Acuerdo de tratamiento de datos (DPA)
Estado: junio de 2026
Información sobre la incorporación a los contratos
Ten en cuenta: Este Acuerdo de Tratamiento de Datos («DPA») constituye parte integrante del contrato principal (p. ej., Acuerdo de Software como Servicio, Condiciones de Servicio o pedido individual) celebrado entre syniotec GmbH (en adelante, el «Encargado del Tratamiento») y el cliente contratante correspondiente (en adelante, el «Responsable del Tratamiento»).
Al celebrar el contrato principal o utilizar nuestro software y servicios de telemática, este DPA se incorpora legalmente por referencia. No se requiere una firma separada. Los detalles específicos relativos a la identidad del Responsable del Tratamiento y los datos de contacto específicos se derivan del contrato principal correspondiente.
Preámbulo
El Encargado del Tratamiento presta servicios al Responsable del Tratamiento sobre una base contractual en las áreas de provisión de software, personalización, mantenimiento o servicios similares. Cuando así se acuerde con el Responsable del Tratamiento, el Encargado del Tratamiento presta adicionalmente servicios en el ámbito del tratamiento y análisis de datos en relación con sistemas de telemática distribuidos por el Encargado del Tratamiento, que se integran en maquinaria de construcción, equipos u otros vehículos e instalaciones utilizados por el Responsable del Tratamiento.
Parte de la ejecución del contrato respectivo implica el tratamiento de datos personales por parte del Encargado del Tratamiento como encargado del tratamiento en el sentido del art. 4, apartado 8, del RGPD para el Responsable del Tratamiento como responsable del tratamiento en el sentido del art. 4, apartado 7, del RGPD. En particular, el art. 28 del RGPD establece requisitos específicos para dicho tratamiento de datos, para garantizar el cumplimiento de los cuales se establece este Acuerdo.
1. Ámbito de aplicación
1.1 Las siguientes disposiciones se aplican a todos los servicios de tratamiento de datos en el sentido del art. 28 del RGPD prestados por el Encargado del Tratamiento al Responsable del Tratamiento.
1.2 Este DPA especifica las obligaciones de protección de datos de las partes contratantes derivadas del acuerdo subyacente (en adelante, el «Contrato Principal»).
1.3 Siempre que se utilice el término «tratamiento de datos» o «tratamiento» en este Acuerdo, se entenderá generalmente el uso de datos personales de conformidad con el art. 4, apartado 2, del RGPD. El uso de datos personales incluye, en particular, la recogida, el almacenamiento, la transmisión, el bloqueo, la supresión, la anonimización, la seudonimización, el cifrado o cualquier otro uso de datos. Se hace referencia a las definiciones adicionales del art. 4 del RGPD.
2. Objeto y duración del tratamiento
2.1 El Encargado del Tratamiento tratará datos personales en relación con el Contrato Principal únicamente por cuenta y de acuerdo con las instrucciones del Responsable del Tratamiento.
2.2 El objeto del encargo es la provisión de software para la disposición, seguimiento, reubicación y facturación de los equipos utilizados por el Responsable del Tratamiento, como maquinaria de construcción, de conformidad con el Contrato Principal. Cuando se encargue, el objeto también incluye la recogida y transmisión de datos de telemática por parte de las unidades de telemática del Encargado del Tratamiento, así como la preparación y el tratamiento de dichos datos por cuenta del Responsable del Tratamiento.
2.3 La duración de este Acuerdo corresponderá al plazo del Contrato Principal.
3. Alcance, naturaleza y finalidad de la recogida, el tratamiento o el uso de datos
3.1 El alcance, la naturaleza y la finalidad de la recogida, el tratamiento y/o el uso de datos personales por parte del Encargado del Tratamiento se establecen en el Contrato Principal. Esto incluye, entre otras, las siguientes actividades y finalidades para las soluciones de software «Ram» y «SAM» (en adelante, el «Software») utilizadas por el Responsable del Tratamiento (sujeto a encargo individual cuando corresponda):
- 3.1.1 Provisión del Software mediante acceso remoto basado en la nube (SaaS).
- 3.1.2 Asesoramiento sobre el despliegue del Software.
- 3.1.3 Implementación de ajustes y extensiones al Software según las especificaciones del Responsable del Tratamiento.
- 3.1.4 Migración inicial de datos desde los sistemas de terceros del Responsable del Tratamiento.
- 3.1.5 Ejecución de sesiones de formación.
- 3.1.6 Mantenimiento y administración del Software.
- 3.1.7 Uso de datos personales de los empleados del Responsable del Tratamiento u otros usuarios almacenados en el Software de conformidad con la «Política de Privacidad de Telemática» separada, que está disponible por parte del Encargado del Tratamiento en cualquier momento previa solicitud.
- 3.1.8 Recogida, transmisión y tratamiento de datos generados y capturados por las unidades de telemática del Encargado del Tratamiento desplegadas en las instalaciones del Responsable del Tratamiento, de conformidad con la «Política de Privacidad de Telemática» separada, que está disponible por parte del Encargado del Tratamiento en cualquier momento previa solicitud.
4. Categorías de interesados
4.1 Las categorías de interesados afectados por el tratamiento de datos personales en el marco del contrato subyacente incluyen:
- 4.1.1 Proveedores / Subcontratistas / Prestadores de servicios / Socios de cooperación del Responsable del Tratamiento.
- 4.1.2 Usuarios del sistema.
- 4.1.3 Empleados del Responsable del Tratamiento u otras personas que actúan por o en nombre del Responsable del Tratamiento que utilizan la maquinaria y el equipo gestionados a través del Software.
- 4.1.4 Empleados del Responsable del Tratamiento u otras personas que actúan por o en nombre del Responsable del Tratamiento cuyos datos personales son introducidos en el Software por el Responsable del Tratamiento.
5. Tipos de datos personales
5.1 Dependiendo del alcance de uso y de las entradas realizadas por el Responsable del Tratamiento, los siguientes datos/categorías de datos pueden estar generalmente sujetos a tratamiento:
- 5.1.1 Datos maestros/de contacto de empleados/usuarios de la maquinaria y el equipo: nombre, fecha de nacimiento, nacionalidad, contacto de emergencia (nombre, apellido, número de teléfono), dirección profesional, correo electrónico/teléfono profesional, puesto profesional, vehículo del empleado, cualificaciones relacionadas con la obra, certificados, permisos de conducir, fotografías (véase la «Política de Privacidad de Telemática» separada).
- 5.1.2 Datos contractuales
- 5.1.3 Datos de telemática de maquinaria y equipo (véase la «Política de Privacidad de Telemática» separada).
- 5.1.4 Datos de ubicación/seguimiento de maquinaria y equipo (véase la «Política de Privacidad de Telemática» separada).
6. Derechos y obligaciones del Responsable del Tratamiento
6.1 El Responsable del Tratamiento será el único responsable de evaluar la licitud de la recogida, el tratamiento y el uso de datos, así como de salvaguardar los derechos de los interesados, y es, por tanto, el «Responsable del Tratamiento» en el sentido del art. 4, apartado 7, del RGPD.
6.2 El Responsable del Tratamiento tiene derecho a emitir instrucciones sobre la naturaleza, el alcance y los procedimientos del tratamiento de datos. Las instrucciones pueden ser emitidas y transmitidas por el Responsable del Tratamiento por escrito o en formato electrónico (forma de texto). Las instrucciones orales deben confirmarse por escrito o en forma de texto sin demora.
6.3 En la medida en que el Responsable del Tratamiento lo considere necesario, se pueden designar personas autorizadas para dar instrucciones. Cualquier cambio en las personas autorizadas se comunicará al Encargado del Tratamiento en forma de texto.
6.4 El Responsable del Tratamiento informará al Encargado del Tratamiento inmediatamente si se detectan errores o irregularidades en relación con el tratamiento de datos personales por parte del Encargado del Tratamiento.
6.5 De conformidad con las disposiciones de la Sección 8, el Responsable del Tratamiento tiene derecho a verificar el cumplimiento de las medidas técnicas y organizativas adoptadas por el Encargado del Tratamiento antes del inicio del tratamiento de datos y regularmente después. Cualquier coste incurrido debido a una auditoría correrá a cargo del Responsable del Tratamiento.
7. Obligaciones del Encargado del Tratamiento
7.1 Tratamiento de datos
- 7.1.1 El Encargado del Tratamiento está obligado a tratar los datos personales exclusivamente en el marco de los acuerdos establecidos y de conformidad con las instrucciones del Responsable del Tratamiento. Queda prohibido cualquier tratamiento de datos que se desvíe de esto.
- 7.1.2 No se podrán crear copias o duplicados a menos que lo exija la ley o el Contrato Principal.
7.2 Asistencia con solicitudes/consultas
- 7.2.1 Teniendo en cuenta la naturaleza del tratamiento, el Encargado del Tratamiento asistirá al Responsable del Tratamiento en la medida de lo posible mediante medidas técnicas y organizativas apropiadas en el cumplimiento de la obligación del Responsable del Tratamiento de responder a las solicitudes de ejercicio de los derechos de los interesados establecidos en el Capítulo III del RGPD.
7.3 Rectificación, supresión y limitación del tratamiento
- 7.3.1 El Encargado del Tratamiento rectificará, suprimirá o limitará el tratamiento de datos personales siguiendo las instrucciones del Responsable del Tratamiento.
- 7.3.2 Si un interesado contacta directamente con el Encargado del Tratamiento, este remitirá dicha solicitud al Responsable del Tratamiento sin demora.
7.4 Obligaciones de auditoría
- 7.4.1 El Encargado del Tratamiento se compromete a garantizar mediante comprobaciones apropiadas que el tratamiento se lleva a cabo exclusivamente de conformidad con el presente Acuerdo y las instrucciones.
- 7.4.2 El Encargado del Tratamiento confirma que ha designado un Delegado de Protección de Datos cuando así lo exija la ley.
7.5 Obligaciones de información
- 7.5.1 El Encargado del Tratamiento alertará inmediatamente al Responsable del Tratamiento si, en su opinión, una instrucción emitida por el Responsable del Tratamiento infringe disposiciones legales. El Encargado del Tratamiento tiene derecho a suspender la ejecución de la instrucción respectiva hasta que sea confirmada o modificada por la persona responsable del Responsable del Tratamiento.
7.5.2 El Encargado del Tratamiento está obligado a notificar al Responsable del Tratamiento de inmediato cualquier infracción de las normas de protección de datos, de los acuerdos contractuales celebrados y/o de las instrucciones emitidas por el Responsable del Tratamiento que se haya producido en el curso del tratamiento de datos por parte del Encargado del Tratamiento u otras personas encargadas del tratamiento.
- 7.5.3 El Encargado del Tratamiento asistirá al Responsable del Tratamiento para garantizar el cumplimiento de las obligaciones establecidas en los artículos 32 a 36 del RGPD, en particular para garantizar un nivel adecuado de protección, en el ámbito de sus obligaciones de información hacia los interesados, en caso de una posible evaluación de impacto en la protección de datos y en el marco de consultas previas con las autoridades de control.
7.6 Lugar del tratamiento de datos
- 7.6.1 La recogida, el tratamiento y el uso de los datos del Responsable del Tratamiento tendrán lugar dentro de Alemania, otro Estado miembro de la UE o un Estado contratante del EEE. Cualquier transferencia a un tercer país requiere el consentimiento previo del Responsable del Tratamiento y solo puede producirse si se cumplen los requisitos del art. 44 y siguientes del RGPD.
7.7 Supresión tras la terminación
- 7.7.1 Tras la terminación del contrato, el Encargado del Tratamiento está obligado a devolver todos los datos personales en su posesión al Responsable del Tratamiento o a suprimirlos de manera conforme y segura de acuerdo con las instrucciones del Responsable del Tratamiento.
8. Auditorías de protección de datos
8.1 El Encargado del Tratamiento concede al Responsable del Tratamiento el derecho a verificar el cumplimiento de las normas de protección de datos y los acuerdos contractuales en la medida necesaria durante el horario comercial habitual. El Responsable del Tratamiento no perturbará los procesos operativos del Encargado del Tratamiento durante este proceso. El Encargado del Tratamiento podrá supeditar la inspección a una notificación previa con un plazo razonable y a la firma de un acuerdo de confidencialidad respecto a los datos de otros clientes. Si el auditor designado por el Responsable del Tratamiento mantiene una relación de competencia con el Encargado del Tratamiento o si existen otras razones de peso contra la inspección por parte del auditor específico, el Encargado del Tratamiento tiene derecho de objeción contra ellos.
8.2 El Encargado del Tratamiento asistirá al Responsable del Tratamiento en la realización de auditorías y cooperará en un procesamiento completo y rápido. Los costes derivados de una auditoría correrán a cargo del Responsable del Tratamiento cuando proceda.
8.3 Previa solicitud por escrito, el Encargado del Tratamiento está obligado a proporcionar información al Responsable del Tratamiento en un plazo razonable, en la medida en que sea necesario para llevar a cabo la auditoría.
8.4 El Encargado del Tratamiento debe tolerar cualquier medida de auditoría adoptada por la autoridad de control de protección de datos e informará al Responsable del Tratamiento inmediatamente al tener conocimiento de la ejecución de la medida de auditoría.
8.5 En la medida en que el Responsable del Tratamiento esté sujeto a una auditoría por parte de la autoridad de control, el Encargado del Tratamiento apoyará al Responsable del Tratamiento en la medida de sus posibilidades.
9. Relaciones de subcontratación
9.1 La contratación de subcontratistas como encargados adicionales del tratamiento está permitida de conformidad con las disposiciones de esta Sección 9. El Encargado del Tratamiento celebrará acuerdos con estos terceros en la medida necesaria para garantizar medidas apropiadas de protección de datos y seguridad de la información. El Encargado del Tratamiento contrata actualmente a los subcontratistas especificados en el Anexo 1 del presente Acuerdo.
9.2 Antes de contratar o sustituir subcontratistas, el Encargado del Tratamiento está obligado a informar al Responsable del Tratamiento en consecuencia por escrito. A tal efecto, el Encargado del Tratamiento comunicará al Responsable del Tratamiento el nombre y la dirección del subcontratista, así como el servicio que se le encomienda. El Responsable del Tratamiento tiene derecho a oponerse a la contratación o sustitución de subcontratistas individuales en un plazo de catorce días desde la recepción de la información. Una objeción debe estar objetivamente justificada. Si no se formula ninguna objeción dentro de este plazo, se considerará que el Responsable del Tratamiento aprueba la contratación o sustitución del subcontratista. Si el Encargado del Tratamiento no cumple con una objeción oportuna y justificada del Responsable del Tratamiento, este establecerá un plazo razonable de al menos catorce días para que el Encargado del Tratamiento cumpla con la objeción. Si el Encargado del Tratamiento deja transcurrir este plazo sin resultado, el Responsable del Tratamiento tiene derecho a prohibir la subcontratación mediante una instrucción. Si la contratación del subcontratista no aprobado sigue sin prohibirse a pesar de dicha instrucción del Responsable del Tratamiento, este tiene derecho a rescindir el presente Acuerdo por causa justificada.
9.3 La contratación de subcontratistas cuando el subcontratista simplemente utiliza un servicio auxiliar para apoyar la prestación de servicios en virtud del Contrato Principal no requiere consentimiento, incluso si no se puede excluir el acceso a los datos del Responsable del Tratamiento en este proceso. Esto incluye, en particular, servicios de transporte de servicios postales o de mensajería, así como servicios de transporte de valores, servicios de telecomunicaciones, servicios de seguridad y servicios de limpieza, pero no servicios de auditoría y mantenimiento.
9.4 El acuerdo de subcontratación debe presentar un nivel adecuado de protección comparable al del presente contrato. En el acuerdo de subcontratación se deben otorgar al Responsable del Tratamiento sus propios derechos de auditoría hacia el subcontratista, comparables a la Sección 8 del presente Acuerdo.
9.5 El Encargado del Tratamiento revisará periódicamente el cumplimiento de las obligaciones del subcontratista. En particular, el Encargado del Tratamiento debe comprobar de antemano y periódicamente durante la vigencia del contrato que el subcontratista ha adoptado las medidas requeridas en virtud del artículo 32 del RGPD para proteger la seguridad de los datos personales.
9.6 El compromiso del subcontratista debe realizarse por escrito. El compromiso por escrito debe transmitirse al Responsable del Tratamiento previa solicitud.
10. Secreto de datos/Confidencialidad
10.1 El Encargado del Tratamiento está obligado a mantener el secreto de los datos al tratar datos para el Responsable del Tratamiento. El Encargado del Tratamiento asegura que conoce las normas de protección de datos aplicables y está familiarizado con su aplicación.
10.2 El Encargado del Tratamiento se compromete a emplear únicamente empleados para la ejecución del encargo que hayan sido vinculados al secreto de los datos y hayan sido debidamente familiarizados con los requisitos de protección de datos. El Encargado del Tratamiento y cualquier persona subordinada al Encargado del Tratamiento que tenga acceso a datos personales solo podrán tratar estos datos de conformidad con las instrucciones del Responsable del Tratamiento, incluidas las facultades otorgadas en el presente contrato, a menos que estén legalmente obligados a tratar los datos.
11. Medidas técnicas y organizativas, obligación de información
11.1 Las medidas técnicas y organizativas descritas en el Anexo 2 del presente apéndice se establecen como vinculantes. Se trata de medidas de seguridad de datos diseñadas para garantizar un nivel de protección apropiado al riesgo en lo que respecta a la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas.
11.2 El Encargado del Tratamiento observa los principios del tratamiento adecuado de datos. Garantiza las medidas de seguridad de datos acordadas contractualmente y prescritas legalmente y las comprueba periódicamente.
11.3 Las medidas técnicas y organizativas podrán adaptarse a los desarrollos técnicos y organizativos a lo largo de la relación contractual. Al hacerlo, no se debe reducir el nivel de seguridad de las medidas establecidas. Los cambios significativos deben documentarse y comunicarse al Responsable del Tratamiento.
11.4 El Encargado del Tratamiento notificará inmediatamente al Responsable del Tratamiento cualquier mal funcionamiento, infracción por parte del Encargado del Tratamiento o las personas empleadas por él contra las disposiciones de protección de datos o las estipulaciones establecidas en el presente Acuerdo, así como cualquier sospecha de violaciones de protección de datos o irregularidades en el tratamiento de datos personales. Esto se aplica sobre todo con respecto a cualquier posible obligación de información del Responsable del Tratamiento de conformidad con los artículos 33 y 34 del RGPD. El Encargado del Tratamiento asegura que apoyará al Responsable del Tratamiento en sus obligaciones de conformidad con los artículos 33 y 34 del RGPD.
12. Disposiciones finales
12.1 En caso de conflictos entre las disposiciones del presente Acuerdo y las regulaciones del contrato y los pedidos, prevalecerán las disposiciones del presente Acuerdo.
12.2 Las modificaciones y complementos del presente Acuerdo deben realizarse por escrito y requieren la declaración expresa de que las presentes disposiciones se modifican y/o complementan con ello. Esto también se aplica a la renuncia a este requisito de forma escrita. Para satisfacer el requisito de forma escrita, es suficiente el intercambio de firmas escaneadas o firmas digitales como DocuSign o similares, pero no los correos electrónicos simples o mensajes de mensajería.
12.3 El presente Acuerdo se rige por la ley alemana. El lugar de jurisdicción para todas las disputas que surjan de o en relación con el presente Acuerdo es Bremen.
12.4 Si una disposición del presente Acuerdo fuera o llegara a ser inválida o inaplicable, las disposiciones restantes del presente Acuerdo no se verán afectadas por ello. La disposición inválida o inaplicable será sustituida por una disposición válida y aplicable que se acerque más al propósito de la disposición que se sustituye.
ANEXO 1 – SUBCONTRATISTAS
El Encargado del Tratamiento contrata a los subcontratistas que se enumeran a continuación en el sentido del artículo 28, apartado 2, del RGPD para realizar los servicios acordados contractualmente de conformidad con el presente Acuerdo.
La contratación se produce exclusivamente en la medida necesaria para la prestación de los servicios.
No todos los subcontratistas tratan necesariamente datos personales del Responsable del Tratamiento. La naturaleza, el alcance y el propósito del tratamiento respectivo dependen de la funcionalidad específica utilizada.
En la medida en que se contraten subcontratistas con sede fuera de la Unión Europea o del Espacio Económico Europeo, cualquier transferencia de datos personales se produce exclusivamente en cumplimiento de los requisitos de los artículos 44 y siguientes del RGPD, en particular mediante la celebración de las Cláusulas Contractuales Tipo de la UE respectivamente vigentes, así como mediante medidas técnicas y organizativas complementarias.
1 Servicios de alojamiento e infraestructura
1.1 Amazon Web Services EMEA SARL / Amazon Web Services, Inc.
1.1.1 Servicio: Alojamiento en la nube, infraestructura, operaciones de centro de datos
1.1.2 Ubicación: Luxemburgo / EE. UU.
1.1.3 El tratamiento de datos personales se produce exclusivamente en centros de datos dentro de la Unión Europea, específicamente en la Región AWS de Fráncfort del Meno, Alemania.
2 Servicios de base de datos y plataforma
2.1 MongoDB, Inc.
2.1.1 Servicio: Alojamiento y gestión de bases de datos a través de MongoDB Atlas
2.1.2 Ubicación: EE. UU.
2.1.3 El tratamiento de datos personales se produce en regiones de centros de datos seleccionadas por el Encargado del Tratamiento dentro de la Unión Europea.
ANEXO 2 – MEDIDAS TÉCNICAS Y ORGANIZATIVAS (MTO)
El Encargado del Tratamiento ha adoptado las siguientes medidas técnicas y organizativas para garantizar un nivel de protección de los datos personales afectados que sea apropiado al riesgo:
1 Control de acceso físico
Medidas diseñadas para impedir físicamente que personas no autorizadas accedan a sistemas informáticos e instalaciones de tratamiento de datos con los que se tratan datos personales, así como a archivos y soportes de datos confidenciales.
El control de acceso físico se garantiza mediante sistemas de cierre manual, cerraduras de seguridad, regulaciones de llaves, sistemas de cierre con tarjetas chip o transpondedores, sistemas de alarma y personal de seguridad, controles personales en la recepción, el uso obligatorio de identificaciones de visitante, el registro de visitantes y restricciones de acceso biométricas.
2 Control de acceso al sistema
Medidas diseñadas para impedir que personas no autorizadas traten o utilicen datos protegidos en virtud de la legislación de protección de datos.
El control de acceso al sistema se garantiza mediante la regulación de los derechos de usuario, la asignación de contraseñas, la identificación y autenticación con nombre de usuario y contraseña, el despliegue de software antivirus estándar, el uso de cortafuegos de hardware y software en clientes de fabricantes establecidos, la creación de perfiles de usuario en sistemas informáticos, el uso de tecnologías VPN estándar, identificadores de usuario personificados, el establecimiento de un registro de usuario maestro por usuario, el bloqueo de estaciones de trabajo en caso de inactividad mediante un tiempo de espera del token de seguridad, el cifrado de soportes de datos, el aislamiento de sistemas sensibles mediante áreas de red separadas a través de segmentación lógica, el registro de intentos de inicio de sesión, filtros antivirus y antiespía actualizados periódicamente y múltiples blindajes de cortafuegos de hardware o software de servidores cliente dentro de una DMZ.
3 Control de acceso a los datos
Medidas diseñadas para garantizar que las personas autorizadas a utilizar los procedimientos de tratamiento de datos puedan acceder exclusivamente a los datos personales sujetos a su autorización de acceso, de modo que los datos no puedan ser leídos, copiados, modificados o eliminados de forma no autorizada durante el tratamiento, el uso y el almacenamiento.
La descripción del sistema de control de acceso a los datos incluye la regulación, creación e implementación de conceptos de autorización, la limitación del número de administradores a lo estrictamente necesario, el uso de destructoras de documentos o empresas establecidas para la destrucción de documentos, así como la destrucción adecuada de soportes de datos y el registro de dicha destrucción por empresas establecidas, la gestión de derechos por parte de los responsables técnicos de la aplicación, una política de contraseñas con especificaciones relativas a la longitud de la contraseña y cambios rotativos de contraseña, el registro de accesos e intentos de abuso, administración de usuarios y conceptos de derechos, autorizaciones de acceso basadas en PKI, procedimientos de evaluación y registro, gestión de soportes de datos, asignación de autorizaciones a nivel de roles, perfiles, grupos y campos, así como integración LDAP.
4 Control de transmisión
Medidas diseñadas para garantizar que los datos personales no puedan ser leídos, copiados, modificados o eliminados de forma no autorizada durante la transmisión electrónica o durante el transporte o almacenamiento en soportes de datos, así como medidas para comprobar y establecer las ubicaciones a las que se pretende transferir datos personales.
La descripción del control de transmisión incluye la regulación de la divulgación mediante directrices, el establecimiento de líneas arrendadas dedicadas, el establecimiento de túneles VPN utilizando tecnología estándar, contenedores o embalajes de transporte seguros, la selección cuidadosa del personal de transporte, la transmisión de datos a través de contenedores cifrados o conexiones de túnel, la contratación de proveedores de servicios de eliminación para la destrucción profesional de documentos, procesos de transporte con responsabilidad individual en los que siempre debe haber una persona de contacto clara y en los que debe quedar absolutamente claro qué debe eliminar el Encargado del Tratamiento durante la destrucción de datos, procedimientos de registro exhaustivos, sistemas de cortafuegos, cifrado HTTPS, acceso VPN opcional dentro de una red empresarial protegida y la preparación de consultas de bases de datos dentro del servidor y devolución de solicitudes o resultados de búsqueda en forma procesada con un volumen de datos definido para evitar inyecciones SQL.
5 Control de entrada
Medidas diseñadas para garantizar que se pueda verificar y establecer posteriormente si los datos personales se han introducido, modificado o eliminado en los sistemas de tratamiento de datos y por quién.
La descripción del proceso de control de entrada incluye la asignación de derechos para la entrada de datos, la modificación y eliminación de datos basándose en conceptos de autorización y el registro del sistema.
6 Control de encargo
Medidas diseñadas para garantizar que, en una relación de tratamiento de datos por encargo, cualquier tratamiento de datos personales se lleve a cabo exclusivamente en el marco de las instrucciones y especificaciones emitidas por el Responsable del Tratamiento.
La descripción del proceso de control de encargo indica que el control de encargo se garantiza mediante la presentación por parte del Encargado del Tratamiento de pruebas al delegado de protección de datos del Responsable del Tratamiento antes de comenzar las operaciones y posteriormente sobre una base incidental, lo que permite al Responsable del Tratamiento cerciorarse del cumplimiento de las medidas técnicas y organizativas implementadas por el Encargado del Tratamiento.
7 Control de disponibilidad
Medidas diseñadas para garantizar que los datos personales estén protegidos contra la destrucción o pérdida accidental.
La descripción del sistema de control de disponibilidad incluye un suministro de energía ininterrumpido, climatización de salas de servidores y centros de datos en los que cada sala de servidores se suministra a través de su propia alimentación eléctrica desde la red pública, sistemas de alarma contra incendios y humo, extintores, pruebas de recuperación de datos, el almacenamiento parcialmente externalizado de copias de seguridad de datos en AS4U o la separación de datos y copias de seguridad en compartimentos cortafuegos o salas de servidores, pruebas periódicas de la disponibilidad de copias de seguridad de datos mediante restauraciones continuas como pruebas de copias de seguridad funcionales, conceptos estandarizados de copia de seguridad y recuperación, planes de emergencia y reinicio, procedimientos de copia de seguridad de datos, separación espacial de procedimientos de copia de seguridad de datos, pruebas periódicas de restauración de datos, almacenamiento de datos en una base de datos relacional, zonas de protección contra incendios, sistemas de agua y detección temprana de incendios, tecnología de climatización de alta disponibilidad en el centro de datos, un sistema de extinción por reducción de oxígeno en el centro de datos, suministros de energía redundantes ininterrumpidos y generadores de emergencia en el centro de datos, conexiones de fibra oscura redundantes o conexiones de fibra óptica inalámbricas en el centro de datos, protección contra sobretensiones en el centro de datos y una conexión directa con el cuerpo de bomberos local en los centros de datos para acelerar los tiempos de respuesta en caso de incendio.
8 Requisito de separación
Medidas diseñadas para garantizar que los datos recogidos con fines diferentes se traten por separado y estén separados de otros datos y sistemas de tal manera que se excluya un uso no planificado de estos datos para otros fines.
La descripción del proceso de control de separación incluye el almacenamiento separado en bases de datos separadas que varía según el sistema, la definición de derechos de base de datos dentro de cada base de datos, separación lógica multiinquilino, la separación de sistemas de producción y prueba, conceptos de autorización, un sistema de permisos de lectura y escritura para carpetas de instalación, una red Wi-Fi de invitados separada e instancias de acceso aisladas para clientes dentro de la base de datos AWS utilizada por el Encargado del Tratamiento.