Política de Protección de Datos

Transcripción

1 Política de Protección de Datos En cumplimiento de lo dispuesto en la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, le informamos que sus datos serán incorporados a un fichero propiedad de Applus Servicios Tecnológicos, en el cual se encuentran incluidos los datos recabados de PROVEEDORES, así como los datos de las personas de contacto, incluida su dirección de correo electrónico, cuya finalidad es la gestión de la calificación/homologación de los mismos, así como la verificación de cumplimiento de requisitos, gestión de compras, pedidos, facturas, seguimiento de entregas, comunicaciones y envío de felicitaciones navideñas. Los Datos de carácter personal tratados en este fichero únicamente serán cedidos a aquellas entidades pertenecientes al Grupo APPLUS, (La lista completa de las empresas pertenecientes al Grupo Applus, direcciones y actividades está disponible bajo la siguiente página web: Por favor, revise dicha página web con cierta regularidad.), con el único objetivo de dar cumplimiento a la/s finalidad/es anteriormente expuesta/as. La web de Applus+ utiliza las llamadas "cookies", que son pequeños archivos de datos que pueden ser guardados en su disco duro. Su finalidad es recoger, almacenar y trazar la información para usos estadísticos, con el objetivo de mejorar los productos y servicios de Applus+, así como la navegación en su web. Las cookies no permiten el acceso a ningún tipo de información personal por parte de terceros. Al facilitarnos los datos referidos anteriormente, Vds. consienten expresamente el uso, tratamiento y comunicación de los mismos para las finalidades informadas. En caso de tener lugar alguna modificación y/o variación en alguno de los datos existentes en nuestra base de datos, en particular, de los relativos a las personas de contacto, Vds. deberán poner en nuestro conocimiento dicha circunstancia a fin de proceder a su actualización. El titular de los datos podrá ejercitar los derechos de acceso, rectificación, cancelación oposición dirigiéndose por escrito a Applus+, Servicios Jurídicos de Applus, Campus UAB, Carretera de Acceso a la Facultad de Medicina s/n, Bellaterra- Cerdanyola del Vallés (Barcelona), incluyendo en la misma la referencia `Protección de Datos', y acompañando una fotocopia de su DNI o documento identificativo equivalente, o alternativamente mediante la dirección de correo electrónico lopd@applus.com. Información Confidencial Tendrá la consideración de información confidencial (en adelante "Información Confidencial"), cualquier información de cualquier naturaleza relativa a APPLUS o sus clientes, bien sea verbal, escrita o en cualquier soporte, proporcionada al PROVEEDOR o al personal de éste, en cualquier momento, antes, durante y después de la vigencia de la vigencia de este acuerdo, o conocida o creada por el PROVEEDOR o su personal en cualquier momento, antes, durante y después de la vigencia de este acuerdo, como consecuencia del ejercicio de los servicios que le son propios de conformidad con este Acuerdo, incluyendo cualesquiera registros, copias o extractos de la misma en cualquier medio (documental, en formato electrónico u otros), desarrollados por cualquiera sobre la base de la información referida anteriormente y cualquier otra información que por su naturaleza y/o por las circunstancias en que se produzca, deba de buena fe estimarse como información confidencial (ya sea relacionada con la metodología, gestión de servicios, equipo de trabajo, etc.). El acceso a la Información Confidencial estará limitado únicamente al personal del PROVEEDOR relacionado o involucrado con la ejecución de los servicios únicamente en la medida en que el PROVEEDOR necesite contar con esos conocimientos para la debida ejecución de los servicios. El PROVEEDOR podrá hacer uso de la Información Confidencial exclusivamente en relación con la ejecución de los servicios contratados. El PROVEEDOR se obliga con carácter indefinido a proteger la confidencialidad de la Información Confidencial con la máxima diligencia y cuidado y adoptar medidas que ofrezcan como mínimo la misma protección que el PROVEEDOR utilice para proteger la confidencialidad de su propia información confidencial.

2 La información confidencial no puede ser copiada, transformada o revelada por el PROVEEDOR. Toda información confidencial a la que el PROVEEDOR haya tenido acceso de conformidad con lo establecido en el presente Acuerdo, incluyendo copias de la misma, será devuelta o destruida en el caso de que se produzca cualquiera de las siguientes circunstancias: (a) finalización de la ejecución de los servicios; o (b) a petición de APPLUS. Cuando no sea preciso que EL PROVEEDOR como consecuencia de la prestación de los servicios tenga acceso y proceda al tratamiento de determinados ficheros titularidad de Applus+ en el que constan los datos de carácter persona! Se prohíbe expresamente el acceso a los datos de carácter personal al personal perteneciente al PROVEEDOR. Si el personal perteneciente al PROVEEDOR, con motivo de la prestación del servicio hubiera podido conocer datos de carácter personal, tendrá la obligación de guardar secreto respecto a los datos de carácter personal y a la información que pudiera tener acceso en el ejercicio de sus funciones, no pudiendo hacer ningún uso de los mismos. EL PROVEEDOR se compromete a impartir a todas las personas de su plantilla las instrucciones precisas para el efectivo conocimiento y obligado cumplimiento de esas instrucciones y de las responsabilidades que asumen, en virtud del presente contrato, sobre confidencialidad de la información, y específicamente en el tratamiento de datos de carácter personal, automatizados o no. EL PROVEEDOR realizará cuantas advertencias y suscribirá cuantos documentos sean necesarios con su personal, con el fin de asegurar el cumplimiento de tales obligaciones. Cuando sea preciso que EL PROVEEDOR como consecuencia d. Ja prestación de los servicios tenga acceso y proceda al tratamiento de determinados ficheros titularidad de Applus+ en el que constan los datos de carácter personal: En el supuesto de que la prestación de los servicios del presente Acuerdo requiera el acceso por parte del PROVEEDOR a ficheros con datos de carácter personal de los que es responsable APPLUS, en cumplimiento con lo dispuesto en el artículo 12 (Acceso a los datos por cuenta de terceros) de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, "LOPD"): a) EL PROVEEDOR tendrá la consideración de encargado del tratamiento de todos aquellos datos personales, titularidad de APPLUS o de terceros, a los que tenga acceso durante la prestación de los servicios. b) El PROVEEDOR únicamente tratará los datos personales a los que tenga acceso siguiendo las instrucciones de APPLUS; c) El PROVEEDOR no aplicará ni utilizará estos datos con fines distintos a los que figuran en el presente contrato; d) El PROVEEDOR no comunicará ni cederá estos datos ni siquiera con fines de conservación; a otras personas no autorizadas; e) El PROVEEDOR deberá implementar, con respecto a los datos de carácter personal a los que tenga acceso, las medidas de seguridad necesarias en cada caso que serán comunicadas por APPLUS y que se adecuarán en todo momento a lo dispuesto en el artículo 9 de la LOPD y en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal; f) EL PROVEEDOR deberá custodiar los ficheros, a través de las medidas de seguridad legalmente exigibles, de índole técnica y organizativa que garanticen la seguridad de los datos personales en ellos contenidos, evitando su alteración, pérdida, tratamiento o acceso no autorizado, de conformidad con el estado de la tecnología en cada momento, la naturaleza de los datos y los posibles riesgos a que estén expuestos. A estos efectos, EL PROVEEDOR manifiesta expresamente que tiene implementadas las medidas de seguridad en los ficheros, exigidas por el Real Decreto 1720/2007 de 21 de Diciembre, manifestando específicamente: que dichas medidas se ajustan, como mínimo, al nivel de seguridad que sea legalmente exigible en cada caso; que tiene elaborado el/los correspondiente/s documento/s de seguridad de los ficheros especialmente con un registro de incidencias de seguridad, todo ello según los términos establecidos en la normativa antedicha; que esta información está disponible en todo momento para APPLUS o, en su caso, para las autoridades administrativas o judiciales correspondientes.

3 g) EL PROVEEDOR no podrá transferir, duplicar o reproducir todo o parte de la información propiedad de APPLUS, y/o datos personales, para fin distinto del objeto del acuerdo, salvo para cumplir con lo dispuesto en el artículo 94 (copias de respaldo y recuperación) del Real Decreto 1720/2007. h) EL PROVEEDOR no subcontratará el tratamiento de los datos a terceros para la realización de cualquiera de los servicios contratados por APPLUS a EL PROVEEDOR, siempre y cuando exista información confidencial o datos de carácter personal a tratar, sin el previo consentimiento expreso y escrito de APPLUS. Si APPLUS lo autorizase, el PROVEEDOR procedería a establecer con esos subcontratistas, un contrato con las mismas especificaciones del presente, de los cuales se remitiría copia a APPLUS, todo ello de acuerdo con los artículos 20.3 y 21 del Real Decreto 1720/2007. En todo caso esta subcontratación se efectuará siempre en nombre y por cuenta de APPLUS i) EL PROVEEDOR guardará secreto profesional respecto de los datos tratados, aún después de finalizar sus relaciones con APPLUS. j) Cuando el tratamiento de los datos se realice en las propias instalaciones de EL PROVEEDOR, éste adoptará todas las medidas de índole técnico y organizativa necesarias para garantizar la seguridad de los datos de carácter personal y evitar su alteración, pérdida, tratamiento o acceso no autorizado, aplicando para ello las medidas de seguridad de NIVEL BÁSICO contenidas en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de Desarrollo de la Ley Orgánica 15/1999 de 13 de diciembre, de protección de datos de carácter personal, o normativa que venga a sustituirle. k) Cuando para un determinado tratamiento de datos resultase necesaria la aplicación de medidas de seguridad de un nivel superior (medio/alto), APPLUS deberá comunicarlo inmediatamente a EL PROVEEDOR, a los efectos de que éste pueda realizar las valoraciones oportunas y, en su caso, adoptar las medidas necesarias. l) Cuando el tratamiento se realice en las propias instalaciones de APPLUS o bien de forma remota contra los sistemas de información de éste, EL PROVEEDOR observará y cumplirá las medidas de seguridad definidas en el Documento de Seguridad de APPLUS. m) EL PROVEEDOR trasladará las obligaciones citadas en esta cláusula al personal que EL PROVEEDOR dedique al cumplimiento de los servicios contratados. n) EL PROVEEDOR se asegurará que los ficheros y documentos sean manejados únicamente por aquellos empleados cuya intervención sea precisa para la finalidad contractual y de que, únicamente en el supuesto de que tal posibilidad esté autorizada expresamente y con carácter previo por APPLUS, cualesquiera terceros a los que les sea revelada cualquier información estén vinculados a guardar la confidencialidad debida de conformidad con lo prevenido en esta Cláusula. o) El PROVEEDOR se compromete a que en el caso de que se produzca una inspección de la Agencia de Protección de Datos en los locales de EL PROVEEDOR, se avisará inmediatamente a APPLUS. p) EL PROVEEDOR admitirá controles y auditorías que, de forma razonable, pretenda realizar APPLUS, a los efectos de cumplimiento, por parte del Proveedor, de lo aquí establecido, así como que APPLUS pueda añadir, a los datos personales facilitados, unos registros de control. q) EL PROVEEDOR se compromete a informar a APPLUS de cualquier incidente o riesgo de seguridad que potencialmente pueda afectar a la seguridad de la información, a cooperar con APPLUS en la investigación de los incidentes o riesgos de seguridad, y a ejecutar las acciones que se acuerden para la resolución de las incidencias y la minimización de los riesgos detectados. r) Una vez finalizada la prestación de los servicios, el PROVEEDOR procederá a la devolución o destrucción de todos los datos de carácter personal que tuviera en su poder y de los que sea responsable APPLUS, al igual que cualquier soporte o documentos en los que conste algún dato de carácter personal objeto de tratamiento, salvo aquellos datos que EL PROVEEDOR debe conservar durante los plazos previstos en las disposiciones legales aplicables o mientras puedan derivarse responsabilidades de su relación con APPLUS. s) EL PROVEEDOR cumplirá con cualquier otra obligación que le corresponda conforme a la normativa vigente mencionada. t) En caso de que EL PROVEEDOR destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado, también responsable del tratamiento, respondiendo de las infracciones que hubiera incurrido

4 Personal Data Protection Policy In compliance with the provisions of Law 15/1999 of 13 December on the Protection of Personal Data, APPLUS+ informs the User that his/her personal data will be incorporated to a file property of Applus Servicios Tecnologicos named SUPPLIERS, including contact details and address. This file has been created for the purpose of managing the suppliers' qualification/homologation as well as verifying the requirements fulfilment, purchasing management, orders, invoices, delivery tracing, communications and Christmas cards sending. The User expressly authorizes APPLUS+ to transfer his/her personal data to the APPLUS+ group companies (check the website to see a detail of the societies composing the group). Such companies shall make use of the aforementioned data in the terms and for the same purposes described above. Applus+' website uses cookies. A "cookie" is a small data file that can be placed on your hard drive. Applus+' website may use cookies to collect, store and sometimes track information for statistical purposes, to improve the products and services Applus+' companies provide and customization of the browsing experience. These cookies do not enable third parties to access any personally identifiable information. The User expressly authorizes APPLUS+ to use the aforementioned data for the purposes described above In case of any modification of any of the data stored in our database, particularly referring to contact details, the User must notify it to APPLUS+ so that data can be modified. Any User may exercise the rights referred above by writing to the Legal Department of APPLUS+, located in Campus UAB, Carretera de acceso a la Facultad de Medicina, s/n, Bellaterra-Cerdanyola del Valles (Barcelona), or, alternatively, to the address lopd(aapplus.com. As a proof of identity, a copy of the User's ID or passport will be required. Confidential Information It will be considered confidential (hereinafter "Confidential Information"), any information of any kind related to APPLUS or its customers, whether verbal, written or in any mean, provided to the SUPPLIER or their staff, at any time, before, during and after the validity period of this agreement, or known or created by the SUPPLIER or his staff at any time, before, during and after the validity period of this agreement, upon exercise of the services that are under this Agreement, including any records, copies or extracts of it in any mean (documentary, electronic form or any other), developed by anyone on the basis of the information referred above and any other information which by its nature and/or the circumstances in which it occurs, should be considered confidential information (whether related to the methodology, service management, team work, etc..) Access to Confidential Information shall be limited only to the SUPPLIER'S staff related or involved with the execution of the services only to the extent that the SUPPLIER need to have knowledge for the proper execution of the services. The PROVIDER may use Confidential Information solely in connection with the execution of the hired services.

5 The SUPPLIER indefinitely undertakes to protect the confidentiality of the Confidential Information with the utmost diligence and care and adopting measures providing at least the same protection as the SUPPLIER use to protect the confidentiality of its own confidential information. Confidential information may not be copied, processed or disclosed by the SUPPLIER. All confidential information to which the PROVIDER has had access in accordance with the provisions of this Agreement, including its copies, shall be returned or destroyed in the event of any of the following circumstances: (a) completion of the service provision, or (b) under request by APPLUS When it is not necessary for THE SUPPLIER, consequence of the service provision, to have access and proceed to the treatment of certain files owned by Applus+, in which there are personal data. It is expressly forbidden the access by THE SUPPLIER'S staff to personal data. If THE SUPPLIER'S staff, due to the service provision, had access to personal data, they will have to keep the secrecy with respect to personal data and information they may have accessed during their work, not being able to disclose any. THE SUPPLIER agrees to provide to all their staff precise instructions for the required knowledge and effective implementation of these instructions and the responsibilities assumed under this contract, about information confidentiality, and specifically in the personal data processing, automated or not. THE SUPPLIER will warn and sign as many documents as necessary with their staff, in order to ensure the compliance of such obligations. When it is necessary for THE SUPPLIER, as a consequence of the service provision, to have access and proceed to the treatment of certain files owned by Applus+, in which there are personal data. In the event that the performance of the Services under this Agreement requires access by the Supplier, to files containing personal data of which the Client is responsible, the Parties agree as follows: a) The Supplier shall be considered in charge of treatment of all personal data, owned by the Client or third parties, to which the Supplier has access during the performance of Services under this Agreement; b) The Supplier shall only treat the personal data to which it has access according to the Client's instructions. c) The Supplier shall not use the data for purposes other than those foreseen in this Agreement; d) The Supplier shall not communicate or disclose the data, even for preservation purposes, to unauthorized parties; e) The Supplier shall implement, in respect to the data to which it has access, the security measures that are from time to time indicated by the Client, which shall in accordance with the privacy and data protection legislation in force. The Supplier shall inform the Client on security measures taken; f) The Supplier shall watch out the files by means of the legally required technical and organizational security measures, to ensure security of personal data and in order to avoid any alteration, loss, or unauthorized access or treatment. Security measures shall be in accordance with the state of technology at the time, nature of the data and the risks to which they are exposed. For this purpose, the Supplier expressly represents and warrants that it complies with all applicable legislation in privacy and personal data protection, and that proof of this fulfillment is available at any time for the Client, or, as the case may be, for the competent administrative or judicial authorities; g) The Supplier shall not transfer, duplicate or reproduce, in all or in part, the information owned by the Client, and/or personal data for any purpose other than the specified in this Agreement, with the sole exception of the creation of backup and recovery copies, which may only be used in case of disaster and after giving notice to the Client; h) The Supplier will not subcontract to third parties the data treatment and processing for the performance of any of the Services under this agreement, without the Client's previous express written consent. If the Client would authorize it, the Supplier should proceed to execute an agreement containing the same conditions than the present Annex with its subcontractors. A signed copy of this contract should be sent to the Client; i) The Supplier will keep professional secret for all treated and processed data, even after the relationship with the Client has terminated; j) When the data treatment or processing is performed in the Supplier's facilities, it shall take all appropriate technical and organizational measures to ensure the security of personal data and to prevent its alteration, loss, or unauthorized access; k) The Client will notify the Supplier when a particular data treatment or processing requires the application of stronger security measures, so that the Supplier can evaluate the situation and, as the case may be, take the necessary measures;

6 l) When the treatment of the data is done on the Client's facilities or remotely on its information systems, the Supplier shall fulfill with the security measures defined in the Client's Security Document; m) The Supplier shall ensure that staff allocated to the performance of Services under this agreement know and comply with the commitments specified herein; n) The Supplier shall ensure that all files and documents are handled only by those employees which intervention is required for providing the Services under this Agreement. Only in case that the Supplier is prior and expressly authorized by the Client, the data may be disclosed to third parties, who shall be obliged to maintain confidentiality requirements in accordance with the provisions of this clause; o) The Supplier undertakes, in the event of an inspection by the competent authorities in data protection in its premises, to notify the Client immediately; p) The Supplier shall admit reasonable controls and audits as requested by the Client, to show compliance with the provisions established herein. The Client may request that certain registers of control are implemented over the personal data; q) The Supplier shall inform the Client of any incident or security risk that could potentially affect the information security. The Supplier undertakes to cooperate with the Client in the investigation of incidents or security risks, and to implement the agreed actions for the resolution of the incidents and in order to minimize the identified risks; r) At the termination of the Agreement, the Supplier shall return or destroy all personal data in its possession which the Client is responsible for, as well as any media or document containing any personal data, except those which the Supplier must keep for the period specified in applicable laws. The Supplier shall comply with any other obligation in accordance with applicable laws and regulations; s) In case the Supplier uses the data for other purposes, discloses or uses them in breach of these provisions, the Supplier shall be considered in charge of the treatment and be responsible for violations incurred.