Venta de la nueva version de ATLAS.ti
Ahorre un 20% con el código del cupón: SPRING24
Ahorre un 20% con el código del cupón: SPRING24
Más información
Ocultar
Prueba gratuita Comprar ahora
Producto
ATLAS.ti para
Investigadores Científicos Obtenga información práctica que marque la diferencia Estudiantes Agilice su flujo de trabajo de investigación académica Universidades Agilice su flujo de trabajo de investigación académica Diseñadores de productos y UX Valide sus conceptos, prototipos y más Vendedores Entienda a su público y mejore su estrategia Analistas de Datos Enriquezca su análisis con resultados cualitativos
Casos de uso
Análisis de Datos de Encuesta Análisis de Entrevistas Análisis de Grupos Focales Revisión de la Literatura Investigación de Usuarios
Productos
ATLAS.ti Mac & Windows ATLAS.ti Web Comparación de Características Resumen de Características
Aprender
La Academia ATLAS.ti
Aprenda los fundamentos y las funciones avanzadas de ATLAS.ti y diseñe su aprendizaje individual con muchas ofertas gratuitas y premium.
Recursos
Formación de Productos Guías de investigación Video Tutoriales Research Hub Centro de Soporte ATLAS.ti IA Lab
Conectar
Formadores y Consultores Encontrar Distribuidores de ATLAS.ti Quién usa ATLAS.ti
La Academia ATLAS.ti
Aprenda los fundamentos y las funciones avanzadas de ATLAS.ti y diseñe su aprendizaje individual con muchas ofertas gratuitas y premium.
Asistencia telefónica gratuita en todo el mundo
Conectar
Socio de ATLAS.ti
Programa de Revendedores de ATLAS.ti Conviértase en un formador certificado
Instituciones
Obtener Licencia de Campus Guía de Administración de licencias
Asistencia telefónica gratuita en todo el mundo
Mi ATLAS.ti
es
Prueba gratuita Comprar ahora

Acuerdo de Procesamiento de Datos

Este Acuerdo de Procesamiento de Datos regula el procesamiento de datos en nombre del cliente por ATLAS.ti Scientific Software Development GmbH como procesador de datos. Se convierte en parte del acuerdo respectivo por referencia en los Términos de Uso.

Descargar APD (PDF)
  1. Acuerdo de Procesamiento de Datos
  2. Definiciones
  3. Tema en Cuestión
  4. Instrucción
  5. Categorías de Datos, Sujetos de Datos
  6. Obligaciones del Contratista
  7. Deberes de Información del Contratista
  8. Derechos de Auditoría del Cliente
  9. Uso de subcontratistas y Transferencia de Datos
  10. Derechos de los Sujetos de Datos
  11. Obligaciones de Confidencialidad
  12. Terminación
  13. Disposiciones Finales

Acuerdo de Procesamiento de Datos

Preámbulo
1.1 El Contratista procesa datos personales en nombre y por instrucción del Cliente en el sentido del artículo 4 n.º 8 y el artículo 28 del Reglamento (UE) 2016/679 - Reglamento General de Protección de Datos (GDPR). El presente Acuerdo de Procesamiento de Datos regula los derechos y obligaciones de las partes en relación con el tratamiento de datos personales.

Definiciones

2.1 De acuerdo con el Art. 4 para. 7 del GDPR, el "responsable del procesamiento" es el organismo que, solo o conjuntamente con otros responsables del tratamiento, decide los fines y los medios del tratamiento de los datos personales.

2.2 De acuerdo con el Art. 4 párrafo 8 del GDPR, el "Procesador" es una persona física o jurídica, autoridad, institución u otro organismo que procesa datos personales en nombre del Controlador.

2.3 De acuerdo con el Art. 4 para. 1 de la Ley de Protección de Datos, se entenderá por "Datos Personales" cualquier información relativa a una persona física identificada o identificable (en lo sucesivo denominada "sujeto de los datos"); una persona identificable es aquella que puede ser identificada, directa o indirectamente, en particular por referencia a un identificador como un nombre, un número de identificación, un dato de localización, un identificador en línea, o uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de dicha persona física.

2.4 "Datos Personales Especialmente Sensibles" son los datos personales de conformidad con el art. 9 GDPR, de los que se puede deducir el origen racial o étnico, las opiniones políticas, las convicciones religiosas o ideológicas o la afiliación sindical de las personas afectadas, los datos personales de conformidad con el Art. 10 GDPR sobre condenas e infracciones penales o medidas de seguridad relacionadas, así como datos genéticos de acuerdo con el Art. 4 Para. 13 GDPR, datos biométricos de acuerdo con el Art. 4 Para. 14 GDPR, datos de salud de acuerdo con el Art. 4 Para. 15 del GDPR y datos relativos a la vida sexual o la orientación sexual de una persona física.

2.5 De conformidad con el art. 4, para. 2 GDPR, "Procesamiento" se define como cualquier operación o conjunto de operaciones, realizadas con o sin la ayuda de procedimientos automatizados, con respecto a datos personales, tales como la recolección, registro, organización, archivo, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación por transmisión, difusión o puesta a disposición de otro modo, alineación o combinación, restricción, eliminación o destrucción.

2.6 Según el Art. 4 para. 21 del GDPR, la "Autoridad de Control" es un organismo estatal independiente establecido por un Estado miembro de acuerdo con el Art. 51 DEL RGPD.

Tema en Cuestión

3.1 El Contratista prestará servicios para el Cliente en el ámbito del "suministro de software" sobre la base del Contrato Principal celebrado entre las partes. Dentro del ámbito del Contrato Principal, el Contratista tendrá acceso a los datos personales y tratará dichos datos exclusivamente en nombre del Cliente y de acuerdo con sus instrucciones. El objeto del tratamiento, la naturaleza y la finalidad del mismo, el tipo de datos personales y las categorías de interesados se recogen en el Anexo 1 del presente Acuerdo de Procesamiento de Datos. Es responsabilidad del Cliente evaluar la permisibilidad del tratamiento de datos.

3.2 Las partes celebran el presente Acuerdo de Procesamiento de Datos con el fin de concretar los derechos y obligaciones mutuos en materia de protección de datos. En caso de duda, las disposiciones del presente Acuerdo tendrán prioridad sobre las disposiciones del Contrato Principal.

3.3 Las disposiciones del presente Acuerdo de Procesamiento de Datos se aplicarán a todas las actividades relacionadas con el Contrato Principal en las que el Contratista y sus empleados o agentes encargados por el Contratista entren en contacto con datos personales originados o recogidos para el Cliente.

3.4 El presente Acuerdo de Procesamiento de Datos comenzará en el momento de la firma; la duración de este Acuerdo de Procesamiento de Datos se basará en la duración del Contrato Principal, a menos que las siguientes disposiciones impongan obligaciones o derechos de terminación que vayan más allá.

Instrucción

4.1 El Contratista sólo podrá recoger, procesar o utilizar los datos en el marco del Contrato Principal y de acuerdo con las instrucciones del Cliente; esto se aplica en particular a la transferencia de datos personales a un tercer país o a una organización internacional. Si la legislación de la Unión Europea o de los Estados miembros a los que está sujeto el Contratista exige un tratamiento posterior, el Contratista notificará al Cliente estos requisitos legales antes del tratamiento.

4.2 Las instrucciones del Cliente se recogen inicialmente en este contrato y pueden ser modificadas, complementadas o sustituidas posteriormente por instrucciones individuales por escrito o en forma de texto (instrucciones individuales). El Cliente tiene derecho a dar las instrucciones correspondientes en cualquier momento. Esto incluye instrucciones relativas a la corrección, eliminación y bloqueo de datos. Las instrucciones verbales deben confirmarse inmediatamente por escrito o en forma de texto.

4.3 Todas las instrucciones emitidas deben ser documentadas tanto por el Cliente como por el Contratista. Las instrucciones que vayan más allá de las prestaciones acordadas en el Contrato Principal se tratarán como una solicitud de cambio de prestaciones.

4.4 Si el Contratista opina que una instrucción del cliente viola las normas de protección de datos, el contratista debe informar al cliente inmediatamente. El Contratista tiene derecho a suspender la ejecución de la instrucción en cuestión hasta que el Cliente la confirme o modifique. El Contratista podrá negarse a ejecutar una instrucción manifiestamente ilegal.

Categorías de Datos, Sujetos de Datos

5.1 En el curso de la ejecución del Contrato Principal, el Contratista tendrá acceso a los datos personales especificados en el Apéndice 1. Los interesados afectados por el procesamiento de datos también se definen en el Apéndice 1.

Obligaciones del Contratista

6.1 El Contratista está obligado a observar las disposiciones legales sobre protección de datos y a no transmitir a terceros la información obtenida en el ámbito del Cliente ni a conceder a terceros el acceso a dicha información. Los documentos y datos deben estar asegurados contra el acceso no autorizado, teniendo en cuenta el estado de la técnica.

6.2 Dentro de su ámbito de responsabilidad, el Contratista diseñará la organización interna de tal manera que cumpla con los requisitos especiales de protección de datos. El Contratista adoptará todas las medidas técnicas y organizativas necesarias para la adecuada protección de los datos del Cliente de acuerdo con el Art. 32 del GDPR, en particular, al menos las medidas enumeradas en el Anexo 2. El Contratista se reserva el derecho de modificar las medidas de seguridad adoptadas, por lo que garantizará que el nivel de protección acordado contractualmente no se vea comprometido.

6.3 Las personas empleadas por el Contratista en el procesamiento de datos tienen prohibido recoger, procesar o utilizar datos personales sin autorización. El Contratista impondrá la correspondiente obligación a todas las personas a las que confíe el tratamiento y el cumplimiento de este contrato (en adelante, empleados) (obligación de confidencialidad, art. 28, apartado 3, letra b del GDPR) y garantizará el cumplimiento de esta obligación con la debida atención. Estas obligaciones deben formularse de manera que permanezcan en vigor después de la terminación de este contrato o de la relación laboral entre el empleado y el Contratista. Previa solicitud, el Cliente debe recibir pruebas adecuadas de las obligaciones de manera adecuada.

Deberes de Información del Contratista

7.1 En caso de mal funcionamiento, de sospecha de violaciones de la protección de datos o de incumplimiento de las obligaciones contractuales por parte del Contratista, de sospecha de incidentes relacionados con la seguridad o de otras irregularidades en el tratamiento de datos personales por parte del Contratista, de las personas empleadas por el Contratista en el marco del encargo o de terceros, el Contratista deberá informar al Cliente inmediatamente por escrito o en forma de texto. Lo mismo se aplica a las auditorías del Contratista por parte de una autoridad supervisora de la protección de datos.

La notificación de una violación de la protección de datos personales deberá contener al menos la siguiente información:

a) una descripción de la naturaleza de la violación de la protección de datos personales, incluyendo, en la medida de lo posible, las categorías y el número de interesados, las categorías y el número de registros de datos personales afectados
b) una descripción de las medidas adoptadas o propuestas por el Contratista para remediar el incumplimiento y, en su caso, las medidas para mitigar sus posibles efectos adversos

7.2 El Contratista tomará inmediatamente las medidas necesarias para asegurar los datos y mitigar las posibles consecuencias adversas de los afectados, informará al Cliente al respecto y solicitará nuevas instrucciones.

7.3 Además, el Contratista está obligado a proporcionar al Cliente información en cualquier momento, en la medida en que los datos del Cliente se vean afectados por una violación de conformidad con la cláusula 7.1.

7.4 Si los datos del Cliente están en peligro en el Contratista por incautación o confiscación, por procedimientos de insolvencia o concurso de acreedores o por otros eventos o medidas de terceros, el contratista tiene que informar al Cliente inmediatamente, a menos que esté prohibido por orden judicial u oficial. En este contexto, el Contratista informará inmediatamente a todas las autoridades competentes de que la autoridad para decidir sobre los datos corresponde exclusivamente al Cliente como responsable del tratamiento.

7.5 El Contratista informará al Cliente sin demora de cualquier cambio significativo en las medidas de seguridad conforme a la cláusula 6.2.

7.6 El Cliente debe ser informado inmediatamente de cualquier cambio en la persona del responsable de la protección de datos/persona de contacto para la protección de datos.

7.7 El Contratista y, en su caso, su representante, mantendrá un registro de las actividades de procesamiento realizadas en nombre del Cliente, que contendrá toda la información requerida por el Art. 30, apartado 2, del GDPR. La lista se pondrá a disposición del Cliente si lo solicita.

7.8 El Contratista deberá cooperar en la medida adecuada en la preparación de la lista de procedimientos por parte del Cliente. El Contratista deberá proporcionar al Cliente la información necesaria de forma adecuada.

Derechos de Auditoría del Cliente

8.1 El Cliente tiene derecho a comprobar en cualquier momento, en la medida necesaria, que el Contratista cumple con las disposiciones legales sobre protección de datos y/o las disposiciones contractuales acordadas entre las partes y/o el cumplimiento del Contratista con las instrucciones del Cliente. El Contratista tiene derecho a demostrar el cumplimiento de las obligaciones establecidas en el presente Acuerdo de Procesamiento de Datos por medios adecuados, incluyendo auto-auditorías, certificados, etc.

8.2 El Contratista está obligado a proporcionar información al Cliente en la medida en que ésta sea necesaria para llevar a cabo la inspección definida en el apartado 1 anterior.

8.3 Si es necesario en casos individuales, el Cliente puede exigir una inspección de los datos procesados por el Contratista para el Cliente y de los sistemas y programas de procesamiento de datos utilizados.

8.4 Previa notificación y con un plazo razonable de antelación, el comitente podrá llevar a cabo la inspección en el sentido del apartado 1 en las instalaciones del contratista durante el horario comercial normal. Al hacerlo, el Cliente se asegurará de que las inspecciones sólo se lleven a cabo en la medida necesaria para evitar perturbar desproporcionadamente las operaciones comerciales del Contratista. Las partes asumen que se requiere una inspección como máximo una vez al año. Las inspecciones adicionales deberán ser justificadas por el Cliente, indicando el motivo. En el caso de las inspecciones in situ, el Cliente reembolsará al Contratista los gastos incurridos, incluidos los costes de personal, para la supervisión y el acompañamiento de los inspectores in situ en una medida razonable. Las bases para el cálculo de los costes serán comunicadas al cliente por el Contratista antes de la realización de la inspección. El Contratista podrá supeditar los controles a una notificación previa con un plazo adecuado y a la firma de un acuerdo de confidencialidad. Si el inspector encargado por el Cliente tiene una relación de competencia con el Contratista, éste tiene derecho de objeción.

8.5 A elección del Contratista, la prueba del cumplimiento de las medidas técnicas y organizativas también puede aportarse, en lugar de una inspección in situ, mediante la presentación de un certificado de auditoría adecuado y actualizado, informes o extractos de informes de organismos independientes (por ejemplo, auditores, revisión, responsable de la protección de datos, departamento de seguridad informática, auditores de protección de datos o auditores de calidad) o una certificación adecuada, si el informe de auditoría permite al Cliente cerciorarse de manera razonable de que se cumplen las medidas técnicas y organizativas de acuerdo con el Apéndice 2 de este Acuerdo de Procesamiento de Datos. Si el cliente tiene dudas razonables sobre la idoneidad del documento de prueba en el sentido de la frase 1, el cliente puede realizar una inspección in situ. El Cliente es consciente de que una inspección in situ en los centros de datos no es posible o sólo es posible en casos excepcionales justificados.

8.6 En caso de que la autoridad de control tome medidas contra el Cliente en el sentido del Art. 58 del GDPR, en particular en lo que respecta a los deberes de información y control, el Contratista estará obligado a proporcionar al Cliente la información necesaria y a permitir que la respectiva autoridad de control competente lleve a cabo una inspección in situ. El Contratista informará al Cliente sobre las medidas previstas correspondientes.

8.7 El Contratista demostrará al Comitente la obligación de los empleados según la Cláusula 5.3 a petición del mismo.

Uso de subcontratistas y Transferencia de Datos

9.1 El Contratista tiene derecho a utilizar subcontratistas para el tratamiento de los datos del Cliente. El Contratista deberá seleccionar cuidadosamente a los subcontratistas y comprobar, antes de realizar el pedido, que pueden cumplir los acuerdos establecidos entre el Cliente y el Contratista. En particular, el Contratista deberá comprobar por adelantado y regularmente durante la vigencia del contrato que el subcontratista ha adoptado las medidas técnicas y organizativas requeridas en virtud del Art. 32 del GDPR para la protección de los datos personales

9.2 El Cliente acepta que el Contratista utilice más subcontratistas o sustituya a los subcontratistas si es necesario. El Contratista informará al Cliente de dichos cambios con un plazo razonable de antelación en formato electrónico. El Cliente podrá oponerse al cambio por causa justificada dentro de un plazo razonable determinado por el Contratista a su discreción. Si no se presenta ninguna objeción dentro de este período, se considerará que se ha dado el consentimiento al cambio.

9.3 El Contratista está obligado a obtener la confirmación del subcontratista de que este ha designado un responsable de la protección de datos de conformidad con el art. 37 del GDPR, siempre que el subcontratista esté legalmente obligado a designar un responsable de la protección de datos.

9.4 El Contratista se asegurará de que las disposiciones acordadas en este Acuerdo de Procesamiento de Datos y cualquier instrucción suplementaria del Cliente también se apliquen al subcontratista.

9.5 El contratista está obligado, en particular, a garantizar mediante disposiciones contractuales que los derechos de auditoría del comitente y de las autoridades de supervisión también se apliquen al subcontratista y que los derechos de control correspondientes sean acordados por el comitente y las autoridades de supervisión. Además, se estipulará en el contrato que el subcontratista tolerará estas medidas de control y los posibles controles sobre el terreno.

9.6 No se considerarán relaciones de subcontratación en el sentido de los apartados 1 a 5 los servicios que el Contratista utilice de terceros como servicio puramente auxiliar para el desarrollo de la actividad empresarial. Entre ellos se encuentran, por ejemplo, los servicios de limpieza, los servicios de telecomunicaciones puros sin ninguna referencia específica a los servicios que el Contratista presta al Cliente, los servicios postales y de mensajería, los servicios de transporte, los servicios de seguridad. No obstante, el Contratista está obligado a garantizar, también en el caso de los servicios auxiliares prestados por terceros, que se han tomado las precauciones y medidas técnicas y organizativas adecuadas para garantizar la protección de los datos personales. El mantenimiento y la prestación de servicios de sistemas o aplicaciones informáticas constituyen una relación de subcontratación y un tratamiento de datos por encargo en el sentido del art. 28 del GDPR que requiere aprobación si el mantenimiento y las pruebas se refieren a dichos sistemas de TI que también se utilizan en relación con la prestación de servicios para el Cliente y si se puede acceder a los datos personales procesados en nombre del Cliente durante el mantenimiento.

9.7. El Cliente reconoce y acepta que el Contratista puede transferir y procesar los datos del Cliente a y en terceros países, incluidos aquellos fuera del EEE sin una declaración de adecuación de la Comisión Europea, a sus subprocesadores, a saber, OpenAI LLC, 3180 18th St, San Francisco, California, 94110, EE.UU.. El Contratista se asegurará de que dichas transferencias se realicen de conformidad con la legislación aplicable en materia de protección de datos y con el presente Acuerdo de Tratamiento de Datos. A saber, el Contratista suscribirá cláusulas contractuales tipo u otras garantías adecuadas (como normas corporativas vinculantes) reconocidas en virtud del artículo 45 del GDPR.

Derechos de los Sujetos de Datos

10.1 El Cliente es el único responsable de salvaguardar los derechos de los interesados. El Contratista apoya al Cliente, en la medida de lo posible, con medidas técnicas y organizativas adecuadas en el cumplimiento de las obligaciones del Cliente de acuerdo con el Art. 12 - 22 así como 32 y 36 del GDPR.

10.2 Si un interesado hace valer sus derechos, como el derecho de acceso/información, rectificación o supresión de sus datos, directamente contra el Contratista, éste no reacciona de forma independiente, sino que remite inmediatamente al interesado al Cliente y espera las instrucciones de éste.

Obligaciones de Confidencialidad

11.1 Ambas partes se comprometen a tratar toda la información recibida en relación con la ejecución de este Acuerdo de Procesamiento de Datos como confidencial por un período de tiempo ilimitado y a utilizarla únicamente para la ejecución de este Acuerdo de Procesamiento de Datos y/o el Contrato Principal. Ninguna de las partes tendrá derecho a utilizar esta información, en su totalidad o en parte, para fines distintos de los que se acaban de mencionar ni a ponerla a disposición de terceros.

11.2 La obligación anterior no se aplicará a la información que una de las partes haya obtenido de forma demostrable de terceros sin estar obligada a mantener el secreto o que sea de conocimiento público.

Terminación

12.1 Tras la finalización del Contrato Principal o en cualquier momento a petición del Cliente, el Contratista devolverá al Cliente todos los documentos, datos y soportes de datos proporcionados al Contratista o -a petición del Cliente, a menos que exista una obligación de almacenar datos personales en virtud del derecho de la Unión o de la Legislación de la República Federal de Alemania- los eliminará. La supresión deberá documentarse de forma adecuada y deberá aportarse una prueba cuando se solicite.

Disposiciones Finales

13.1 Las partes acuerdan que queda excluida la defensa del derecho de retención por parte del Contratista (según el artículo 273 del BGB) con respecto a los datos que se van a procesar y los soportes de datos asociados.

13.2 Los cambios y modificaciones de este Acuerdo de Procesamiento de Datos y de todos sus componentes -incluyendo cualquier garantía dada por el Contratista- requieren un acuerdo por escrito, que también puede ser en formato electrónico (forma de texto), y la indicación expresa de que se trata de un cambio o modificación de este Acuerdo de Procesamiento de Datos. Esto también se aplica a la renuncia a este requisito formal.

13.3 En caso de que alguna de las disposiciones de este acuerdo sea o llegue a ser inválida o inaplicable en su totalidad o en parte, la validez de las restantes disposiciones no se verá afectada.

13.4 Este acuerdo está sujeto a la legislación Alemana.

Apéndice 1: Descripción del Procesamiento

  1. Alcance y finalidad del tratamiento
    El pedido del Cliente al Contratista incluye los siguientes trabajos y/o servicios:
    Prestación de la plataforma de análisis de datos del Contratista como SaaS, servicios de inteligencia artificial
  2. Tipo(s) de Datos Personales
    Los siguientes tipos de datos son regularmente objeto de procesamiento:
    Datos que el Cliente analiza o procesa utilizando la plataforma de análisis de datos del Contratista y cuya naturaleza es determinada por el Cliente a su propia discreción y que puede, por ejemplo, incluir particularmente datos sobre entidades y proyectos del Cliente, personas de prueba, pacientes y otros participantes y personas afectadas en el marco de estudios científicos y proyectos de investigación.
  3. Categorías de Sujetos de Datos
    Los interesados afectados por el procesamiento de datos:
    Categorías de datos que el Cliente analiza o procesa utilizando la plataforma de análisis de datos del Contratista y cuyas categorías el Cliente determina a su propia discreción y que pueden incluir, por ejemplo, las siguientes categorías de datos: Nombre y apellidos, datos de contacto, datos médicos, datos genéticos, datos biométricos, otras categorías especiales de datos personales, datos sobre hábitos de vida y otras circunstancias, información de entrevistas, comentarios de clientes y datos de comportamiento.

Apéndice 2: Medidas Técnicas y Organizativas

  1. Confidencialidad (Artículo 32 (1) lit. b) GDPR)

a. Control de Acceso Físico
Medidas adecuadas para evitar que personas no autorizadas accedan a los sistemas de procesamiento de datos con los que se procesan o utilizan los datos personales:

  • Sistema de cierre con cerradura de código
  • Cerraduras de seguridad
  • Control de llaves (entrega de llaves, etc.)
  • Registro de visitantes
  • Selección cuidadosa del personal de seguridad
  • Selección cuidadosa del personal de limpieza
  • Sistema de cierre manual

b. Control de Acceso al Sistema
Medidas adecuadas para evitar que los sistemas de procesamiento de datos sean utilizados por personas no autorizadas:

  • Asignación de derechos de usuario
  • Asignación de contraseñas
  • Autenticación con nombre de usuario/contraseña
  • Uso de software antivirus
  • Uso de un cortafuegos de software

c. Control de Acceso a los Datos
Medidas que garantizan que las personas autorizadas a utilizar un sistema de procesamiento de datos sólo puedan acceder a los datos sujetos a su autorización de acceso y que los datos personales no puedan ser leídos, copiados, modificados o eliminados sin autorización durante el tratamiento, el uso y después del almacenamiento:

  • Administración de derechos por parte del administrador del sistema
  • Número de administradores reducido al "mínimo".
  • Registro de los accesos a las aplicaciones, en particular al introducir, modificar y eliminar datos
  • Destrucción adecuada de los soportes de datos (DIN 32757)
  • Uso de destructoras de documentos o proveedores de servicios
  • Registro de la destrucción

d. Control de Separación
Medidas para garantizar que los datos recogidos para diferentes fines puedan ser tratados por separado:

  • Almacenamiento estrictamente separado, desde el punto de vista lógico, de los datos en diferentes sistemas del cliente
  • Encriptación de los registros de datos que se procesan con el mismo propósito
  • Suministro de registros con atributos/campos de datos de finalidad
  • Separación de los sistemas de producción y de prueba
  1. Integridad (Art. 32 (1) lit. b) GDPR)

a. Control de Transferencias
Medidas para garantizar que los datos personales no puedan ser leídos, copiados, alterados o eliminados sin autorización durante la transmisión electrónica o durante su transporte o almacenamiento en soportes de datos, y que sea posible comprobar y establecer a qué organismos deben transmitirse los datos personales mediante equipos de transmisión de datos:

  • La transmisión de datos personales, que se realiza por cuenta de los clientes, sólo puede tener lugar en la medida acordada con el cliente o en la medida necesaria para la prestación de los servicios contractuales para el cliente.
  • Todos los empleados de ATLAS.ti que trabajan en un proyecto del cliente son instruidos sobre el uso permitido de los datos y las modalidades de transferencia de datos.
  • En la medida de lo posible, los datos se transmitirán a los destinatarios de forma encriptada.
  • Los empleados de ATLAS.ti tienen prohibido el uso de medios de almacenamiento de datos privados en relación con los proyectos de los clientes.

b. Control de Entrada
Medidas para garantizar que pueda comprobarse y establecerse posteriormente si se han introducido, modificado o eliminado datos personales de los sistemas de procesamiento de datos y quién lo ha hecho:

  • Registro de la introducción, modificación y supresión de datos
  • Trazabilidad de la introducción, modificación y supresión de datos a través de nombres de usuarios individuales (no de grupos de usuarios)
  1. Disponibilidad y Resistencia (Art. 32 (1) lit. b) GDPR)

a. Control de Disponibilidad
Medidas para garantizar la protección de los datos personales contra la destrucción o pérdida accidental:

  • Sistema de alimentación ininterrumpida (UPS)
  • Equipos para controlar la temperatura y la humedad en las salas de servidores
  • Sistemas de detección de incendios y humos
  • Creación de un concepto de copia de seguridad y recuperación
  • Creación de un plan de emergencia
  • Salas de servidores sin instalaciones sanitarias
  • Aire acondicionado en las salas de servidores
  • Regletas de enchufes de protección en las salas de servidores
  • Equipo de extinción de incendios en las salas de servidores

b. Recuperabilidad (Art. 32 (1) lit. c) GDPR)
Medidas para garantizar que los datos personales puedan restaurarse inmediatamente en caso de pérdida o interrupción:

  • Copias de seguridad periódicas
  • Pruebas de recuperación de datos
  1. Procedimientos de revisión, valoración y evaluación periódicas (Art. 32 (1) lit. d) GDPR; Art. 25 (1) RGDP)

a. Protección de Datos y Gestión de la Seguridad de la Información
En ATLAS.ti se aplica un sistema de gestión de la protección de datos. Existe una directriz sobre la protección y la seguridad de los datos, así como directrices para garantizar la aplicación de los objetivos de la directriz. Todas las directrices se evalúan regularmente y se ajustan en cuanto a su eficacia.

Se ha creado un equipo de protección de datos y seguridad de la información para planificar, aplicar, evaluar y ajustar las medidas de protección y seguridad de los datos. Se ha nombrado un responsable de la protección de datos. Todos los empleados reciben formación periódica en materia de protección de datos y seguridad de la información.

b. Gestión de la Respuesta a Incidentes
Todos los empleados reciben instrucciones y formación para garantizar que todos los empleados reconozcan los incidentes relacionados con la privacidad de los datos y los comuniquen sin demora al Equipo de Protección de Datos y Seguridad de la Información. El Equipo de Protección de Datos y Seguridad de la Información investigará el incidente inmediatamente. En lo que respecta a los datos que se procesan en nombre de los clientes, se garantiza que se les informa inmediatamente sobre la naturaleza y el alcance del incidente.

c. Privacidad por Diseño y por Defecto (Art. 25 (2) GDPR)
En ATLAS.ti, nos aseguramos de que el principio de necesidad y minimización de datos se tenga en cuenta desde la fase de desarrollo del software.

d. Control de Pedidos
Medidas para garantizar que los datos personales tratados por encargo sólo puedan ser tratados de acuerdo con las instrucciones del cliente:

  • Selección cuidadosa de los subcontratistas (especialmente en lo que respecta a la seguridad de la información)
  • Control regular de los subcontratistas