “LQPDP”).

La LQPDP, relativa a la protección de las personas físicas en cuanto al tratamiento de sus datos personales y a la libre circulación de éstas, imponen a las empresas que las tratan una serie de obligaciones para garantizar que se respeten los derechos de las personas afectadas reconocidas en esta ley.

La constante e imparable evolución tecnológica de nuestra sociedad es un hecho innegable que configura y provoca cambios significativos en nuestra vida cotidiana. Esta evolución tecnológica genera importantes cambios sociales. Indudablemente, las nuevas tecnologías se han convertido en una parte intrínseca de nuestra vida. Esta situación requiere que tanto los ciudadanos como los legisladores de todos los países se mantengan al día y propongan cambios que salvaguarden y garanticen las libertades y derechos individuales de los ciudadanos. En 2021, se promulgó la LQPDP y se aprobó en 2022 su Reglamento de aplicación. La LQPDP entró en vigor en mayo de 2022 y establece nuevas obligaciones para quienes manipulan datos personales.

Atendiendo a la normativa de aplicación y a las conversaciones mantenidas, es la nuestra entendimiento que el Cliente tiene como objetivo relevante proceder al cumplimiento del principio de Responsabilidad Proactiva que emana de esta novedosa legislación, garantizando que la organización en materia de privacidad, esté perfectamente adecuada, contratante los servicios más profesionales necesarios a tal efecto, que garanticen ese cumplimiento.

Por tal de llevar a cabo la finalidad de esta Propuesta, desde de COMPLIANCE 360, SL (en adelante “XPERT”) aportaremos todo el nuestro conocimiento y saber hacer y llevaremos las tareas y cometidos necesarios para lograrlo.

Este documento determina no sólo los costes de la revisión, el servicio de Auditoría, la Evaluación de Impacto de los tratamientos susceptibles y el Análisis de Riesgo, sino también las condiciones y necesidades de recogida de información para la realización de un proyecto de esa índole, definiendo así los modos de actuación para el Cliente. Igualmente planteamos el servicio específico de Delegado de Protección de Datos (DPO) como servicio adicional aunque no sea legalmente obligatorio.

2. XPERT

XPERT es una consultoría especializada en un amplio abanico de disciplinas legales y en asesoría por el CUMPLIMIENTO NORMATIVO empresarial, ofreciendo servicios y soluciones específicas, para la adaptación y adecuación en el cumplimiento de las normativas, principalmente en el ámbito Legal- Tech , así como la defensa de los derechos personales de los afectados.

Con la experiencia acumulada de más de 20 años de nuestros asesores en el sector jurídico, tanto en Andorra como en la Unión Europea, así como en Tecnologías de la Información y las Comunicaciones (TIC), somos una referencia al integrar los ámbitos jurídico, técnico y económico, ofreciendo soluciones legales personalizadas según las necesidades presentadas.

XPERT aporta no sólo conocimiento y background sino a más, los reconocimientos, y certificaciones oficiales internacionales en RGPD, para llevar a cabo el desarrollo exitoso de los proyectos. Disponemos del equipo humano, conocimiento, experiencia, metodología y herramientas necesarias para asegurar el éxito de proyectos de cualquier tamaño y alcance.

Nuestra filosofía se centra en la atención personalizada a nuestros clientes, con la ambición de establecer relaciones de largo plazo, con el objetivo fundamental de involucrarnos en ayudarles a crear valor sostenible.

3. DESCRIPCIÓN Y ALCANCE DE LOS SERVICIOS OFRECIDOS

XPERT proporciona un servicio integral específicamente diseñado para el cumplimiento de la normativa de privacidad, incluyendo asesoramiento, gestión y mantenimiento técnico-legal para la adaptación y actualización de empresas y profesionales según la LQPDP, entre otros, incluyendo la formación del responsable, el acceso a consultoría y la realización de las auditorías que obliga a la nueva legislación vigente.

XPERT utiliza sus conocimientos para guiar a los clientes a través del proceso de adaptación a la LQPDP, optimizando la seguridad de los sistemas informáticos y la organización de la documentación, actuando como repositorio de evidencias a través de un software específico diseñado por cubrir todas las necesidades requeridas.

El objetivo del servicio es alcanzar un compromiso de confidencialidad entre la organización y las personas que le han cedido sus datos personales, protegiéndolos ante cualquier riesgo derivado del incumplimiento de la normativa, motivados por las denuncias y sanciones que se puedan derivar.

Adaptación / Revisión y actualización a las normas

  • Recogida, comprobación e introducción de datos en una aplicación on-line específica .

  • Auditoría de los sistemas de seguridad implantados por cumplir con la normativa de privacidad.

  • Estructuración técnico- organizativa de la organización por departamentos o centros de servicio.

  • Identificación de los archivos y tratamientos de datos.

  • Adopción de las medidas de seguridad necesarias por cumplir con la normativa vigente.

  • Implantación / Revisión del deber de información y ejercicio de los derechos de los interesados a la empresa y en la web.

  • Elaboración de contratos de confidencialidad con el personal y las empresas externas.

  • Activación del registro de incidencias y peticiones de derechos de los interesados.

Asesoramiento / mantenimiento

  • Actualización a los cambios de normativa en protección de datos y nuevas directrices que puedan ir saliendo.

  • Revisión y actualización, previo aviso del cliente, de los cambios internos técnico-organizativos y gestión de registros.

  • Creación, modificación y eliminación de archivos de datos personales.

  • Solución de los requerimientos de los derechos del interesado: acceso, rectificación, supresión, portabilidad, limitación y oposición.

  • Soporte técnico de uso y funcionamiento de la aplicación on line.

  • Apoyo legal para resolver cualquier duda e incidencia relativa al cumplimiento de la legislación en protección de datos.

  • Procesos de Evaluación de Impacto previos a la implantación de un Tratamiento según prescribe el artículo 32 de la LQPDP, bajo previo aviso del cliente.

  • Análisis de Riesgos relativos a los procesos de Evaluación descritos previamente.

4. SERVICIOS DPO

La nueva legislación LQPDP, en sus artículos 38 y 39, introduce una figura innovadora, el Delegado de Protección de Datos (DPO), que, siendo nueva, es reconocida en todas las legislaciones mundiales de protección de datos. Esta figura ofrece garantías de cumplimiento tanto para las empresas obligadas por ley como para las que decidan incorporarla voluntariamente a su organización.

En XPERT ofrecemos un servicio integral de DPO, si así queda convenido en las condiciones particulares, que incluye el mantenimiento y asesoramiento en conformidad con la normativa de privacidad, utilizando el software específico mencionado anteriormente.

Nuestro servicio de DPO tiene como principal objetivo cumplir con la obligación legal de algunas organizaciones de designar esta figura jurídica según la LQPDP. Además, busca establecer un compromiso de confidencialidad entre la organización y las personas o empresas externas que procesan sus datos personales, protegiendo así a la organización ante los riesgos de incumplimiento de la normativa y las posibles consecuencias como denuncias o sanciones.

4.1. Designación del DPO

Según los artículos 38 y 39 de la LQPDP, el responsable o el encargado del tratamiento están obligados a designar a un Delegado de Protección de Datos (DPO) en los siguientes casos:

a) Cuando el tratamiento sea realizado por autoridad u organismo público.

b) Cuando las principales actividades de la empresa impliquen operaciones de tratamiento que, debido a su naturaleza, alcance y/o finalidades, requieran una monitorización habitual y sistemática de los interesados a gran escala.

c) Cuando las principales actividades de la empresa impliquen el tratamiento a gran escala de categorías especiales de datos personales o de datos relacionados con condenas e infracciones penales.

Además, el responsable o el encargado del tratamiento pueden designar un DPO de forma voluntaria como medida de precaución y/o para reforzar su reputación, con el objetivo de cumplir con sus obligaciones en materia de protección de datos personales.

La designación del DPO será efectiva mediante la firma del formulario correspondiente disponible en la página web de la Agencia Andorra de Protección de Datos, quedando bien entendido que la aceptación de la oferta de XPERT no implica de por sí una designación de DPO.

4.2. Servicio de intervención como DPO

El DPO ejercerá sus funciones con la debida atención a los riesgos asociados a las operaciones de tratamiento realizadas por el cliente, teniendo en cuenta la naturaleza, alcance, contexto y fines del tratamiento. Las principales funciones del DPO incluyen:

  • Informar y asesorar al personal del cliente sobre las obligaciones que les incumben en relación con la normativa de privacidad.

  • Supervisar y orientar al cliente respecto a:

    • La distribución de responsabilidades entre el personal del cliente.

    • La concienciación y formación del personal involucrado en el tratamiento.

    • La conformidad con la vigente normativa de privacidad.

    • Las políticas y auditorías relacionadas con la protección de datos.

    • Servir de punto de contacto con la Autoridad de control y cooperar con ella.

    • Actuar como interlocutor con los titulares de datos en lo que se refiere al tratamiento de sus datos y el ejercicio de sus derechos.

  • En caso de realización de una Evaluación de Impacto sobre la Protección de Datos (DPIA) por parte del cliente, el DPO asumirá funciones como:

    • Asesorar en la elaboración de la Evaluación de Impacto y formar parte del equipo redactor.

    • Gestionar la consulta previa a la Autoridad de control (Agencia Andorrana de Protección de Datos) y realizar su pertinente seguimiento.

    • Supervisar la correcta aplicación de la DPIA.

4.3. Posición del DPO delante el cliente

De acuerdo con lo que prevén los artículos 38 y 39 de la LQPDP, el cliente debe:

  • Asegurarse de que el DPO esté involucrado de forma adecuada ya tiempo en todas las cuestiones relacionadas con la protección de datos personales.

  • Proporcionar al DPO los recursos necesarios para realizar sus tareas y el acceso a los datos personales ya los procesos de tratamiento.

  • Soportar al DPO en su formación continua para mantener su nivel de experiencia especializada.

  • Garantizar que el DPO no recibe instrucción alguna respecto al ejercicio de sus funciones y que no puede ser despedido ni sancionado por realizar sus tareas.

  • Cerciorarse de que el DPO se reporte al nivel más alto de la jerarquía dentro de la empresa.

5. PRECIO Y DURACIÓN

El precio del servicio propuesto queda definido en las CONDICIONES PARTICULARES.

Todas las tarifas incluidas en las CONDICIONES PARTICULARES se actualizarán automáticamente según el incremento de precios al consumo, publicado por el Departamento de Estadística del Gobierno de Andorra a primeros de cada año natural, con efectos retroactivos desde el inicio del año natural.

XPERT tiene identificadas, por los clientes que no disfrutan de los servicios DPO indicados en el punto 4. de las presente Condiciones Generales, las siguientes categorías de clientes:

Categoría

Micro empresa

Pequeña empresa

Mediana empresa

Gran empresa

a efectos de determinar su tarifa de aplicación, en función:

a) del número de empleado/s, titular/sy/o de administrador/s,

b) de la cifra de negocio anual, y

c) del número de clientes.

A petición de XPERT, el Ciento deberá responder a toda encuesta que le sea sometida para determinar en qué categoría de (a) número de empleado/s, titular/sy/o de administrador/s, (b) de cifra de negocio anual, y (c) de número de clientes, se sitúa, según lo indicado en el cuadro que aparece arriba.

La respuesta a la encuesta permitirá actualizar su tarifa de aplicación, lo que XPERT comunicará al Cliente.

A falta de respuesta a la encuesta sometida en un plazo de dos semanas, XPERT se reservará el derecho a modificar unilateralmente la categoría en la que el Cliente se sitúa, con la correspondiente modificación de tarifa de aplicación, lo que se comunicará al Cliente.

XPERT se reserva el derecho de modificar unilateralmente las variables incluidas en el cuadro que aparece más arriba, las categorías de clientes y/o la tarifa de aplicación por cada una de ellas.

Este contrato de servicios tendrá una duración mínima de dos años a partir de la fecha del contrato, renovable automáticamente si cualquiera de las partes no comunica por escrito a la otra la rescisión del contrato con una antelación mínima de 60 días a la renovación prevista. En caso de finalización del contrato de forma anticipada por unos motivos no imputables a XPERT, ésta última podrá reclamar al Cliente una indemnización correspondiente al 80% de los pagos presupuestados hasta la finalización de la duración mínima de dos años.

6. DOCUMENTACIÓN

XPERT elaborará toda la documentación con la información facilitada por el cliente, por la algo no se responsabiliza de la exactitud, actualización y validez de ésta.

7. REPRESENTACIÓN

El cliente autorizará al personal de XPERT a actuar en su representación para encargarse de todas aquellas gestiones que deban realizarse ante la Autoridad de Control y otros organismos oficiales que puedan existir competentes en materia de protección de datos, a fin de cumplir con lo que disponen las normativas de privacidad.

8. CONFIDENCIALIDAD Y RESPONSABILIDAD

El contenido de esta propuesta sólo podrá modificarse mediante acuerdo mutuo y por escrito entre el Cliente y XPERT. Estas modificaciones sólo podrán realizarse antes de la aceptación de esta propuesta oa través de un contrato de servicio específico formalizado entre el Cliente y XPERT, antes del inicio de los trabajos.

Los términos incluidos en esta propuesta, como la descripción del trabajo a realizar, los equipos, calendarios y honorarios, se considerarán como condiciones contractuales del proyecto, salvo que un contrato separado estipule lo contrario o se modifiquen según dicho acuerdo anteriormente.

Esta propuesta contiene información confidencial respecto a los métodos de trabajo de XPERT y otros detalles pertinentes. El Cliente tendrá acceso a información adicional de similar naturaleza durante el desarrollo del proyecto. Se reconoce expresamente que esta información es confidencial y no debe ser divulgada a terceros fuera del Cliente, ni utilizada para ningún otro propósito.

XPERT se compromete a mantener las medidas de seguridad técnicas y organizativas necesarias para el tratamiento de datos personales cumpliendo con todos los requisitos legales. Además, XPERT se compromete a no utilizar esta información para tratamientos no especificados en esta propuesta y destruir los datos cuando legalmente corresponda. Toda la información personal recopilada para la realización del trabajo encargado será tratada respetando los derechos ARCO, como está reconocido en la normativa aplicable.

9. PROTECCIÓN DE DATOS

La ejecución de los servicios descritos en esta propuesta implica que XPERT debe procesar datos personales por cuenta del Cliente, de acuerdo con los plazos estipulados en la normativa vigente aplicable. Por tanto, con la firma de esta Propuesta, el Cliente autoriza a XPERT a procesar los datos personales que sean necesarios para la prestación de los servicios especificados.

Los procesamientos de datos que XPERT podrá realizar incluyen, sin limitación, la recogida, estructuración, conservación, consulta, verificación cruzada, supresión, registro, extracción, comunicación por transmisión, limitación, destrucción, difusión, comunicación, modificación, interconexión y cualquier otro procesamiento necesario para cumplir con el objetivo de esta Propuesta.

XPERT, su personal y colaboradores se comprometen a procesar sus datos personales exclusivamente para la finalidad establecida en esta Propuesta y no los utilizarán para ningún otro propósito. Si por cualquier motivo no pudieran cumplir con esta obligación, se obligan a informar de inmediato al Cliente, que podrá suspender la transferencia de datos si lo considera necesario.

Asimismo, se comprometen a seguir las instrucciones del Cliente en cuanto al tratamiento de datos ya mantener la confidencialidad de los mismos, incluido después de la finalización de la Propuesta. Asegurarán que el personal autorizado a procesar sus datos personales se obligue formalmente a respetar la confidencialidad ya cumplir con las medidas de seguridad adecuadas.

XPERT conservará la documentación acreditativa del cumplimiento de sus obligaciones y garantizará la formación necesaria en materia de protección de datos al personal autorizado para tratar datos personales.

Los datos no serán comunicados a terceros sin la autorización expresa del Cliente, salvo en los casos permitido por la ley. XPERT podrá compartir los datos con otros procesadores según las instrucciones del Cliente, que deberá identificar previamente por escrito a la entidad receptora, los datos a compartir y las medidas de seguridad a implementar.

Es responsabilidad de XPERT notificar a la Autoridad de Protección de Datos Andorrana cualquier violación de seguridad en relación con el procesamiento de datos por parte de XPERT, colaborando con el Cliente para asegurarse de que la notificación cumple con los requisitos legales y los plazos establecidos.

También responderá sin demora a:

  • Cualquier requerimiento legal para la divulgación de datos personales, especialmente por parte de entidades judiciales o fuerzas de seguridad.

  • Cualquier acceso o difusión no autorizado a terceras partes no autorizadas.

XPERT conservará registros electrónicos de todas las operaciones efectuadas en el tratamiento de datos personales, incluyendo la identificación de los responsables del procesamiento.

Se compromete a dar respuesta a cualquier solicitud de información por parte del Cliente, o a un tercero designado por ella, sobre los procedimientos y herramientas utilizadas para asegurar la confidencialidad y seguridad de los Datos Personales. Implementará las medidas técnicas y organizativas necesarias para garantizar la seguridad de sus datos personales, evitando su alteración, pérdida, procesamiento o acceso no autorizado.

XPERT implementará mecanismos para asegurar la confidencialidad, integridad, disponibilidad y resiliencia constantes de los sistemas y servicios de tratamiento de datos. Asimismo, se compromete a pseudonimizar y cifrar los datos personales cuando sea apropiado ya conservar una copia de los datos con las debidas restricciones cuando sea legalmente necesario.

Por último, XPERT se abstendrá de transferir datos personales fuera del marco establecido en el Capítulo quinto de la LQPDP sin el consentimiento previo del Cliente, asegurando que se cumplen las formalidades legales requeridas. No se cederán datos a terceros sin obligación legal y no están previstas transferencias internacionales sin el consentimiento apropiado.

En caso de aceptación de esta Propuesta, XPERT firmará los contratos correspondientes como Encargado de Tratamiento y eventualmente como Delegado de Protección de Datos.

10. ACEPTACIÓN DE LA OFERTA

Con la firma de las CONDICIONES PARTICULARES, el cliente acepta también las presentes CONDICIONES GENERALES referentes a la prestación de los servicios detallados en los párrafos anteriores.

Número de empleado/s, titular/s y/o administrador/s

1

de 2 de 4

de 5 a 24

más de 25

Facturación en Euros

- de 100 K

de 100 K a 200 K

de 200 K a 6 M

más de 6 M

Número de clientes

- de 50

de 50 a 99

de 100 a 1 K

más de 1 K