Anexo Reglamento General de Protección de Datos

Este Apéndice del Reglamento general de protección de datos (“RGPD”) forma parte de los Términos de servicio disponibles en https://www.clicandcard.com o, si corresponde, cualquier otro acuerdo escrito por separado (el “Acuerdo”), por y entre Quickcard, una corporación española (“Quickcard”) y el Cliente nombrado en el Acuerdo, según el cual el Cliente ha comprado una suscripción para acceder y utilizar el Servicio (tal como se define en el Acuerdo).

Las partes pretenden que este RGPD sea una extensión del Acuerdo que describirá ciertos requisitos para el procesamiento de Quickcard de ciertos datos personales proporcionados o puestos a disposición por el Cliente, o recopilados u obtenidos de otra manera por Quickcard, en el curso de la prestación de servicios al Cliente.

Contenido

1. Definiciones

2. Alcance

3. Protección de datos

Apéndice 1: Objeto y detalles del procesamiento de datos

Apéndice 2: Descripción general de las medidas de seguridad técnicas y operativas de Quickcard

1. Definiciones

  • “Legislación de protección de datos” se refiere a todas las leyes aplicables relacionadas con la privacidad y el procesamiento de datos personales que puedan existir en cualquier jurisdicción relevante donde Quickcard realiza negocios. La Legislación de Protección de Datos incluye, pero no se limita a, las Directivas Europeas 95/46/EC y 2002/58/EC (modificadas por la Directiva 2009/136/EC) y cualquier legislación y/o regulación que las implemente o se haga conforme a ellas, o que modifica, reemplaza, vuelve a promulgar o consolida cualquiera de ellos (incluido el Reglamento General de Protección de Datos (Reglamento (UE) 2016/279)).
  • “Buenas Prácticas de la Industria” significa, en relación con cualquier actividad y bajo cualquier circunstancia, ejercer la misma habilidad, experiencia y juicio y usar instalaciones y recursos de una calidad similar o superior como se esperaría de una persona que: (a) está capacitada y con experiencia en la prestación de los servicios en cuestión, procurando de buena fe cumplir con sus obligaciones contractuales y procurando evitar responsabilidades derivadas de cualquier deber de cuidado que pudiera corresponder razonablemente; (b) toma todo el cuidado debido y razonable y es diligente en el cumplimiento de sus obligaciones; y (c) cumple con toda la legislación aplicable y cualquier estándar de la industria aplicable, incluidos los estándares de calidad de la industria reconocidos y la ley aplicable.
  • “controlador de datos”, “procesador de datos”, “subprocesador”, “sujeto de datos”, “datos personales”, “procesamiento” y “medidas técnicas y organizativas apropiadas” se interpretarán de conformidad con la Directiva 95/46/CE, o otra Legislación de Protección de Datos aplicable, en la jurisdicción correspondiente.
  • “cláusulas contractuales tipo” significará el modelo de contrato de controlador a procesador para la transferencia de datos personales a terceros países emitido por la Comisión Europea sobre la base del artículo 26(4) de la Directiva 95/46/CE de conformidad con la Decisión 2010/ 87/UE.

2. Alcance

Las partes acuerdan que, entre las partes, el Cliente es un controlador de datos y que Quickcard es un procesador en relación con los datos personales que Quickcard procesa en nombre del Cliente en el curso de la prestación de los servicios en virtud del Acuerdo de Servicios (los “Servicios”). El objeto del procesamiento de datos, los tipos de datos personales procesados y las categorías de sujetos de datos serán definidos y/o limitados a lo necesario para llevar a cabo los Servicios descritos en el Acuerdo de Servicios. El procesamiento se llevará a cabo hasta la fecha en que Quickcard deje de prestar los Servicios al Cliente. Las categorías de interesados y datos personales se establecen en el Anexo 1 del presente.

3. Protección de datos

Con respecto a los datos personales procesados en el curso de la prestación de los Servicios, Quickcard deberá cumplir con los siguientes requisitos:

  • Quickcard procesará los datos personales solo de acuerdo con las instrucciones escritas del Cliente y solo de conformidad con la Legislación de Protección de Datos. Dichas instrucciones pueden ser específicas o de naturaleza general según lo establecido en este RGPD, el Acuerdo de servicios, o según lo notifique el Cliente a Quickcard por escrito de vez en cuando. La naturaleza y los fines del procesamiento se limitarán a lo necesario para llevar a cabo dichas instrucciones, y no para los propios fines de Quickcard, ni para ningún otro fin, salvo que lo exija la ley. Si la ley requiere que Quickcard procese los datos personales para cualquier otro propósito, Quickcard informará al Cliente de tal requisito antes del procesamiento, a menos que la ley lo prohíba.
  • Quickcard procesará los datos personales solo en la medida y de la manera que sea necesaria para la prestación de los Servicios. Quickcard solo puede corregir, eliminar o bloquear los datos personales procesados en nombre del Cliente cuando así lo indique el Cliente.
  • Quickcard implementará y mantendrá las medidas técnicas y organizativas apropiadas para proteger los datos personales contra el procesamiento no autorizado o ilegal y contra la pérdida, destrucción, daño, robo, alteración o divulgación accidentales. Estas medidas tendrán en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como el riesgo de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas. Las medidas serán apropiadas al daño que podría resultar de cualquier procesamiento no autorizado o ilegal, pérdida accidental, destrucción, daño o robo de los datos personales y teniendo en cuenta la naturaleza de los datos personales que se protegerán y como mínimo estar de acuerdo con la Legislación de Protección de Datos y las Buenas Prácticas de la Industria.
    • la seudonimización y el cifrado de datos personales;
    • la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia continuas de los sistemas y servicios de procesamiento;
    • la capacidad de restaurar la disponibilidad y el acceso a los datos personales de manera oportuna en caso de un incidente físico o técnico;
    • un proceso para probar, evaluar y evaluar periódicamente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del procesamiento.
  • Quickcard no dará acceso ni transferirá ningún dato personal a ningún tercero (incluidos los afiliados, las empresas del grupo o los subcontratistas) sin dar al Cliente un aviso previo y la oportunidad de objetar al Cliente. Sin perjuicio de lo anterior, los subcontratistas a partir de la fecha de este RGPD se consideran preaprobados por el Cliente, sujeto a las condiciones aquí contenidas. Cuando el Cliente no se oponga de buena fe por motivos relacionados con la protección de datos a que Quickcard contrate a un subcontratista para llevar a cabo cualquier parte de los Servicios, Quickcard debe garantizar la confiabilidad y competencia de dicho tercero, sus empleados o agentes que puedan tener acceso a los datos personales procesados en la prestación de los Servicios, y debe incluir en cualquier contrato con dichos terceros disposiciones a favor del Cliente que sean sustancialmente equivalentes a las de este RGPD y el Acuerdo de Servicios y según lo requiera la Legislación de Protección de Datos aplicable. Para evitar dudas, cuando un tercero no cumpla con sus obligaciones en virtud de cualquier acuerdo de subprocesamiento o cualquier Legislación de protección de datos aplicable.
  • Quickcard tomará medidas razonables para garantizar la confiabilidad y competencia de cualquier miembro del personal de Quickcard que tenga acceso a los datos personales. Quickcard se asegurará de que todo el personal de Quickcard requerido para acceder a los datos personales esté informado de la naturaleza confidencial de los datos personales y cumpla con las obligaciones establecidas en este RGPD.
  • Quickcard tomará todas las medidas razonables para ayudar al Cliente a cumplir con las obligaciones del Cliente en virtud de la Legislación de protección de datos aplicable, incluidas las obligaciones del Cliente de responder a las solicitudes de los interesados para ejercer sus derechos con respecto a los datos personales, cumplir con las obligaciones de seguridad de los datos, responder a las violaciones de datos y otros incidentes relacionados con datos personales, realizar evaluaciones de impacto de la protección de datos y consultar con las autoridades supervisoras. Quickcard informará de inmediato al Cliente por escrito si recibe: (i) una solicitud de un sujeto de datos con respecto a cualquier dato personal; o (ii) una queja, comunicación o solicitud relacionada con las obligaciones del Cliente en virtud de la Legislación de Protección de Datos.
  • Quickcard no conservará ninguno de los datos personales durante más tiempo del necesario para prestar los Servicios. Al final de los Servicios, o a pedido del Cliente, Quickcard destruirá o devolverá (a elección del Cliente) de forma segura los datos personales al Cliente.
  • Con respecto a los datos personales relacionados con los interesados ubicados en el Espacio Económico Europeo, el Cliente da su consentimiento para el procesamiento de dichos datos personales en los Estados Unidos por parte de Quickcard, siempre que:
    • Quickcard tomará las medidas que razonablemente pueda requerir el Cliente de manera continua para garantizar que exista una protección adecuada para dichos datos personales de acuerdo con la Legislación de Protección de Datos aplicable; y
    • Quickcard procesará dichos datos de conformidad con cualquiera de las cláusulas contractuales estándar. A los efectos de las descripciones en las cláusulas contractuales estándar y solo entre el Cliente y Quickcard, el Cliente acepta que el Cliente es un controlador de datos y “exportador de datos” y Quickcard es el procesador de datos e “importador de datos” según las cláusulas contractuales estándar. Adicionalmente, los Apéndices 1 y 2 de este RGPD tomarán el lugar de los Apéndices 1 y 2 de las cláusulas contractuales tipo respectivamente.
  • Quickcard permitirá que el Cliente y sus respectivos auditores o agentes autorizados realicen auditorías e inspecciones razonables durante la vigencia del Acuerdo de servicios, únicamente para permitir que el Cliente verifique que Quickcard está procesando datos personales de acuerdo con sus obligaciones en virtud de este RGPD, el Acuerdo de servicios, y la Legislación de Protección de Datos aplicable.
  • Si Quickcard toma conocimiento de cualquier destrucción, pérdida, alteración o divulgación accidental, no autorizada o ilegal, o acceso a los datos personales que Quickcard procesa en el curso de la prestación de los Servicios en virtud del Acuerdo de Servicios (una “Infracción de seguridad”), dentro de las 72 horas y sin demoras indebidas, notificará al Cliente y le proporcionará: una descripción detallada de la Infracción de Seguridad; el tipo de datos que fueron objeto de la violación de seguridad; la identidad de cada persona afectada, y los pasos que toma Quickcard para mitigar y remediar dicha Infracción de seguridad, en cada caso tan pronto como se pueda recopilar dicha información o esté disponible de otro modo (así como actualizaciones periódicas de esta información y cualquier otra información el Cliente puede solicitar razonablemente en relación con la Violación de la Seguridad); y tomar medidas inmediatamente, a su cargo, para investigar la Violación de la Seguridad e identificar, prevenir y mitigar los efectos de la Violación de la Seguridad y, con la aprobación previa por escrito del Cliente, para llevar a cabo cualquier recuperación u otra acción necesaria para remediar la Seguridad Incumplimiento.
  • Quickcard cumplirá en todo momento y ayudará al Cliente a cumplir con sus obligaciones aplicables en virtud de la Legislación de protección de datos. Quickcard proporcionará cualquier información solicitada por el Cliente para demostrar el cumplimiento de las obligaciones establecidas en este RGPD. Quickcard no cumplirá con sus obligaciones en virtud del Acuerdo de servicios o este RGPD de tal manera que haga que el Cliente incumpla cualquiera de sus obligaciones en virtud de la Legislación de protección de datos aplicable.
  • Quickcard notificará al Cliente de inmediato si, en la opinión razonable de Quickcard, una instrucción para el procesamiento de datos personales dada por el Cliente infringe la Legislación de Protección de Datos aplicable.

Apéndice 1: Objeto y detalles del procesamiento de datos

Exportador de datos

El exportador de datos es Cliente.

Importador de datos

El importador de datos es Quickcard Factory S.L.

Sujetos de datos

Los datos personales transferidos se refieren a las siguientes categorías de interesados (especifique):

  • el Cliente.
  • contactos individuales del Cliente.
  • cualquier otro sujeto de datos cuyos datos puedan procesarse de vez en cuando de conformidad con el Acuerdo y este RGPD.

Categorías de datos

Los datos personales transferidos se refieren a las siguientes categorías de datos (especifique):

  • Nombre y apellido.
  • Dirección de correo electrónico.
  • Número de teléfono.
  • Información postal u otra dirección.
  • Fotografías y/o video de los interesados.
  • Perfiles de redes sociales.

Categorías especiales de datos (si procede)

Los datos personales transferidos se refieren a las siguientes categorías especiales de datos (especifique):

  • Elección del pronombre de género.

Operaciones de procesamiento

Los datos personales transferidos estarán sujetos a las siguientes actividades básicas de procesamiento (especifique): Como se describe en el Acuerdo.

Apéndice 2: Descripción general de las medidas de seguridad técnicas y operativas de Quickcard

Quickcard adopta un Sistema de Gestión de Seguridad de la Información (SGSI) como marco para la mejora continua de la seguridad.

Este SGSI incluye (pero no se limita a):

Políticas

Quickcard tiene y revisa periódicamente las Políticas de seguridad de la información como las principales pautas para las prácticas de seguridad. Esto incluye gestión de riesgos, clasificación de datos, control de acceso, desarrollo de software y violaciones de datos.

Conciencia

La conciencia sobre la seguridad y el cumplimiento es fundamental y se proporciona a todos los usuarios. Algunos usuarios pueden tener conocimientos específicos adicionales, relevantes para su función.

Control de acceso

El acceso se otorga en función de la necesidad de conocer y solo un pequeño número de usuarios puede acceder a los sistemas de producción donde se almacena la información de los Clientes. La autenticación a los sistemas de producción se realiza con autenticación de 2 factores como estándar.

Registro de auditoría

Se mantienen registros de auditoría relevantes, incluido el acceso a información confidencial (incluidos los datos personales). Los registros se mantienen en una infraestructura separada y solo el equipo de seguridad accede a ellos.

Violaciones de datos

Los procesos se definen para manejar las filtraciones de datos. Estos procesos incluyen la notificación a las partes interesadas relevantes, según el tipo de incidente y la legislación aplicable.

Seguridad de la red

Quickcard implementó varias medidas de seguridad para proteger nuestra infraestructura de amenazas externas e internas. Esto incluye encriptación, firewalls, IDS y otros proveedores de nube específicos. El acceso a los sistemas de producción se realiza en modo seguro y el cifrado en tránsito es un valor predeterminado. La información confidencial también se cifra en reposo.

Seguridad física

Quickcard utiliza centros de datos gestionados por proveedores de la nube y les delega toda la seguridad física, después de una diligencia debida.

Continuidad del negocio

Quickcard tiene varias implementaciones técnicas para asegurar la continuidad comercial de su servicio. Estos incluyen copias de seguridad, infraestructura resistente y redundante y un plan de recuperación ante desastres.

Desarrollo

El desarrollo se realiza utilizando una metodología de desarrollo segura que incluye revisión por pares y codificación y prueba seguras.

Mejora continua y revisión

La postura de seguridad de Quickcard se basa en un proceso de mejora continua que incluye una revisión periódica de la eficacia de los controles de seguridad.