Normativa de protección de datos personales
ABSSA cumple en la prestación de sus servicios y contratos con la normativa establecida por la ley 25.326 de Protección de Datos Personales y normas reglamentarias de la Argentina, estando inscriptas sus bases de datos ante la DNPDP.
Adecuación a la Normativa de la Comunidad Europea
La Argentina es considerada por la Unión Europea como país con legislación adecuada de protección de datos personales con motivo de la DECISIÓN DE LA COMISIÓN de 30 de junio de 2003 con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo sobre la adecuación de la protección de los datos personales en Argentina (2003/490/CE).
1. Definiciones
-
Servicios: Los servicios que requieren tratamiento de datos personales, cuya definición y alcance serán descritos en el CONTRATO PRINCIPAL a celebrarse.
​
-
Interesado: Persona física identificada o identificable, sujeto de los datos que son objeto del tratamiento.
​
-
Datos Personales: toda información sobre un interesado.
​
-
Datos Biométricos: datos personales de un interesado obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o digitalización de la firma manuscrita.
​
-
Tratamiento: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.
-
Responsable del Tratamiento: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento de los datos personales
​
-
Encargado del Tratamiento: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del Responsable del Tratamiento.
​
-
Sub-encargado del Tratamiento: la persona física o jurídica, con una relación contractual con el Encargado del Tratamiento, que como colaborador o proveedor realiza actividades específicas por cuenta del Responsable del Tratamiento, teniendo las mismas obligaciones de protección de datos que las estipuladas en este contrato, de acuerdo al artículo 28.4 del GDPR.
​
-
Tercero: persona física o jurídica, autoridad pública, servicio u organismo distinto del interesado, del Responsable del Tratamiento, del Encargado del Tratamiento y de las personas autorizadas para tratar los datos personales, que bajo la autoridad directa del responsable o del encargado están autorizados al tratamiento de datos personales.
2. Objeto
El presente documento tiene por objeto definir las condiciones del tratamiento de los Datos Personales por parte del PROVEEDOR como Encargado del Tratamiento, necesario para la provisión de los Servicios definidos en el CONTRATO PRINCIPAL, adjuntándose al mismo en carácter de Anexo.
Dicho tratamiento se realizará sobre los Datos Personales de los que su cliente es titular, siguiendo únicamente sus instrucciones documentadas en este CONTRATO GDPR.
3. Acuerdo Total
Este CONTRATO GDPR constituirá un anexo al CONTRATO PRINCIPAL y sirve para complementarlo, formando parte integral. De haber un conflicto, las disposiciones del CONTRATO GDPR prevalecen en la medida en que no impliquen la modificación del CONTRATO PRINCIPAL.
​
Si las disposiciones individuales de este CONTRATO GDPR son inválidas o inaplicables, la validez y aplicabilidad de las demás disposiciones de este CONTRATO GDPR no se verán afectadas.
4. Obligaciones del Responsable del Tratamiento
El Responsable del Tratamiento será el responsable de evaluar si los Datos Personales pueden tratarse legalmente, salvaguardando los derechos de los Interesados.
Corresponden al Responsable del Tratamiento las siguientes obligaciones:
​
-
Entregar al Encargado del Tratamiento los datos objeto de tratamiento de conformidad con lo establecido en el presente CONTRATO GDPR;
​
-
Realizar una evaluación del impacto en la protección de los Datos Personales de las operaciones de tratamiento a realizar por el Encargado del Tratamiento;
​
-
Realizar las consultas previas, relativas al artículo 36 del GDPR, que correspondan;
​
-
Velar, de forma previa y durante todo el tratamiento, por el cumplimiento del GDPR por parte del Encargado del Tratamiento;
-
Supervisar el tratamiento, incluida la realización de inspecciones y auditorías.
​
El Responsable del Tratamiento se asegurará, en su área de responsabilidad, que se cumplen los requisitos legales necesarios (por ejemplo, mediante la recopilación de declaraciones de consentimiento) para que el Encargado del Tratamiento pueda proporcionar los Servicios acordados de forma que no viola ninguna regulación legal.
El Responsable del Tratamiento designará un Delegado de Protección de Datos y comunicará su identidad al Encargado de Tratamiento, manteniéndola actualizada en el ANEXO I: Información del Tratamiento de los Datos Personales, junto con sus datos de contacto, siempre y cuando tal figura resulte obligatoria conforme a lo dispuesto por el artículo 37.1 del GDPR, así como en aquellos supuestos en los que, a pesar de no resultar obligatorio, se haya procedido a su nombramiento.
5. Obligaciones del Encargado del Tratamiento
El Encargado del Tratamiento, así como el personal a su cargo, deberán llevar a cabo el tratamiento de los Datos Personales, de conformidad con los siguientes apartados
5.1 Finalidades del Tratamiento
El Encargado del Tratamiento se limitará a realizar el tratamiento de los Datos Personales necesario para prestar al Responsable del Tratamiento los Servicios contratados, en el contexto y de conformidad con lo establecido en el CONTRATO PRINCIPAL, sin que sea posible utilizar los
Datos Personales con una finalidad distinta a las recogidas en el ANEXO I: Información del Tratamiento de los Datos Personales, ni a utilizarlos con fines propios.
5.2 Instrucciones de Tratamiento
El Encargado del Tratamiento tratará los Datos Personales únicamente siguiendo instrucciones documentadas, que en cada momento, le indique el Responsable del Tratamiento, inclusive con respecto a las transferencias de Datos Personales a un tercer país, salvo que esté obligado a ello en virtud del Derecho de la Unión o de los Estados miembros que se aplique al Encargado del Tratamiento.
En el caso de que una ley obligatoria impida que el Encargado del Tratamiento cumpla con dichas instrucciones o requiera que el Encargado del Tratamiento trate y/o divulgue los Datos Personales a un Tercero, el Encargado del Tratamiento deberá informar al Responsable del Tratamiento por escrito de dicho requisito legal antes llevar a cabo las actividades requeridas de tratamiento y/o divulgar los Datos Personales a un Tercero, a menos que el Encargado del Tratamiento esté prohibido bajo esa ley de informar al Responsable del Tratamiento de tal tratamiento. Si el tratamiento de datos personales requerido por las autoridades locales no cumple con el GDPR, deberá requerir instrucciones al Responsable quien podrá dejar sin efecto el presente.
Si en opinión del Encargado del Tratamiento, alguna de las instrucciones del Responsable del Tratamiento infringe el GDPR o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, éste informará por escrito al Responsable del Tratamiento. El Encargado del Tratamiento tendrá derecho a suspender la ejecución de dicha instrucción hasta que sea confirmada o modificada por el Responsable del Tratamiento.
Si el Encargado del Tratamiento infringe lo establecido en el GDPR al determinar los fines y medios del tratamiento será considerado Responsable del Tratamiento con respecto a dicho tratamiento, de conformidad con lo establecido en el artículo 28.10 del GDPR.
5.3 Confidencialidad
Todos los Datos Personales que el Encargado del Tratamiento recibe del Responsable del Tratamiento, en el curso de la prestación de sus servicios de conformidad con el CONTRATO PRINCIPAL, son confidenciales.
El Encargado del Tratamiento se compromete a guardar bajo su control y custodia los Datos Personales, y a no divulgarlos, transferirlos, o de cualquier otra forma comunicarlos, ni siquiera para su conservación a cualquier Tercero, salvo que se cuente con el consentimiento previo por escrito del Responsable del Tratamiento.
El Encargado del Tratamiento garantizará que las personas autorizadas para tratar los Datos Personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria.
5.4 Medidas de Seguridad
El Encargado del Tratamiento aplicará medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, que en su caso incluya, entre otros:
​
-
La seudonimización y el cifrado de los Datos Personales;
​
-
La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
​
-
La capacidad de restaurar la disponibilidad y el acceso a los Datos Personales de forma rápida, en caso de incidente físico o técnico;
​
-
Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
El Responsable del Tratamiento podrá, en el contexto del CONTRATO PRINCIPAL, solicitar medidas adicionales de seguridad, cuya viabilidad, aplicación y costes de aplicación serán evaluadas por el Encargado del Tratamiento. Si la implantación de medidas adicionales de seguridad implican un coste adicional no contemplado por el CONTRATO PRINCIPAL, el Responsable del Tratamiento asumirá dicho coste, tras ser informado por el Encargado del Tratamiento y confirmar su solicitud.
5.5 Registro de las Actividades de Tratamiento
El Encargado del Tratamiento se obliga a llevar, por escrito, un registro de todas las actividades de tratamiento efectuadas por cuenta del Responsable del Tratamiento, que contenga:
​
-
El nombre y los datos de contacto del Encargado del Tratamiento o encargados y de cada Responsable por cuenta del cual actúa el Encargado del Tratamiento, y, en su caso, del representante del Responsable o del Encargado, y del Delegado de Protección de Datos;
​
-
Las categorías de tratamientos efectuados por cuenta de cada responsable;
-
En su caso, las transferencias de los Datos Personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, la documentación de garantías adecuadas;
​
-
Una descripción general de las medidas técnicas y organizativas de seguridad relativas al apartado anterior.
​5.6​ Asistencia a los Derechos del Interesado
El Encargado del Tratamiento asistirá al Responsable del Tratamiento, teniendo cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados establecidos en el Capítulo III del GDPR (derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento, portabilidad de los datos, y a no ser objeto de decisiones individualizadas automatizadas).
​
En el caso de que el Encargado del Tratamiento, en el contexto del CONTRATO PRINCIPAL, sea el encargado de la recogida de los datos del Interesado, en el momento de la recogida de los datos, debe facilitar a los interesados la información relativa a los tratamientos de datos que se van a realizar y requerirles el consentimiento de ser exigible. La redacción y el formato en que se facilitará la información y el consentimiento se debe consensuar con el Responsable del Tratamiento antes del inicio de la recogida de los datos.
​5.7​ Respuesta a Solicitudes de Terceros
En caso de que el Encargado del Tratamiento reciba una queja, solicitud, consulta o comunicación de un Interesado, autoridad competente o de un Tercero en relación al Tratamiento de Datos Personales, o con el cumplimiento de cualquiera de las Partes de la normativa que le resulte aplicable en materia de protección de datos personales, o con este CONTRATO GDPR, el Encargado del Tratamiento deberá inmediatamente, y en todo caso no más tarde de 8 horas hábiles (al día siguiente laboral), informar al Responsable del Tratamiento a la dirección de email de contacto especificada en el ANEXO I: Información del Tratamiento de los Datos Personales, salvo que no esté permitido legalmente.
El Encargado del Tratamiento no responderá a ninguna solicitud, reclamo, consulta o comunicación sin el consentimiento previo por escrito del Responsable del Tratamiento, excepto para confirmar que dicha solicitud se relaciona con el Responsable del Tratamiento o salvo una exigencia legal.
​5.8​ Asistencia al Cumplimiento
El Encargado del Tratamiento, teniendo en cuenta la naturaleza del tratamiento y la información a su disposición, ayudará al Responsable del Tratamiento a garantizar el cumplimiento de las obligaciones establecidas en los artículos 32 a 36 del GDPR (medidas de seguridad en el tratamiento, comunicaciones relacionadas con la violación de la seguridad de datos personales y evaluación de impacto relativa a la protección de datos).
El Encargado del Tratamiento, teniendo en cuenta la naturaleza del procesamiento y la información a su disposición, facilitará al Responsable del Tratamiento, toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en este CONTRATO GDPR.
​5.9​ Asistencia a las Evaluaciones de Impacto y a las Consultas Previas
El Encargado del Tratamiento, teniendo en cuenta la naturaleza del tratamiento y la información a su disposición, dará apoyo bajo la solicitud del Responsable del Tratamiento, en la realización de las evaluaciones de impacto relativas a la protección de datos (cuando proceda), así como en la realización de consultas previas a la Autoridad de Protección de Datos (cuando proceda).
Si tras la solicitud de apoyo surgieran costes adicionales no contemplados por el CONTRATO PRINCIPAL, el Responsable del Tratamiento asumirá los mismos, tras ser informado por el Encargado del Tratamiento y confirmar la solicitud de apoyo.
​5.10​ Delegado de Protección de Datos
El Encargado del Tratamiento designará un Delegado de Protección de Datos, comunicará al Responsable de Tratamiento su identidad, que mantendrá actualizada en el ANEXO I: Información del Tratamiento de los Datos Personales, junto con sus datos de contacto, siempre y cuando tal
figura resulte obligatoria conforme a lo dispuesto por el artículo 37.1 del GDPR, así como en aquellos supuestos en los que, a pesar de no resultar obligatorio, se haya procedido a su nombramiento.
​5.11​ Notificación de Violación de la Seguridad
En caso de violación de la seguridad de los Datos Personales, el Encargado del Tratamiento, deberá notificar al Responsable del Tratamiento de dichas violaciones de inmediato, pero en ningún caso más de 24 horas (veinticuatro horas) después de conocer la violación de la seguridad de los Datos Personales. En dicha comunicación incluirá toda la información relevante para la documentación y comunicación de la violación.
La notificación de la violación se enviará al Responsable del Tratamiento a través de la dirección de correo electrónico especificada en el ANEXO I: Información del Tratamiento de los Datos Personales, e incluirá, en el momento de la notificación o tan pronto como sea posible. posible después de la notificación:
​
-
la descripción de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados;
​
-
el nombre y los datos de contacto, si es distinto al Delegado de Protección de Datos identificado en el ANEXO I, en el que pueda obtenerse más información;
-
la descripción de las posibles consecuencias de la violación de la seguridad de los Datos Personales;
​
-
la descripción de las medidas adoptadas o propuestas para reducir el impacto de la violación de los Datos Personales, incluido, cuando aplique, medidas para mitigar sus posibles efectos adversos.
Si no fuera posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual tan pronto como sea posible.
El Encargado de Protección de Datos deberá proporcionar toda la información y asistencia necesarias al Responsable del Tratamiento en relación con cualquier acción que deba tomarse en respuesta a la violación de la seguridad de los Datos Personales acorde a la normativa que le resulte aplicable en materia de protección de datos personales.
Salvo exigencia legal, el Encargado del Tratamiento se compromete a no divulgar ni a publicar ninguna declaración, comunicación, aviso, o informar sobre una violación de la seguridad de los Datos Personales, ni notificar a los Interesados o las Autoridades de Protección de Datos, sin el consentimiento previo por escrito del Responsable del Tratamiento.
6. Auditorías
El Encargado del Tratamiento, teniendo en cuenta la naturaleza del procesamiento y la información a su disposición, facilitará al Responsable del Tratamiento, toda la información necesaria para la realización de las auditorías o las inspecciones que realice el Responsable del Tratamiento.
El Responsable del Tratamiento puede realizar las auditorías a las que se refiere el párrafo anterior por sí mismo o hacer que las ejecute un Tercero.
Dichas auditorías se anunciarán dentro de un período de tiempo razonable, al menos 30 días antes de la auditoría; se realizarán sobre la base de del plan de auditoría mutuamente acordado, y deberá tener el debido cuidado durante su desempeño para no perturbar la actividad regular del Encargado del Tratamiento.
El Encargado del Tratamiento no estará obligado a realizar más de una auditoría cada año. Se permiten auditorías más frecuentes sólo si y en la medida requerida por la normativa que le resulte aplicable (por ejemplo, en caso de violación de datos personales).
7. Subcontratación
La subcontratación de los servicios objeto del CONTRATO PRINCIPAL por parte del Encargado del Tratamiento, deberá ser autorizada previamente por El Responsable del Tratamiento.
En caso de que el Encargado del Tratamiento esté autorizado a colaborar con otros Sub-Encargados del Tratamiento, el Encargado del Tratamiento obligará a esos otros Sub-Encargados igualmente a cumplir las obligaciones establecidas en este CONTRATO GDPR, en la medida aplicable a la naturaleza de los servicios proporcionados por dicho Sub-Encargado.
Corresponde al Encargado del Tratamiento regular la nueva relación de conformidad con el artículo 28 del GDPR, de forma que el Sub-Encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas, por medio de un contrato escrito u otro acto legal de acuerdo con la normativa de protección de datos aplicable.
El Encargado del Tratamiento proporcionará al Responsable del Tratamiento, toda la información necesaria con respecto a los detalles del Tratamiento regulado por dichos los contratos.
Cuando el Sub-Encargado contratado por el Encargado del Tratamiento no cumpla con sus obligaciones de protección de datos, el Encargado del Tratamiento deberá permanecer completamente responsable ante el Responsable del Tratamiento por el cumplimiento de las obligaciones del Sub-Encargado.
Si el Encargado del Tratamiento infringe lo establecido en el GDPR al determinar los fines y medios del tratamiento será considerado Responsable del Tratamiento con respecto a dicho tratamiento, de conformidad con lo establecido en el artículo 28.10 del GDPR.
​8. Transferencia de Datos a Terceros Países
A menos que se acuerde por escrito lo contrario con el Responsable del Tratamiento, el Encargado del Tratamiento se asegurará de que se almacenan los Datos Personales en el territorio de la República Argentina o dentro del Espacio Económico Europeo (EEE) alcanzado por el GDPR.
Cualquier otra transferencia de los Datos Personales a los centros de proceso de datos del Encargado del Tratamiento ubicados fuera de Argentina, la Unión Europea o del Área Económica Europea (EEE), solo podrán realizarse siguiendo instrucciones del Responsable del Tratamiento y previa autorización por escrito.
9. Entrada en Vigor, Duración y Resolución
Las cláusulas de este CONTRATO GDPR entrarán en vigor con la contratación de cualquier servicio o con la firma de ambas Partes, lo que ocurra primero, y será válido mientras dure la prestación real de los Servicios por parte del Encargado del Tratamiento.
El deber de secreto y confidencialidad que se deriva del presente CONTRATO GDPR, obliga al Encargado del Tratamiento durante la vigencia del CONTRATO PRINCIPAL y se extenderá, en función de la tipología de información de que se trate, durante los plazos máximos previstos en la legislación vigente que resulte de aplicación, y sin límite de tiempo para los datos personales.
En caso de que el Encargado del Tratamiento incumpla sustancialmente cualquier disposición de este CONTRATO GDPR, el Responsable del Tratamiento tiene derecho a rescindir tanto este CONTRATO GDPR, así como el CONTRATO PRINCIPAL, bajo las condiciones definidas en el CONTRATO PRINCIPAL.
10.Terminación del Tratamiento, Devolución y Destrucción de los Datos
Una vez cumplida la prestación de los Servicios del CONTRATO PRINCIPAL vigente, el Encargado del Tratamiento se compromete a devolver o destruir aquella información que contenga los Datos Personales que haya sido transmitida por el Responsable del Tratamiento al Encargado del Tratamiento.
En el supuesto de optar por la destrucción total, una vez destruidos los datos, el Encargado del Tratamiento deberá emitir un certificado de destrucción al Responsable del Tratamiento donde se identificará la información, soportes físicos y documentación destruidos.
En el supuesto de optar por la devolución, tal devolución deberá comportar, de igual forma, el borrado total de los datos existentes en los equipos informáticos utilizados por el Encargado del Tratamiento.
No obstante lo previsto en los párrafos anteriores, el Encargado del Tratamiento podrá conservar los datos e información tratada, debidamente bloqueados, en el caso que pudieran derivarse responsabilidades de su relación con el Responsable del Tratamiento, o siempre que sea necesario por una obligación legal.
12. ANEXO I: Información del Tratamiento de los Datos Personalesos
​12.2​ Datos de contacto del Responsable del Tratamiento
-
Contacto incidencias: https://www.abssa.net/consultatecnica
​
-
Contacto derechos del interesado: https://www.abssa.net/consultatecnica
-
Delegado de Protección de Datos:
-
Nombre: Joaquin Behar
-
Email: soporte@abssa. net
-
Teléfono: +54 9 11 5365 9399
-
12.3​ Categorías de los interesados
Los datos personales tratados pueden identificar a las siguientes categorías de personas físicas:
​
-
Clientes o Proveedores de ABSSA, cuando éstos sean personas físicas
​
-
Usuarios finales de los Servicios ofrecidos por ABSSA
-
Empleados de ABSSA
​
-
Los determinados en el CONTRATO PRINCIPAL para su tratamiento.