Aquest acord de processament de dades (“ATD”) s’aplica a tots els tractaments de dades personals que Numintec realitza en nom dels seus clients en qualitat d’encarregat de tractament de dades.

Aquest Acord de Tractament de Dades (“ATD”) és un acord entrei Numintec Comunicaciones, S.L.. (“NUMINTEC”) i l’entitat que contracta els seus serveis (“Client”) i estableix les obligacions d’ambdues parts pel que fa al tractament i la seguretat de les dades personals de les quals és responsable el Client en relació amb l’ús dels Serveis de NUMINTEC

Aquest ATD complementa els Termes i Condicions Generals de Contratació dels serveis prestats per NUMINTEC o altre acord signat entre el Client i NUMINTEC que regeix l’ús per part del Client dels serveis prestats per NUMINTEC quan en l’ús d’aquests serveis sigui d’aplicació el Reglament (UE) 2016/679 del Parlament Europeu i del Consell de 27 d’abril de 2016 relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d’aquestes dades (“RGPD”) i altra legislació aplicable.

DEFINICIONS

Per al propòsit d’aquest ATD:

“Llei de protecció de dades aplicable” significa les lleis i regulacions aplicables on es realitza el tractament de dades, que s’apliquen als termes d’aquest ATD i que poden variar amb el pas del temps. Inclou el Reglament (UE) 2016/679 del Parlament Europeu i del Consell de 27 d’abril de 2016 relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d’aquestes dades (“RGPD”), així com les lleis locals aplicables on es duu a terme el tractament, com ara, per exemple, a Espanya és la Llei Orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i garantia dels drets digitals (“LOPDGDD”).

“Responsable” o “Responsable del tractament” significa la persona física o jurídica, autoritat pública, agència o un altre organisme que, en solitari o conjuntament amb altres, determina els fins i mitjans del tractament de dades personals.

“Encarregat” o “Encarregat del tractament” significa una persona física o jurídica, autoritat pública, agència o un altre organisme que processa dades personals en nom del responsable del tractament;

“Interessat” significa una persona que és el subjecte de les dades personals.

“ATD”, “aquest ATD”, “aquest acord ATD” és aquest Acord de Tractament de Dades;

“Dades personals” significa tota informació sobre una persona física identificada o identificable (“l’interessat”); es considerarà persona física identificable tota persona la identitat de la qual pugui determinar-se, directament o indirectament, en particular mitjançant un identificador, com per exemple un nom, un número d’identificació, dades de localització, un identificador en línia o un o diversos elements propis de la identitat física, fisiològica, genètica, psíquica, econòmica, cultural o social d’aquesta persona; ;

“Autoritat supervisora” significa una autoritat pública independent establerta per un estat membre que s’ocupa de la supervisió del processament de dades personals per tal de protegir els drets i les llibertats fonamentals de les persones físiques pel que fa al tractament de les seves dades.

“Dades del Client” són totes les dades personals (inclosos tots els arxius de text, so, vídeo o imatge i certificats digitals) que les persones del Client incorporen a les bases de dades i sistemes d’allotjament de cada servei, així com aquells que es puguin generar i conservar mitjançant l’ús dels serveis de NUMINTEC. El Client és el responsable del tractament d’aquestes dades personals.

“Contracte de servei” significa l’acceptació de la comanda i els Termes i Condicions de Contractació juntament amb la la comanda corresponent, le(s) descripcions del Servei, qualsevols termes i condicions específiques del servei aplicables i la garantia del nivell de servei, en qualsevol cas de la versió existent a la data de la comanda;

“Numintec”, “noslatres”, “nostre (s)” i totes les derivacions d’aquestes paraules signifiquen Numintec Communications S.L., una societat constituïda d’acord amb les lleis d’Espanya, amb el CIF núm. B63003636 i domicili social a C/ Diputació, 279-283, Entl. 2on, 08007 – Barcelona (España);

“Serveis”, “Serveis NUMINTEC” són els serveis de Software com a servei (SaaS). Són els serveis prestats a través d’internet per NUMINTEC a favor del Client, en relació a l’ús del servei contractat, a través de la plataforma de NUMINTEC i dins de la infraestructura de computació al núvol

“Sotsencarregats” són els altres encarregats del tractament que NUMINTEC utilitza per tractar les Dades del Client, tal com es descriu a l’article 28 del RGPD.

TERMES

SECCIÓN I

Clàusula 1. Finalitat i àmbit d’aplicació

1. La finalitat de les clàusules d’aquest ATD (en endavant, «plec de clàusules») és garantir que es compleixi l’article 28, apartats 3 i 4, del Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d’abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d’aquestes dades, i pel qual es deroga la Directiva 95/46/CE (Reglament General de Protecció de Dades).
2. Els responsables i encarregats del tractament enumerats en l’annex I han donat el seu consentiment a vincular-se pel present plec de clàusules a fi de garantir el compliment de l’article 28, apartats 3 i 4, del Reglament (UE) 2016/679.
3. El present plec de clàusules s’aplica al tractament de dades personals especificat a l’annex II.
4. Els annexos I a IV formen part del plec de clàusules.
5. El present plec de clàusules s’entén sense perjudici de les obligacions a les quals estigui subjecte el responsable en virtut del Reglament (UE) 2016/679.
6. El present plec de clàusules no garanteix per si mateix el compliment de les obligacions relatives a les transferències internacionals contemplades en el capítol V del Reglament (UE) 2016/679.
7. El plec de clàusules d’aquest ATD està alineat amb la Decisió d’Execució (UE) 2021/915 de la Comissió de 4 de juny de 2021 sobre clàusules contractuals estàndard entre controladors i processadors.
8. Aquest ATD, incloses les seves definicions, considerants i annexos, és un document independent que no incorpora termes comercials que han d’haver estat establerts per les parts en acords comercials separats.

Clàusula 2. Invariabilitat del plec de clàusules

1. Les parts es comprometen a no modificar el plec de clàusules, excepte per a afegir o actualitzar informació als annexos.
2. Això no és òbice perquè les parts afegeixin altres clàusules o garanties addicionals sempre que no contradiguin, directa o indirectament, el plec de clàusules ni perjudiquin els drets o llibertats fonamentals dels interessats.

Clàusula 3. Interpretació

1. Quan en el present plec de clàusules s’utilitzen termes definits en el Reglament (UE) 2016/679, s’entén que tenen el mateix significat que en el Reglament corresponent.
2. El present plec de clàusules haurà de llegir-se i interpretar-se d’acord amb les disposicions del Reglament (UE) 2016/679.
3. No es podran realitzar interpretacions del present plec de clàusules que entrin en conflicte amb els drets i obligacions establerts en el Reglament (UE) 2016/679 i/o que perjudiquin els drets o llibertats fonamentals dels interessats.

Clàusula 4. Jerarquia

En cas de contradicció entre el present plec de clàusules i les disposicions d’acords connexos entre les parts que estiguin en vigor en el moment en què es pactés o comencés a aplicar-se el present plec de clàusules, prevaldrà el present plec de clàusules.

SECCIÓ II. OBLIGACIONS DE LES PARTS

Clàusula 5. Descripció del tractament o tractaments

A l’annex II s’especifiquen els detalls de les operacions de tractament i, en particular, les categories de dades personals i les finalitats per a les quals es tracten les dades personals per compte del responsable.

Clàusula 6. Obligacions de las partes

6.1.Instruccions

1. El responsable del tractament instruirà l’encarregat perquè tracti les dades personals de la manera que sigui raonablement necessària perquè l’encarregat dugui a terme el tractament de conformitat amb aquest ATD i de conformitat amb el Reglament (UE) 2016/679.
2. L’encarregat tractarà les dades personals únicament seguint instruccions documentades del responsable d’acord amb els termes de servei establerts en el Termes i Condicions Generals de Contractació dels serveis de NUMINTEC o un altre acord signat entre el Client i NUMINTEC, llevat que hi estigui obligat en virtut del Dret de la Unió o dels Estats membres que s’apliqui a l’encarregat. En aquest cas, l’encarregat informarà el responsable d’aquesta exigència legal prèvia al tractament, llevat que aquest Dret ho prohibeixi per raons importants d’interès públic. El responsable també podrà donar instruccions ulteriors en qualsevol moment del període de tractament de les dades personals. Aquestes instruccions han d’estar sempre documentades.
3. El responsable del tractament s’abstindrà de proporcionar instruccions que no s’ajustin a les lleis aplicables, inclòs el Reglament (UE) 2016/679 i, en cas que es donin aquestes instruccions, l’encarregat del tractament té dret a desistir de dur-les a terme.
4. L’encarregat informarà immediatament el responsable si les instruccions donades pel responsable infringeixen, segons el parer de l’encarregat, el Reglament (UE) 2016/679 o les disposicions aplicables del Dret de la Unió o dels Estats membres en matèria de protecció de dades.
5. L’encarregat no divulgarà cap dada personal a un tercer sota cap circumstància que no sigui per sol.licitud escrita específica del responsable, llevat que aquesta divulgació sigui necessària per complir amb les obligacions de l’Acord de servei o sigui requerit en virtut del Dret de la Unió o dels Estats membres que s’apliqui a l’encarregat.

6.2. Limitació de la finalitat

L’encarregat tractarà les dades personals únicament per a les finalitats específiques del tractament indicades en l’annex II, llevat quan segueixi instruccions addicionals del responsable.

6.3.  Durada del tractament de dades personals

El tractament per part de l’encarregat només es realitzarà durant el període especificat a l’annex II.

6.4. Seguretat del tractament

1. L’encarregat aplicarà, com a mínim, les mesures tècniques i organitzatives especificades a l’annex III per garantir la seguretat de les dades personals. Una d’aquestes mesures podrà consistir en la protecció contra violacions de la seguretat que ocasionin la destrucció, pèrdua o alteració accidental o il·lícita de dades personals, o la comunicació o accés no autoritzats a aquestes dades («violació de la seguretat de les dades personals»). A l’hora de determinar un nivell adequat de seguretat, les parts tindran degudament en compte l’estat de la tècnica, els costos d’aplicació, la naturalesa, l’abast, el context i els fins del tractament, i els riscos que comporta el tractament per als interessats.
2. L’encarregat només concedirà accés a les dades personals tractades als membres del seu personal en la mesura que sigui estrictament necessari per a l’execució, la gestió i el seguiment del contracte. 
3. L’encarregat garantirà que les persones autoritzades per tractar les dades personals rebudes s’hagin compromès a respectar la confidencialitat o estiguin subjectes a una obligació de confidencialitat de naturalesa estatutària. L’encarregat haurà de mantenir a disposició del responsable del tractament tots els registres documentats del compliment de l’obligació de confidencialitat.
4. L’encarregat haurà d’assegurar-se que totes les persones autoritzades per processar dades personals rebin la formació necessària en protecció de dades personals.

6.5. Dades sensibles

Si el tractament afecta dades personals que revelin l’origen ètnic o racial, les opinions polítiques, les conviccions religioses o filosòfiques, o l’afiliació sindical, dades genètiques o dades biomètriques dirigides a identificar de manera unívoca una persona física, dades relatives a la salut o dades relatives a la vida sexual o l’orientació sexual d’una persona física, o dades relatives a condemnes i infraccions penals («dades sensibles»), l’encarregat aplicarà restriccions específiques i/o garanties addicionals

6.6. Documentació i compliment

1. Les parts hauran de poder demostrar el compliment del plec de clàusules d’aquest ATD.
2. L’encarregat resoldrà amb prestesa i de forma adequada les consultes del responsable relacionades amb el tractament d’acord amb el present plec de clàusules.
3. L’encarregat designarà en l’Annex I un punt de contacte dins de la seva organització autoritzada per respondre a les consultes relacionades amb el processament de les Dades Personals i cooperarà amb el controlador, l’Interessat i l’Autoritat de Supervisió respecte a totes aquestes consultes dins d’un temps raonable.
4. L’encarregat posarà a disposició del responsable tota la informació necessària per demostrar el compliment de les obligacions contemplades en el present plec de clàusules i que derivin directament del Reglament (UE) 2016/679. 
5. A instància del responsable, l’encarregat permetrà i contribuirà a la realització d’auditories de les activitats de tractament cobertes pel present plec de clàusules, a intervals raonables o si existeixen indicis d’incompliment. A l’hora de decidir si es realitza un examen o una auditoria, el responsable podrà tenir en compte les certificacions pertinents que estiguin en poder de l’encarregat.

Aquestes auditories es demanaran amb un avís raonable i es realitzaran durant l’horari laboral normal. La sol·licitud pot estar subjecta a qualsevol consentiment o aprovació necessaris d’una autoritat supervisora dins del país del responsable del tractament.

1. El responsable podrà optar per realitzar l’auditoria per si mateix o autoritzar un auditor independent. Les auditories també podran consistir en inspeccions dels locals o instal·lacions físiques de l’encarregat i, quan s’escaigui, realitzar-se amb un preavís raonable.
2. Les parts posaran a disposició de les autoritats de control competents, a instància d’aquestes, la informació a què es refereix la present clàusula i, en particular, els resultats de les auditories.
3. L’encarregat cooperarà amb l’Autoritat de Supervisió en relació amb qualsevol activitat realitzada per l’encarregat.
4. L’encarregat notificarà al responsable del tractament qualsevol sol·licitud d’informació per part de l’Autoritat supervisora.
5. L’encarregat notificarà al responsable del tractament de qualsevol queixa, notificació o comunicació rebuda que es relacioni directament o indirectament amb el tractament de les dades personals o altres activitats relacionades, o que es relacioni directament o indirectament amb el compliment de l’encarregat i/o el responsable amb la llei aplicable pertinent, inclosa la llei de protecció de dades aplicable.

6.7. Contractació de sotsencarregats

1. L’encarregat compta amb l’autorització del responsable per contractar sotsencarregats que figurin en una llista acordada documentada a l’annex IV. L’encarregat informarà el responsable específicament i per escrit de les addicions o substitucions de sotsencarregats previstes en aquesta llista amb almenys amb 1 mes d’antelació, de manera que el responsable tingui temps suficient per formular objecció a aquests canvis abans que es contracti el sotsencarregat o sotsencarregats de què es tracti. L’encarregat del tractament proporcionarà al responsable la informació necessària perquè pugui exercir el seu dret a formular objecció.
2. Quan l’encarregat contracti un sotsencarregat per dur a terme activitats de tractament específiques (per compte del responsable), ho farà per mitjà d’un contracte que imposi al sotsencarregat, en essència, les mateixes obligacions en matèria de protecció de dades que les imposades a l’encarregat en virtut del present plec de clàusules. L’encarregat s’assegurarà que el sotsencarregat compleixi les obligacions a les quals estigui subjecte en virtut del present plec de clàusules i del Reglament (UE) 2016/679.
3. L’encarregat proporcionarà al responsable, a instància d’aquest, una còpia del contracte amb el sotsencarregat i de qualsevol modificació posterior del mateix. En la mesura que sigui necessari per protegir secrets comercials o un altre tipus d’informació confidencial, com dades personals, l’encarregat podrà expurgar el text del contracte abans de compartir-hi la còpia.
4. L’encarregat continuarà sent plenament responsable davant el responsable del compliment de les obligacions que imposi al sotsencarregat el seu contracte amb l’encarregat. L’encarregat notificarà al responsable els incompliments per part del sotsencarregat de les obligacions que li atribueixi l’esmentat contracte.
5. L’encarregat pactarà amb el sotsencarregat una clàusula de tercer beneficiari en virtut de la qual, en cas que l’encarregat desaparegui de facto, cessi d’existir jurídicament o sigui insolvent, el responsable tindrà dret a rescindir el contracte del sotsencarregat i ordenar a aquest que suprimeixi o retorni les dades personals.

6.8. Transferències internacionals

1. Les transferències de dades a un tercer país o a una organització internacional per part de l’encarregat només podran realitzar-se seguint instruccions documentades del responsable o en virtut d’una exigència expressa del Dret de la Unió o de l’Estat membre al qual estigui subjecte l’encarregat; es duran a terme de conformitat amb el capítol V del Reglament (UE) 2016/67.
2. El responsable s’avé al fet que, quan l’encarregat recorri a un subencarregat de conformitat amb la clàusula 6.7 per dur a terme activitats de tractament específiques (per compte del responsable) i aquestes activitats comportin una transferència de dades personals en el sentit del capítol V del Reglament (UE) 2016/679, l’encarregat i el sotsencarregat puguin garantir el compliment del capítol V del Reglament (UE) 2016/679. En aquest cas, només es realitza quan el sostsencarregat tracta les dades a països que ofereixen un nivell de protecció adequat o que ofereixen garanties adequades com ara les normes corporatives vinculants o utilitzen de les clàusules contractuals tipus adoptades per la Comissió, segons l’article 46, apartat 2, del Reglament (UE) 2016/679, sempre que es compleixin les condicions per a l’ús d’aquest tipus de clàusules contractuals.

Clàusula 7. Obligacions del responsable del tractament

El responsable del tractament garanteix i es compromet que:

1. Les dades personals s’han recopilat, processat i transferit d’acord amb les lleis de protecció de dades aplicables.
2. Ha realitzat una avaluació de l’impacte en la protecció de les dades personals de les operacions de tractament que realitzarà l’encarregat quan el tractament pugui donar lloc a un alt risc per als drets i llibertats dels interessats
3. Disposarà de les mesures tècniques i organitzatives adequades per protegir la confidencialitat de les dades personals, així com protegir-los contra la destrucció accidental o il·legal, o la pèrdua accidental, alteració, divulgació o accés no autoritzat, i que proporcionin un nivell de seguretat adequat al risc que representa el tractament i la natura de les dades a protegir.
4. Respondrà a les sol·licituds dels interessats i de las autoritats de supervisió en relació amb el tractament de les dades personals segons el que s’ha estipulat a la Clàusula 8 (b).
5. Realitzar consultes prèvies que corresponguin a l’autoritat de control quan una avaluació d’impacte de protecció de dades indiqui que el tractament donaria lloc a un alt risc en absència de mesures preses pel responsable del tractament per a mitigar el risc.

Clàusula 8. Assistència al responsable del tractament

1. L’encarregat notificarà amb prestesa al responsable les sol.licituds que rebi de l’interessat. No respondrà a aquestes sol·licituds per si mateix, llevat que el responsable l’hagi autoritzat a fer-ho.
2. L’encarregat assistirà al responsable del tractament en el compliment les seves obligacions de donar resposta a les sol·licituds d’exercici de drets dels interessats tenint en compte la naturalesa del tractament. En el compliment de les obligacions que li atribueixen les lletres a) i b), l’encarregat complirà les instruccions del responsable. Atès el cas:
   1. l’interessat hauria d’adreçar primer la sol·licitud al responsable del tractament;
   2. seguidament, el responsable del tractament, després de rebre la sol·licitud, sol·licitarà a l’encarregat que realitzi les accions necessàries a través del punt de contacte establert a l’annex I; 
   3. un cop l’encarregat hagi rebut la petició del responsable, l’encarregat respondrà al responsable dins d’un termini de deu (10) dies hàbils;
   4. en el cas que un interessat es comuniqui directament amb l’encarregat, aquest li demanarà a l’interessat que dirigeixi la seva sol.licitud al responsable. Al mateix temps, l’encarregat informarà el responsable d’aquesta petició;
3. A més de l’obligació de l’encarregat d’assistir el responsable en virtut de la clàusula 8, lletra b), l’encarregat també assistirà el responsable a garantir el compliment de les obligacions següents tenint en compte la naturalesa del tractament i la informació de què disposi l’encarregat:
   1. l’obligació de realitzar una avaluació de l’impacte de les operacions de tractament en la protecció de dades personals («avaluació d’impacte») quan sigui probable que un tipus de tractament suposi un alt risc per als drets i llibertats de les persones físiques;
   2. l’obligació de consultar les autoritats de control competents abans de procedir al tractament quan una avaluació d’impacte relativa a la protecció de les dades mostri que el tractament comportaria un alt risc si el responsable no pren mesures per a mitigar-lo;
   3. l’obligació de garantir que les dades personals siguin exactes i estiguin actualitzades, informant sense demora el responsable si l’encarregat descobreix que les dades personals que està tractant són inexactes o han quedat obsoletes;
   4. les obligacions contemplades en l’article 32 del Reglament (UE) 2016/679.
4. Les parts establiran a l’annex III mesures tècniques i organitzatives apropiades que obliguin l’encarregat a assistir el responsable a aplicar la present clàusula, així com l’objecte i l’abast de l’assistència requerida.

Clàusula 9. Notificació de violacions de la seguretat de les dades personals

En cas de violació de la seguretat de les dades personals, l’encarregat col·laborarà amb el responsable i l’ajudarà a complir les obligacions que li atribueixen els articles 33 i 34 del Reglament (UE) 2016/679 tenint en compte la naturalesa del tractament i la informació de què disposi l’encarregat.

9.1  Violació de la seguretat de dades personals tractades pel responsable

En cas de violació de la seguretat de les dades personals en relació amb les dades tractades pel responsable, l’encarregat ajudarà el responsable en el següent.

1. Notificar la violació de la seguretat de les dades personals a les autoritats de control competents sense dilació indeguda una vegada en tingui constància, si escau (llevat que sigui improbable que aquesta violació de la seguretat constitueixi un risc per als drets i les llibertats de les persones físiques).
2. Recaptar la informació següent, que, de conformitat amb l’article 33, apartat 3, del Reglament (UE) 2016/679, haurà de figurar en la notificació del responsable, que ha d’incloure com a mínim:
   1. la naturalesa de les dades personals incloent, quan sigui possible, les categories i el nombre aproximat d’interessats afectats, i les categories i el nombre aproximat de registres de dades personals afectats;
   2. les conseqüències probables de la violació de la seguretat de les dades personals;
   3. les mesures adoptades o proposades pel responsable del tractament per posar remei a la violació de la seguretat de les dades personals, incloent-hi, si escau, les mesures adoptades per mitigar els possibles efectes negatius.

Quan i en la mesura que no es pugui proporcionar tota la informació alhora, en la notificació inicial es proporcionarà la informació de què es disposi en aquell moment i, a mesura que es vagi recaptant, la informació addicional s’anirà proporcionant sense dilació indeguda.

1. Complir, d’acord amb l’article 34 del Reglament (UE) 2016/679, l’obligació de comunicar sense dilació indeguda a l’interessat la violació de la seguretat de les dades personals quan sigui probable que la violació de la seguretat comporti un alt risc per als drets i llibertats de les persones físiques.

9.2  Violació de la seguretat de dades personals tractades per l’encarregat

En cas de violació de la seguretat de dades personals tractades per l’encarregat, aquest ho notificarà al responsable sense dilació indeguda una vegada que l’encarregat en tingui constància. Aquesta notificació ha d’incloure com a mínim:

1. una descripció de la naturalesa de la violació de la seguretat (incloent, quan sigui possible, les categories i el nombre aproximat d’interessats i de registres de dades afectades);
2. les dades d’un punt de contacte en el qual es pugui obtenir més informació sobre la violació de la seguretat de les dades personals;
3. les seves conseqüències probables i les mesures adoptades o propostes per posar remei a la violació de la seguretat, incloent-hi les mesures adoptades per mitigar els possibles efectes negatius.

Quan i en la mesura que no es pugui proporcionar tota la informació alhora, en la notificació inicial es proporcionarà la informació de què es disposi en aquell moment i, a mesura que es vagi recaptant, la informació addicional s’anirà proporcionant sense dilació indeguda.

Les parts establiran a l’annex III els altres elements que haurà d’aportar l’encarregat quan ajudi el responsable a complir les obligacions que li atribueixen els articles 33 i 34 del Reglament (UE) 2016/679.

SECCIÓ III. DISPOSICIONS FINALS

Clàusula 10. Incompliment de les clàusules i resolució del contracte

1. Sense perjudici del que disposa el Reglament (UE) 2016/679, en cas que l’encarregat del tractament incompleixi les obligacions que li atribueix el present plec de clàusules, el responsable podrà ordenar a l’encarregat que suspengui el tractament de dades personals fins que aquest torni a donar compliment al present plec de clàusules, o resoldre el contracte. L’encarregat informarà amb prestesa el responsable en cas que no pugui donar compliment al present plec de clàusules per qualsevol motiu.
2. El responsable estarà facultat per resoldre el contracte en el que es refereixi al tractament de dades personals en virtut del present plec de clàusules quan:

1. el tractament de dades personals per part de l’encarregat hagi estat suspès pel responsable d’acord amb la lletra a) i no es torni a donar compliment al present plec de clàusules en un termini raonable i, en qualsevol cas, en un termini d’un mes a comptar des de la suspensió;
2. l’encarregat incompleixi de manera substancial o persistent el present plec de clàusules o les obligacions que li atribueix el Reglament (UE) 2016/679;
3. l’encarregat incompleixi una resolució vinculant d’un òrgan jurisdiccional competent o de les autoritats de control competents en relació amb les obligacions que els atribueix el present plec de clàusules, el Reglament (UE) 2016/679.

1. L’encarregat estarà facultat per resoldre el contracte en el que es refereixi al tractament de dades personals en virtut del present plec de clàusules quan, després d’haver informat el responsable que les seves instruccions infringeixen els requisits jurídics exigits per la clàusula 7.1, lletra b), el responsable insisteix que se segueixin aquestes instruccions.
2. Després de la resolució del contracte, l’encarregat suprimirà, a petició del responsable, totes les dades personals tractades per compte del responsable i acreditarà el responsable que ho ha fet, o retornarà totes les dades personals al responsable i suprimirà les còpies existents, llevat que el Dret de la Unió o dels Estats membres exigeixi l’emmagatzematge de les dades personals. Fins que es destrueixin o retornin les dades, l’encarregat seguirà garantint el compliment amb el present plec de clàusules.
3. Altres motius i condicions d’acabament estaran subjectes als Termes i Condicions Generals de Contractació dels serveis NUMINTEC, del qual aquest acord en forma part, o un altre acord signat entre les parts.

Clàusula 11. Responsabilitat i indemnització 

1. L’encarregat del tractament no serà responsable davant qualsevol reclamació presentada per un interessat que sigui conseqüència de qualsevol acció de l’encarregat en la mesura que aquesta acció sigui el resultat directe de les instruccions del responsable i la incorrecta implantació de les seves mesures tècniques i organitzatives.
2. En el cas que un interessat presenti una reclamació contra l’encarregat que sorgeixi de qualsevol acció o omissió de l’encarregat en la mesura que aquesta acció o omissió sigui el resultat directe de les instruccions del responsable, o l’aplicació incorrecta per part del responsable de les seves i mesures organitzatives, d’acord amb la Clàusula 7 (c) d’aquest ATD, el responsable indemnitzarà i mantindrà indemnitzat i defensarà al seu propi càrrec a l’encarregat respecte a tots els costos, reclamacions, danys o despeses incorreguts per l’encarregat per als quals l’encarregat pugui ser responsable per causa de qualsevol incompliment per part del responsable o els seus directius, empleats, agents o contractistes de les seves obligacions en virtut de les clàusules d’aquest DPA.

Clàusula 12. Legislació aplicable a aquest ATD

Aquest ATD es regirà i interpretarà en tots els aspectes d’acord amb les lleis i regulacions Espanya. Les parts del present acord se sotmeten a la jurisdicció exclusiva d’Espanya per a totes les finalitats d’aquest ATD.

Clàusula 13. Resolució de disputes amb els interessats o las autoritats de supervisió 

1. En el cas d’una disputa o reclamació presentada per un interessat o una autoritat de supervisió respecte al tractament de les dades personals contra una o ambdues parts, les parts s’informaran mútuament sobre aquestes disputes o reclamacions i cooperaran amb vista a resoldre-les amistosament i de la manera més oportuna.
2. Les parts acorden respondre a qualsevol procediment de mediació no vinculant disponible generalment iniciat per un interessat o per una autoritat de supervisió. Si participen en el procediment, les parts poden optar per fer-ho de forma remota (per exemple, per telèfon o altres mitjans electrònics). Les parts també acorden considerar la participació en qualsevol altre arbitratge, mediació o un altre procediment de resolució de disputes habilitat per a disputes de protecció de dades.
3. Cada part es compromet a acatar la decisió de l’anul·lació de supervisió, que és definitiva i contra la qual ja no serà possible apel·lar.

ANNEX I. Llista de parts

Com a Responsable del Tractament: 

Nom: El Client que contracta els serveis de NUMINTEC sota les Condicions Generals del Servei acordades.

Direcció: Segons s’especifica en l’acord o contracte de prestació de serveis de NUMINTEC subscrit entre ambdues parts.

Departament/empleat de referència: Segons s’especifica en l’acord o contracte de prestació de serveis subscrit entre ambdues parts

Nom, càrrec i dades de contacte de la persona de contacte: Segons s’especifica en l’acord o contracte de prestació de serveis subscrit entre ambdues parts

Data d’adhesió: Data d’entrada en vigor el contracte o acord de prestació de serveis subscrit per ambdues parts

Com a Encarregat del tractament: 

Nom: NUMINTEC, S.L.

Adreça: C/ Diputació 279-283 Entresol 2n, 08007 Barcelona, Espanya

Departament/empleat de referència: Segons s’especifica en l’acord o contracte de prestació de serveis subscrit entre ambdues parts

Dades de la persona de contacte: 

• Delegado de Protección de Datos 

Data d’adhesió: Data d’entrada en vigor el contracte o acord de prestació de serveis subscrit per ambdues parts

ANNEX II. Descripció del tractament

Categories d’interessades les dades personals de les quals es tracten

• Personal, col·laboradors i altres autoritzats pel Client que són usuaris autoritzats de la plataforma tecnològica de NUMINTEC
• Persones les dades de contacte de les quals estan recollides en els serveis d’agenda i comunicacions proporcionades per NUMINTEC.
• Persones que utilitzen els canals de comunicació gestionats per NUMINTEC i que el Client posa a disposició pública.

Categories de dades personals tractades

Com a encarregat del tractament, NUMINTEC tractarà les següents dades:

• Informació dels usuaris de la plataforma NUMINTEC necessària per accedir i fer ús dels serveis
  • Identitat dels usuaris, per exemple, el seu nom i cognoms.
  • Dades de contacte professionals tal com l’adreça de correu i número telèfon.
  • Dades d’autenticació per a l’accés 
  • Registres d’activitat dels usuaris en l’ús dels Serveis, que pot incloure informació de l’adreça IP des de la qual s’accedeix a la plataforma NUMINTEC.
• Dades de contacte recollides en el servei d’agenda
• Dades que circumstancialment poguessin estar incloses en esl continguts intercanviats mitjançant el servei de xat i altres canals de comunicació que formin part dels serveis proporcionats.
• Gravacions de trucades quan els nostres clients activen aquesta funcionalitat.

Addicionalment, per a proporcionar el servei contractat per Numintec, tractarà les categories de dades següents com a responsables del tractament:

• Dades i accés a les credencials dels usuaris de la plataforma
• Registres de trucades, inclosos els números d’origen i destinació, durada i moment en què s’ha fet la trucada i altres dades de l’històric de serveis.
• Els registres d’ús de la plataforma

Dades de categoria especial:

• Aquest ATD no contempla el tractament de dades classificades com a “dades de categoria especial” o que requereixin mesures de protecció especials. 
• El processament d’aquestes dades per compte del Client només s’ha de realitzar amb un acord previ entre ambdues parts i després d’haver realitzat una avaluació d’impacte de protecció de dades adequada abans del tractament.

Finalitat del tractament de les dades personals per compte del responsable del tractament

• Com a responsable del tractament
  • Gestionar l’accés i l’ús de la plataforma de serveis de comunicacions en núvol.
  • Investigació i prevenció d’activitats que poden constituir un ús fraudulent dels serveis.
  • Compliment de les obligacions que corresponen a Numintec per mandat legal.
  • Anàlisi de l’ús de serveis per millorar el servei prestat.
• Com a encarregat del tractament
  • NUMINTEC tractarà les dades únicament amb la finalitat de proporcionar els serveis contractats i d’acord amb els Termes i Condicions Generals de Contractació del Servei

Naturalesa del tractament

• NUMINTEC tractarà les Dades del Client mitjançant els Serveis proporcionats per la plataforma tecnològica proporcionada als clients.
• Implica les activitats de:
  • Registre i emmagatzematge de les Dades del Client
  • Supressió o destrucció de la informació quan sigui requerit pel Client i a la terminació del servei
  • Limitació del tractament de la informació a requeriment del Client o autoritat competent.
• Les dades són proporcionades pel client, com a responsable del tractament, a l’hora de fer usos dels Serveis.
• Totes les dades s’emmagatzemen en servidors a la UE mitjançant serveis proporcionats per tercers tal com s’estipula a l’ANNEX IV Llista de Sotsencarregats.
• El processament a la plataforma NUMINTEC està automatitzat, per la qual cosa el personal de NUMINTEC no té accés a les Dades del Client. Atès el cas, aquest accés únicament es produiria sota petició expressa i supervisió del Client, per exemple, en el cas de requerir suport per al seu ús o resolució d’un problema informat pel Client.
• NUMINTEC considera que no disposa d’instruccions expresses per tractar aquelles altres dades personals que circumstancialment poguessin estar incloses en els continguts gestionats pel Client o els canals de comunicació, per exemple, el servei de xat, proporcionats.
• Qualsevol dada personal addicional que sigui tractada per NUMINTEC per compte del Client ha de ser acordada com una esmena a aquest ATD.
• Cal notar que NUMINTEC és el responsable del tractament de tots aquells registres de trucades i informació generada i que ha de conservar en qualitat d’operador de telecomunicacions, a l’empara de la Llei 11/2022, de 28 de juny, General de Telecomunicacions i la Llei 25/2007, de 18 d’octubre, de conservació de dades relatives a les comunicacions electròniques i a les xarxes públiques de comunicacions.
• Així mateix, NUMINTEC, com a responsable del tractament, pot recaptar i conservar informació amb la finalitat de prevenció, detecció, investigació i limitació d’aquelles activitats que puguin constituir un ús fraudulent dels serveis, tal com ús abusiu de trucades, suplantació de numeració i altres. La detecció d’aquestes activitats pot suposar la notificació dels fets al client i, si es tingués indicis de que constitueixen una activitat delictiva, a les autoritats corresponents.

Durada del tractament

• Aquest ATD s’aplica mentre el contracte de servei signat per ambdues parts estigui vigent.
• Després de la finalització del contracte, Numintec mantindrà les seves obligacions respecte a les dades processades per a les quals també és responsable d’acord amb la legislació vigent.

Terminis de conservació de la informació

• S’estableix que el gestor de tractament conservarà les dades mentre el contracte de servei signat per ambdues parts estigui vigent.
• D’acord amb els terminis estipulats en el contracte de servei i/o els termes i condicions de contractació general, després d’un període de noranta (90) dies de la desconnexió o, donat el cas, el període estipulat en les condicions del contracte del Contracte de servei, Numintec eliminarà definitivament les dades contingudes a les seves bases de dades, excepte en aquelles circumstàncies en què es poden derivar les obligacions legals o responsabilitats de l’execució de la prestació de serveis, en aquest cas pot conservar una còpia, amb les dades degudament bloquejades , fins a la cessació d’aquestes responsabilitats o obligacions.

ANNEX III. Mesures tècniques i organitzatives per a garantir la seguretat de les dades

NUMINTEC aplica les mesures de seguretat tècniques i organitzatives necessàries per garantir un nivell adequat de seguretat de la informació per tal de protegir la confidencialitat de les dades personals, així com protegir-les contra la destrucció accidental o il·lícita o la pèrdua accidental, alteració, divulgació o accés no autoritzat , tenint en compte la naturalesa, l’abast, el context i la finalitat del tractament, així com els riscos per als drets i llibertats de les persones físiques.

Aquestes mesures estan implantades sota el marc d’un Sistema de Gestió de la Seguretat de la informació que disposa de les certificacions ISO 27001 i ISO 27017, que inclou, entre d’altres, mesures com ara:

1. Polítiques i procediments d’accés a les dades per garantir que l’accés als sistemes informàtics de NUMINTEC es realitzi a través d’usuaris individuals i contrasenyes, aplicant les regles de mínim privilegi i limitant l’accés a les dades a aquells empleats que ho requereixin estrictament per realitzar la seva feina.
2. Còpies de seguretat, si s’escau, de les dades personals tractades pels responsables del tractament que requereixin garanties de disponibilitat i integritat.
3. Xifrat de la informació en trànsit i en emmagatzematge.
4. Vigilància i monitoratge continu de sistemes i xarxes per detectar i minimitzar l’impacte de qualsevol mal funcionament o amenaça.
5. Registre d’esdeveniments i activitats d’usuaris i administradors.
6. Configuracions de seguretat i sistemes de protecció perimetral a la xarxa per evitar intrusions, i protecció antivirus dels seus sistemes informàtics.
7. Bastionat de sistemes i xarxes per limitar els serveis, ports i protocols als estrictament necessaris i així minimitzar l’exposició a atacs i vulnerabilitats.
8. Disponibilitat d’un registre d’incidents de seguretat i mecanismes i procediments per a la notificació de bretxes de seguretat.
9. Control físic d’accés i protecció dels equips, persones i instal.lacions on es processen les dades.
10. Servidors allotjats en centres de dades externs que ofereixen plenes garanties de seguretat amb les certificacions ISO 27001 pertinents.
11. En el cas de gestionar suports o documents amb les dades personals del responsable del tractament, aquestes es troben degudament custodiades sota armaris o espais proveïts de dispositius de bloqueig.
12. Verificació, avaluació i valoració regulars de l’eficàcia de les mesures tècniques i organitzatives per garantir la seguretat del tractament en el marc de les revisions i auditories periòdiques requerides per la ISO 27001.
13. Un codi de conducta que inclou la prevenció del comportament delictiu i les bones pràctiques en seguretat i privacitat de la informació.
14. Formació i capacitació contínua al personal de NUMINTEC en temes de seguretat de la informació i privacitat de dades
15. Un Pla de Continuïtat que estableix la possibilitat de restablir la disponibilitat i l’accés a les dades personals de forma ràpida, en cas d’incidència física o tècnica dins dels terminis necessaris per complir amb els compromisos empresarials als quals estem obligats pel nostre contracte de serveis.
16. Configuració per defecte de les aplicacions que ofereix el major nivell de seguretat i privacitat.
17. Mesures de responsabilitat proactiva, que inclouen el registre d’activitats de tractament, l’anàlisi de riscos de privacitat i l’aplicació de les mesures tècniques i organitzatives adequades per tractar els riscos identificats.
18. Clàusules contractuals de DPA i amb tots els sotsprocessadors que ofereixin garanties suficients per implementar les mesures tècniques i organitzatives adequades de tal manera que el processament compleixi amb els requisits del present Reglament i garanteixi la protecció dels drets de l’interessat.
19. Procediment automatitzat per eliminar les dades dels clients un cop finalitza el període de retenció estipulat.

Numintec posa a disposició dels seus clients la política de seguretat dels serveis al núvol en què es proporciona un detall més gran de les mesures implantades.

D’altra banda, el client és responsable de la implementació i manteniment de les mesures de seguretat i protecció de les dades personals rellevants com a usuari dels serveis en aquells aspectes sota el seu control.

ANNEX IV. Llista de sotsencarregats

Llista acordada de sotsencarregats d’acord amb la Clàusula 6.7( a)

Nom del sotsencarregat	Amazon Web Services Inc.
Descripció del tractament	Proveïdor de serveis IaaS i PaaS
Localització del tractament	Unió Europea (Irlanda, Frankfurt, Paris)
Adreça i dades de contacte	Amazon Web Services EMEA SARL 38 Avenue John F. Kennedy, L-1855, Luxembourg Tel: + 352 2789 0057
Garanties proporcionades	https://aws.amazon.com/compliance/gdpr-center/

Altres proveïdors involucrats: 

Nom del sotsencarregat	MBA DATACENTERS, S.L. (bitNAP)
Descripció del tractament	Centre de dades extern, proveïdor de serveis de “collocation” de servidors.
Localització del tractament	Espanya (Hospitalet de Llobregat)
Adreça i dades de contacte	Adreça: C/ Pablo Iglesias 56, l’Hospitalet de Llobregat, 08908 Barcelona Email:
Garanties proporcionades	Certificació: ISO 27001: https://bitnap.net/wp-content/uploads/2022/01/MBA_DATACENTERS_SL_BITNAP_IQNET_27001_ISO_9001.pdf

Nom del sotsencarregat	Evolution Cloud Enabler, S.A.U.
Descripció del tractament	Centre de dades extern, proveïdor de serveis de “collocation” de servidors.
Localització del tractament	Espanya
Adreça i dades de contacte	Adreça: C/ Isabel Colbrand 6-8; 28050 Madrid. Email:
Garanties proporcionades	https://www.evolutio.com/wp-content/uploads/2022/01/CGContrataci%C3%B3n_Diciembre21.pdf ISO 27001:2013 https://www.aenor.com/certificacion/certificado/?codigo=42390 ISO 20000-1:2018 https://www.aenor.com/certificacion/certificado/?codigo=201600