ACUERDO DE TRATAMIENTO DE DATOS PERSONALES

Zepo Intelligence (en adelante, “Zepo” o “Encargado del Tratamiento” o el “Encargado”), es el titular del sitio web https://zepo.app/es, y de la aplicación Zepo. El presente Acuerdo de Tratamiento de Datos (en adelante “DPA”) complementa los Términos y Condiciones de Zepo (disponibles en https://zepo.app/terminosycondiciones), y forma parte del acuerdo entre Zepo y la entidad a la que representa (en adelante, la “Empresa” o el “Responsable del Tratamiento” o el “Responsable”). 

CLÁUSULAS

1. Definiciones

Los términos “Responsable del tratamiento“, “Encargado del tratamiento“, “Interesado“, “Estado miembro“, “Datos personales“, “Tratamiento” y “Autoridad de control” tendrán el mismo significado que en el Reglamento General de Protección de Datos 679/2016 (“RGPD”).

2. Objeto y término

El presente DPA regula el tratamiento de Datos Personales por parte de Zepo, con arreglo a los Términos y Condiciones de Zepo, con respecto a los datos bajo la responsabilidad de la empresa. La duración de dicho tratamiento será por el período durante el cual las Partes cumplan sus obligaciones aplicables en virtud de los Términos y Condiciones. 

3. Cumplimiento de la normativa de protección de datos de carácter personal

Cada Parte cumplirá con toda la normativa aplicable en materia de protección de datos, incluido el Reglamento (UE) 2016/679 General de Protección de Datos (en adelante, “RGPD”), de 25 de mayo de 2018, así como la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante “LOPDGDD”), además de cualesquiera otros textos normativos que desarrollen, complemente, modifiquen o reemplacen en cada momento a dichas normas (colectiva e individualmente, “Normativa de Protección de datos de carácter personal”). 

4. Datos a los que se accede y finalidad del tratamiento

Zepo podrá tener acceso a la tipología de datos personales de la Empresa (“Datos personales del Responsable”) y a las categorías de interesados que se describen en el Apéndice I, y según los fines que se describen en este. 

5. Derechos y responsabilidades de Zepo como encargado del tratamiento de datos

Según lo establecido en el RGPD, Zepo, como Encargado del tratamiento de datos, deberá: 

1. Tratar los Datos Personales del Responsable del Tratamiento únicamente sobre la base de instrucciones documentadas del Responsable del Tratamiento, incluidas las transferencias de Datos Personales del Responsable del Tratamiento a un tercer país u organización internacional, a menos que el Derecho de la Unión o la legislación aplicable de los Estados miembros exija lo contrario.

2. Garantizar que todas las personas autorizadas a tratar Datos Personales del Responsable del Tratamiento se han comprometido a respetar la confidencialidad o están sujetas a una obligación de confidencialidad. 

3. Adoptar todas las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento, incluyendo:

1. La seudonimización y el cifrado de los datos personales del Responsable del Tratamiento;

2. La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resistencia permanentes de los sistemas y servicios de tratamiento;

3. La capacidad de restaurar la disponibilidad y el acceso a los Datos Personales del Responsable del Tratamiento de manera oportuna en caso de incidente físico o técnico;

4. Un proceso para comprobar, evaluar y valorar periódicamente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

4. No recurrir a otro Encargado del Tratamiento, con las excepciones descritas en las cláusulas 7 y 8.

5. Asistir al Responsable del Tratamiento, teniendo en cuenta la naturaleza del tratamiento, mediante medidas técnicas y organizativas apropiadas, siempre que sea posible, para que pueda cumplir con su obligación de responder a las solicitudes de ejercicio de los derechos de los interesados. 

6. Ayudar al Responsable del Tratamiento a garantizar el cumplimiento de sus obligaciones, teniendo en cuenta la naturaleza del tratamiento y la información de que dispone el encargado del tratamiento.

7. A elección del Responsable del Tratamiento, destruir o devolver todos los Datos Personales del Responsable del Tratamiento una vez finalizados los servicios de tratamiento y destruir las copias existentes, a menos que la legislación de la Unión o de los Estados miembros aplicables exija la conservación de dichos Datos Personales. 

8. Poner a disposición del Responsable del Tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones aquí establecidas, así como permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del Responsable del Tratamiento u otros auditores autorizados para el Responsable del Tratamiento.

9. Tratar los Datos Personales del Responsable del Tratamiento puestos a disposición del Encargado del Tratamiento de forma que se garantice que el personal a su cargo sigue las instrucciones del Responsable del Tratamiento.
10. Garantizar que el Delegado de Protección de Datos de Zepo, en el caso en el que sea necesario conforme a la Ley de Protección de Datos su designación, participe de forma adecuada y oportuna en todos los asuntos relacionados con la protección de los Datos Personales del Responsable del Tratamiento. 

11. Adherirse a un código de conducta pertinente aprobado por la Comisión u otra autoridad competente, si procede. 

12. Mantener un registro de las actividades de tratamiento en caso de tratamiento de Datos Personales que pueda suponer un riesgo para los derechos y libertades del interesado y/o de forma no ocasional, o que implique el tratamiento de categorías especiales de datos y/o datos relativos a condenas e infracciones.

6. Medidas de Seguridad

Zepo adoptará las medidas de seguridad que sean adecuadas a cada caso, a fin de garantizar la licitud del tratamiento, conforme lo establecido en el RGPD y en la Sección III de este DPA. A este respecto, Zepo se compromete a evaluar los posibles riesgos derivados del tratamiento, teniendo en cuenta los medios utilizados y las circunstancias que puedan incidir en la seguridad.

7. Ejercicio de los derechos de los interesados

En caso de que el Interesado dirija una solicitud o ejercite alguno de los derechos establecidos en la Ley de Protección de Datos, el Responsable y/o el Encargado del Tratamiento deberán facilitar la información solicitada y realizar las actuaciones requeridas, sin dilación y, a más tardar, en el plazo de un mes desde la recepción de la solicitud, prorrogable por otros dos meses en caso necesario, teniendo en cuenta la complejidad de la solicitud y el número de solicitudes. 

Del mismo modo, pero en el caso de que el Responsable y/o Encargado del Tratamiento no dé curso a la solicitud del interesado, informará a éste sin demora, y en el plazo máximo de un mes desde la recepción de la solicitud, le comunicará los motivos por los que no ha actuado y le informará de su derecho a presentar una reclamación ante la autoridad competente y a interponer un recurso judicial. La respuesta a la solicitud del interesado se hará en el mismo formato que el utilizado por el interesado, salvo que éste solicite que se haga de otro modo.

8. Subcontratación

Zepo, como Encargado del Tratamiento de los Datos Personales del Responsable no podrá en ningún caso subcontratar sus servicios a otro subencargado por fuera de los autorizados en el Apéndice II. En caso de que dicha subcontratación sea necesaria, Zepo deberá contar con la autorización por escrito del Responsable del Tratamiento, y Zepo deberá indicar la finalidad y objetivos de la subcontratación, así como la identificación del subencargado.

9. Transferencia internacional de datos personales del Responsable del Tratamiento 

No se podrán realizar transferencias internacionales de Datos Personales del Responsable del Tratamiento, a excepción de las transferencias a los subencargados de tratamiento internacionales identificados en el Apéndice II. En tal caso Zepo regulará el tratamiento a realizar por el subencargado mediante un acuerdo tal y como establece la Ley de Protección de Datos. Dicho acuerdo incorporará las medidas de salvaguarda requeridas por la Ley de Protección de Datos.  Cualquier transferencia internacional adicional a las autorizadas en el Apéndice II deberá ser previamente aprobada por escrito por el Responsable del Tratamiento.  

10. Brecha de seguridad 

En la medida en que exista una instrucción de una Autoridad de Control competente, un desarrollo de una legislación nacional o un acto delegado, en caso de brecha de seguridad de los Datos Personales del Responsable del Tratamiento, el Encargado del Tratamiento notificará al Responsable del Tratamiento dicha brecha sin demora y, si es posible, no más de 72 horas después de que se haya producido. 

11. Terminación, resolución y expiración

En caso de rescisión, resolución o expiración del Contrato, el Encargado del Tratamiento no conservará los Datos Personales del Responsable del Tratamiento a menos que esté legalmente obligado a ello. En caso contrario, tras la rescisión, resolución o expiración, o cuando ya no esté obligado legalmente a conservar los datos, el Encargado destruirá o devolverá al Responsable del Tratamiento todos los datos personales del Responsable del Tratamiento y cualquier copia de los mismos, así como cualquier soporte u otro documento que contenga datos personales del responsable del tratamiento. 

Apéndice I

Categoría y tipología de datos

1. Categorías de interesados y tipología de datos:

De conformidad con las disposiciones establecidas en el presente documento y en el RGPD, Zepo puede acceder y tratar el tipo y la categoría de Datos Personales proporcionados por el Responsable del Tratamiento establecido a continuación: 

Categoría de interesados	Categorías de datos
Empleados o Staff del Cliente.	Datos de identificación (Nombre, apellidos, email, teléfono, país, idioma, zona horaria, número de empleado)
	Datos académicos y profesionales (Posición, departamento, división, nombre del supervisor, email del supervisor, niel de exposición, nivel de formación)

2. Finalidad del Tratamiento:

Tratamiento necesario para la ejecución de los servicios de Zepo acordados en el correspondiente contrato con el Cliente. Prestación de un servicio de formación en ciberseguridad.  

3. Naturaleza del tratamiento: 

☐Divulgación☒ Recogida☐ Grabación☒ Organización☒ Estructuración☐ Modificación de☒ Almacenamiento

☐ Extracción ☐ Consulta☐ Comunicación por transmisión☐ Emparejamiento o Interconexión☐ Limitación☒ Borrado☐ Utilización de

Apéndice II

Subencargados Autorizados

Subencargados	Descripción de los servicios	URL de la política de privacidad	País

Zepo podrá ampliar esta lista a partir de la notificación de Responsable del Tratamiento al Encargado.

Apéndice III

Medidas de Seguridad

Zepo tendrá el derecho y la obligación de tomar decisiones sobre las medidas de seguridad técnicas y organizativas que deben aplicarse para crear el nivel necesario (y acordado) de seguridad de los datos.    

No obstante, Zepo aplicará, en cualquier caso y como mínimo, las siguientes medidas acordadas con el Responsable del Tratamiento:

Medidas técnicas de seguridad:

1. la seudonimización y el cifrado de datos personales; 
2. la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento; 
3. la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico; 
4. un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.