Metricson (el “Encargado de Tratamiento”) se compromete a implementar las siguientes medidas de seguridad en el tratamiento de datos en nombre de sus clientes:
-
- El Encargado del Tratamiento aplica, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, tales como las incluidas en este documento y mencionadas en el cuerpo del contrato, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento.
- Al integrarse en la plantilla del Encargado del Tratamiento, todos sus empleados han firmado un documento de confidencialidad, en el que se comprometen a mantener en secreto todos los datos tratados con motivos del desempeño de su puesto de trabajo, quedando cubiertos los que tratan con causa en este contrato.
- El Encargado del Tratamiento dispone de un procedimiento de notificación, gestión y respuesta frente a cualquier brecha de seguridad de los datos personales, según lo indicado en los artículos 33 y siguientes del RGPD.
- El Encargado del Tratamiento ha establecido un sistema que permite la identificación y autenticación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado. El sistema de identificación y autenticación de los usuarios que deseen acceder al sistema se encuentra descrito en un documento que estará a disposición del Responsable del Tratamiento cuando éste lo solicite.
- Los usuarios de los sistemas del Encargado del Tratamiento tendrán acceso autorizado únicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones. El sistema utilizado para limitar el acceso de acuerdo con los privilegios de cada usuario se encuentra descrito en un documento que estará a disposición del Responsable del Tratamiento cuando éste lo solicite.
- Los sistemas operativos y las aplicaciones utilizadas en el tratamiento objeto del presente contrato disponen de mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados.
- El Encargado de Tratamiento cuenta con medidas de control del acceso físico a sus instalaciones y a sus centros de tratamiento de datos de manera que únicamente se permite el acceso a los datos que trata en virtud de este contrato a personal autorizado.
- El Encargado de Tratamiento cuenta con una política de gestión de soportes y documentos en la cual se asegura que todas las aplicaciones, sistemas y subcontratistas que utiliza, han sido previamente estudiados y autorizados a tratar datos de sus clientes, por cumplir con la normativa y el RGPD. En dicha política también se regula la salida y entrada de documentos de las instalaciones y sistemas del Encargado del Tratamiento, permitiéndose el tratamiento de datos personales objeto de este contrato únicamente en dispositivos cifrados y/o anonimizados autorizados por el Encargado del Tratamiento.
- El acceso a sistemas de información del Encargado del Tratamiento que alberguen datos personales objeto de este contrato únicamente se podrá llevar a cabo cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros. La seguridad en dichos accesos debe estar garantizada por los protocolos de seguridad de las aplicaciones que intervienen en la transmisión.
- El Encargado de Tratamiento cuenta con una política de copias de seguridad y respaldo, y de recuperación de datos de manera que se garantiza en todo momento su reconstrucción en el estado en que se encontraban al tiempo de producirse una pérdida o destrucción
- En caso de trabajos con ficheros temporales que los empleados del Encargado del Tratamiento necesiten para prestar el servicio al Responsable del Tratamiento, se aplicarán a dichos ficheros temporales las mismas medidas de seguridad que a los demás datos personales y serán borrados o destruidos una vez que haya dejado de ser necesarios para los fines que motivaron su creación.
- Los dispositivos de almacenamiento de documentos que contengan datos de carácter personal deberán disponer de mecanismos que obstaculicen su apertura.
- De forma continuada y con una frecuencia mínima de una vez al año, se llevarán a cabo los controles periódicos que se deben realizar para verificar la idoneidad y operatividad de las medidas de seguridad implementadas y el cumplimiento de lo dispuesto en este anexo.
Si el Responsable, con posterioridad a la formalización de la Propuesta, exige al Encargado adoptar o mantener medidas de seguridad distintas a las pactadas en el presente anexo a las Condiciones Particulares, o bien fueran obligatorias por cualquier norma futura, y esto afectase de forma significativa a los costes de prestación de los Servicios, el Encargado y la Responsable acordarán las medidas contractuales oportunas para afrontar el efecto que tales modificaciones puedan tener en el precio de los Servicios.