Acuerdo de tratamiento de datos personales

1. OBJETO

El presente acuerdo de Tratamientos de Datos personales (en lo sucesivo, el «Acuerdo») forma parte íntegra del Contrato. El objeto del Acuerdo es definir las condiciones en las que Yousign se compromete a llevar a cabo los Tratamientos de los Datos personales proporcionados como parte de la ejecución de los Servicios con arreglo al artículo 28 del Reglamento (UE) 2016/679 (en lo sucesivo, el «RGPD»). 

El presente Acuerdo entra en vigor en el momento de la firma del Contrato al que se adjunta y permanece en vigor mientras la relación contractual entre Yousign y el Suscriptor/Usuario esté en vigor.

2. DEFINICIONES 

Todos los términos en mayúsculas no definidos en el presente Acuerdo tendrán el significado que se les atribuye en este documento.

3. DESCRIPCIÓN DE LOS TRATAMIENTOS

Con el único fin de ejecutar el Contrato, el Suscriptor/Usuario autoriza a Yousign a llevar a cabo en su nombre los Tratamientos de Datos personales (en lo sucesivo, los «Tratamientos encomendados») necesarios para prestar los Servicios.

4. CUALIFICACIÓN DE LAS PARTES

Para todos los Tratamientos encomendados en el marco de la ejecución del Contrato, las Partes reconocen expresamente que el Suscriptor/Usuario es el Responsable del tratamiento, y que Yousign es un Encargado del tratamiento.

El Usuario/Suscriptor autoriza a YouSign a procesar, en nombre del Responsable del tratamiento, los Datos personales necesarios para prestar los Servicios. Todos los Tratamientos llevados a cabo por Yousign en su calidad de Responsable del tratamiento se mencionan en la Política de privacidad disponible en el Sitio web. 

5. SELECCIÓN DE SERVICIOS

El Suscriptor/Usuario es el único responsable de la elección de los Servicios y debe asegurarse de que los Servicios a los que se suscribe para llevar a cabo sus actividades tienen las características y condiciones que requiere.

6. CUMPLIMIENTO DE LA NORMATIVA APLICABLE

Cada una de las Partes se compromete a ejecutar el Contrato con arreglo a las Leyes y normativas aplicables a la protección de Datos personales, y a cumplir en todo momento en la ejecución del Contrato con las obligaciones que le sean aplicables, en particular las disposiciones del RGPD.

7. OBLIGACIONES DEL SUSCRIPTOR/USUARIO COMO RESPONSABLE DEL TRATAMIENTO DE DATOS

El Suscriptor/Usuario, en calidad de Responsable del tratamiento, está obligado a cumplir las obligaciones que le impone el RGPD. En particular, es el único responsable de (i) la licitud de los Tratamientos que se le encomiendan, en particular en lo que respecta a los principios y obligaciones establecidos por las Leyes y normativas aplicables en materia de protección de Datos personales relativos, en particular, a la base jurídica de los Tratamientos que se le encomiendan y a los datos de las Personas implicadas; (ii) el uso de la Plataforma, los Servicios y los Documentos que cumplimente, deposite, almacene, archive, consulte, descargue y/o elimine de la Plataforma; (iii) el mantenimiento del registro de los Tratamientos; y (iv) si procede, el cumplimiento de los trámites previos a la ejecución del Tratamiento.

El Suscriptor/Usuario se compromete a facilitar a Yousign los datos mencionados en el apéndice 1 con el fin de permitir a esta prestar los Servicios de Firma electrónica, y a supervisar los Tratamientos encomendados, incluso mediante auditorías en las condiciones descritas en el artículo «Auditorías».

El Suscriptor/Usuario se compromete a designar a una persona de contacto que represente al Responsable del tratamiento, y a comunicar sus datos de contacto a Yousign a través de la Cuenta de Organización.

El Suscriptor/Usuario también es responsable de su uso de los Servicios y, en particular, de la protección y seguridad de los Datos personales en tránsito hacia y desde la Plataforma.

8. OBLIGACIONES DE YOUSIGN COMO ENCARGADO DEL TRATAMIENTO

8.1. Cumplimiento de las instrucciones. Yousign se compromete a procesar los Datos personales únicamente para los fines descritos en el presente Acuerdo o, si se acuerda lo contrario, en el marco de las Instrucciones Legales del Suscriptor/Usuario. 

Si Yousign considera que una Instrucción constituye un incumplimiento del RGPD o cualquier otra disposición de las leyes y normativas aplicables relativas a la protección de Datos personales, Yousign informará inmediatamente al Suscriptor/Usuario. 

El compromiso de Yousign se limita a la prestación de los Servicios y al alojamiento de la Plataforma. En cuanto el Responsable del tratamiento introduzca Datos personales en la Plataforma, deberá cumplir las disposiciones legales sobre protección de Datos personales, en particular la información y el consentimiento de los Interesados, si procede. 

8.2. Privacidad. Yousign se reserva el acceso a los Datos personales que le han sido confiados únicamente a aquellos de sus empleados y posteriores encargados del tratamiento que necesiten acceder a los mismos para llevar a cabo sus funciones en el marco de la ejecución del Contrato. Yousign se compromete a garantizar que todos estos destinatarios estén sujetos a obligaciones de privacidad equivalentes a las mencionadas en el presente Acuerdo.

8.3. Seguridad de los Tratamientos encomendados. Yousign se compromete a adoptar y mantener las medidas técnicas y organizativas apropiadas para proteger los Datos personales contra cualquier incumplimiento, tal y como se describe en la página Seguridad. Yousign podrá modificar o actualizar estas medidas de seguridad a su entera discreción, siempre que dicha modificación o actualización no suponga una reducción del nivel de seguridad. 

8.4. Encargados del tratamiento. Yousign cuenta con la autorización general del Usuario/Suscriptor para recurrir a los encargados del tratamiento enumerados aquí. Yousign se compromete a informar por escrito a cada Usuario/Suscriptor, con treinta (30) días de antelación, de cualquier cambio previsto relativo a la adición o sustitución de Encargados del tratamiento. 

Si el Usuario/Suscriptor tiene motivos legítimos y razonables para oponerse a la designación de un nuevo Encargado del tratamiento, el Usuario deberá justificar inmediatamente su objeción a Yousign mediante el envío de una carta al Departamento de Asistencia, dentro de los treinta (30) días siguientes a la notificación emitida por Yousign; en caso contrario, se considerará que el Usuario/Suscriptor ha aprobado y aceptado los cambios. 

Tras las conversaciones y a falta de acuerdo entre Yousign y el Usuario/Suscriptor, el Usuario/Suscriptor podrá, en un plazo de treinta (30) días a partir de la notificación, rescindir la parte del Contrato a la que atañe la actualización en cuestión. 

En cualquier caso, Yousign se compromete a actuar con la debida diligencia a la hora de evaluar, designar y supervisar las actividades de Tratamiento de los encargados del tratamiento. Los Encargados del tratamiento deberán ofrecer garantías suficientes con respecto a las obligaciones aplicables a la seguridad y privacidad de los Datos personales que se les confíen, y deberán estar vinculados por obligaciones para con Yousign que sean idénticas o equivalentes a las establecidas en el presente Acuerdo. 

Si el Encargado del tratamiento no cumple sus obligaciones con respecto a la protección de Datos personales, Yousign seguirá siendo plenamente responsable ante el Usuario/Suscriptor del cumplimiento de sus obligaciones. 

8.5. Transferencia de datos. Si, en virtud del Contrato, se transfieren Datos personales fuera de la Unión Europea a un país que no está sujeto a una decisión de adecuación, Yousign se compromete a establecer un acuerdo de transferencia de datos que cumpla con las Cláusulas estándar o, a su discreción, cualquier otra garantía adecuada prevista en el capítulo V del RGPD.

Además, si Yousign está obligada a transmitir Datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o del Derecho del Estado miembro al que esté sujeto, deberá informar al Suscriptor/Usuario de esta obligación legal antes del Tratamiento, salvo que el Derecho en cuestión prohíba dicha información por razones importantes de interés público.

8.6. Derechos de los Interesados. El Responsable del tratamiento deberá responder a las solicitudes de los Interesados para acceder a sus Datos personales. En la medida de lo posible, Yousign, en calidad de Encargado del tratamiento y a petición del Responsable del tratamiento, podrá ayudar al Responsable del tratamiento a cumplir su obligación de responder a las solicitudes de ejercicio de los derechos de los Interesados, tales como las solicitudes de derecho de acceso, rectificación, cancelación y oposición, derecho a limitar el tratamiento, derecho a la portabilidad de los datos, derecho a no ser objeto de una decisión individual automatizada (incluida la elaboración de perfiles). 

Si un Interesado se pone directamente en contacto con Yousign para ejercer uno de sus derechos, Yousign se compromete a remitirlo al Responsable del tratamiento lo antes posible para que este pueda atender su solicitud. 

8.7. Notificación de violaciones de la seguridad de los Datos personales. Yousign notificará por escrito al Suscriptor/Usuario cualquier Violación de la seguridad de los Datos personales Esta notificación irá acompañada de toda la documentación útil para que el Suscriptor/Usuario pueda, si procede, notificar la violación de la seguridad a la autoridad de control competente.

8.8. Registro de las actividades de Tratamiento de datos. Yousign declara que mantiene un registro escrito de todas las categorías de Tratamiento efectuadas por cuenta del Responsable del tratamiento con arreglo a lo dispuesto en el RGPD.

8.9. Información y asistencia proporcionadas al Responsable del tratamiento. A petición por escrito del Suscriptor/Usuario, Yousign le proporcionará asistencia razonable para llevar a cabo análisis de impacto relacionados con la protección de Datos personales según lo dispuesto en el RGPD. Yousign proporciona al Responsable del tratamiento toda la información necesaria relativa a los Tratamientos encomendados para ayudarle a cumplir con sus obligaciones legales.

9. AUDITORÍAS

Con el fin de garantizar el cumplimiento de las disposiciones del presente Acuerdo, el Responsable del tratamiento podrá efectuar o hacer que se efectúen auditorías organizativas o técnicas a sus expensas, de conformidad con las condiciones establecidas en el presente artículo y dentro del límite de una (1) auditoría al año y un máximo de tres (3) días laborables. El tiempo empleado por el personal de Yousign se facturará al Responsable del tratamiento.

Deberá procederse a la auditoría de acuerdo con las normas y requisitos de seguridad de Yousign. No se autoriza ninguna auditoría por ningún motivo sin el consentimiento previo por escrito de Yousign. Yousign podrá oponerse al nombramiento de un auditor por falta de independencia o conflicto de intereses. En tal caso, el Responsable del tratamiento notificará a Yousign el nombre de otro auditor.

Cada auditoría deberá ser objeto de un acuerdo de auditoría, facilitado por escrito por el Responsable del tratamiento, y aprobado formalmente por Yousign al menos treinta (30) días antes del inicio de la auditoría. El acuerdo de auditoría debe detallar el alcance exacto, los límites, las exclusiones, los objetivos, la naturaleza de las pruebas y la metodología seguida por los auditores, las fechas y horas, el proceso de escalada en caso de incidente durante la auditoría y los datos de contacto de todas las partes implicadas. 

La información obtenida durante la auditoría es Información Confidencial y debe ser tratada como tal por el Responsable del tratamiento. Si la auditoría la realiza un auditor externo, el Responsable del tratamiento se compromete a que este ofrezca garantías suficientes de privacidad en relación con la naturaleza de la información a la que pueda tener acceso en el transcurso de la auditoría.

El Responsable del tratamiento se compromete a enviar sistemáticamente el informe de auditoría completo a Yousign de forma gratuita, para que Yousign pueda presentar sus observaciones. Si el informe de auditoría revela incumplimientos de las obligaciones establecidas en el presente Contrato, Yousign determinará, en base a sus políticas internas, el plazo a partir de la recepción de la versión final del informe para corregir los incumplimientos y/o no conformidades observadas.

10. CONSERVACIÓN, SUPRESIÓN Y RESTITUCIÓN DE LOS DATOS PERSONALES. 

Yousign se compromete a respetar el plazo de conservación de los Datos personales aplicable a los fines para los que fueron recabados o facilitados y a suprimirlos/anonimizarlos en cuanto dichos fines dejen de existir, con sujeción a las obligaciones legales de conservación.

Yousign se compromete a poner a disposición del Usuario/Suscriptor, mientras el Contrato esté vigente, una copia de los Datos personales que le hayan sido confiados durante la ejecución del Contrato. Además, al finalizar la relación contractual, el Suscriptor/Usuario podrá recuperar los Datos personales que le hayan sido confiados en el marco de la prestación de los Servicios, en las condiciones previstas en el Contrato. Estos datos se pondrán a disposición del Usuario/Suscriptor en un formato que garantice la interoperabilidad.

11. RESPONSABILIDAD

Yousign solo podrá ser considerada responsable de los daños causados por un Tratamiento encomendado para el que (i) no haya cumplido las obligaciones establecidas en el RGPD que incumben específicamente al Encargado del tratamiento o para el que (ii) haya actuado al margen o en contra de las Instrucciones Legales del Responsable del tratamiento. 

12. ACUERDO ÍNTEGRO

Este Acuerdo constituye el acuerdo íntegro entre las Partes con respecto a su objeto y reemplaza todos los acuerdos anteriores o contemporáneos entre las Partes con respecto al mismo objeto, incluida cualquier versión anterior de un acuerdo sobre la protección de Datos personales que puedan haber sido firmado el Usuario/Suscriptor y Yousign.

13. CONTACTO 

Si el Usuario/Suscriptor tiene alguna pregunta sobre los Tratamientos encomendados en virtud del presente Acuerdo, puede ponerse en contacto con Yousign mediante el formulario de contacto previsto a tal efecto en el Sitio web de Yousign, o poniéndose en contacto con el Departamento de Asistencia.

Yousign SAS, situada en Francia, es el establecimiento princpal de Yousign en el sentido del artículo 4 del RGPD. La autoridad de control principal para los Tratamientos transfronterizos en el sentido del artículo 56 del RGPD para Yousign es la CNIL.

14. LEY APLICABLE 

El Acuerdo se regirá e interpretará de conformidad con el Derecho francés.