Acuerdo de tratamiento de datos

Preámbulo

JOIN se ha fijado la misión de conectar a candidatos y empresas en todo el mundo. Las empresas pueden utilizar la plataforma JOIN en https://join.com (en lo sucesivo denominada “Plataforma”) para publicar vacantes y gestionar las solicitudes recibidas en un lugar central. Nuestros servicios están diseñados para facilitar el proceso de selección tanto a las empresas como a los empleados, especialmente en lo que respecta a la asignación de candidatos adecuados y la simplificación del proceso de solicitud de empleo. 

La Empresa puede publicar ofertas de empleo y gestionar los procedimientos de solicitud correspondientes en la plataforma mediante una herramienta de gestión basada en web (“Herramienta de Gestión de Candidatos”). En este contexto, los datos personales generados por la Empresa para el respectivo proceso de solicitud son tratados por JOIN en calidad de encargado del tratamiento para la Empresa como responsable del tratamiento, según lo definido por la legislación de protección de datos vigente. La Empresa tiene como objetivo reclutar candidatos para dichas ofertas de empleo y utiliza la Plataforma de JOIN para ello. 

En cuanto a los demás servicios de JOIN, como la asignación de candidatos adecuados u ofertas para candidatos, los datos personales son tratados por JOIN como responsable del tratamiento según lo definido por la legislación de protección de datos vigente. Para más información, consulte la política de privacidad de JOIN. 

Este ATD tiene como objetivo proteger a las partes contra el uso indebido de los datos personales tratados en la herramienta de gestión de candidatos, garantizar la protección de datos por parte de JOIN en relación con los datos personales que la Empresa les ha comunicado, y cumplir con los requisitos legales en caso de que la relación comercial entre la Empresa y JOIN sea considerada como tratamiento de datos.

Este ATD formará parte de todo acuerdo de servicios entre las partes, salvo que se acuerde expresamente lo contrario en un contrato que se celebre con posterioridad a la conclusión de este ATD. Este documento, incluidos todos los apéndices, también especifica las obligaciones de protección de datos de las partes derivadas del acuerdo de servicios subyacente, de la siguiente manera:

1. Ámbito de aplicación y definiciones

1.1 Las siguientes disposiciones sólo se aplican a los servicios de JOIN que se califiquen como tratamiento de datos en el marco del acuerdo de servicios, en particular la Herramienta de Gestión de Candidatos, y a cualquier servicio relacionado prestado por JOIN a la Empresa.

1.2 Cuando en este acuerdo se utiliza el término “tratamiento de datos” o “tratamiento” de datos, esto se refiere en general al uso de datos personales. El tratamiento de datos o el tratamiento de datos significa cualquier operación o conjunto de operaciones realizadas sobre datos personales, con o sin la ayuda de procesos automatizados. 

2. Objeto y duración del acuerdo

2.1 En virtud de este ATD, JOIN tratará los datos personales exclusivamente en nombre de la Empresa y de conformidad con sus instrucciones. Esto incluye en particular los servicios de tratamiento que JOIN presta a la Empresa a través de la herramienta de gestión de candidatos de conformidad con el acuerdo de servicios. En este acuerdo de servicios y en el apartado 4, las partes han especificado los detalles de conformidad con el artículo 28 (3) y (4) del Reglamento General de Protección de Datos de la UE (“RGPD”) y el artículo 9 de la Ley Federal Suiza de Protección de Datos (“FADP”), en particular el objeto y la duración del tratamiento de datos, así como el manejo, la naturaleza y el propósito del tratamiento de datos previsto, el tipo de datos y los afectados.

2.2 El tratamiento de datos por parte de JOIN en nombre de la Empresa se lleva a cabo de conformidad con el art. 28 del RGPD y el art. 9 de la FADP, con respecto a cada ley solo si y en la medida en que sea aplicable a la respectiva actividad de tratamiento. 9. La Empresa sigue siendo siempre la entidad responsable del tratamiento de datos.

3. Jerarquía de los acuerdos contractuales

Las disposiciones de este ATD son parte integrante del acuerdo de servicios entre las partes y prevalecen sobre los demás acuerdos contractuales de las partes en materia de protección de datos, en particular sobre otros contratos que contengan disposiciones que se desvíen de las de este ATD en detrimento de la Empresa. La cláusula 1.1. no se ve afectada. Las disposiciones de este ATD no se aplican al tratamiento de datos personales que JOIN, como responsable del tratamiento, proporciona a la Empresa o a cualquier otro usuario individual en el marco del acuerdo de servicios.

4. Finalidad, alcance y naturaleza del tratamiento de datos

Las partes acuerdan por la presente que la finalidad del tratamiento de datos es el cumplimiento de los objetivos contractuales conforme al acuerdo de servicios, en particular la implementación y gestión de procesos de solicitud específicos, a los que la Empresa puede acceder a través de la herramienta de gestión de candidatos en la plataforma JOIN. El alcance y la naturaleza de la recopilación, el tratamiento y/o el uso de datos personales están determinados por las disposiciones del acuerdo de servicios, así como por los servicios efectivamente utilizados por la Empresa.

5. Interesados afectados

Los interesados afectados por el tratamiento de datos personales en el marco del acuerdo de servicios incluyen:

• candidatos para puestos publicados por la Empresa a través de la plataforma; y
• empleados de la Empresa que utilizan la Plataforma.

6. Tipos de datos personales

Los siguientes tipos de datos se ven especialmente afectados por el tratamiento por encargo:

• Datos personales de los candidatos (por ejemplo, nombre, título, grado académico, fecha de nacimiento, número de teléfono, dirección de correo electrónico),
• los datos transmitidos por los solicitantes (datos del solicitante; currículum vítae, referencias, certificados, etc.),
• toda la información relacionada con el proceso de solicitud registrada en la herramienta de gestión de candidatos, como los mensajes enviados a través de la plataforma, la información sobre el proceso de solicitud y el progreso de un candidato en el proceso de solicitud registrado en nuestra plataforma, o las preguntas que se formulan como parte del proceso de solicitud y que se registran en nuestra plataforma,
• datos generados mediante el uso de la herramienta de gestión de candidatos, como metadatos; esto incluye información sobre cuánto tiempo dura un proceso de solicitud, cuántos candidatos han solicitado y hasta qué punto ha llegado un candidato en el proceso de solicitud,
• datos generados a través de interacciones con la herramienta de gestión de candidatos, como las respuestas proporcionadas a las preguntas formuladas por los candidatos, los datos registrados por la propia Empresa que no han sido eliminados en la herramienta de gestión de candidatos y los mensajes de contacto con los candidatos o JOIN,
• Datos personales (por ejemplo, nombre, cargo, dirección de correo electrónico, número de teléfono, dirección comercial) y datos de acceso (por ejemplo, nombre de usuario y contraseña) de los empleados de la Empresa.

Si estos datos se tratan como parte de otros servicios de JOIN, como la asignación de candidatos adecuados o servicios para candidatos, esto no tiene lugar en el ámbito de este ATD. En tales casos, JOIN tratará estos datos como responsable del tratamiento según lo definido por la legislación de protección de datos vigente. Se hace referencia a la política de privacidad de JOIN.

7. Derechos y obligaciones de la Empresa

7.1 La Empresa es la única responsable de evaluar la admisibilidad del tratamiento de datos llevado a cabo por JOIN en nombre de la Empresa y de salvaguardar los derechos de los interesados. La Empresa es responsable, entre otras cosas, de (1) cumplir las obligaciones de información en materia de protección de datos con respecto a los candidatos, (2) obtener el consentimiento necesario de los candidatos para el tratamiento de los datos por parte de la Empresa o JOIN, sí esto es absolutamente necesario según la legislación de protección de datos vigente, y (3) cumplir los plazos de supresión aplicables al respectivo proceso de solicitud.

7.2 Como responsable del tratamiento, la Empresa tiene derecho en todo momento a emitir instrucciones sobre la naturaleza, el alcance y el procedimiento del tratamiento de datos llevado a cabo en nombre del cliente. Las instrucciones verbales deben ser confirmadas por la Empresa por escrito (incluido el correo electrónico). JOIN confirmará sin demora la recepción y ejecución de dichas instrucciones e informará a la Empresa si, en su opinión, una instrucción infringe la legislación de protección de datos aplicable.

7.3 Si la Empresa lo considera necesario, podrán nombrarse personas autorizadas para emitir instrucciones. La información debe ser facilitada por escrito por la Empresa. En el caso de que se produzca un cambio en las personas autorizadas para emitir instrucciones en la Empresa, esta informará a JOIN de ello con suficiente antelación, nombrando en cada caso a la nueva persona o personas.

7.4 La Empresa informará a JOIN si se detectan errores o irregularidades en relación con el tratamiento de datos personales por parte de JOIN.

7.5 La Empresa tiene derecho a comprobar el cumplimiento de las medidas de seguridad técnicas y organizativas adoptadas por JOIN de conformidad con el apartado 9 antes del inicio del tratamiento de datos y, posteriormente, a intervalos regulares, pero no más de una vez al año, previa notificación con al menos 30 días de antelación durante el horario comercial normal y teniendo en cuenta los intereses de JOIN. La Empresa también puede encargar esta verificación a un tercero, siempre que haya celebrado previamente un acuerdo de confidencialidad. La Empresa está obligada a abonar la remuneración a las personas encargadas de la aplicación de estas medidas.

7.6 La Empresa está obligada a informar a JOIN sobre incidentes de protección de datos u otras infracciones de la legislación de protección de datos vigente que afecten a las actividades de tratamiento de JOIN.

7.7 La Empresa informará a JOIN sin demora si tiene conocimiento de medidas específicas adoptadas por las autoridades de supervisión que afecten a la Empresa, en particular medidas de investigación por parte de las autoridades, siempre que esto afecte al tratamiento de datos para la Empresa y que la Empresa no esté obligada a mantener la confidencialidad.

8. Obligaciones de JOIN

8.1 Tratamiento de datos

JOIN está obligado a tratar los datos personales en virtud de este ATD únicamente de conformidad con este acuerdo y/o el acuerdo de servicios subyacente y las instrucciones de la Empresa. 

8.2 Derechos del interesado

JOIN ayudará a la Empresa en la medida de lo posible en el cumplimiento de los derechos de los interesados, en particular en lo que respecta a la rectificación, la limitación del tratamiento y la supresión, la notificación y el suministro de información. 

JOIN, siguiendo las instrucciones de la Empresa, rectificará, suprimirá o limitará el tratamiento de los datos personales tratados en nombre de la Empresa. Esta obligación no se aplica a los datos personales que JOIN trata como responsable del tratamiento como parte de los servicios que ofrece a través de la plataforma.

Si un interesado se pone en contacto directamente con JOIN para solicitar la rectificación, supresión o limitación del tratamiento de sus datos personales, JOIN remitirá esta solicitud a la Empresa de inmediato tras su recepción. La Empresa seguirá siendo responsable de la ejecución de las solicitudes.

8.3 Obligaciones de control interno

JOIN implementará las medidas de control adecuadas, como auditorías internas, concepto de protección de datos, etc., para garantizar que los datos personales tratados en virtud de este ATD se traten de conformidad con este acuerdo y las instrucciones correspondientes.

8.4 Deber de información

JOIN, como encargado del tratamiento, informará a la Empresa si, según su propia evaluación, una instrucción vulnera las normativas legales. JOIN tendrá entonces derecho a suspender la ejecución de la instrucción correspondiente hasta que sea modificada por la Empresa. Esto no justifica por ello la obligación de JOIN de verificar o notificar.

JOIN notificará a la Empresa cualquier incumplimiento de las normativas de protección de datos, a más tardar 48 horas después de tener conocimiento del mismo, de las normativas establecidas en el acuerdo de servicios y el acuerdo y/o las instrucciones emitidas, que se produzca en el curso del tratamiento de datos por su parte, por personas empleadas por ella o por otros terceros encargados del tratamiento, si esto activa las actuales obligaciones de notificación en materia de protección de datos. Dicha notificación incluirá, como mínimo:

1. una descripción de la naturaleza de la violación (incluidas, cuando sea posible, las categorías y el número aproximado de interesados y de registros de datos afectados);
2. las posibles consecuencias de la violación; y
3. las medidas adoptadas o propuestas para hacer frente a la violación y mitigar sus posibles efectos adversos. 

Si el acceso a los datos personales que la Empresa ha transmitido a JOIN para el tratamiento de datos se ve amenazado por medidas adoptadas por terceros (por ejemplo, medidas adoptadas por un administrador concursal, confiscación por parte de las autoridades fiscales, etc.), JOIN está obligado a notificarlo a la Empresa.

JOIN sólo transmitirá información a una parte que solicite información previa con el acuerdo de la Empresa, salvo que JOIN esté obligado a facilitar información por medidas gubernamentales o resoluciones judiciales.

8.5 Creación de un registro de tratamiento

A petición, JOIN ayudará a la Empresa a elaborar una lista de las actividades de tratamiento en el ámbito del ATD y el tratamiento de datos que está teniendo lugar, y proporcionará la información necesaria de manera adecuada.

JOIN también mantendrá su propio registro de todas las categorías de actividades de tratamiento llevadas a cabo en nombre de la Empresa de conformidad con las disposiciones de la legislación de protección de datos vigente.

8.6 Obligaciones de notificación y cooperación

JOIN ayudará a la Empresa, a petición, en:

1. el cumplimiento de sus obligaciones de notificación;
2. la obligación de llevar a cabo Evaluaciones de Impacto relativas a la Protección de Datos;
3. las obligaciones de notificar y comunicar violaciones de datos personales;
4. cualquier consulta previa con las autoridades de supervisión.

8.7 Lugar del tratamiento de datos

Salvo que las partes acuerden lo contrario, el tratamiento y uso de los datos por parte de JOIN tiene lugar en Suiza, la Unión Europea o en otro estado parte del Acuerdo sobre el Espacio Económico Europeo. Cualquier traslado de las actividades de tratamiento de datos de JOIN a un tercer país solo está permitido si se respetan los requisitos especiales del Capítulo V del RGPD o el artículo 2 de la FADP. La Empresa acepta que cuando JOIN contrate a un subencargado del tratamiento de conformidad con este acuerdo para llevar a cabo actividades de tratamiento específicas (en nombre de la Empresa) en un tercer país y esas actividades de tratamiento impliquen la transferencia de datos personales en el sentido del RGPD o la FADP, según corresponda, JOIN y el subencargado del tratamiento podrán utilizar las cláusulas contractuales tipo adoptadas por la Comisión sobre la base del artículo 46(2) del RGPD con el fin de cumplir los requisitos del Capítulo V del RGPD, siempre que se cumplan las condiciones para el uso de dichas cláusulas y siempre que una evaluación interna haya concluido que dicha transferencia cumple el nivel de protección de datos del RGPD y la FADP.

8.8 Supresión de datos personales tras la terminación del acuerdo

Tras la terminación del acuerdo de servicios, JOIN está obligado, a solicitud de la Empresa, a entregar a la Empresa todos los datos personales, documentos y resultados de tratamiento y uso que estén sujetos a este ATD y que estén relacionados con la relación contractual, así como a suprimir, de conformidad con las directrices de protección de datos y seguridad de datos y de acuerdo con las instrucciones de la Empresa, aquello que JOIN no tenga derecho u obligación contractual o legal de seguir tratando. Esta obligación de supresión no se aplica a los datos personales que JOIN trata como responsable del tratamiento como parte de los servicios que ofrece a través de la plataforma.

9. Controles de protección de datos y derechos de auditoría

9.1 JOIN acuerda por la presente que la Empresa tiene derecho, previa acuerdo mutuo, a realizar controles del cumplimiento de las normativas de protección de datos y los acuerdos contractuales en la medida necesaria, ya sea por sí misma o a través de terceros que hayan celebrado previamente un acuerdo de confidencialidad, en particular obteniendo información e inspeccionando los datos y sistemas almacenados. Los derechos de auditoría, acceso e inspección de la Empresa en virtud de esta cláusula se limitan únicamente a los registros de JOIN (incluidos, entre otros, los registros de actividades de tratamiento de datos personales, los registros de destinatarios de datos personales) y no se aplican a las instalaciones físicas de JOIN. Cualquier auditoría y solicitud de información se limitará a la información necesaria para los fines de este ATD y tendrá debidamente en cuenta las obligaciones de confidencialidad de JOIN y su interés legítimo en proteger los secretos comerciales..

9.2 JOIN ayudará a la Empresa en la realización de los controles en la medida de sus posibilidades y proporcionará aclaraciones rápidas y completas cuando sea necesario.

9.3 JOIN aceptará cualquier medida de control por parte de la autoridad de supervisión de protección de datos si existe obligación legal de hacerlo. Informará a la Empresa de conformidad con el apartado 8.4 tras la notificación o el conocimiento de la aplicación de la medida de control y otras consultas o investigaciones de la autoridad de supervisión de protección de datos, en la medida en que las medidas o consultas puedan afectar al tratamiento de datos que JOIN presta a la Empresa y JOIN no esté legalmente obligado a mantener la confidencialidad.

9.4 A petición, JOIN confirmará por escrito el cumplimiento de las medidas técnicas y organizativas especificadas en el Apéndice 1.

10. Subcontratación y subcontratistas

10.1 JOIN tiene derecho a encargar a subcontratistas el tratamiento de datos de conformidad con las siguientes disposiciones:

• JOIN selecciona cuidadosamente a los subcontratistas en función de su idoneidad y fiabilidad y garantiza que el respectivo subcontratista garantice un nivel adecuado de protección de datos. Si se encargan subcontratistas, siempre debe garantizarse un nivel de protección comparable al de este acuerdo. 
• JOIN está obligado a redactar los acuerdos contractuales con los subcontratistas de conformidad con los acuerdos vigentes en la relación entre la Empresa y JOIN, y a garantizar que cualquier instrucción complementaria de la Empresa también se aplique a los subcontratistas.
• JOIN informará a la Empresa con suficiente antelación, es decir, a más tardar 30 días antes del inicio de la subcontratación prevista, de cualquier cambio previsto en relación con la participación o sustitución de otros encargados del tratamiento. Si la Empresa no se opone a la subcontratación en el plazo de dos semanas a partir de la recepción de la información, se considerará aprobada. 

10.2 JOIN proporcionará a la Empresa una copia del acuerdo de tratamiento subcontratado a petición, siempre y en la medida en que esto no sea contrario a los intereses de JOIN.

10.3 JOIN, en el momento de la celebración del acuerdo, cooperará con los subcontratistas nombrados en el Apéndice 2 en el cumplimiento del acuerdo, cuyo encargo la Empresa acepta expresamente.

11. Secreto de datos

11.1 JOIN está obligado a mantener la confidencialidad y el secreto de datos cuando trate datos para la Empresa.

11.2 JOIN solo utilizará empleados u otros agentes auxiliares para cumplir el acuerdo que estén suficientemente comprometidos con el secreto de datos o la confidencialidad al manejar los datos personales proporcionados y que hayan sido debidamente informados sobre los requisitos de protección de datos.

12. Medidas técnicas y organizativas

12.1 JOIN implementa las medidas técnicas y organizativas descritas en el Apéndice 1.

12.2 JOIN garantiza las medidas de seguridad de datos acordadas contractualmente y prescritas legalmente descritas en el Apéndice 1. Durante la vigencia de la relación contractual, JOIN adoptará todas las medidas necesarias para garantizar la seguridad de los datos y del tratamiento, teniendo en cuenta en particular los estándares tecnológicos actuales, así como para reducir las posibles consecuencias desfavorables para los interesados. Con el fin de poder garantizar siempre un nivel de seguridad adecuado para el tratamiento de datos, JOIN garantizará que las medidas implementadas sean revisadas regularmente y, si es necesario, actualizadas. JOIN es libre de realizar aquellos cambios en las medidas técnicas y organizativas que aumenten el nivel de seguridad acordado. JOIN informará a la Empresa de los cambios realizados en estas medidas con suficiente antelación.

13. Cláusula de forma

13.1 JOIN podrá, ocasionalmente, modificar este ATD. JOIN notificará a la Empresa con al menos 30 días de antelación antes de que dicho cambio sea aplicable a la Empresa. 

13.2 Todas las declaraciones de las partes, en particular las notificaciones, anuncios, declaraciones y demás información que deba transmitirse a la otra parte, deben constar por escrito para ser válidas. A efectos aclaratorios, ‘por escrito’ incluye la firma electrónica y otras comunicaciones textuales.

14. Fuero jurisdiccional

14.1 El fuero jurisdiccional exclusivo, también a nivel internacional, para todas las disputas que surjan directa o indirectamente de este ATD será el tribunal competente para el domicilio social de JOIN. El acuerdo sobre el fuero jurisdiccional no se aplica si la disputa se refiere a reclamaciones distintas de las reclamaciones pecuniarias o si ya se ha establecido un fuero jurisdiccional exclusivo para la disputa de conformidad con las disposiciones legales.

14.2 JOIN tiene derecho a emprender acciones legales contra la Empresa en su fuero jurisdiccional general.

15. Disposiciones varias

15.1 En caso de cualquier inconsistencia entre las disposiciones de este acuerdo y las disposiciones del acuerdo de servicios, prevalecerán las disposiciones de este acuerdo.

15.2 Este acuerdo se rige por la legislación suiza, con exclusión de la Convención de las Naciones Unidas sobre los Contratos de Compraventa Internacional de Mercaderías y las normas de conflicto de leyes. Para los clientes domiciliados en la Unión Europea, se aplica la legislación del estado miembro en el que la Empresa tenga su domicilio social.

APÉNDICE 1 del ATD

Medidas técnicas y organizativas

JOIN garantiza que ha adoptado las siguientes medidas técnicas y organizativas:

1. Medidas para garantizar la confidencialidad

1.1. Control de acceso físico

Medidas que impiden físicamente que personas no autorizadas accedan a los sistemas informáticos y sistemas de tratamiento de datos que procesan datos personales, así como a archivos confidenciales y soportes de datos.

• El área de tratamiento de datos está adecuadamente protegida mediante un método de construcción apropiado
• Todas las entradas posibles han sido protegidas contra el acceso no autorizado
• Se ha instalado un sistema de control de acceso con lector de tarjeta chip y sistema de cierre por transpondedor
• Existe una asignación controlada de llaves, tarjeta chip, etc.
• Documentación de la asignación de llaves y tarjetas chip
• Seguridad de puertas (apertura electrónica de puertas, etc.)
• Obligación de los empleados de guardar secreto de datos según la BDSG (Ley Alemana de Protección de Datos), especialmente §5, §43
• Política de contraseñas
• Certificados digitales
• Inicio de sesión de usuario de dos factores (para servicios críticos)
• Cifrado de comunicaciones/tratamiento de datos
• Uso de cortafuegos de software (para dispositivos Windows)
• Bloqueo automático de pantalla/política de empleados
• Gestión de usuarios actualizada
• Cifrado de soportes de datos en portátiles/ordenadores portátiles
• Asignación de derechos de usuario (donde sea posible, configurado especialmente para servicios críticos)

1.2 Control de acceso de personas no autorizadas

Medidas para impedir que personas no autorizadas traten o utilicen datos protegidos por la legislación de protección de datos.

• Obligación de los empleados de guardar secreto de datos según la BDSG (Ley Alemana de Protección de Datos), especialmente §5, §43
• Conceptos de autorización (perfiles, roles, etc.)
• Sin almacenamiento de servidores en las instalaciones (solo en la nube)
• Procedimiento de contraseñas, es decir, inicio de sesión de usuario personal e individual al registrarse en el sistema (incluyendo caracteres especiales, longitud mínima, cambio periódico de contraseña)
• Se utiliza un generador de contraseñas para contraseñas aleatorias
• La transmisión de los datos de autenticación confidenciales a través de la red está cifrada
• Las contraseñas de acceso y/o las entradas de formularios no se almacenan en el cliente ni en su entorno (por ejemplo, almacenamiento en el navegador o Post-Its)
• Las autorizaciones de acceso siempre se asignan individualmente (personalmente)
• El círculo de personas autorizadas se minimiza al número considerado operativamente necesario
• Se ha designado a una persona responsable de emitir autorizaciones de acceso
• Gestión de derechos por el administrador del sistema
• Lector de tarjeta de identificación, asignación controlada de llaves, tarjeta chip, etc.
• Seguridad de puertas (apertura electrónica de puertas, etc.)
• Sistema de cierre manual
• Cerraduras de seguridad
• Sistemas de control de acceso con lectores de tarjeta chip y sistemas de cierre por transpondedor
• Existe un procedimiento seguro para restablecer los bloqueos de acceso, por ejemplo, reasignar un ID de usuario
• Limitación del número de empleados autorizados
• Listas de acceso
• Encapsulación de sistemas sensibles mediante áreas de red separadas (dado que no hay sistemas sensibles alojados en las instalaciones)
• Procedimiento de autenticación
• Instalación de filtros antivirus y antiespía que se actualizan periódicamente
• Transmisión de datos a través de redes de datos cifradas o conexiones de túnel (VPN – esto se aplica en parte con datos sensibles)
• Política de contraseñas
• Uso de cortafuegos de software
• Instalación de filtros antivirus y antiespía que se actualizan periódicamente (para los dispositivos y servicios utilizados, esto se realiza en parte del lado del servicio, de lo contrario automáticamente del lado del dispositivo)

1.3 Control de acceso de personas autorizadas 

Medidas que garantizan que los autorizados a utilizar los procedimientos de tratamiento de datos solo puedan acceder a los datos personales sujetos a su autorización de acceso, de modo que los datos no puedan ser leídos, copiados, modificados o eliminados sin autorización durante el tratamiento, uso y almacenamiento.

• Conceptos de autorización (perfiles, roles, etc.)
• Las autorizaciones de acceso siempre se asignan individualmente (personalmente)
• Gestión de derechos por el administrador del sistema
• El círculo de personas autorizadas se minimiza al número considerado operativamente necesario
• El número de administradores se limita al número considerado esencial.
• Se ha designado a una persona responsable de emitir autorizaciones de acceso
• Cada persona con autorización de acceso solo puede acceder a los datos que necesita específicamente para tratar el proceso actual de conformidad con su asignación y que están configurados en su perfil de autorización individual.
• Las autorizaciones están vinculadas a un ID de usuario personal y una cuenta.
• Bloqueo automático de pantalla/política de empleados
• Política de contraseñas
• Asignación de derechos de usuario
• Registro de intentos de inicio de sesión y finalización del proceso de inicio de sesión tras un número determinado de intentos fallidos (dependiendo de si esto está incluido en el servicio)
• Registro de accesos e intentos de uso indebido (dependiendo de si esto está incluido en el servicio)
• Borrado físico de soportes antes de su reutilización
• Uso de destructoras de documentos o proveedores de servicios (si es posible con sello y/o certificación de protección de datos)

1.4 Requisito de separación

Medidas para garantizar que los datos recopilados para diferentes fines se traten por separado y estén separados de otros datos y sistemas de tal manera que estos datos no puedan utilizarse inadvertidamente para otros fines.

• Separación de clientes, en el lado del software
• Separación de sistemas de prueba y producción: separación en servidor de desarrollo, servidor de preparación y servidor de producción
• Bases de datos y servicios separados (por ejemplo, en la base de datos de ventas solo se almacena el ID de la empresa, pero no otra información sobre la empresa (almacenada en otra base de datos). Del mismo modo, los datos de rendimiento de un producto específico por cliente están separados de ambas bases de datos mencionadas.

1.5 Seudonimización

Medidas que reducen la atribución directa de datos personales a un interesado específico durante el tratamiento, de tal manera que la identificación de un interesado específico solo sea posible con la inclusión de información adicional. Esta información adicional debe almacenarse por separado del seudónimo utilizando medidas técnicas y organizativas adecuadas.

• Generalización
• Cifrado de datos sensibles cuando se almacenan en la base de datos (por ejemplo, cifrado Blowfish para contraseñas almacenadas)
• Uso de HTTPS en todo el sitio y en particular en las transferencias de información sensible
• Tokens para la transmisión de datos de pago
• Comunicación entre aplicación y base de datos mediante OAuth
• Bases de datos y servicios separados (por ejemplo, en la base de datos de ventas solo se almacena el ID de la empresa, pero no otra información sobre la empresa (almacenada en otra base de datos). Del mismo modo, los datos de rendimiento de un producto específico por cliente están separados de ambas bases de datos mencionadas.

2. Medidas para garantizar la integridad

2.1 Control de transferencia

Medidas para garantizar que los datos personales no puedan ser leídos, copiados, modificados o eliminados sin autorización durante la transmisión electrónica o durante su transporte o almacenamiento en soportes de datos, así como medidas que puedan utilizarse para comprobar y determinar dónde deben transmitirse los datos personales.

• Segregación adecuada de funciones
• Asignación de cuentas de usuario personales
• Política de contraseñas
• Asignación limitada de derechos de administrador
• Asignación limitada de derechos de acceso a datos
• Desactivación de cuentas de usuario no utilizadas
• Se impide a las personas no autorizadas el acceso a las instalaciones de tratamiento 
• Se impide el acceso no autorizado a los datos personales
• Se impide la modificación o supresión no autorizada de datos personales
• Los datos personales solo serán tratados siguiendo las instrucciones de la empresa
• Transmisión de datos a través de redes de datos cifradas o conexiones de túnel (VPN)
• La transmisión de datos entre clientes y servidores está cifrada (SSL, SSH o SFTP)
• La conexión a los sistemas backend está protegida.
• Los datos con altos requisitos de protección están cifrados.
• Procesos de manejo con responsabilidad individual
• Gestión de derechos por el administrador del sistema
• Almacenamiento de archivos de acceso y/o registro
• Los componentes de hardware o documentos son destruidos de tal manera que la recuperación no sea posible en absoluto o solo sea posible con un esfuerzo desproporcionado (NB: depende del documento)
• Uso de cortafuegos de software
• Los cortafuegos siempre están activados
• Autenticación mutua mediante métodos criptográficos (autenticación humano-máquina) – Autenticación de 2 factores mediante aplicación adicional, independientemente del puesto para todos los sistemas críticos

2.2 Control de entrada de datos

Medidas que garantizan que pueda comprobarse y determinarse posteriormente si los datos personales han sido accedidos, modificados o eliminados en los sistemas informáticos y por quién.

• Trazabilidad de las personas que han accedido, modificado y eliminado datos mediante el uso de nombres de usuario individuales (no grupos de usuarios)
• Asignación de derechos de acceso, modificación y supresión de datos basada en un concepto de autorización
• Registro de todas las actividades del sistema y conservación de estos registros durante al menos tres años

3. Medidas para garantizar la disponibilidad y la fiabilidad

3.1 Control de disponibilidad

Medidas para garantizar que los datos personales estén protegidos contra la destrucción o pérdida accidental.

• Conceptos de recuperación y copia de seguridad (RAID, duplicación de disco duro, etc.)
• Copias de seguridad realizadas regularmente
• Se realizan comprobaciones periódicas para determinar si es posible restaurar una copia de seguridad (recuperación de datos)
• Sistemas de detección de incendios y humo
• Sistema de extinción de incendios/extintores en las salas de electrónica o frente a ellas
• Aire acondicionado en las salas de electrónica
• Las salas de electrónica no están situadas bajo sistemas sanitarios/de conducción de agua
• Sin salas de servidores en el edificio, todos los datos y herramientas funcionan a través de la nube

3.2 Recuperabilidad rápida

Medidas para garantizar la capacidad de restaurar rápidamente la disponibilidad y el acceso a los datos personales en caso de un incidente físico o técnico.

• Pruebas periódicas de recuperación de datos
• Conceptos de recuperación y copia de seguridad (RAID, duplicación de disco duro, etc.)
• Copias de seguridad realizadas de forma periódica
• Se realizan comprobaciones periódicas para determinar si es posible restaurar una copia de seguridad (recuperación de datos)
• Las copias de seguridad se almacenan en un lugar seguro fuera de las instalaciones

4. Medidas para evaluar regularmente la seguridad del tratamiento de datos

Medidas para garantizar un tratamiento conforme a la protección de datos y seguro. 

• Gestión de la protección de datos
• Concepto general de protección de datos
• Concepto de supresión
• Las instrucciones de la empresa están documentadas
• Gestión formalizada de contratos

5. Medidas para garantizar la fiabilidad

Medidas para garantizar que todas las funciones del sistema o sistemas estén disponibles y que se notifiquen los fallos de funcionamiento que se produzcan.

• Supervisión de disponibilidad de servicios relevantes
• Redundancias del sistema
• Supervisión del sistema
• Supervisión mediante sistema de gestión de red automatizado (NMS)
• Planes de contingencia
• Uso de sistemas de prueba/preproducción
• Uso de un sistema de gestión de versiones para sistemas operativos
• Alertas

6. Medidas para garantizar la fiabilidad

Medidas para garantizar que los datos personales recopilados para diferentes fines puedan tratarse por separado.

• Concepto de protección de datos
• Conceptos de autorización (perfiles, roles, etc.) y su documentación
• Definición de derechos de base de datos
• Creación de categorías de datos con diferentes ubicaciones de almacenamiento
• Capacidad interna multicliente
• Separación lógica de clientes
• Concepto interno de asignación de finalidades
• Los datos de diferentes clientes de JOIN se almacenan en archivos separados y en directorios separados según el contenido y no se fusionan
• Conceptos de acceso
• Aislamiento de conjuntos de datos, sistemas (por ejemplo, UAT, preproducción y producción) y procesos
• Separación física de categorías de datos
• Separación de datos especialmente sensibles

APÉNDICE 2 del ATD

Lista de subencargados del tratamiento contratados por JOIN

Amazon Web Services EMEA SARL, 38 Avenue John F. Kennedy, L-1855 Luxemburgo

Finalidad: Envío de correos electrónicos

Lugar de tratamiento: Alemania (Frankfurt – región eu-central-1)

Detalles: Servicio de entrega de correo electrónico (Amazon SES) utilizado para enviar correos electrónicos de producto y transaccionales, incluidos en nombre del Responsable del Tratamiento como parte de los servicios.

Cloudflare Inc., 101 Townsend St, San Francisco, CA 94107, EE. UU.

Finalidad: Seguridad y rendimiento

Lugar de tratamiento: Estados Unidos de América

Detalles: Cortafuegos de aplicaciones web (WAF), CDN y protección DDoS para los servicios de JOIN.

FrontApp Inc., 525 Brannan St, San Francisco, CA 94107, EE. UU.

Finalidad: Comunicación y soporte al cliente

Lugar de tratamiento: Estados Unidos de América

Detalles: Plataforma de comunicación con clientes utilizada para gestionar bandejas de entrada compartidas, interacciones de soporte al cliente y flujos de trabajo de correo electrónico.

Functional Software Inc. (Sentry), 45 Fremont Street, 8th piso, San Francisco, CA 94105, EE. UU.

Finalidad: Supervisión de aplicaciones

Lugar de tratamiento: Estados Unidos de América

Detalles: Supervisión de errores y seguimiento del rendimiento para la aplicación JOIN. Puede procesar datos técnicos en registros.

Google Cloud EMEA Limited, Gordon House, Barrow Street, Dublín 4, Irlanda

Finalidad: Infraestructura en la nube

Lugar de tratamiento: Bélgica (región europe-west1)

Detalles: Alojamiento y almacenamiento para la plataforma JOIN, incluidas máquinas virtuales (Compute Engine), bases de datos gestionadas (Cloud SQL / Firestore), almacenamiento de objetos (Cloud Storage), redes y copias de seguridad.

Google Ireland Limited (Workspace), Gordon House, Barrow Street, Dublín 4, Irlanda

Finalidad: Productividad y comunicación

Lugar de tratamiento: Irlanda (regiones de datos de la UE, cuando corresponda)

Detalles: Suite de correo electrónico y productividad (Gmail, Drive, Docs, Sheets, Meet, Calendar) utilizada para operaciones internas y comunicaciones con clientes.

Intuit Inc. (Mailchimp), 2700 Coast Avenue, Mountain View, CA 94043, EE. UU.

Finalidad: Envío de correos electrónicos

Lugar de tratamiento: Estados Unidos de América

Detalles: Plataforma de correo electrónico utilizada para enviar correos electrónicos de marketing, producto y transaccionales a los usuarios y en nombre del Responsable del Tratamiento.

Linear Orbit, Inc., 2261 Market Street #4455, San Francisco, CA 94114, EE. UU.

Finalidad: Seguimiento de incidencias y gestión de productos

Lugar de tratamiento: Estados Unidos de América

Detalles: Herramienta de seguimiento de incidencias y gestión de productos utilizada para gestionar el desarrollo de productos, el seguimiento de errores y los flujos de trabajo internos.

Testlify Inc., 2823 Oakley Ave, Bensalem PA 19020, EE. UU.

Finalidad: Evaluación y pruebas de candidatos

Lugar de tratamiento: Estados Unidos de América

Detalles: Plataforma de pruebas previas al empleo utilizada para evaluar las competencias de los candidatos mediante pruebas y evaluaciones en línea durante el proceso de contratación.