DPA - Ley de protección de datos

Versión con fecha 23 Mayo 2018

ACUERDO DE TRATAMIENTO DE DATOS

El presente Contrato de Tratamiento de Datos (en adelante, « CTD ») se celebra entre CORUSCANT, sociedad limitada (société par actions simplifiée) con domicilio social en 16, rue du Mail – 75002 París, debidamente representada por su presidente Jérémy Clédat, que opera bajo el nombre comercial de Welcome To The Jungle (en adelante, el « Encargado del tratamiento ») y usted, la sociedad que concluye electrónicamente este CTD (en adelante, el « Responsable del tratamiento »), al haber suscrito y aceptado los Términos y Condiciones Generales de Venta.

El Encargado del tratamiento y el Responsable del tratamiento se denominan individualmente como la « Parte » y conjuntamente como las « Partes ».

SE HA DEFINIDO PREVIAMENTE LO SIGUIENTE:

1. Las Partes declaran y reconocen que las negociaciones que precedieron a la celebración del presente acuerdo se llevaron a cabo de buena fe y que ambas beneficiaron durante la fase de negociación precontractual de toda la información útil y necesaria para permitirles asumir un compromiso informado y se han comunicado mutuamente toda la información susceptible de determinar su consentimiento que hubiesen podido legítimamente ignorar.

2. El Responsable del tratamiento es una empresa que utiliza los servicios difundidos por la empresa Coruscant, en particular el Kit de bienvenida (Welcome Kit, herramienta de gestión de aplicaciones) y/o el sitio web de empleo welcometothejungle.com, en el que las empresas pueden difundir sus ofertas de trabajo. El Responsable del tratamiento es una empresa que utiliza los servicios publicados por Coruscant para contratar personal y gestionar el Tratamiento de sus solicitudes desde la recepción hasta la contratación.

3. El Encargado del tratamiento ofrece una plataforma kit de bienvenida (WelcomeKit) dedicada a la contratación de personal. Este sistema ATS (Applicant Tracking System o Sistema de Seguimiento de Candidatos), sencillo y colaborativo, permite satisfacer las necesidades de los encargados de contratación, en particular integrando y gestionando las ofertas de trabajo del Responsable del tratamiento.

LAS PARTES HAN ACORDADO LO SIGUIENTE:

I. Objetivo

El objeto del presente contrato consiste en definir las condiciones en las que el Encargado del tratamiento se compromete a llevar a cabo, por cuenta del Responsable del tratamiento, las operaciones de tratamiento de datos de carácter personal que se definen a continuación.

En el marco de sus relaciones contractuales, las Partes se comprometen a cumplir la normativa aplicable en materia de tratamiento de datos de carácter personal y, en particular, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, aplicable a partir del 25 de mayo de 2018 (en adelante, « el Reglamento General de Protección de Datos »).

II. Definiciones

A los efectos del presente contrato, los siguientes términos tendrán el significado que se les atribuye a continuación:

  • Responsable del tratamiento es la entidad que determina los medios y fines del Tratamiento de Datos Personales y se refiere a la empresa mencionada en el encabezamiento de este contrato.

  • Encargado del tratamiento hace alusión ala entidad que trata los Datos Personales por cuenta del Responsable del tratamiento y se refiere a CORUSCANT, que opera bajo el nombre de «Welcome to the Jungle», bajo la autoridad y siguiendo instrucciones del Responsable del tratamiento.

  • Interesado significa la persona identificada o identificable a la que se refieren los Datos Personales.

  • Datos personales se refiere a cualquier información relativa a una persona física identificada o identificable y a una entidad jurídica identificada o identificable (cuando dicha información esté protegida de manera similar como Datos Personales o información personalmente identificable en virtud de las leyes y reglamentos de protección de datos aplicables). Los Datos Personales cubren cualquier información que pueda identificar a una persona, como números de identificación o características tales como identidad física, fisiológica, mental, económica, cultural o social. A título de ejemplo se pueden mencionar: nombre, seudónimos, dirección, número de teléfono, número de documento de identidad, ocupación, salario/remuneración, registros de salud o expedientes del personal, fecha de nacimiento, información financiera/bancaria, características físicas, etc. Se entiende por Datos Personales toda información relacionada con la persona, independientemente de la forma en la que se exprese y del formato en el que se conserve o del titular de la información (medios de almacenamiento, papel, cinta, película, medios electrónicos, etc.).

  • Tratamiento significa cualquier operación o conjunto de operaciones realizadas por el Encargado del tratamiento en nombre del Responsable del tratamiento sobre Datos Personales o conjuntos de Datos Personales, ya sea por medios automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, uso, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o combinación, limitación, eliminación o destrucción.

  • Violación de la seguridad de los Datos Personales significa una violación de la seguridad que dé lugar a la destrucción, pérdida, alteración, divulgación o acceso accidental o ilícito de los Datos Personales transmitidos, conservados o tratados de algún otro modo.

III. Descripción del Tratamiento subcontratado

El Encargado del tratamiento está autorizado a tratar, por cuenta del Responsable, los Datos Personales necesarios para la prestación de los siguientes servicios:

  • Recepción de las solicitudes: identidad, información de contacto, currículum vitae (CV), carta de presentación, red social, cualquier información complementaria pertinente que el solicitante presente;
  • Tramitación de las solicitudes: intercambios de correos electrónicos, comentarios, evaluaciones de los solicitantes por parte de los responsables de contratación;
  • Almacenamiento de las aplicaciones.

Para la prestación del servicio objeto del presente Contrato, el Responsable del tratamiento facilitará al Encargado del tratamiento la información necesaria, incluida una descripción detallada del tratamiento establecida en el Apéndice 1.

IV. Duración del Contrato

El presente CTD entrará en vigor en la fecha de la firma del mismo por parte del Responsable del tratamiento, durante un período de un año, renovable por acuerdo tácito. La firma del presente CTD se realizará directamente en la plataforma del Kit de Bienvenida (Welcome Kit) por un administrador del encargado de contratación, que será una persona debidamente autorizada para ello por el Responsable del tratamiento.

V. Obligaciones del Responsable del tratamiento

El Responsable del tratamiento reconoce y garantiza:

1. que el Tratamiento se realice de conformidad con el Reglamento General de Protección de Datos, incluido el hecho de que el Interesado seainformado de la existencia de la operación de Tratamiento y sus fines, de sus derechos, de los destinatarios de los Datos Personales y de la política de confidencialidad y de privacidad de los Datos;

2. que en caso de que el Responsable del tratamiento trate «Datos sensibles» según lo dispuesto en el artículo 9 del Reglamento General de Protección de Datos (a saber, el Tratamiento de Datos Personales que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos con el fin de identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida u orientación sexual de una persona física), el Responsable del tratamiento los habrá recogido y exigirá al Encargado del tratamiento que los trate de conformidad con el artículo 9 del Reglamento General de Protección de Datos;

3. que responderá, sin demora injustificada, a las solicitudes de información de la autoridad de protección de datos (en Francia, la CNIL), si procede;

4. que responderá, sin dilación indebida, a las solicitudes de los Interesados y dará a su debido tiempo las instrucciones necesarias al Encargado del tratamiento.

El Responsable del tratamiento se compromete a:

5. facilitar al Encargado del tratamiento los Datos mencionados en el Apéndice 1 del presente Contrato;

6. documentar, por escrito, cualquier instrucción relacionada con el Tratamiento de datos por parte del Encargado del tratamiento;

7. asegurarse, antes y durante todo el Tratamiento, del cumplimiento de las obligaciones establecidas en el Reglamento General de Protección de Datos por parte del Encargado del tratamiento.

VI. Obligaciones del Encargado del tratamiento

El Encargado se compromete a:

1. tratar los Datos únicamente para los fines objeto de la subcontratación, según se establece en el Apéndice 1;

2. cuando el Encargado del tratamiento considere que una instrucción infringe el Reglamento General de Protección de Datos o cualquier otra disposición legal de la Unión o de los Estados miembros relativa a la protección de datos, informará inmediatamente de ello al Responsable del tratamiento. Por otra parte, cuando el Encargado del tratamiento esté obligado a transferir Datos Personales a un tercer país o a una organización internacional en virtud del Derecho de la Unión o del Derecho del Estado miembro al que esté sujeto el Encargado del tratamiento, este último informará de dicho requisito legal al Responsable del tratamiento antes de efectuar el Tratamiento, a menos que dicha ley prohíba tal información por motivos importantes de interés público;

3. garantizar la confidencialidad de los Datos Personales tratados en virtud del presente Contrato;

4. garantizar que las personas autorizadas para tratar los Datos Personales en virtud del presente:

  • se hayan comprometido a respetar la confidencialidad o estén sujetas a la debida obligación legal de confidencialidad;
  • reciban la formación adecuada en materia de protección de Datos Personales;

5. tener en cuenta desde el diseño, por defecto, los principios de la protección de datos en términos de sus herramientas, productos, aplicaciones o servicios;

6. elaborar y conservar una documentación específica sobre la legislación y la práctica en materia de protección de datos personales;

7. informar a sus empleados de la responsabilidad que les incumbe en relación con la protección de datos, incluida la confidencialidad de los Datos Personales;

8. en caso de una prohibición legal, administrativa o judicial del derecho del Encargado del tratamiento a tratar Datos Personales, este último informará de ello al Responsable del tratamiento, quien podrá rescindir el Contrato sin por ello tener derecho a implicar la responsabilidad del Encargado del tratamiento o a solicitar daños y perjuicios;

9. cooperar con la autoridad de control.

10.** Subcontratación**

El Encargado del tratamiento podrá contratar a otro encargado del tratamiento (en adelante, « el Subencargado del tratamiento ») para llevar a cabo actividades específicas de Tratamiento. En ese caso, el Encargado informará previamente por escrito al Responsable de cualquier cambio previsto en relación con la incorporación o sustitución de otros encargados. Esta información deberá indicar claramente qué actividades de Tratamiento se subcontratan, el nombre y datos de contacto del subencargado y las fechas del subcontrato. El Responsable del tratamiento tendrá un plazo mínimo de 2 meses a partir de la fecha en la que reciba dicha información para oponerse a la misma. Esta subcontratación sólo es posible si el Responsable del tratamiento no se ha opuesto en el plazo convenido.

El Subencargado del tratamiento está obligado a cumplir las obligaciones derivadas del presente Contrato por cuenta y a indicación del Responsable del tratamiento. Es responsabilidad del Encargado inicial asegurarse de que el Subencargado proporcione las mismas garantías suficientes para implementar las medidas técnicas y organizativas adecuadas a fin de que el Tratamiento cumpla los requisitos del Reglamento General de Protección de Datos. Cuando el Subencargado del tratamiento no cumpla sus obligaciones de protección de Datos, el Encargado del tratamiento inicial seguirá siendo plenamente responsable frente al Responsable del tratamiento por el cumplimiento insuficiente de sus obligaciones.

11.** Derecho de información de los Interesados**

El Responsable deberá informar a los Interesados afectados por las operaciones de Tratamiento en el momento en que se recojan los Datos.

12.** Ejercicio de los derechos de los Interesados**

El Responsable deberá cumplir su obligación de responder a las solicitudes de ejercicio de los derechos del Interesado (derecho de acceso, rectificación, eliminación y oposición, derecho a la limitación del Tratamiento, derecho a la portabilidad de los datos, derecho a no ser objeto de una decisión individual automatizada, incluida la elaboración de perfiles), y dará a su debido tiempo las instrucciones correspondientes al Encargado del tratamiento, tal y como se establece en el Artículo 5-4 del presente Contrato.

El Encargado prestará asistencia al Responsable, en la medida de lo posible, para permitirle cumplir con su obligación de responder a las solicitudes de ejercicio de los derechos del Interesado.

En caso de que los Interesados presenten solicitudes al Encargado para ejercer sus derechos, el Encargado deberá remitirlas por correo electrónico tan pronto como las reciba a una persona de contacto del Responsable del tratamiento dedicada a la protección de datos y la privacidad.

13.** Notificación de violación de la seguridad de los Datos Personales**

El Encargado notificará sin dilación indebida al Responsable cualquier violación de la seguridad de los Datos Personales y, a más tardar, 72 horas después de haber tenido conocimiento de la misma. Dicha notificación se acompañará de toda documentación necesaria para que el Responsable pueda, si fuera necesario, comunicar la violación a la autoridad de control competente.

El Encargado del tratamiento hará los esfuerzos razonables para identificar la causa de dicha violación de la seguridad de los Datos Personales y adoptará las medidas que considere necesarias y razonables para remediar la causa de dicha violación de la seguridad de los Datos Personales en la medida en que la reparación se encuentre razonablemente bajo el control del Encargado del tratamiento.

14.** Asistencia prestada por el Encargado del tratamiento al Responsable del tratamiento en relación con el cumplimiento de sus obligaciones**

El Encargado del tratamiento asistirá al Responsable del tratamiento en la realización de evaluaciones de impacto relativas a la protección de datos.

El Encargado del tratamiento asistirá al Responsable del tratamiento en lo que atañe a la consulta previa de la Autoridad de supervisión.

15.** Medidas de seguridad**

El Encargado del tratamiento se compromete a implementar las medidas técnicas y organizativas necesarias para garantizar un nivel de seguridad adecuado en función del riesgo, según se establece en el Apéndice 2 («Medidas de seguridad»).

El Encargado del tratamiento aplicará en todo momento las medidas técnicas y organizativas correspondientes para evitar el acceso no autorizado a los Datos Personales y el uso de los Datos Personales para cualquier fin distinto de aquel para el que se hayan transmitido al Encargado del tratamiento.

El Encargado del tratamiento declara y garantiza que las medidas de seguridad adoptadas no serán en modo alguno inferiores a las exigidas por la legislación aplicable o a las que una entidad razonable dedicada a la misma actividad que el Encargado del tratamiento adoptaría para proteger los Datos Personales almacenados por él contra el uso o el acceso no autorizados.

Las medidas que el Encargado del tratamiento deberá adoptar incluyen, entre otras, las enumeradas en el Apéndice 2.

En los casos en los que el Encargado del tratamiento obtenga la aprobación previa por escrito del Responsable del tratamiento para transmitir Datos Personales a un tercero, el Encargado del tratamiento deberá tomar nuevamente las medidas de seguridad del nivel suficiente para garantizar una transmisión segura de los Datos Personales.

El Encargado del tratamiento protegerá y conservará la seguridad de los Datos Personales como información confidencial. Los requisitos de confidencialidad del Encargado del tratamiento contenidos en todos y cada uno de los contratos comerciales y/o de confidencialidad que suscriba con el Responsable del tratamiento también se aplicarán a los Datos Personales.

16.** Fin de los servicios**

Al finalizar el servicio relativo al Tratamiento de dichos Datos, el Encargado se compromete a destruir o anonimizar todos los Datos Personales facilitados por el Responsable del tratamiento.

17.** Registro de las categorías de actividades de Tratamiento**

El Encargado del tratamiento declarará mantener un registro escrito de todas las categorías de actividades de Tratamiento llevadas a cabo por cuenta del Responsable, que contendrá:

  • el nombre y los datos de contacto del Responsable del tratamiento en nombre del cual actúa el Encargado, de cualquier otro Encargado del tratamiento y, en su caso, del delegado de protección de datos;

  • las categorías de Tratamiento efectuadas por cuenta del Responsable;

  • en su caso, las transferencias de Datos Personales a un tercer país o a una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias mencionadas en el párrafo segundo del apartado 1) del artículo 49 del RGPD, la documentación de las correspondientes garantías;

  • en la medida de lo posible, una descripción general de las medidas de seguridad técnicas y organizativas, incluidas, entre otras, las siguientes:

  • la seudonimización y el cifrado de Datos Personales;

  • la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de Tratamiento;

  • la capacidad de restablecer la disponibilidad y el acceso a los Datos Personales de manera oportuna en caso de incidente físico o técnico;

  • un proceso para probar, verificar y evaluar periódicamente la eficacia de las medidas técnicas y organizativas con el fin de garantizar la seguridad del Tratamiento.

18.** Documentación**

El Encargado facilitará al Responsable la documentación necesaria para demostrar el cumplimiento de todas sus obligaciones y para permitir y contribuir a las auditorías del Responsable o de cualquier otro auditor que éste haya autorizado a tal efecto, incluyendo inspecciones.

VII. Delegado de protección de datos

El Encargado del tratamiento ha designado, en cumplimiento del artículo 37 del Reglamento General de Protección de Datos, al siguiente delegado de protección de datos: Camille Fauran.

El Responsable del tratamiento podrá acceder a los datos de contacto del delegado directamente en el Kit de bienvenida (Welcome Kit).

El Responsable del tratamiento de datos especificará en el Kit de bienvenida, en el campo dedicado a tal fin, el DPD designado en su equipo de conformidad con el artículo 37 del Reglamento General de Protección de Datos.

VIII. Contingencias

En caso de circunstancias imprevisibles en el momento de la celebración del Contrato, de conformidad con las disposiciones del artículo 1.195 del Código Civil, la Parte que no haya aceptado asumir un riesgo de ejecución excesivamente costoso podrá solicitar la renegociación del Contrato a su cocontratista.

IX. Rescisión del Contrato

Las Partes reconocen que la rescisión del Contrato, cualquiera sea el momento o el motivo, no las eximirá de sus obligaciones en virtud del Reglamento General de Protección de Datos y de la ley de informática y libertades (loi informatique et libertés) en lo que se refiere al Tratamiento, de conformidad con lo estipulado en el Contrato.

Siempre que se conceda al Responsable del tratamiento el tiempo necesario para encontrar una solución alternativa al Tratamiento, y siempre que dicha solución funcione satisfactoriamente, el Encargado del tratamiento, según proceda, eliminará o anonimizará todas las copias existentes de los Datos Personales recogidos por el Responsable del tratamiento, conservadas y tratadas por el Encargado del tratamiento.

En el supuesto de que, por razones prácticas, los Datos Personales tratados por el Responsable del Tratamiento no pudieran suprimirse o anonimizarse, el Encargado del tratamiento adoptará las medidas necesarias para garantizar que dichos datos dejen de tratarse, divulgarse o utilizarse, excepto para garantizar su eliminación cuando sea posible.

X. Legislación aplicable – Idioma del Contrato

Por acuerdo expreso entre las Partes, el presente Contrato se regirá por el Derecho francés, con exclusión de cualquier otra legislación.

Está escrito en francés. Si se traduce a uno o más idiomas, sólo prevalecerá el texto francés en caso de litigio o dificultades de interpretación del Contrato.

XI. Resolución de litigios

En caso de litigio derivado de la ejecución del presente Contrato, la Parte más diligente emprenderá acciones ante los tribunales competentes.

APÉNDICE 1 - DETALLES DEL PROCESAMIENTO SUJETO A SUBPROCESAMIENTO

El presente apéndice incluye una descripción del Tratamiento sujeto a subtratamiento:

La naturaleza de las operaciones realizadas a los datos es la siguiente:

  • Recepción y almacenamiento de las solicitudes recibidas por el Responsable del tratamiento;
  • Gestión de los intercambios de correo entre el Responsable del tratamiento de datos y el candidato, en la medida en que los correos se envíen directamente desde el Kit de bienvenida (Welcome Kit);
  • Tratamiento de las solicitudes: El Kit de bienvenida permite al Responsable del tratamiento comentar, evaluar y tratar las solicitudes recibidas;
  • Crear una aplicación desde la herramienta: el Kit de bienvenida permite al encargado de contratación crear una aplicación desde la propia herramienta o añadirla directamente a partir de las redes sociales.

El período durante el cual se conservarán los Datos Personales se fija, por defecto, en dos años; dos meses antes de que expire el plazo, se enviará un correo electrónico automático al candidato para notificarle que han transcurrido dos años desde que la empresa conserva sus datos; el correo electrónico invitará al candidato a permitir que la empresa renueve su autorización para utilizar sus Datos Personales durante otros dos años. Si el candidato no responde, se le enviará un correo electrónico automático un mes antes de la expiración del plazo para advertirle de que sus datos serán eliminados.

Nota bene: No obstante, el encargado de contratación podrá configurar el período durante el cual se conservarán los Datos Personales en hasta cinco años. Ahora bien, Coruscant informa a sus clientes de las recomendaciones de la CNIL a este respecto – ver a continuación:

«De conformidad con el artículo 5-e del RGPD, los Datos Personales se conservarán durante un plazo no superior al necesario para los fines para los que dichos datos se traten; para su información, la CNIL recomendó, en la deliberación n° 02-017 de 21 de marzo de 2002, que se informe al candidato que haya sido objeto de un procedimiento de contratación del plazo durante el cual se conservarán los Datos Personales que le conciernen, que la CNIL considera no deberá superar los dos años siguientes al último contacto con dicha persona. En su calidad de Responsable del tratamiento, deberá hacerse responsable por elegir el período para el que se almacenarán los Datos Personales. Si desea configurar un periodo diferente que el recomendado por la CNIL para el almacenamiento de los Datos Personales, asegúrese de que sea proporcional al objetivo perseguido por la recogida. De acuerdo con el artículo 14-2-a del RGPD, también ha de poder explicar a los candidatos los criterios utilizados para determinar dicho período.»

La o las finalidades del Tratamiento son permitir al Responsable del tratamiento:

  • recibir solicitudes de los perfiles que presenten su candidatura a través del Kit de bienvenida;
  • tratar las solicitudes con fines de contratación: intercambio de correos electrónicos, puntuación de los candidatos, comentarios de los responsables de contratación sobre las solicitudes;
  • mantener una reserva de candidatos a lo largo del tiempo, dentro de los límites de las recomendaciones de la CNIL, en aras de una contratación más eficiente.

Los Datos Personales tratados son los datos estándar solicitados como parte de un proceso de contratación: CV, carta de solicitud, elementos de contacto y, de forma opcional, preguntas abiertas personalizadas; el Responsable del tratamiento se compromete a solicitar únicamente información relativa a la contratación del puesto pertinente para el candidato.

Las categorías de Interesados son las siguientes:

  • en el caso del Responsable del tratamiento: todas las personas que tengan acceso al espacio Kit de Bienvenida dedicado a la empresa cliente. Los accesos (así como los niveles de administración) los otorgarán los administradores de la organización del cliente;
  • en el caso de los candidatos: cualquier persona que haya presentado voluntariamente su solicitud, después de haber dado su consentimiento explícito a la empresa del Responsable del tratamiento.

Apéndice 2 - Medidas de seguridad de los datos personales

Las medidas de seguridad de los Datos Personales que el Encargado del tratamiento deberá adoptar e implementar en relación con el Tratamiento de Datos Personales incluyen, entre otras, las siguientes:

  • se deberá impartir formación a todos los miembros del personal y actualizarles periódicamente sobre la seguridad de los Datos Personales y el modo de protegerlos;
  • para proteger la confidencialidad de los Datos Personales, el Encargado del tratamiento deberá incluir en los contratos de trabajo firmados con los miembros del personal que tengan acceso a Datos Personales, una cláusula que les exija declarar que tienen conocimiento de y se comprometan a proteger la confidencialidad de todos los Datos Personales a los que tengan acceso en el marco del contrato;
  • sólo los miembros del personal autorizados han de tener acceso a los Datos Personales, en función de la necesidad que tengan de conocerlos, y se deberá impedir el acceso a los Datos Personales por parte de miembros del personal no autorizados;
  • se deberá desarrollar un método de acceso a los Datos Personales que exija un nivel apropiado de autorización de acceso;
  • Hará falta un nombre de usuario y una contraseña para acceder a cualquier entorno electrónico donde se almacenen Datos Personales y se deberá mantener un registro de acceso. El Encargado del tratamiento deberá disponer de una política de contraseñas adecuada para acceder a los Datos Personales;
  • todos los soportes electrónicos y programas informáticos en los que se almacenen Datos Personales deberán actualizarse periódicamente y protegerse contra los programas maliciosos y el acceso no autorizado mediante el uso de programas informáticos de protección (como programas antivirus) y mediante una política de seguridad avanzada;
  • Los Datos Personales no deberán almacenarse en entornos (como Internet) accesibles por terceros que no hayan sido autorizados por el Encargado del tratamiento;
  • se deberán operar aplicaciones de seguridad adecuadas (como cortafuegos, etc.) entre los entornos accesibles para terceros y las áreas de almacenamiento de datos de la empresa, y se deberán utilizar medidas compensatorias (IDS/IPS, etc.) contra ataques virtuales que puedan amenazar la privacidad de los Datos;
  • Los Datos Personales deberán transmitirse siempre a través de servicios de comunicación cifrados (correo electrónico, protocolo de transferencia de archivos (FTP), intercambio de archivos, HTTPS, etc.);
  • los entornos (servidores, sistemas de almacenamiento de datos, etc.) en los que se almacenen o conserven datos Personales para el Encargado del tratamiento se deberán proteger físicamente, y el acceso a los mismos deberá controlarse y estar limitado únicamente a los miembros del personal autorizados;
  • se deberán utilizar métodos adecuados para borrar los Datos Personales. Los Datos Personales almacenados en entornos electrónicos se deberán borrar de tal manera que se garantice que no se podrán recuperar. Se deberán utilizar otros métodos o equipos adecuados (trituradora de papel, etc.) para destruir los Datos Personales almacenados en entornos físicos (documentos, etc.).