Los siguientes términos generales y condiciones ( en adelante “contrato” o “ condiciones”) de GATASOFT, S.L. (en adelante, “LOMAXIM” o “El Titular” o “SAAS”), aplican a su pedido en la versión vigente en el momento de realizar el contrato.
Los términos y condiciones son generales y cumplirán con lo dispuesto en la legislación vigente y, en particular, en la Ley 7/1998, de 13 de abril, sobre condiciones generales de la contratación, la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico y otras leyes complementarias.
En caso que se haya celebrado un contrato/acuerdo, prevalecerán los contenidos en dicho contrato/acuerdo sobre las estipulaciones de las presentes condiciones generales de la contratación.
La entidad con la que está contratando es la mercantil GATASOFT, S.L., con CIF B53060448 inscrita en el Registro Mercantil de Alicante, tomo 1851, folio 218, hoja A- 34869, insc. 1 domiciliada en pta boleries, 8 03740 Gata de Gorgos (Alicante).
GATASOFT, S.L., ofrece su servicio de gestión de equipos (en adelante, el “Servicio”) a través de su página web www.lomaxim.com (en adelante, la “Página Web”) para organizaciones empleadoras (en adelante, «CLIENTE«).
El domicilio a efectos de reclamaciones corresponderá con el indicado como domicilio social de la empresa.
Las presentes condiciones generales de la contratación (en adelante, las “Condiciones”) regulan la contratación de los servicios que son ofertados por LOMAXIM, todo ello a través de su Página Web, así como los derechos y obligaciones de las partes, derivadas de las operaciones de prestación de servicios concertadas entre estas.
LOMAXIM ha desarrollado y es la legítima titular de un software para la gestión de horarios laborales, el cual se ofrece como un servicio accesible desde Internet (URL: https://app.lomaxim.com/(nombredelaempresa).php, para entidades empleadoras (en adelante, «CLIENTE«).
Que al aceptar los presentes términos y condiciones, GATASOFT, S.L. le concede una licencia al de acceso y uso de LOMAXIM y a la prestación de otros servicios complementarios, de acuerdo con los términos y condiciones.
Además de cualquier otro término definido en las presentes condiciones, los siguientes términos tendrán el siguiente significado:
“Bases de Datos”: conjunto integrado de datos de titularidad del CLIENTE incluido dentro del SAAS durante la duración del Contrato. En caso de tratamiento de datos personales incluidos como parte de la Base de Datos les será de aplicación el Acuerdo de Encargado de Tratamiento incluido.
“Usuario(s) Autorizado(s)”: usuarios que mantienen una relación contractual con el CLIENTE y utilizan el SAAS para registrar y gestionar su jornada laboral.
“Documentación”: documentación en cuanto a los Servicios preparada por LOMAXIM y proporcionada al Cliente, que puede incluir manuales de instrucciones, documentación técnica, etc. en formato electrónico.
Las presentes condiciones generales regulan la licencia de uso que LOMAXIM concede al CLIENTE en relación con el SAAS, la cual es no sublicenciable, no exclusiva, de ámbito mundial y con una duración limitada a la vigencia de las condiciones, que estará en cualquier caso condicionada al pago íntegro del precio.
Las presentes condiciones también regulan la prestación de servicios complementarios consistente en el soporte técnico en los términos indicados (en adelante, el uso de LOMAXIM y el conjunto de servicios complementarios serán denominados conjuntamente “Servicios”).
LOMAXIM se reserva el derecho a modificar cualquier término de las presentes condiciones, las cuales se notificarán al Cliente a través del SAAS para su aceptación. Sin perjuicio, de la actualización que se realice de las condiciones en la web de LOMAXIM.
Cuota de suscripción. El precio de los Servicios se fija en el pago de una cuota de suscripción (la “Cuota”) mensual por un precio dependiendo del numero de centros o empleados planificados.
En la fecha de vencimiento del mensual, es decir, transcurrido un mes natural desde la firma del contrato, se tendrá por renovado automáticamente el contrato por mensualidades, siendo de aplicación los términos y condiciones que en el momento de la renovación se encuentren vigentes en la web de LOMAXIM, salvo comunicación expresa por parte del CLIENTE de su intención de no renovación del PLAN CONTRATADO con una antelación mínima de treinta (30) días a la fecha de finalización del periodo inicial o de cualquiera de sus prórrogas.
Podrá ejercer su derecho de no renovación enviando un correo electrónico a info@lomaxim.com.
El CLIENTE podrá dentro de la vigencia de las condiciones pactadas resolver el contrato, pero esta cancelación del mismo no dará derecho a reembolso alguno de las cuantías ya satisfechas a LOMAXIM. El CLIENTE podrá cancelar su cuenta enviando un correo electrónico a info@lomaxim.com.
LOMAXIM podrá modificar la cuota y/o las condiciones de los planes mensuales libremente, notificando las modificaciones a realizar con un preaviso de 60 días naturales a su efectiva aplicación, otorgando el derecho al cliente a la cancelación del servicio, en caso de no aceptar las nuevas condiciones, siempre y cuando se comunique con una antelación mínima de 30 días desde dicha notificación.
En caso de no comunicar la cancelación antedicha, LOMAXIM procederá a aplicar las nuevas condiciones, incluidas las nuevas tarifas, a los 60 días desde la notificación, en caso que el último dia de este plazo no coincida con el primer día natural del mes, a efectos de computo de meses enteros, se tendrá por prolongando este plazo hasta el primer día natural del siguiente mes.
9.1.- Derechos de Uso.
LOMAXIM concede al Cliente y a los Usuarios Autorizados el derecho personal, no exclusivo, intransferible y no sublicenciable de utilizar el SAAS y el resto de Servicios, a nivel mundial, durante la duración de las presentes condiciones y sus renovaciones exclusivamente a efectos de su actividad profesional, en contrapartida del precio
9.2.- Restricciones de Uso.
El Cliente no podrá: (a) realizar ingeniería inversa, descompilar, desensamblar o tratar de obtener o derivar el código fuente, las ideas subyacentes, los algoritmos, los formatos de archivo o las API no públicas de los Servicios, así como traducir, modificar o crear obras derivadas del SAAS, los Servicios o cualquier parte de los mismos, salvo en la medida en que lo permita la legislación aplicable; (b) copiar/reproducir, prestar, vender, alquilar, sublicenciar, emitir, distribuir, editar, transferir a terceros o facilitar el acceso al SAAS, así como adaptar los Servicios o cualquier parte de los mismos de cualquier manera; (c) utilizar los Servicios en beneficio de cualquier tercero; (d) utilizar el Servicio para cualquier fin comercial o en un producto o servicio que el Cliente proporcione a terceros; (e) eludir, modificar, eliminar, borrar, alterar o manipular de otro modo cualquier tecnología o programa de seguridad, encriptación o de otro tipo que forme parte de los Servicios; (f) acceder o utilizar el SAAS o los Servicios con el fin de realizar un análisis de la competencia o crear un producto o servicio similar o competitivo; (g) usar el SAAS para ningún propósito ilegal o no autorizado por LOMAXIM, incluida la publicidad no solicitada y el spam; (h) crear, recopilar, transmitir, almacenar, utilizar o procesar cualquier dato a través del SAAS que viole cualquier ley aplicable, o infrinja los derechos de propiedad intelectual u otros derechos de cualquier tercero; (i) introducir o difundir contenido o software (virus y malware) que pueda causar daños a los sistemas informáticos de LOMAXIM, sus proveedores de servicios tecnológicos o los usuarios de terceros; o (j) alentar, permitir o ayudar a cualquier tercero a hacer cualquiera de los anteriores
9.3.- Actualizaciones y nuevas versiones.
Las actualizaciones, versiones sucesivas del SAAS que se proporcionen al Cliente durante la vigencia de las Condiciones, estarán sujetas a los mismos términos.
10.1.- Servicios de Apoyo Técnico.
LOMAXIM proporcionará al Cliente soporte telefónico o electrónico durante el horario de trabajo de LOMAXIM para ayudar al Cliente a resolver dudas, localizar y corregir problemas en relación con el SAAS a través del correo electrónico info@lomaxim.com . Durante la prestación del servicio el Cliente autoriza que LOMAXIM, a través de su personal, y con previa solicitud del Cliente, a acceder a las cuentas de los Usuario Autorizados para llevar a cabo las actuaciones oportunas para solventar las dudas o incidencias acaricidas con el SAAS.
10.2.- Disponibilidad.
LOMAXIM empleará esfuerzos comercialmente razonables para que el SAAS tenga una disponibilidad del 99% y hará esfuerzos comercialmente razonables para avisar al Cliente con, al menos, 48 horas de antelación de los mantenimientos programados dentro del horario comercial habitual.
11.1.- Acceso a la Cuenta.
El Cliente y los Usuarios Autorizados deberán mantener la seguridad de las claves de acceso a las cuentas de Usuario Autorizado en el SAAS (“Cuenta”). LOMAXIM no será responsable en ningún caso de cualquier pérdida de información o daño producido por el incumplimiento de esta obligación de seguridad.
11.2.- Restricciones.
No está permitido: (i) compartir una (1) cuenta entre varios Usuarios Autorizados; y (ii) la creación de cuentas por “bots” u otros métodos automatizados. El Cliente será responsable de todas las acciones realizadas y de todos los datos cargados por los Usuarios Autorizados en el SAAS.
11.2.- Gestión de las Cuentas.
El Cliente se compromete a bloquear o desactivar la cuenta a un Usuario Autorizado de inmediato en el caso de que: (i) se suspenda o termine la relación laboral entre el Cliente y el Usuario Autorizado; o (ii) considere que un Usuario ha efectuado un mal uso de sus claves de acceso al SAAS. Si LOMAXIM tiene constancia de que un Usuario Autorizado se encuentra en uno de los supuestos mencionados, LOMAXIM podrá suspender el acceso a la Cuenta infractora de forma temporal o indefinida, debiendo LOMAXIM, en dicho supuesto, notificar al CLIENTE sobre la infracción detectada y la medida tomada respecto a dicha Cuenta.
12.1.- Propiedad Intelectual e Industrial en relación con los Servicios.
LOMAXIM conservará su posición como titular de todos los derechos de propiedad de intelectual e industrial relacionados con todos los componentes de los Servicios, incluyendo el SAAS, y cualquier otro desarrollo, mejora, actualización u obra derivada del presente Acuerdo. Los derechos de propiedad intelectual e industrial abarcarán todos datos, código fuente y objeto, scripts, diseños, conceptos, aplicaciones, textos, imágenes, cualquier documentación relacionada, copias, modificaciones y documentos o documentación derivados de lo anterior (en su totalidad o en parte) y todos los derechos de autor relacionados, patentes, marcas, secretos comerciales y otros derechos de propiedad, son y seguirán siendo de la exclusiva propiedad de LOMAXIM y/o sus titulares de licencia.
12.2.-Propiedad Intelectual e Industrial del Cliente.
Todos los derechos, títulos e intereses en relación con la Base de Datos, marcas, nombres comerciales, y logos del Cliente, así como los que puedan existir en su propio sistema informático, seguirán siendo propiedad del Cliente.
El Cliente autoriza expresamente a LOMAXIM para hacer uso de su marca y nombre comercial con el fin de incluir el mismo en los portales web que sean titularidad de LOMAXIM con fines meramente publicitarios.
13.1.- Definición de Información Confidencial.
Se entiende por “Información Confidencial”, cualquier material o información revelada oralmente o por escrito etiquetada o calificada como confidencial o que, por su naturaleza, razonablemente se entienda como confidencial que haya sido entregada o proporcionada por cualquiera de las Partes a la otra con motivo de las presentes condiciones, incluyendo información relacionada con los sistemas informáticos y la arquitectura de los sistemas de los sistemas previstos o existentes de las Partes, incluido el hardware, el software, el propio SAAS, la Documentación, la Base de Datos, los métodos de procesamiento y métodos operativos.
13.2.- Excepciones.
La Información Confidencial no incluirá información que (i) era de dominio público en el momento en que se divulgó a la Parte receptora; (ii) entró en el dominio público mediante uso, publicación o similares, con posterioridad a la revelación a la Parte receptora, sin que mediara culpa o acto alguno de la Parte receptora; (iii) estaba en posesión de la Parte receptora de forma legítima y libre de cualquier obligación de confidencialidad en el momento en que fue revelada a la Parte receptora; (iv) es comunicada legítimamente a la Parte receptora por un tercero con derecho a revelar dicha Información Confidencial, con posterioridad al momento en que fue revelada a la Parte receptora.
13.3.- Deber de confidencialidad.
Las Partes se comprometen a no utilizar, revelar, copiar, publicar, utilizar, explotar, difundir o distribuir la Información Confidencial de la otra Parte, ni permitir que la Información Confidencial recibida sea explotada o distribuida por terceros, sin el previo consentimiento por escrito de la Parte reveladora, salvo en la medida en que sea necesario para cumplir con sus obligaciones o ejercer sus derechos en virtud del contrato. Las Partes se comprometen a tratar la Información Confidencial con el mismo grado de cuidado que utilizan para proteger su propia Información Confidencial, y en ningún caso con un grado de cuidado inferior al razonable. La obligación de confidencialidad se mantendrá en vigor de forma indefinida y se extiende igualmente a los empleados y representantes de las Partes, así como también a los asesores externos que cualquiera de las Partes haya contratado en conexión con este contrato.
13.4.- Divulgación de la Información Confidencial.
Las Partes solo podrán divulgar la Información Confidencial en los siguientes supuestos:
13.5.- Incumplimiento del deber de confidencialidad.
El incumplimiento de las obligaciones de confidencialidad plasmadas en este contrato, o las actuaciones dolosas o culposas llevadas a cabo por cualquiera de las Partes, sus empleados o directivos, facultará a la Parte no incumplidora a reclamar por la vía legal, las responsabilidades, directas o indirectas o frente a terceros, incluidos gastos judiciales, extrajudiciales y costes que la defensa que la Parte incumplidora ocasionara, así como a indemnizar los daños y perjuicios que tal incumplimiento hubiera ocasionado a la Parte no incumplidora.
14.1.- Datos de los contratantes.
Las Partes se informan mutuamente de que los datos personales de los firmantes, así como de las personas que trabajen para las respectivas Partes, y los datos de contacto indicados a efectos de notificaciones, serán objeto de tratamiento por la otra Parte con la única finalidad de gestionar y ejecutar la relación contractual. Los datos se conservarán mientras se mantenga vigente la relación y una vez finalizada ésta, se conservarán únicamente durante el tiempo que sea necesario para satisfacer el cumplimiento de obligaciones fiscales, legales y administrativas a las que las Partes vengan obligadas.
14.2.- La base que legitima este tratamiento es la necesidad de ejecutar el presente contrato.
Los datos no serán comunicados ni cedidos a terceros con excepción de aquellos que sean imprescindibles para la propia ejecución del contrato (proveedores de servicios necesarios) y para el cumplimiento de las obligaciones legales (Administraciones Públicas, Auditoras, entidades financieras, Compañías aseguradoras cuando proceda, entre otras).
14.3.- Transferencia internacional de datos.
En el caso de proveedores de servicios necesarios, es posible que tengan su sede fuera de la UE y se produzca una transferencia internacional de datos. En dicho supuesto, las Partes se comprometen a velar porque sus proveedores internacionales cuenten con las garantías adecuadas según la normativa aplicable.
14.4.- Derechos.
Las Partes podrán solicitar el ejercicio de sus derechos de acceso, rectificación, supresión, oposición, limitación y portabilidad en el domicilio designado en el presente contrato o en la dirección electrónica info@lomaxim.com, indicando claramente el derecho que desean ejercitar. Igualmente, las Partes quedan mutuamente informadas de que tienen derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (www.aepd.es). No obstante las Partes pondrán sus mejores medios y tratarán de resolver cualquier cuestión relativa a los datos personales de forma amistosa.
14.5.- Base de Datos incluida por el CLIENTE.
El tratamiento de los datos personales contenidos en la Base de Datos que se llevará a cabo por parte de LOMAXIM como consecuencia de la prestación de los Servicios estará regulada por el Acuerdo de encargo de tratamiento que figura en estas condiciones.
15.1.- Garantía de titularidad.
LOMAXIM garantiza al CLIENTE que es el propietario o titular legítimo de todos los derechos de propiedad intelectual necesarios para proporcionar los Servicios y EL SAAS.
15.2.- Exclusiones.
Salvo lo expresamente establecido en el párrafo anterior, LOMAXIM se suministra “TAL CUAL” y “según esté disponible” y LOMAXIM excluye cualquier otro tipo de garantía, incluidas, entre otras, las garantías implícitas de disponibilidad, rendimiento, no infracción, comerciabilidad o idoneidad para un fin determinado, sin perjuicio, en su caso, de las garantías exigidas por la ley. El CLIENTE acepta que es el único responsable de los resultados obtenidos por el uso de los Servicios y de sus funcionalidades. No se aceptarán reclamaciones por supuestas especificaciones que, en opinión del CLIENTE, el SAAS o los Servicios deban cumplir.
16.1.- Limitación de Responsabilidades.
El Cliente acepta indemnizar y mantener indemne a LOMAXIM por cualquier reclamación, acción o demanda directa, indirecta, incidental o consecuente de terceros, así como por cualquier gasto, responsabilidad, daño, acuerdo o cuota que surja del mal uso del SAAS o los Servicios por parte del Cliente, o de la violación de cualquiera de los términos del presente contrato. LOMAXIM tampoco asumirá responsabilidad alguna por cualesquiera reclamaciones, pérdidas o daños que se deriven del uso por parte del Cliente o de algún Usuario de cualquier producto de terceros, servicios, software o sitios web a los que se acceda a través de enlaces o links desde el SAAS o la página web de LOMAXIM.
16.2.- Daños Indirectos.
LOMAXIM no será responsable (salvo que la ley disponga lo contrario) ante el Cliente por ningún daño, compensación o indemnización basada en daños indirectos (incluyendo, pero limitándose al daño emergente, la pérdida de uso, la pérdida o inexactitud de los datos, el lucro cesante, el fallo de los mecanismos de seguridad, la interrupción del negocio, los costos de la demora) o cualquier daños especial, incidental o consecuente de cualquier tipo, incluso si se le informa de la posibilidad de tales daños con antelación.
16.3.- Responsabilidad máxima:
La responsabilidad máxima de LOMAXIM por cualquier reclamación derivada del presente contrato, ya sea por incumplimiento del contrato, incumplimiento de garantía, negligencia o de otro modo, y el único recurso del CLIENTE, se limita a los daños directos en una cantidad que no exceda la parte proporcional de la suma de las cantidades y Cuotas Mensuales pagadas o pagaderas por el CLIENTE a LOMAXIM en virtud del presente contrato en los últimos seis (6) meses anteriores a la reclamación.
Nada de lo dispuesto en el presente contrato limitará o excluirá la responsabilidad de una Parte que no pueda ser excluida o limitada en términos de la legislación aplicable.
16.4.- Fuerza Mayor.
Ninguna de las partes será responsable ante la otra por el incumplimiento de los obligaciones contraídas en virtud del las condiciones en la medida en que dicho incumplimiento o demora sea resultado de una causa o circunstancia que escape del control razonable de la Parte afectada y que no haya podido evitarse o superarse actuando de manera razonable y prudente (como por ejemplo, pero sin limitarse a ello, incendios, inundaciones, huelgas, conflictos laborales u otros disturbios industriales, guerra – declarada o no-, embargos, bloqueos, restricciones legales, disturbios, insurrecciones, reglamentos gubernamentales).
16.4.- Cumplimiento normativo.
El CLIENTE será el único responsable del pleno cumplimiento de todas las leyes aplicables a su negocio en su jurisdicción. La mera contratación de los Servicios no equivale ni garantiza en modo alguno el cumplimiento de la normativa aplicable a la gestión de la jornada laboral. LOMAXIM es una herramienta sujeta al uso del CLIENTE, que es el responsable del cumplimiento de sus obligaciones.
LOMAXIM se reserva el derecho de rescindir el Contrato de pleno derecho, sin aviso previo ni indemnización, en caso de que el Cliente o un Usuario Autorizado comprometa de alguna manera la integridad del SAAS, los derechos de propiedad intelectual e industrial de LOMAXIM sobre los Servicios o la reputación de las marcas o productos de LOMAXIM, o realice alguna de las acciones previstas en la Cláusula
17.1.- Efectos de la resolución.
Al vencimiento del contrato o a su rescisión por cualquier motivo: (i) No se reembolsará al CLIENTE ninguna de las cantidades pagadas a LOMAXIM en virtud del presente contrato y este facturará todos los honorarios que se adeuden por el tiempo restante del año en curso; (ii) a petición del CLIENTE, LOMAXIM se compromete a proporcionar al CLIENTE una copia de la Base de Datos en un formato técnico estándar. Dicha petición deberá realizarse en el plazo de un (1) desde la terminación del contrato; (iii) todas las disposiciones del mismo dejarán de tener efecto, salvo las disposiciones del presente contrato que, por su naturaleza, deba permanecer en vigor, aunque el contrato se dé por terminado, incluyendo las disposiciones en materia de confidencialidad, propiedad intelectual y protección de datos.
18.1.- Encabezamientos.
Los encabezamientos de las cláusulas se establecen sólo con fines ilustrativos y no tendrán ningún efecto legal.
18.2.- Notificaciones.
Las Partes designan las direcciones electrónicas designadas, en el caso de LOMAXIM la dirección electrónica habilitada es info@lomaxim.com
18.3.- Cesión.
El CLIENTE no podrá ceder o transferir este contrato sin el consentimiento previo y por escrito de LOMAXIM. Sin embargo, el contrato sí podrá ser cedido o transferido por LOMAXIM sin necesidad de consentimiento del CLIENTE, bastando la notificación previa y por escrito de la cesión al CLIENTE para que dicha cesión sea efectiva. Una vez formalizada la cesión, cualquier referencia a la Parte cedente contenida en el presente contrato deberá entenderse como una referencia a la entidad o entidades cesionarias.
18.4.- Renuncia.
Ningún retraso en el ejercicio de un derecho se considerará una renuncia al mismo, ni la renuncia a un derecho o recurso en un caso concreto constituirá una renuncia a dicho derecho o recurso en general.
18.5.- Invalidez parcial.
Si se determina que alguna de las disposiciones del presente contrato es inaplicable o inválida, las restantes disposiciones del presente contrato no se verán afectadas y permanecerán en pleno vigor y efecto.
18.6.- Independencia.
El presente contrato tiene carácter mercantil, no existiendo en ningún caso vínculo laboral alguno entre las Partes, que serán independientes a todos los efectos.
19.1.- Legislación aplicable.
Los términos del presente contrato se regirán e interpretarán en todos los aspectos de acuerdo con la legislación española.
19.2.- Fuero aplicable.
Las Partes declaran conjuntamente que, en la medida de lo razonable, toda controversia que surja en relación con el presente contrato o que se derive del mismo se resolverá mediante negociaciones y consultas mutuas. En caso de que no se llegue a una solución satisfactoria, dicha controversia se someterá a los tribunales de la ciudad de Alicante.
ACUERDO DE ENCARGO DE TRATAMIENTO
El presente Acuerdo de Encargo de Tratamiento, forma parte de las condiciones generales, en lo sucesivo, el «Contrato», que suscriben GATASOFT S.L. y el Cliente, y que recoge los términos y condiciones aplicables a los servicios prestados por GATASOFT S.L. (los «Servicios»). El presente DPA y el resto de cláusulas del Contrato se indican a título complementario. Sin embargo, en caso de conflicto, el Acuerdo de Encargo de Tratamiento prevalecerá.
MANIFIESTAN
CLÁUSULAS
1.- Objeto.
Para ejecutar las prestaciones derivadas del Contrato, y prestar los Servicios de forma efectiva, el Encargado del Tratamiento podrá tener acceso a datos de carácter personal responsabilidad del Responsable del Tratamiento.
2.- Identificación de la información afectada
Para la ejecución de las prestaciones derivadas del cumplimiento del objeto de este Acuerdo de Encargo de Tratamiento, el Responsable del Tratamiento pone a disposición del Encargado del tratamiento, la información que se describe a continuación:
2.1.- Datos personales:
Nombre y apellidos Correo electrónico D.N.I
Registro de entradas y salidas
Vacaciones, permisos, otra información relacionada con la jornada laboral.
2.2.- Concreción de los tratamientos a realizar:
Recogida Estructuración Conservación
Registro
3.- Duración.
El presente Acuerdo de Encargo de Tratamiento entrará en vigor en la fecha de aceptación de las condiciones del Contrato. Este Acuerdo de Encargo de Tratamiento es accesorio al contrato principal de prestación de servicios, por lo que su duración viene ligada a la duración del mismo.
4.- Obligaciones del Responsable del Tratamiento.
Corresponde al Responsable del Tratamiento, además del cumplimiento de cuantas obligaciones se le atribuyan a lo largo del presente Acuerdo de Encargo de Tratamiento, la realización de las siguientes tareas:
El Responsable garantiza que ha cumplido con el deber de facilitar toda la información a los interesados en el momento de la recogida de los datos objeto del tratamiento, cumpliendo con lo previsto en el art. 12, 13 y 14 del RGPD, según corresponda.
El Responsable del Tratamiento garantiza que dispone de una base legítima para el tratamiento de los datos personales apropiada que se ajuste a los principios de eficacia, necesidad y proporcionalidad, atendiendo a la existencia de otras medidas de protección que puedan resultar menos invasivas, evitando efectos discriminatorios y estableciendo las garantías adecuadas.
El Encargado del Tratamiento no será en ningún caso responsable de la falta de cumplimiento o cumplimiento defectuoso del deber de información o de aplicación de una base de legitimación apropiada.
5.- Obligaciones del Encargado del Tratamiento.
El Encargado del Tratamiento declara y garantiza frente al Responsable del Tratamiento lo siguiente:
6.- Destino de los Datos.
Al finalizar la prestación de los Servicios, el Encargado del Tratamiento devolverá los datos personales a los que haya tenido acceso y cualquier copia existente, según le indique el Responsable del Tratamiento de conformidad con el apartado 13.2 del Acuerdo.
El Encargado del Tratamiento podrá conservar una copia con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación de los Servicios.
7.- Notificación de violaciones de la seguridad de los datos.
El Encargado notificará al Responsable, sin dilación indebida, y en cualquier caso antes del plazo máximo de 24 horas, cualquier incidente, sospechado o confirmado, relativo a la protección de datos, dentro de su área de responsabilidad. Entre otros, deberá comunicar al Responsable cualquier tratamiento que pueda considerarse ilícito o no autorizado, cualquier pérdida, destrucción o daño en los datos y cualquier incidente considerado una vulneración de seguridad de los datos. La notificación deberá ir acompañada de toda la información relevante para la documentación y comunicación de la incidencia a autoridades pertinentes o interesados afectados.
El Encargado del Tratamiento, adicionalmente, prestará asistencia al Responsable en relación a las obligaciones de notificación de acuerdo con el RGPD (en particular, arts. 33 y 34 del RGPD) y a cualquier otra norma aplicable, presente o futura, que modifique o complemente dichas obligaciones.
8.- Ejercicio de derechos por parte de los interesados
El Encargado del Tratamiento facilitará la información y/o documentación que el Responsable le solicite para dar respuesta a las solicitudes de ejercicio de derechos que pudiera recibir el Responsable de los interesados cuyos datos se tratan. El Encargado del Tratamiento deberá facilitar dicha información en plazos razonables y, en cualquier caso, con antelación suficiente para que el Responsable pueda cumplir con los plazos legalmente aplicables para la respuesta al ejercicio de estos derechos.
Cuando las personas afectadas ejerzan los derechos de acceso, rectificación, supresión y oposición, limitación al tratamiento, portabilidad de los datos y a no ser objeto de decisiones individuales automatizadas, ante el Encargado del Tratamiento, lo comunicará por correo electrónico a la dirección info@lomaxim.com. La comunicación deberá realizarse de forma inmediata con objeto de atenderla en los plazos legales establecidos, y en ningún caso más allá de dos días laborables a la recepción de la solicitud, presentándose al Responsable junto a toda información que pueda ser relevante para su resolución.
9.- Seguridad
En relación con las medidas técnicas y organizativas de seguridad, el Encargado del Tratamiento, deberá implementar mecanismos para:
En particular, las Partes han convenido una relación de medidas que el Encargado del Tratamiento debe implementar, indicadas en el Apéndice A a este Acuerdo de Encargo de Tratamiento.
Si el Responsable, con posterioridad a la formalización del Contrato, exige al Encargado adoptar o mantener medidas de seguridad distintas a las pactadas en este Anexo I, o bien fueran obligatorias por cualquier norma futura, y esto afectase de forma significativa a los costes de prestación de los Servicios, el Encargado y el Responsable del Tratamiento acordarán las medidas contractuales oportunas para afrontar el efecto que tales modificaciones puedan tener en el precio de los Servicios.
10.- Subcontratación
El Responsable del Tratamiento concede una autorización general para que el Encargado del Tratamiento pueda subcontratar parte de los Servicios con terceras entidades o subcontratistas (el “Subencargado”). El Encargado del Tratamiento informará al Responsable del Tratamiento de los tratamientos que se pretenden subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el responsable no manifiesta su oposición en el plazo de 15 días.
El Encargado del Tratamiento aplicará la diligencia debida para elegir solo aquellos subencargados que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que los tratamientos subcontratados sean conformes con los requisitos del RGPD y quede garantizada la protección de los derechos de los interesados sujetos al tratamiento.
El Subencargado, que también tendrá la condición de encargado del tratamiento, estará obligado igualmente a cumplir las obligaciones impuestas al Encargado del Tratamiento y las instrucciones que dicte el Responsable, según lo dictado en el presente Acuerdo de Encargo de Tratamiento. Corresponde al Encargado del Tratamiento regular la nueva relación en un contrato firmado por Encargado y Subencargado, de forma que el Subencargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que el Encargado inicial, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del Subencargado, el Encargado del Tratamiento seguirá siendo plenamente responsable ante el Responsable del Tratamiento en lo referente al cumplimiento de las obligaciones incluidas en el presente Acuerdo de Encargo de Tratamiento.
El listado de subencargados autorizados por el Responsable del Tratamiento se encuentra adjunto al presente Acuerdo de Encargo de Tratamiento como Apéndice B.
11.- Transferencias internacionales de datos
El Encargado del Tratamiento no llevará a cabo transferencias internacionales de datos de carácter personal a los que tenga acceso, responsabilidad del Responsable del Tratamiento, salvo que cuente con autorización previa del Responsable del Tratamiento o se encuentren debidamente regularizadas según lo contenido en los artículos 45, 46 o 47 del RGPD.
12.- Responsabilidad.
El Encargado será considerado responsable del tratamiento en caso de que destine los datos objeto del presente Acuerdo de Encargo a otras finalidades, los comunique o los utilice incumpliendo las estipulaciones del presente Acuerdo de Encargo, respondiendo de las infracciones en que hubiera incurrido personalmente.
El Responsable deberá informar al Encargado inmediatamente de los procedimientos sancionadores iniciados contra el Responsable del Tratamiento por la AEPD o cualquier otra autoridad competente, por tales incumplimientos o cumplimientos defectuosos, para que el Encargado pueda asumir a su cargo la defensa legal, debiendo actuar, en todo momento, de forma coordinada con el Responsable y preservando su imagen pública y reputación.
Cada Parte mantendrá indemne a la otra frente a reclamaciones, indemnizaciones, acciones y gastos derivados de reclamaciones que la Parte venga obligada a satisfacer por sentencia firme o laudo dictados por un tribunal competente, o en virtud de un acuerdo alcanzado entre una Parte y terceros reclamantes, que fueren consecuencia del incumplimiento o cumplimiento defectuoso de la normativa aplicable.
APÉNDICE A. – MEDIDAS DE SEGURIDAD
Nuestra infraestructura está basada en Cloud.
Nuestra aplicación se aloja en un servidor, esto nos permite tener monitorizados los servicios necesarios para el funcionamiento de la aplicación. Además, nos permite escalar los recursos del sistema permitiendo soportar mayor carga.
Contamos con entornos de desarrollo locales y entornos de test locales y virtuales.
Metodologías de desarrollo
Lenguajes de programación
Infraestructura
Para procesar toda la información disponemos de las siguientes tecnologías en infraestructura.
Nuestro departamento de sistemas se encargará de asegurar que los servidores cuenten con la paquetería necesaria para el funcionamiento correcto de la aplicación.
Proveedores
Servidor de Base de datos
Relacional (sql): Para las bases de datos relacionales utilizaremos Mysql
Las copias de seguridad se realizan diariamente completas. De nuestro servidor de base de datos guardamos una copia de las copias de forma mensual, semanal y diaria, almacenadas en el servicio de copias contratado con Arsys.
Guardamos copia de todo el contenido del servidor web, y copias de archivos de configuración de servicios críticos.
El administrador del departamento de sistemas de información o Informática o la que haga sus veces es el responsable designado elaborará un procedimiento para probar las copias de seguridad y pruebas de restauración de las copias de seguridad sobre una base mensual.
En caso de recuperación de una copia, se creará una base de datos paralela de donde poder incorporar los datos necesarios.
Medidas de seguridad sobre la infraestructura
Datacenter
Contamos con servidores que se encuentran contratados en Arsys.
Cada servidor es sometido sistemáticamente a una serie de pruebas para verificar su conformidad técnica y su buen comportamiento en cualquier circunstancia. En cuanto la máquina sale de producción, se instala y se conecta en los datacenters de Arsys. A continuación, un robot comprueba que el hardware sea el que ha pedido el cliente y que sus prestaciones se ajusten a las especificaciones.
Los puntos de control son los siguientes:
Los centros de datos están diseñados para prever y tolerar errores mientras se mantienen los niveles de servicio. En caso de error, los procesos automatizados desvían el tráfico de la zona afectada. Las aplicaciones principales se implementan en un estándar N+1, de forma que en caso de que se produzca un error en un centro de datos, haya capacidad suficiente para poder equilibrar la carga del tráfico entre los demás sitios.
Protección ante ataques
Nuestros servidores utilizan la infraestructura anti-DDoS desplegada por Arsys para proteger los servidores durante las 24 horas del día contra cualquier tipo de ataque DDoS, independientemente de su duración y su envergadura.
El objetivo de un ataque DDoS es hacer caer un servidor, un servicio o una infraestructura,
enviando múltiples peticiones simultáneas desde múltiples puntos de la red.
La intensidad de este «fuego cruzado» desestabiliza el servicio, o aún peor, lo inhabilita. Esta infraestructura permite:
Seguridad
Lomaxim está muy concienciado con la seguridad, tratamiento de los datos así como de la fuga de información de la misma. Es por ello que día a día trabaja para mejorar la seguridad de la misma manteniendo unos objetivos claros en materia de la misma. Es por ello que a continuación pasaremos a detallar más en profundidad los diferentes aspectos que tratamos en matería de seguridad tanto en la aplicación como en la infraestructura:
Proveedores cloud: Lomaxim cuenta con distintos proveedores cloud para brindar la máxima disponibilidad y escalabilidad posible en la aplicación. Todos nuestros proveedores cuentan como mínimo con las siguientes certificaciones de seguridad:
El acceso a dichos proveedores únicamente está supeditado a empleados con un nivel de acreditación muy alto en la empresa, casi siempre por algún responsable de área o sistemas.
Servidores: El acceso a los servidores está restringido a empleados con un nivel de acreditación alto. Para el acceso al mismo se utilizarán par de claves cifradas RSA de 2048 bits e incluirá una contraseña de usuario nominal el cual permite registrar el acceso de dicho usuario así como de un movimiento detallado de los cambios o alteraciones en dichas máquinas para una posible auditoría posterior.
Herramientas de terceros: Lomaxim utiliza herramientas de seguridad de terceros como puede ser Tenable.io el cual se encarga de inventaríar todas nuestras máquinas así como dominios que utilizamos y lanzar periódicamente auditorias de vulnerabilidades e intrusión. Por lo tanto cada semana nuestros expertos disponen de nuevos informes los cuales indican posibles brechas de seguridad que según el algoritmo de IA de Tenable se irán parcheando con el orden de prioridad recomendado.
Acceso a la aplicación: El acceso a la plataforma se realizará siempre a través de nuestro proveedor de sistemas Arsys, el cual cuenta con un WAF integrado de última generación capaz de detectar y mitigar ataques que vayan dirigidos directamente a la aplicación
Política de parcheo
Todos los servicios, y la infraestructura que los sustentan, accesibles desde Internet, ya sean de uso interno de la empresa o para nuestros clientes, siguen una política de actualizaciones de seguridad ágil. Estos servicios son parcheados en cuanto se tenga conocimiento de un bug o vulnerabilidad importante. En el caso de actualizaciones no críticas se programa un parcheo mensual o trimestral en función de nuestras necesidades y de la aplicación.
Los servicios de carácter interno (impresoras, equipos de red local de usuarios, centralitas telefónicas, etc.) tienen una política de actualizaciones periódicas programadas (cada seis meses, cada año, etc.) en función de las necesidades y llevada a cabo por el departamento IT de la empresa.
A su vez contamos con un sistema de alerta en caso de virus, ClamAV.
APÉNDICE B. – LISTADO DE SUBENCARGADOS
NOMBRE DE SUBENCARGADO |
DIRECCIÓN COMERCIAL REGISTRADA |
UBICACIÓN ACTUAL DEL TRATAMIENTO |
ENLACE A LA POLÍTICA DE SEGURIDAD DEL SUBENCARGADO |
Arsys Internet S.L.U. |
C/ Madre de Dios nº 21, 26004, Logroño (La Rioja) España |
C/ Madre de Dios nº 21, 26004, Logroño (La Rioja) España |
https://www.arsys.es/legal |