Estas condiciones regulan el encargo de tratamiento de datos personales conforme al artículo 28.3 del Reglamento (UE) 2016/679 (RGPD). Éstas se entenderán aceptadas electrónicamente por el Cliente (Responsable del Tratamiento) al contratar los servicios de NUCLEO 360, S.L. (Encargado del Tratamiento), consintiéndolas expresamente al realizar la contratación y suscripción de NUCLEO360.

El Responsable del Tratamiento ha contratado con el Encargado del Tratamiento la prestación de servicios de suscripción, soporte y mantenimiento de licencias del software NUCLEO 360, destinado a la gestión de recursos humanos y otros procesos internos de la empresa. NUCLEO360 es una empresa desarrolladora y proveedora de dicha solución de software. Para la adecuada prestación de estos servicios, el Encargado del Tratamiento requerirá acceso a datos personales relativos a la plantilla de trabajadores del Responsable del Tratamiento. Por ello, las presentes condiciones regulan, en lo relativo al tratamiento de datos personales, dicha prestación de servicios por parte del Encargado del Tratamiento.

1. Objeto

El objeto de estas condiciones es regular la relación entre el Cliente (que suscribe y contrata el uso del software), en calidad de Responsable del Tratamiento, y NUCLEO 360, S.L., con CIF: B72786379 (propietaria del software NUCLEO360) en calidad de Encargado del Tratamiento, a los efectos de dar cumplimiento al artículo 28.3 REGLAMENTO (UE) 2016/679, DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 y la LA LEY ÓRGANICA DE PROTECCIÓN DE DATOS, en el marco de la contratación y suscripción del servicio de uso del software NUCLEO360.

2. Descripción del tratamiento

Para el cumplimiento del objeto de este contrato, NUCLEO 360, S.L deberá tratar los datos del personal de la empresa de la manera que se especifica en la descripción del tratamiento de datos personales indicada más adelante.

Dicha descripción del tratamiento de datos personales detalla los Datos Personales a proteger, el tratamiento que se realizará sobre ellos y las medidas que el Encargado del Tratamiento deberá implementar.

El Encargado tratará los datos personales necesarios para la correcta prestación de los servicios contratados:

• Categorías de interesados: personal de la empresa del Cliente o usuarios designados.
• Categorías de datos: datos identificativos, datos de contacto y datos laborales o de RRHH necesarios para la gestión.
• Finalidad: prestación del servicio de software NÚCLEO 360, soporte y mantenimiento.

Al contratar o suscribirse a nuestros servicios, el CLIENTE actúa como Responsable del Tratamiento de los datos personales que pueda facilitarnos o alojar en nuestra plataforma, asumiendo las obligaciones y responsabilidades derivadas de dicha condición conforme a la normativa vigente.

NUCLEO 360, S.L. actuará como Encargado del Tratamiento, tratando los datos exclusivamente para prestar los servicios contratados y siguiendo las instrucciones documentadas del CLIENTE. No destinaremos los datos a fines propios ni distintos de los indicados en estas condiciones.

En caso de que NUCLEO 360, S.L. utilizara los datos para fines distintos, los comunicara o los tratara incumpliendo lo establecido o la normativa aplicable, asumirá la condición de Responsable del Tratamiento respecto de dichos tratamientos y las correspondientes responsabilidades legales.

3. Duración

Estas condiciones tendrán la misma duración que la contratación electrónica/suscripción de la prestación de servicios de uso de NUCLEO360.

A la finalización del servicio, el Encargado deberá devolver al Responsable o destruir los datos personales y cualquier copia en su poder, salvo obligación legal de conservación, en cuyo caso los mantendrá bloqueados por el tiempo mínimo necesario y los eliminará de forma segura y definitiva al final de dicho plazo.

4. Confidencialidad

El Encargado y todo su personal se obligan a mantener el más absoluto secreto y confidencialidad sobre los datos personales y la información facilitada por el Responsable, así como sobre el know-how o saber hacer resultante de la ejecución del contrato, sin revelar en todo o en parte dicha información a terceros no autorizados.

Esta obligación se extiende a cualquier persona que intervenga en cualquier fase del tratamiento por cuenta del Encargado, quien se compromete a instruirlas sobre este deber de secreto, que subsistirá incluso tras la finalización de la relación contractual.

5. Obligaciones del Encargado del Tratamiento

El encargado del tratamiento y todo su personal se obliga a: 

• Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios.
• Tratar los datos de acuerdo con las instrucciones documentadas, en el presente contrato o demás documentos contractuales aplicables a la ejecución del contrato y aquellas que, en su caso, reciba el Responsable por escrito en cada momento. El encargado informará inmediatamente al Responsable del Tratamiento cuando, en su opinión, una instrucción sea contraria a la normativa de protección de datos personales aplicables en cada caso.
• En los casos en que la normativa así lo exija (artículo 30.5 del RGPD), llevar, por escrito, incluso en formato electrónico y de conformidad con lo previsto en el artículo 30.2 RGPD, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, que contenga, al menos, las circunstancias a que se refiere ese artículo.
• Derecho de información: El Encargado de Tratamiento, en el momento de la recogida de los datos, debe facilitar la información relativa a los tratamientos de datos que se van a realizar.
• Mantener la más absoluta confidencialidad sobre los datos personales a los que tenga acceso para la ejecución del contrato así como sobre los que resulten de su tratamiento, cualquiera que sea el soporte en el que se hubieren obtenido. Esta obligación se extiende a toda persona que pudiera intervenir en cualquier fase del tratamiento por cuenta del encargado del tratamiento, siendo deber del encargado del tratamiento instruir a las personas que de él dependan, de este deber de secreto, y del mantenimiento de dicho deber aún después de la terminación del contrato o de su desvinculación.
• Tratar los datos personales de conformidad con los criterios de seguridad y el contenido previsto en el artículo 32 del GDPR, así como observar y adoptar las medidas técnicas y organizativas de seguridades necesarias o convenientes para asegurar la confidencialidad, secreto e integridad de los datos personales a los que tenga acceso.
• Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.
• Cuando las personas afectadas ejerzan los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento y portabilidad de datos ante el Encargado de Tratamiento, este debe comunicarlo de forma expresa al responsable. La comunicación debe hacerse de forma inmediata y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud.
• Notificación de violaciones de la seguridad de los datos (artículo 33 GDPR)

El encargado del tratamiento notificará al responsable del tratamiento, sin dilación indebida (y a más tardar en el plazo de 72 horas) y de forma escrita, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia. 

Se facilitará, como mínimo, la información siguiente: 

1. Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
2. Datos de la persona de contacto para obtener más información.
3. Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales. Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida. 

El Encargado del Tratamiento, a petición del Responsable, comunicará en el menor tiempo posible esas violaciones de la seguridad de los datos a los interesados, cuando sea probable que la violación suponga un alto riesgo para los derechos y las libertades de las personas físicas. 

La comunicación debe realizarse en un lenguaje claro y sencillo y deberá incluir los elementos que en cada caso señale el responsable, como mínimo: 

1. La naturaleza de la violación de datos.
2. Datos del punto de contacto del responsable o del encargado donde se pueda obtener más información.
3. Describir las posibles consecuencias de la violación de la seguridad de los datos personales.
4. Describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

Colaborar con el responsable del tratamiento en el cumplimiento de sus obligaciones en materia de: 

• Medidas de seguridad.
• Comunicación y/o notificación de brechas (logradas e intentadas) de medidas de seguridad a las autoridades competentes o los interesados.
• Asimismo, pondrá a disposición del responsable, a requerimiento de este, toda la información necesaria para demostrar el cumplimiento de las obligaciones previstas en este contrato y demás documentos contractuales y colaborará en la realización de auditorías e inspecciones llevadas a cabo, en su caso, por el responsable del tratamiento o por la entidad designada por este. 
• Salvo que cuente en cada caso con la autorización expresa del Responsable del Tratamiento, no comunicar (ceder) ni difundir los datos personales a terceros.
• Implantar las medidas de seguridad técnicas y organizativas necesarias para garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y ser- vicios de tratamiento.
• Una vez finalizada la prestación contractual objeto del presente contrato, se compromete, según se le indique por el responsable del tratamiento a devolver o destruir:

1. Los datos personales a los que haya tenido acceso
2. Los datos personales generados por el encargado de tratamiento por causa del tratamiento
3. Los soportes y documentos en que cualquiera de estos datos consten, sin conservar copia alguna, salvo que se permita o requiera por ley o por norma de derecho comunitario su conservación, en cuyo caso no procederá la destrucción. El Encargado de Tratamiento podrá, no obstante, conservar los datos durante el tiempo que puedan derivarse responsabilidades de su relación con el Responsable del Tratamiento. En este último caso, los datos personales se conservarán bloqueados y por el tiempo mínimo, destruyéndose de forma segura y definitiva al final de dicho plazo

El Encargado de Tratamiento se compromete a cumplir con las obligaciones establecidas en el presente Contrato y en la normativa vigente, en relación con el presente encargo de tratamiento. De conformidad con lo establecido en el artículo 29 del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, el Encargado de Tratamiento solo podrán tratar datos personales siguiendo instrucciones del responsable. Quedando recogida la propia responsabilidad del Encargado de Tratamiento en el considerando 81 del citado Reglamento. 

Cada una de las Partes deberá responder de las sanciones administrativas, civiles y/o penales, así como de los daños y perjuicios causados por el incumplimiento de las obligaciones que la normativa vigente en materia de Protección de Datos establece para cada una de ellas. 

Cada una de las Partes deberá indemnizar a la otra por todas y cada una de las pérdidas, reclamaciones, acciones, responsabilidades y/o procedimientos que contra la parte no infractora se dirijan como consecuencia del incumplimiento de disposiciones recogidas en la normativa vigente de Protección de Datos, cuando dichos incumplimientos sean imputables la parte infractora. 

• Disponer de evidencias que demuestren su cumplimiento de la normativa de protección de datos personales y del deber de responsabilidad activa, como a título de ejemplo, certificados previos sobre el grado de cumplimiento o resultados de auditorías, que habrá de poner a disposición del responsable del tratamiento a requerimiento de este. Asimismo, durante la vigencia del contrato pondrá a disposición del Responsable del tratamiento toda información, certificaciones y auditorías realizadas en cada momento.
• Salvo que se indique otra cosa expresamente por escrito, los datos personales se trataran dentro del Espacio Económico Europeo u otro espacio considerado por la normativa aplicable como de seguridad equivalente, no tratándolos fuera de este espacio ni directamente ni a través de cualesquiera subcontratistas autorizados conforme a lo establecido en este contrato o demás documentos contractuales, salvo que esté obligado a ello en virtud del Derecho de la Unión o del Estado miembro que le resulte de aplicación.

En el caso de que por causa del Derecho nacional o de la Unión Europea el encargado del tratamiento se vea obligado a llevar a cabo alguna transferencia internacional de datos, el encargado del tratamiento informará por escrito al responsable del tratamiento de esa exigencia legal, con antelación suficiente a efectuar el tratamiento, y garantizará el cumplimiento de cualesquiera requisitos legales que sean aplicables al responsable del tratamiento, salvo que el Derecho aplicable lo prohíba por razones importantes de interés público. 

• En caso de que el encargado de tratamiento pretenda subcontratar con terceros la ejecución del contrato y el subcontratista, si fuera contratado, deba acceder a datos personales, el encargado de tratamiento lo pondrá en conocimiento previo del responsable del tratamiento, identificando que tratamiento de datos personales conlleva, para que el Responsable del tratamiento decida, en su caso, si otorgar o no su autorización a dicha subcontratación.

Le informamos que el Encargado del Tratamiento de los datos personales recogidos en el presente documento es el indicado al inicio, con domicilio a efectos de notificaciones en la dirección Calle Casares 34 (29004) Málaga, la finalidad de este tratamiento es la tramitación de los expedientes de contratación, pagos y gastos y la formalización, desarrollo y ejecución del contrato. Podrá ejercer los derechos recogidos del artículo 15 al 22 del GDPR por escrito, a la dirección anteriormente indicada o al email: delegadodatos@factoriakreativa.com, adjuntando copia de su documento nacional de identidad o documento identificativo equivalente.

6. Obligaciones del Responsable del Tratamiento

El Responsable del Tratamiento se compromete a:

Facilitar al Encargado los datos necesarios para la correcta prestación del servicio.

Garantizar que cuenta con base legal adecuada para el tratamiento y, en su caso, el consentimiento de los interesados.

Informar a sus empleados o usuarios sobre el tratamiento conforme a la normativa.

Velar, previamente y durante todo el tratamiento, por el cumplimiento del RGPD y demás normativa aplicable por parte del Encargado.

Supervisar el tratamiento, incluida la posibilidad de realizar inspecciones y auditorías.

Realizar consultas previas a la autoridad de control cuando corresponda.

Realizar una evaluación de impacto en protección de datos si resulta exigible.

Cualesquiera otras que resulten necesarias para garantizar el cumplimiento de la normativa de aplicación y el buen fin de la relación existente.

7. Localización del tratamiento

El Encargado tratará los datos personales dentro del Espacio Económico Europeo o en territorios declarados con nivel de protección adecuado conforme a la normativa aplicable. Si por obligación legal tuviera que realizar transferencias internacionales, informará al Responsable con antelación suficiente salvo prohibición legal, y garantizará el cumplimiento de los requisitos legales aplicables.

8. Responsabilidad

Cada parte será responsable de las sanciones, daños y perjuicios derivados del incumplimiento de sus propias obligaciones en materia de protección de datos.

Cada parte indemnizará a la otra por todas las pérdidas, reclamaciones, acciones, responsabilidades o procedimientos que se dirijan contra la parte no infractora como consecuencia del incumplimiento de estas obligaciones por la parte infractora.

9. Jurisdicción

Para cualquier controversia derivada de estas condiciones, las partes se someten expresamente a los Juzgados y Tribunales de la ciudad de Málaga (España).

DESCRIPCIÓN DEL TRATAMIENTO DE DATOS PERSONALES

En cumplimiento del artículo 28.3 del RGPD, a continuación, se detalla la descripción del tratamiento de datos personales que realizará NUCLEO 360, S.L., en calidad de Encargado del Tratamiento, por cuenta del Cliente, en calidad de Responsable del Tratamiento, en el marco de la prestación de los servicios contratados en relación con NUCLEO360:

Objeto del tratamiento

Datos relativos al personal del Cliente. El tratamiento tiene por objeto la prestación del servicio de software NÚCLEO 360.  Prestación del asesoramiento en materia de protección de datos y privacidad, elaboración de la documentación relativa a la normativa anteriormente mencionada y auditorías relativas a las materias mencionadas anteriormente.

Finalidad

Consentimiento del interesado, cumplimiento de una obligación contractual, cumplimiento de una obligación legal e interés legítimo.

El personal adscrito por el encargado de tratamiento, para proporcionar los servicios recogidos en el contrato podrá tratar los Datos Personales. Los Datos Personales se tratarán únicamente por el personal adscrito y al único fin de efectuar el alcance contratado.

En caso de que como consecuencia de la ejecución del contrato resultara necesario en algún momento la modificación de lo estipulado aquí, el encargado lo requerirá razonadamente y señalará los cambios que solicita, siempre recoja fielmente el detalle del tratamiento.

Datos Tratados

Para la ejecución de las prestaciones derivadas del cumplimiento del objeto de este encargo, el cliente responsable del tratamiento, pone a disposición de la entidad NUCLEO 360, S.L, encargada del tratamiento, la información del personal de la empresa para realizar la configuración y parametrización del software en caso necesario.

El software almacenará y gestionará todos los datos aportados por el responsable del tratamiento para la parametrización y todos los datos aportados por los usuarios en función de los permisos otorgados por el responsable del tratamiento durante la prestación del servicio.

Los datos tratados son:

• Datos personales: Nombre y apellido(s), DNI/NIE, correo(s) electrónico(s), Teléfono, Fecha de nacimiento, Nº SS, Nº Cuenta bancaria/ Tarjeta Bancaria, Dirección, Nivel de estudios, Otros que pudieran resultar necesarios para cumplir con el objeto del contrato.
• Datos laborales: Tipo de contrato, Categoría Profesional, Centro de Trabajo, Vacaciones y su registro, Horario de trabajo y su Registro, otros que pudieran resultar necesarios para cumplir con el objeto del contrato.

Elementos del tratamiento

El tratamiento de datos comprenderá: Recogida (captura de datos), estructuración, consulta, cotejo, Conservación (almacenamiento), limitación, destrucción (de copias temporales), comunicación, conservación, copia (copias temporales), registro(grabación), modificación, copias de seguridad, otros que pudieran resultar necesarios para cumplir con el objeto del contrato