Nombramiento de encargado externo del tratamiento de datos de conformidad con el art. 28 del Reglamento UE 676/2016   A la empresa People Lab srl, Via Oldofredi, 45 MILÁN, Italia Código fiscal y número de IVA 0421284096   Asunto: Nombramiento de un procesador de datos externo   El Cliente, en calidad de Responsable del Tratamiento, en la persona de su representante legal pro tempore, en adelante Responsable del Tratamiento o Cliente;

Visto que

• People Lab srl, en virtud del contrato de suministro y del consiguiente contrato de licencia, pone a disposición del Cliente el software Adiuvet;
• en virtud de la relación contractual antes mencionada, People Lab srl lleva a cabo un tratamiento de datos personales, respecto de los cuales el Cliente es el Responsable del tratamiento;
• por lo que es necesario proceder a la designación de People Lab srl como Encargado del Tratamiento, tal y como establece el articulo 28 del Reglamento 679/2016 (GDPR);
• People Lab reúne los requisitos adecuados de experiencia, capacidad y fiabilidad suficientes para implantar las medidas técnicas y organizativas necesarias y desempeñar la función de Encargado externo del tratamiento de datos, según lo dispuesto en el mencionado articulo 28 del GDPR

Nominación Procesador de datos externo

People Lab srl, con domicilio social en Milán, Via Oldofredi 45. People Lab srl, en su calidad de Procesador de Datos Externo, está sujeto a procesar los datos personales de acuerdo con los principios del GDPR y siguiendo las instrucciones del Controlador de Datos.  

Objeto del tratamiento

Las actividades llevadas a cabo por Peole Lab srl por cuenta del Responsable del Tratamiento implican el tratamiento de los siguientes datos personales

• datos comunes/detalles de contacto (como, por ejemplo, nombre, apellidos, residencia, dirección de correo electrónico, número de teléfono)

  Funciones del gestor externo People Lab srl está obligada a:

1. tratar los datos de forma conforme a los principios de tratamiento de datos establecidos en la normativa, únicamente para los fines indicados en el contrato y durante la vigencia del mismo;
2. tratar los datos de acuerdo con las instrucciones documentadas del Responsable del Tratamiento;
3. garantizar que las personas autorizadas a tratar datos personales se han adherido formalmente al deber de confidencialidad o tienen una obligación legal de confidencialidad adecuada y han recibido la formación necesaria en el ámbito de la protección de datos;
4. elaborar, en virtud del articulo 30, p. 2 del RGPD, cuando proceda, un registro de actividades de tratamiento;
5. teniendo en cuenta el estado de la técnica y los costes de aplicación, así como la naturaleza, el objeto, el contexto y los fines del tratamiento, y el riesgo de distintos grados de probabilidad y gravedad para los derechos y libertades de las personas físicas, aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que incluyan, entre otras cosas, si procede:
   1. la seudoanonimización y el cifrado de datos personales;
   2. la capacidad de garantizar de forma continua la fiabilidad, integridad, disponibilidad y resistencia de los sistemas y servicios de procesamiento;
   3. la capacidad de restablecer a tiempo la disponibilidad y el acceso a los datos personales en caso de incidente físico o técnico;
   4. un procedimiento para comprobar, verificar y evaluar de forma periódica la eficacia de las medidas técnicas y organizativas destinadas a garantizar la seguridad del proceso de tratamiento
6. poner a disposición del responsable del tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones del presente acuerdo o contrato y permitir y colaborar en las actividades de auditoría, incluidas las inspecciones, realizadas por el responsable del tratamiento o por otra persona autorizada por éste;
7. informar e implicar de forma oportuna al Responsable del Tratamiento en todos los asuntos relativos al tratamiento de datos personales y, en particular, en caso de solicitudes de información, auditorías, inspecciones y acceso por parte del Garante de la Privacidad o de las Autoridades responsables;
8. teniendo en consideración la naturaleza del tratamiento, ayudar al responsable del tratamiento con medidas técnicas y organizativas oportunas, en la medida en que ello sea posible, para cumplir con la obligación del responsable del tratamiento de dar curso a las solicitudes de ejercicio de los derechos del interesado;
9. ayudar al responsable del tratamiento a hacer cumplir las obligaciones establecidas en los articulos 32 a 36 del RGPD, teniendo en cuenta la naturaleza del tratamiento y la información de que disponga el responsable del tratamiento, y en particular cooperar en las comunicaciones de violaciones de datos personales, la evaluación de impacto y la consulta previa;
10. informar de forma inmediata al responsable del tratamiento si, en su opinión, una instrucción incumple el Reglamento u otras disposiciones, nacionales o de la Unión, relativas a la protección de datos;
11. cumplir las condiciones establecidas en los apartados 2 y 4 del articulo 28 del RGPD para recurrir a otro responsable del tratamiento de datos
12. a elección del responsable del tratamiento, eliminar o devolver todos los datos personales una vez concluida la prestación de servicios relacionados con el tratamiento y borrar las copias existentes (a menos que el Derecho de la Unión o de los Estados miembros disponga la conservación de los datos).

  Códigos de conducta y mecanismos de certificación La adhesión del responsable del tratamiento de datos a un código de conducta o a mecanismos de certificación puede ser un elemento para demostrar las garantias suficientes establecidas en los apartados 1 y 4 del articulo 28 del RGPD.