1. Interpretación

Los términos en mayúsculas tienen el significado definido en el siguiente apartado. Las siguientes definiciones tendrán el mismo significado independientemente de que aparezcan en singular o en plural. Todas las referencias a la privacidad en el AET tendrán los significados definidos en el Reglamento (UE) 2016/679, de 27 de abril de 2016, general de protección de datos (o “RGPD”), según sea modificado, sustituido o reemplazado.

2. Definiciones

A los efectos del presente AET:

• AET significa este Acuerdo de Encargo de Tratamiento de datos entre el Responsable del tratamiento y el Encargado del tratamiento en relación con el tratamiento de Datos Personales realizado en la ejecución del Contrato. A menos que las partes negocien de buena fe otro AET, este es el AET vigente.
• Contrato significa el  contrato de licencia de uso del Software para prueba en el que Alice tiene el papel de Encargado del Tratamiento (tal y como se define más adelante).
• Software significa el programa de software proporcionado por la Empresa que utiliza el Responsable con las características definidas en el sitio web https://www.alicebiometrics.com/products en virtud del Contrato. El Software puede incluir uno o varios de los siguientes productos:
  • KYC estándar
  • KYC extendido.
  • OCR documental. 
  • AML Search.
  • AML Monitoring.
  • Sellado de tiempo.

• El Encargado del Tratamiento (o también, la «Compañía«, el «Encargado» o «Alice«) se refiere a ALICE BIOMETRICS, S.L., C.I.F. B27872217, carretera do Vilar 56, 36214, Vigo, España, en su rol de encargado.
• Datos Personales se refiere a cualquier información relativa a una persona física viva identificada o identificable, por ejemplo un documento de identidad y una imagen selfie capturada a través del dispositivo de verificación de identidad de nuestro cliente u otra información que pueda ser cargada, vinculada o puesta a disposición de otra manera por el Responsable, independientemente de la forma de dicho contenido.
• El Responsable del Tratamiento (o el «Responsable«) se refiere a la sociedad u otra entidad legal que accede o utiliza el Software y que ha firmado un Contrato  con Alice para obtener una licencia de uso temporal del Software.
• Las Partes se refiere conjuntamente a Alice y el Responsable.
• Legislación de Protección de Datos se refiere a todas las normas aplicables a las Partes que regulan la privacidad, en particular, el Reglamento (UE) 2016/679, de 27 de abril de 2016, general de protección de datos, la normativa española complementaria y de desarrollo, concretamente la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, la LOPDGDD) y cualquier normativa aplicable a los interesados, en la medida en que pueda ser modificada, sustituida o reemplazada.

3. Finalidad del tratamiento

El objeto del AET es definir, de conformidad con lo dispuesto en el artículo 28 del RGPD y demás normativa aplicable en materia de protección de Datos Personales, las condiciones en las que el Encargado llevará a cabo por cuenta del Responsable el tratamiento de los Datos Personales necesarios para la prestación de los servicios previstos en el Contrato.El alcance, la naturaleza y la finalidad del tratamiento de datos a realizar por el Encargado, así como el tipo de datos personales y las categorías de interesados a los que afecta dicho tratamiento, son los que se detallan en el Anexo I del AET, así como, en su caso, en las sucesivas actualizaciones que las Partes puedan acordar al respecto.

4. Término

El AET entra en vigor a partir del inicio del tratamiento de los Datos Personales en virtud del Contrato. Tras la finalización del presente AET, el Encargado devolverá al Responsable los Datos Personales y las copias que posea, si las hubiera o los destruiría, a petición del Responsable.

5. Obligaciones del Encargado del Tratamiento

El Encargado y todo su personal están obligados a:

5.1 Utilizar los Datos Personales objeto de tratamiento, o los recogidos para su inclusión, únicamente para la finalidad del presente AET. En ningún caso el Encargado podrá utilizar los datos para fines propios o de terceros, ni para fines distintos a los de la prestación del servicio objeto del Contrato. 

5.2 Tratar los datos de acuerdo con las instrucciones del Responsable.
Si el Encargado considerara que alguna de las instrucciones del Responsable infringe el RGPD, la LOPDGDD o cualquier otra disposición de protección de datos de la Unión Europea, informará inmediatamente al Responsable.

5.3 Mantener por escrito un registro de todas las categorías de actividades de tratamiento realizadas por cuenta del Responsable que contenga:

1. El nombre y los datos de contacto del Encargado y de cada uno de los responsables del tratamiento por cuenta de los cuales actúa el Encargado y, en su caso, del representante o persona de contacto del responsable y del delegado de protección de datos.
2. Las categorías de tratamiento realizadas por cuenta de cada responsable del tratamiento.
3. Cuando proceda, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias mencionadas en el artículo 49, apartado 1, párrafo segundo del RGPD, la documentación de las garantías adecuadas.
4. Una descripción general de las medidas de seguridad técnicas y organizativas relativas a:
   • a. La seudonimización y el cifrado de los Datos Personales.
   • b. La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resistencia permanentes de los sistemas y servicios de tratamiento.
   • c. La capacidad de restablecer rápidamente la disponibilidad y el acceso a los Datos Personales en caso de incidente físico o técnico.
   • d. El proceso de verificación, evaluación y valoración periódica de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

5.4 No comunicar los datos a terceros, salvo autorización expresa del Responsable así como en los casos legalmente admisibles.

El Encargado podrá comunicar los datos a otros encargados del tratamiento del mismo Responsable, de acuerdo con las instrucciones del Responsable. En este caso, el Responsable identificará previamente y por escrito el encargado al que deben comunicarse los datos, los datos a comunicar y las medidas de seguridad a aplicar en la comunicación.

Si el Encargado está obligado a transferir datos personales a un tercer país o a una organización internacional en virtud de la legislación aplicable de la Unión o de los Estados Miembros, informará previamente al Responsable de dicho requisito legal, salvo que dicha legislación lo prohíba por razones importantes de interés público.

5.5 Subcontratación 

El Responsable reconoce y acepta que el Encargado puede subcontratar encargados del tratamiento (“Subencargados”) para tratar los Datos Personales por cuenta del Responsable.

El Responsable autoriza expresamente al Encargado la subcontratación de los siguientes Subencargados:

1. Google Cloud EMEA Limited.
   • a. Aplicable a todos los servicios.
   • b. Número de identificación fiscal: IE3668997OH 
   • c. Datos de contacto y dirección:
     • 70 Sir John Rogerson’s Quay, Dublin 2, Ireland
   • d. Descripción del servicio: almacenamiento de datos en la nube. 
   • e. Google Cloud EMEA Limieted es responsable de no transferir ningún Dato Personal a ningún país inadecuado a menos que dicha parte garantice (a) que la transferencia está en todo momento sujeta a una de las salvaguardias adecuadas permitidas por el artículo 46 del RGPD y (b) que en todos los aspectos la transferencia cumple con el RGPD. País inadecuado significa un país que (a) está fuera del Espacio Económico Europeo y (b) no es un país que la Comisión europea haya determinado que garantiza un nivel de protección adecuado a los efectos del artículo 45 del RGPD. 
2. AC Camerfirma, S.A.
   • a. Aplicable al servicio de sellado de tiempo calificado.
   • b. Número de identificación fiscal: A-82743287
   • c. Datos de contacto y dirección:
     • Ribera del Loira 12, 28043 Madrid, España
   • d. Descripción del servicio: sellado de tiempo calificado.
3. Regulatory DataCorp, Ltd.
   • a. Aplicable al servicio de búsqueda y seguimiento de AML
   • b. Número de empresa: 08739364
   • c. Datos de contacto y dirección:
     • Citypoint 16th Floor, One Ropemaker Street, Londres EC2Y 9AW, Inglaterra
   • d. Descripción del servicio: consulta y seguimiento del usuario en la base de datos de la Lista de Sanciones o de la Lista PEP (Persona Políticamente Expuesta), o ambas
   • e. Regulatory DataCorp, Ltd., es responsable de no transferir ningún Dato Personal a ningún país inadecuado a menos que dicha parte garantice (a) que la transferencia está en todo momento sujeta a una de las salvaguardias adecuadas permitidas por el artículo 46 del RGPD y (b) que en todos los aspectos la transferencia cumple con el RGPD. País inadecuado significa un país que (a) está fuera del Espacio Económico Europeo y (b) no es un país que la Comisión europea haya determinado que garantiza un nivel de protección adecuado a los efectos del artículo 45 del RGPD.
4. Elastic International, B.V
   • a. Aplicable a todos los servicios
   • b. Número de empresa: 54656230
   • Datos de contacto y dirección: 
     • Keizersgracht 281 1016 ED Amsterdam Países Bajos.
   • Descripción del servicio: consulta y seguimiento del usuario en la base de datos de la Lista de Sanciones o de la Lista PEP (Persona Políticamente Expuesta), o ambas.

Para subcontratar con otras empresas, el Encargado deberá informar al Responsable por escrito, identificando de forma clara e inequívoca al Subencargado y aportando sus datos de contacto. La notificación al Responsable se realizará por correo electrónico. La subcontratación podrá llevarse a cabo si el Responsable no manifiesta su oposición en el plazo de 30 días desde que recibe la notificación.

El Subencargado, que también tiene la condición de encargado del tratamiento, está igualmente obligado a cumplir las obligaciones establecidas en este documento para el Encargado del Tratamiento y a seguir las instrucciones del Responsable. Corresponde al Encargado regular la nueva relación, de forma que el Subencargado esté sujeto a las mismas condiciones (instrucciones, obligaciones y medidas de seguridad) y con los mismos requisitos formales, en cuanto al correcto tratamiento de los Datos Personales y la garantía de los derechos de los interesados. 

El Encargado será responsable ante el Responsable del Tratamiento del incumplimiento de las obligaciones por parte del Subencargado.

5.6 Mantener la confidencialidad con respecto a los Datos Personales a los que haya tenido acceso en virtud del presente AET, incluso después de su finalización. 

5.7 Garantizar que las personas autorizadas para tratar los Datos Personales por cuenta del Responsable se han comprometido por escrito a respetar la confidencialidad o están sujetas a una obligación legal de confidencialidad adecuada.

5.8 Mantener a disposición del Responsable la documentación que acredite el cumplimiento de la obligación establecida en el apartado anterior.

5.9 Garantizar la formación necesaria en materia de protección de datos personales a las personas autorizadas a tratar los Datos Personales.

5.10 Asistir al Responsable en la respuesta al ejercicio, por parte de los interesados, de los derechos de:

1. Acceso, rectificación, supresión y oposición;
2. Limitación del tratamiento;
3. Portabilidad de los datos; y,
4. No ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles).

El Encargado deberá comunicar al Responsable, en el plazo de dos días hábiles desde la recepción de la solicitud, las solicitudes de ejercicio de los derechos listados.

5.11 Derecho de información: El Responsable comunicará a los interesados en el momento de la recogida de datos la información relativa al tratamiento de sus Datos Personales.

5.12 Notificación de una violación de seguridad de los Datos Personales

El Encargado notificará al Responsable sin dilación indebida, y en todo caso en un plazo máximo de 36 horas por correo electrónico o cualquier otro medio que acredite la recepción de la comunicación, las brechas de Datos Personales bajo su responsabilidad de las que tenga conocimiento, junto con toda la información relevante para la documentación y comunicación de la incidencia.

El Responsable comunicará cualquier brecha de los Datos Personales a la Autoridad de Protección de Datos competente. La comunicación contendrá, como mínimo, la siguiente información:

1. Descripción de la naturaleza de la brecha de los Datos Personales, incluyendo, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de Datos Personales afectados.
2. Nombre y datos de contacto del responsable de la protección de datos u otro punto de contacto en el que pueda obtenerse más información.
3. Descripción de las posibles consecuencias de la brecha de los Datos Personales.
4. Descripción de las medidas adoptadas o propuestas para remediar la violación de los Datos Personales, incluidas, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

El Responsable también comunicará a los interesados, si es necesario y sin demora indebida, la brecha de los Datos Personales, cuando la brecha pueda suponer un alto riesgo para los derechos y libertades de las personas físicas. La comunicación deberá realizarse en un lenguaje claro y sencillo y contendrá como mínimo:

1. Naturaleza de la brecha de los Datos Personales.
2. Nombre y los datos de contacto del responsable de la protección de datos u otro punto de contacto en el que pueda obtenerse más información.
3. Descripción de las posibles consecuencias de la brecha de los Datos Personales.
4. Descripción de las medidas adoptadas o propuestas por el Responsable del tratamiento para remediar la brecha de los Datos Personales, incluidas, si procede, las medidas adoptadas para mitigar los posibles efectos adversos.

5.13 Apoyar al Responsable en la realización de evaluaciones de impacto relacionadas con la protección de datos, cuando proceda.

5.14 Prestar apoyo al Responsable en la realización de consultas previas a la autoridad de control, cuando proceda.

5.15 Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de auditorías o inspecciones realizadas por el Responsable u otro auditor autorizado por éste.

El Responsable, con un preaviso mínimo de cuatro días hábiles, podrá visitar las instalaciones del Encargado y, en su caso, de los Subencargados, con el fin de realizar los controles y auditorías que considere oportunos para verificar el cumplimiento de la normativa de protección de datos. El Responsable podrá realizar una única auditoría anual, salvo que acredite un interés legítimo que justifique una mayor frecuencia.

5.16 Implantar las siguientes medidas de seguridad: 

• Autenticación fuerte de los usuarios mediante contraseñas o sistemas biométricos;
• Control de acceso lógico a los recursos y a los Datos Personales, de manera que sólo los empleados debidamente autorizados por el Encargado puedan acceder a los mismos;
• Encriptación de los Datos Personales más sensibles, tanto en los soportes informáticos como en su transmisión;
• Registro de incidentes y eventos de seguridad; y,
• Realización de copias de seguridad diarias. 

En todo caso, de acuerdo con lo establecido en el artículo 32 del RGPD, el Encargado debe implementar mecanismos para:

• Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
• Restablecer rápidamente la disponibilidad y el acceso a los datos personales en caso de incidente físico o técnico;
• Verificar, evaluar y valorar, de forma periódica, la eficacia de las medidas técnicas y organizativas implementadas para garantizar la seguridad del tratamiento; y,
• Pseudonimizar y cifrar los datos personales, si procede.

Asimismo, el Encargado adoptará todas aquellas medidas técnicas y organizativas que, de acuerdo con el análisis de riesgos realizado por el Responsable, considere necesarias para garantizar un nivel de seguridad adecuado, teniendo en cuenta el estado de la técnica y el coste de su aplicación en relación con los riesgos y la naturaleza de los Datos Personales a proteger. En este caso, será obligación del Responsable comunicar las medidas adicionales que deberá aplicar el Encargado. 

No obstante lo anterior, el Encargado podrá realizar su propio análisis de riesgos y proponer al Responsable la adopción de medidas de seguridad adicionales o sustitutivas de las propuestas por el Responsable, siempre que dichas medidas supongan un nivel de seguridad adecuado. 

El Encargado pondrá a disposición del Responsable la documentación acreditativa de lo establecido en el párrafo anterior.

5.17 Conservación de los datos

El Encargado del Tratamiento conservará los datos del usuario (evidencias aportadas y resultado de la evaluación) mientras dure la relación contractual. Los datos serán almacenados siguiendo las mejores prácticas de seguridad y estarán a disposición del Responsable sin coste adicional. 

Al vencimiento del presente Contrato, el Responsable del Tratamiento tendrá 7 días para recuperar los datos de los usuarios que necesite conservar. 

Pasado este periodo, el Encargado del Tratamiento procederá al borrado total de los datos de usuarios del Responsable, pudiendo también almacenar los datos bloqueados durante un periodo superior a la vigencia de este Contrato cuando exista un interés legítimo de cumplimiento legal.

6. Obligaciones del Responsable del Tratamiento

Corresponde al Responsable:

6.1 Permitir al Encargado el acceso a los Datos Personales objeto de tratamiento de acuerdo con lo establecido en el Contrato.

6.2 Realizar el análisis de los riesgos que puedan derivarse de la actividad de tratamiento que se encargue y, en base a dicho análisis, indicar al Encargado las medidas técnicas y organizativas que debe implementar para la prestación del servicio que conlleva el encargo de tratamiento.

6.3 Realizar una evaluación del impacto en la protección de los Datos Personales de los tratamientos a realizar por el Encargado, si fuera necesario. 

6.4 Realizar las correspondientes consultas previas.

6.5 Velar por el cumplimiento del RGPD por parte del Encargado antes de y durante el tratamiento.

6.6 Supervisar el tratamiento, incluyendo la realización de inspecciones y auditorías.
6.7 Notificar al Encargado las medidas de seguridad que considere necesarias en cada momento.

7. Declaración del Responsable del Tratamiento

El Responsable garantiza la veracidad y exactitud de la información facilitada al Encargado en todos sus aspectos. Declara haber cumplido con sus obligaciones como Responsable con anterioridad a la suscripción del presente AET. En concreto, declara haber facilitado al interesado la información requerida por el artículo 13 del RGPD, así como haber obtenido el consentimiento informado del interesado para llevar a cabo el tratamiento de los datos de conformidad con el Contrato. El Responsable informará al Encargado de cualquier novedad, modificación o alteración que se produzca en relación con la información facilitada. El Encargado podrá realizar auditorías periódicas para verificar el cumplimiento de lo anterior, comprometiéndose el Responsable a facilitar la información que acredite su cumplimiento.

8. Responsabilidad

Las Partes se comprometen a mantener indemne y a asumir toda la responsabilidad en relación con cualquier reclamación, sanción o pérdida, daño a terceros o responsabilidad incurrida que se derive, directa o indirectamente, del incumplimiento de las obligaciones reconocidas a cada Parte en el presente AET o que se deriven de disposiciones normativas.

9. Entrada en vigor y extinción

El presente AET entra en vigor en la fecha de ejecución del Contrato al que se incorpora.

El presente AET podrá extinguirse por cualquiera de los siguientes motivos:

• Mutuo acuerdo de las Partes, por escrito;
• Imposibilidad sobrevenida de desarrollar las actividades previstas en el presente AET;
• Incumplimiento de los compromisos asumidos en el AET por cualquiera de las Partes; o,
• Cumplimiento del término estipulado en el Contrato.

10. Modificación

El presente AET sólo podrá ser modificado de mutuo acuerdo entre las Partes mediante la firma de la correspondiente adenda. Las Partes están de acuerdo que el Contrato puede contener especificaciones relativas al AET.

11. Comunicaciones y notificaciones

• a) Comunicaciones dirigidas al Responsable del Tratamiento:
  Utilizaremos los datos de contacto facilitados por el Responsable en el momento de la contratación. En el caso de que el Responsable modifique, a efectos de notificación, la dirección postal o el correo electrónico de contacto o ambos, el Responsable deberá comunicarlo por escrito al Encargado con una antelación mínima de 15 días a la fecha efectiva.
• b) Las comunicaciones dirigidas al Encargado se enviarán a: dpo@alicebiometrics.com.  
• c) Las comunicaciones en caso de brecha de seguridad de Datos Personales se dirigirán, con copia al responsable funcional correspondiente, a: dpo@alicebiometrics.com. 

12. Jurisdicción y legislación aplicable

De conformidad con lo establecido en el Contrato, cualquier controversia entre las Partes derivada de la interpretación, ejecución y extinción del AET se someterá a la jurisdicción de los Tribunales competentes en Vigo y regirá la legislación española.