Cumplimiento del GDPR
HOW4 cumple con el GDPR. A continuación puede leer el Acuerdo de Procesamiento de Datos de la Compañía.
Acuerdo de procesamiento de datos
Artículo 1. Definiciones
"Datos personales" se refiere a cualquier información relativa a una persona física identificada o identificable, ("Sujeto de Datos"); una persona física identificable es aquella que puede ser identificada, directa o indirectamente, en particular por referencia a un identificador como un nombre, un número de identificación, datos de localización, un identificador en línea o a uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de esa persona física.
"Controlador de datos" se refiere a la persona física o jurídica, autoridad pública, agencia u otro organismo que, solo o conjuntamente con otros, determina los fines y los medios del tratamiento de los Datos Personales.
"Procesador de datos" se refiere a la entidad que actúa en nombre del Responsable del Tratamiento.
"Procesamiento" se entiende cualquier operación, o conjunto de operaciones realizadas, mediante procesos automatizados o no, aplicados a los datos personales, como la recogida, el registro, la organización, la estructuración, la conservación, la adaptación o alteración, la extracción, la consulta, la utilización, la divulgación por transmisión, la difusión o cualquier otra forma de puesta a disposición, la alineación, la combinación, el bloqueo, el borrado o la destrucción de los datos personales.
"Transferencia de datos personales" significa el tratamiento, la transferencia material o el acceso a distancia de Datos Personales desde entidades establecidas fuera del Espacio Económico Europeo (EEE).
"Violación de datos personales" se refiere a una violación de la seguridad que provoque la destrucción accidental o ilegal, la pérdida, la alteración, la divulgación no autorizada o el acceso a los Datos Personales transmitidos, almacenados o procesados de otro modo.
Artículo 2. Tratamiento de los datos personales del responsable del tratamiento
(1) Rendimiento de las personas cumplirá con todas las leyes de protección de datos aplicables al procesar los Datos Personales del Controlador. Los Datos Personales del Controlador incluyen categorías de datos personales de los empleados del Controlador a los que se les proporcionará acceso a los servicios de People Yield en virtud del Acuerdo Principal: nombres, dirección de correo electrónico, dirección IP, número de teléfono, cargo, empleador, objetivos personales del empleado, resultados clave y tareas.
(2) People Yield procesará los Datos Personales del Controlador únicamente siguiendo las instrucciones documentadas del Controlador, a menos que el procesamiento sea requerido por las leyes aplicables a las que People Yield está sujeta. People Yield tiene prohibido utilizar o procesar de otro modo los Datos Personales del Controlador para fines distintos de la prestación de los servicios en virtud del Acuerdo Principal y solo durante el plazo acordado en el Acuerdo Principal.
(3) People Yield no revelará ni facilitará los Datos Personales del Responsable del Tratamiento a terceros, salvo en virtud de lo dispuesto en el Art. 4 del presente Acuerdo de Procesamiento de Datos o cuando exista una obligación en virtud de las leyes de protección de datos aplicables.
Artículo 3. Personal de People Yield
(1) People Yield adoptará medidas razonables para garantizar la fiabilidad de cualquiera de sus empleados, agentes o contratistas que puedan tener acceso a los datos personales del responsable del tratamiento.
(2) People Yield se asegurará en cada caso de que el acceso a los Datos Personales del Controlador esté estrictamente limitado a aquellas personas que necesiten conocer y/o acceder a los Datos Personales del Controlador pertinentes, según sea estrictamente necesario para los fines del Acuerdo Principal, y para cumplir con las leyes aplicables en el contexto de las obligaciones de esa persona para People Yield, asegurándose de que todas esas personas estén sujetas a compromisos de confidencialidad u obligaciones profesionales o legales de confidencialidad.
Artículo 4. Seguridad de los datos personales del responsable del tratamiento
(1) Teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento de los Datos Personales del Responsable, así como los riesgos para los derechos y libertades de las personas físicas, en particular el riesgo de violación de los Datos Personales del Responsable, People Yield aplicará en relación con los Datos Personales del Responsable las medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad apropiado.
Artículo 5. Designación de subprocesadores
(1) El Responsable del Tratamiento autoriza a People Yield a designar subprocesadores (el "Subprocesador") de conformidad con este artículo. Cada Subprocesador también tendrá derecho a designar subprocesadores en la medida en que se cumpla la restricción de este artículo.
(2) People Yield notificará previamente por escrito al responsable del tratamiento el nombramiento de cualquier nuevo subprocesador, incluyendo todos los detalles de las actividades de tratamiento que realizará el subprocesador.
(3) El responsable del tratamiento dispondrá de 3 días hábiles a partir de la recepción de la notificación escrita sobre la designación de un subprocesador para oponerse por escrito a la designación propuesta del subprocesador. En estos casos, si People Yield no puede realizar por sí misma los servicios relacionados con el tratamiento de datos en virtud del Acuerdo Principal, People Yield podrá rescindir unilateralmente y sin previo aviso el Acuerdo Principal. Si no hay ninguna objeción por parte del responsable del tratamiento dentro del plazo establecido, el subprocesador se considerará aprobado por el responsable del tratamiento.
(4) People Yield no revelará los datos personales del responsable del tratamiento a los subprocesadores que aún no hayan sido notificados y aprobados por el responsable del tratamiento. People Yield celebrará un contrato por escrito con el subprocesador para regular su relación. El contrato cumplirá los requisitos del artículo 28, apartado 3, del RGPD y contendrá 3 del RGPD y contendrá términos que ofrezcan al menos el mismo nivel de protección de los datos personales del responsable del tratamiento que los establecidos en el presente acuerdo de tratamiento de datos. Si la designación de un subprocesador implica la transferencia de los datos personales del responsable del tratamiento a terceros países, People Yield incorporará las cláusulas estándar de protección de datos adoptadas por la Comisión Europea en su contrato con el subprocesador.
(5) People Yield podrá seguir utilizando y proporcionando acceso a los Datos Personales del Controlador a los Subprocesadores que ya hayan sido contratados por People Yield en la fecha de celebración del presente Acuerdo de Procesamiento de Datos.
La lista de subprocesadores de People Yield incluye: Seeweb.
Artículo 6. Obligaciones de las personas que ceden ante el controlador
(1) People Yield notificará sin demora al responsable del tratamiento si él o cualquiera de sus subprocesadores ha recibido una solicitud de un sujeto de datos que desee ejercer sus derechos relacionados con los datos personales del responsable del tratamiento en virtud de las leyes de protección de datos aplicables. People Yield ayudará razonablemente al responsable del tratamiento a responder a dichas solicitudes.
(2) People Yield se asegurará de que ella misma o cualquiera de sus subprocesadores no responda a las solicitudes de los interesados, salvo siguiendo las instrucciones documentadas del responsable del tratamiento o según lo exijan las leyes aplicables a las que People Yield o el subprocesador respectivo estén sujetos. En caso de que la respuesta a la solicitud sea exigida por la legislación aplicable, People Yield o el subprocesador deberá, en la medida en que lo permita dicha legislación, informar al responsable del tratamiento de este requisito legal antes de responder a la solicitud.
(3) People Yield proporcionará al responsable del tratamiento, a expensas de este último, una asistencia razonable en relación con las evaluaciones de impacto sobre la protección de datos y las consultas previas con las autoridades competentes en materia de protección de datos que el responsable del tratamiento considere razonablemente necesarias de conformidad con el art. 35 y Art. 36 del RGPD.
Artículo 7. Violación de los datos personales
(1) People Yield notificará al responsable del tratamiento sin demora indebida cuando People Yield o cualquiera de sus subprocesadores tenga conocimiento de una violación de datos personales que afecte a los datos personales del responsable del tratamiento. People Yield proporcionará al responsable del tratamiento la información suficiente para que éste pueda cumplir con sus obligaciones de notificar o informar a los interesados de la violación de los datos personales, tal y como exige la legislación de protección de datos aplicable al responsable del tratamiento.
(2) People Yield cooperará con el responsable del tratamiento y tomará las medidas comerciales razonables que le indique el responsable del tratamiento para ayudarle a investigar, mitigar y remediar la violación de los datos personales.
Artículo 8. Supresión de los datos personales del responsable del tratamiento
(1) People Yield eliminará sin demora, y en cualquier caso en un plazo de 9 meses a partir de la fecha de cese de cualquier servicio que implique el tratamiento de los Datos Personales del Controlador, de manera que los datos no puedan recuperarse, y procurará la eliminación de todas las copias de los Datos Personales del Controlador tratados para los servicios en virtud del Acuerdo Principal.
(2) No obstante lo dispuesto en el párrafo anterior, People Yield podrá conservar los Datos Personales del Controlador en la medida en que lo exija la legislación aplicable en materia de protección de datos y sólo en la medida y durante los periodos en que lo exija la legislación aplicable. En cualquier caso, People Yield garantizará la confidencialidad de los Datos Personales del Controlador y se asegurará de que dichos Datos Personales del Controlador se procesen únicamente en la medida necesaria para el propósito especificado en las leyes aplicables que requieren el almacenamiento de los Datos Personales del Controlador.
Artículo 9. Derechos de auditoría
(1) People Yield pondrá a disposición del Responsable del Tratamiento, a petición de éste, toda la información necesaria para demostrar el cumplimiento del presente Acuerdo de Tratamiento de Datos. People Yield permitirá y contribuirá a las auditorías, incluidas las inspecciones, del Responsable del Tratamiento o de un auditor encargado por el Responsable del Tratamiento en relación con el tratamiento de los datos personales del Responsable del Tratamiento por parte de People Yield. Todos los gastos relacionados con la auditoría correrán a cargo del responsable del tratamiento.
(2) El Interventor avisará con un mes de antelación a People Yield presentando un plan de auditoría detallado para cualquier auditoría o inspección que vaya a realizarse. El Interventor y sus auditores encargados harán esfuerzos razonables para evitar causar (o, si no puede evitarlo, para minimizar) cualquier daño, lesión o interrupción en los locales, equipos, personal y negocios de People Yield mientras su personal se encuentre en dichos locales en el curso de dicha auditoría o inspección. Las auditorías e inspecciones tendrán lugar durante el horario comercial normal de People Yield.
(3) Si el ámbito de la auditoría solicitada se aborda en un informe de auditoría realizado por un auditor cualificado de terceros en los doce meses siguientes a la solicitud de auditoría del interventor y People Yield confirma que no hay cambios materiales conocidos en los controles auditados, el interventor se compromete a aceptar esas conclusiones en lugar de solicitar una auditoría de los controles cubiertos por el informe.
Artículo 10. Transferencias internacionales
(1) People Yield está obligada a notificar previamente al Controlador sobre los terceros países a los que People Yield puede transferir los Datos Personales del Controlador y se compromete a cumplir con todas las instrucciones adicionales razonables dadas por el Controlador en relación con dicho procesamiento. En la fecha de celebración del presente Acuerdo de Procesamiento de Datos, el Controlador autoriza expresamente a People Yield a transferir los Datos Personales del Controlador a los Estados Unidos de América.
Artículo 11. Varios
(1) El presente Acuerdo de Procesamiento de Datos se regirá por la legislación italiana y los tribunales italianos serán los únicos competentes para resolver los litigios que se deriven del presente Acuerdo de Procesamiento de Datos o estén relacionados con él.
(2) En caso de que cualquier disposición del presente Acuerdo de Procesamiento de Datos sea proclamada inválida o inaplicable, el resto del Acuerdo de Procesamiento de Datos seguirá siendo válido y vigente. La disposición inválida o inaplicable se modificará en la medida necesaria para garantizar su validez y aplicabilidad, preservando en la medida de lo posible las intenciones de las Partes.
People Yield srl.
Corso Europa, 15
20122 Milán (Italia)