Tratamenduaren Agiriaren Akordioa

1. Aldeak

Alde batetik, Lex Partis plataforman bere kontuan identifikatuta dagoen Bezeroa, Tratamenduaren Arduraduna (aurrerantzean, «Arduraduna»).

Bestetik, Dextra Transaction Services S.L., CIF B44741924 duena, Av. Diagonal 468, 08006 Barcelona, España helbidean, Inscrita en el Registro Mercantil de Barcelona, CIF B44741924., Tratamenduaren Agindua duen aldetik (aurrerantzean, «Agindua» edo «Lex Partis»).

2. Aginduen helburua

DPA honek Tratamenduaren Agindua denak datu pertsonalak Tratamenduaren Arduradunaren kontura tratatzeko baldintzak arautzen ditu, bi aldeek sinatutako SaaS zerbitzuen kontratu nagusiaren (Baldintzak) exekuzioan. Agindua Arduradunaren dokumentatutako aginduetara eta DPA honetan aurreikusitakoari jarraituko du, datuak helburu desberdinetarako ez erabiliz, ezta beste pertsona batzuei utziz, ezta haien kontserbazioarako ere.

3. Iraupena

DPA honek Bezeroak onartzean indarra hartuko du eta Agindua Arduradunari Zerbitzua ematen dion bitartean indarrean egongo da. Amaitzean, Aginduaren itzulketa, ezabatzea eta, hala badagokio, datu pertsonalen legezko kontserbazio betebeharrei buruzko betebeharrak iraungo dute, dagokion klausulan aurreikusitako terminoetan.

4. Natura, helburua, datuak eta interesdunak

Tratamenduaren natura: Lex Partis plataformaren eskaintza egiteko beharrezko terminoetan datu pertsonalen ostatu, kontserbazioa, prozesatzea, kontsulta, aldaketa, esportazioa eta ezabatzea.

Tratamenduaren helburua: Erantzukizunari ondare-espedienteen, judizialen eta notarialen kudeaketa, bezeroekin koordinazioa, dokumentazioa sortzea, ekintzen sinadura elektronikoa, froga trazabilitatea eta, oro har, www.lexpartis.comn deskribatutako Zerbitzuko funtzionalitateak ahalbidetzea.

Tratatutako datu pertsonalen kategorien

• Erantzukizunaren identifikazio eta kontaktu datuak, bere erabiltzaileak, bezeroak (kausatzaileak eta oinordekoak) eta beste parte-hartzaileak (ordezkariak, kontrapartidak, profesionalak).
• Datu profesionalak (kolegiatzea, protokolo zenbakia, ariketa).
• Heredatze masaarekin lotutako datu ekonomikoak eta patrimonialak.
• Dokumentuetan jasotako datuak (testamentuak, azken borondateen ziurtagiriak, idazkiak, fakturak, komunikazioak).
• Erantzukizunak datuak sartzen dituenean, 9. artikuluko RGPDko kategorien inguruko datuak (adibidez, ezintasun edo ordezkapenetarako garrantzitsua den osasun datuak) edo kondenak eta delituak dituzten datuak (10. artikulua RGPD).
• Plataformaren erabilera datuak (aktibitate erregistroak, IP helbideak, teknika buruak) segurtasun eta trazabilitate helburuetarako tratatuak.

Interesdunen kategorien

• Erantzukizunaren erabiltzaileak (bazkideak, abokatuak, paralegaleak, administrazio langileak).
• Erantzukizunaren bezeroak eta kontrapartidak (kausatzaileak, oinordekoak, legitimatzaileak, legatarioak, kreditu-emaileak, zorlariek, adituak).
• Zerbitzuan tratatutako dokumentazioan aipatutako hirugarrenak.

5. Erantzukizunaren betebeharrak

Erantzukizuna, Tratamenduaren Erantzukizun gisa, Aginduari bermatzen dio:

• Plataformaren bidez burutzen den tratamendu bakoitzerako oinarria dagoela.
• Interesdunei 13. eta 14. artikuluen arabera informatu diezaiela eta, kasuan kasu, beren informatutako, libre eta zehatzeko baimena lortu duela.
• Erantzukizun gisa bere betebeharrak betetzen ditu, bereziki interesdunen eskubideen arretari, informazio betebeharrei eta inpaktu ebaluazioak egiteko betebeharrei dagokienez, exijibleak direnean.
• Plataforman datu pertsonalak soilik sartu ditu, helburuekin lotuta egokiak, garrantzitsuak eta beharrezkoak direnak (minimizazio printzipioa).

6. Aginduen betebeharrak

Agindua betetzera behartuta dago:

• Datu pertsonalak tratatzea Erantzukizunaren dokumentatutako aginduen arabera, nazioarteko transferentziak izan arren, baldin eta Europar Batasuneko edo aplikagarri den Estatu kideko Legearen arabera behartuta ez badago, kasu horretan Erantzukizunari lege-betebeharraz informatuko dio, lege debekurik gabe.
• Datu pertsonalak tratatzeko baimendutako pertsonak konfidentzialtasuna errespetatzeko konpromisoa hartu dutela bermatzea edo konfidentzialtasun lege-betebehar baten menpe daudela.
• 32. artikuluan aurreikusitako neurri tekniko eta antolakuntzako egokiak hartzea RGPD.
• Lagundu Responsablesari, ahal den neurrian eta neurri tekniko eta antolaketako egokiekin, interesdunen eskubideen erabilera helburu duten eskaerei erantzuteko betebeharra betetzen.
• Lagundu Responsablesari RGPDren 32tik 36ra bitarteko artikuluetan aurreikusitako betebeharrak betetzen (segurtasuna, datuen urraketak jakinaraztea, eragin ebaluazioak eta aurretiko kontsultak).
• Jartzeko Responsablesari behar den informazio guztia, RGPDren 28. artikuluaren betebeharrak betetzen direla frogatzeko, baita auditoriak egiteko aukera emateko eta laguntzeko, dagokion klausulan aurreikusitako baldintzetan.
• Bere iritziz, agindu batek datuen babesari buruzko araudia urratzen badu, berehala jakinarazi Responsablesari.

7. Konfidentzialtasuna

Kargudunak datu pertsonalen tratamenduaren gaineko sekretu betebeharra mantenduko du, Zerbitzuaren ematea amaitu ondoren ere. Datu horiek tratatzeko baimendutako langileek konfidentzialtasun betebehar dokumentatu baten menpe egon behar dute, behar denean profesionalaren sekretu betebeharraren baliokidea, eta datuen babesari buruzko prestakuntza beharrezkoa jaso dute.

8. Neurri tekniko eta antolaketakoak

Kargudunak neurri tekniko eta antolaketako egokiak ezartzen eta mantentzen ditu arriskuari egokitutako segurtasun maila bat bermatzeko, RGPDren 32. artikuluaren baldintzetan, teknika egoera, aplikazio kostuak, tratamenduaren natura, irismena, testuingurua eta helburuak, baita pertsona fisikoen eskubide eta askatasunentzako arriskuak kontuan hartuta. Bereziki:

• TLS 1.3 bidezko zifratzea igarotzean eta (AES-256) datu biltegietan.
• Roletan oinarritutako sarbide kontrola (RBAC), gutxieneko pribilegio printzipioa eta erabiltzaileentzako eskuragarri dagoen autentifikazio multifaktore.
• Logika segregazioa multi-tenant: Responsables bakoitzaren datuak irakurketa eta idazketa operazio bakoitzean antolaketa identifikatzaileak erabiliz isolatzen dira.
• Kriptografia trazabilitatea denbora zigiluarekin (TSA) kritikoak diren operazioetan (sorrera, aldaketa, sinadura).
• Aldizkako segurtasun kopiak berreskurapen egiaztatuekin, EEE barruan kokatutako azpiegituran gordeta.
• Automatizatutako segurtasun probak cada despliegue, jarraipen etengabea eta formalki kudeatzeko prozedurak gertakariak eta ahultasunak.
• Langileen prestakuntza aldizkakoa datuen babesari eta informazioaren segurtasunari buruz.

Neurri tekniko eta antolaketakoen xehetasun zehatza eskatu ondoren, dpo@lexpartis.comra jotzen baduzu, kontsultatu daiteke.

9. Segurtasun urraketen jakinarazpena

Kargudunak Responsablesari, inolako atzerapenik gabe eta, halaber, ezarritako 72 orduko epean, jakinaraziko dio datu pertsonalen segurtasun urraketa bat, Responsablesaren kontura tratatutako datuei eragiten badie, RGPDren 33.2 artikuluaren arabera.

Jakinarazpenak, informazioa eskuragarri dagoen neurrian, urraketaren natura, kategoria eta interesdun kopuru aproximatua, posible diren ondorioak, hartu edo proposatutako neurriak urraketa konpontzeko eta, hala badagokio, posible diren ondorio negatiboak arintzeko neurriak barne izango ditu. Informazioa aldi berean emateko modurik ez badago, Kargudunak informazioa modu progresiboan emango du inolako atzerapenik gabe.

10. Azpikargudunak

Responsablesak Kargudunari, oro har eta aurretiko komunikazioarekin, www.lexpartis.com/legal/subprocesadores webgunean identifikatutako azpikargudunak (azpiprosesatzaileak) erabiltzeko baimena ematen dio. Harremana webgune horretan eguneratuta mantenduko da, eta hori DPA honen osagarri da RGPDren 28.2 artikulua betetzeko.

Kargudunak azpikargudun bakoitzarekin idatzizko kontratu bat sinatuko du, datuen babesari buruzko betebeharrak DPA honetan jasotakoen baliokideak ezartzen dituena. Kargudunak beti izango du erantzukizun osoa, Responsablesaren aurrean, azpikargudunak bere betebeharrak betetzen dituenaren gainean.

Kargudunak azpikargudun berriak gehitu edo dagoeneko daudenak ordezkatu nahi baditu, gutxienez hamabost (15) egun naturaleko aurretiko jakinarazpena emango dio Responsablesari, azpiprosesatzaileen webgunea eguneratuz eta, behar denean, komunikazio zehatz bat eginez. Responsablesak arrazoituta aurka egin dezake datuen babesari buruzko arrazoi objektibo eta justifikatuekin, bere aurkako iritzia dpo@lexpartis.comra bidaliz. Alderdiek irtenbide asegarri bat lortzen ez badute, Responsablesak kontratua bertan behera utzi dezake penalizaziorik gabe.

11. Nazioarteko transferentziak

Zerbitzua emateko, datu pertsonalen nazioarteko transferentziak EEEtik kanpo egin behar badira, hauek RGPDren V. Kapituluan aurreikusitako mekanismoen babesean egingo dira: (i) Europako Batzordearen egokitzapen erabakia; (ii) 2021/914 (EB) Exekuzio Erabakiaren bidez onartutako Klauzula Mota; (iii) lotesleko korporazio arauak; edo (iv) edozein beste legez onartutako tresna, kasu bakoitzean beharrezkoak diren neurri tekniko eta antolaketako gehigarriak barne.

Nazioarteko transferentziatan parte hartzen duten azpikontratugileen identitatea eta aplikagarriak diren berme zehatzak argitaratzen dira www.lexpartis.com/legal/subprozesatzaileak. Erantzuleak, dpo@lexpartis.comra jotzen badu, hartutako bermeen kopia lortu dezake.

12. Interesdunen eskubideak

Azpikontratugileak Erantzuleari lagunduko dio, neurri tekniko eta antolamenduzko egokiekin, interesdunek formulatutako eskubideen erabilera eskaerak (sarrera, zuzenketa, ezabatzea, tratamendua mugatzea, portabilitatea eta aurkakotasuna; eta, hala badagokio, erabaki automatizatuen objektu ez izateko eskubidea) epean atenditzeko.

Azpikontratugileak interesdun batetik zuzenean eskubideen erabilera eskaera bat jasotzen badu, berehala Erantzuleari igorriko dio eta, agindu espresurik gabe, ez dio zuzenean erantzun interesdunari.

13. Itzulera edo ezabatzea amaitzean

Hitzarmena amaitzean, Azpikontratugileak, Erantzulearen aukeraren arabera, Erantzulearen kontura tratatutako datu pertsonal guztiak, baita dauden kopiak, itzuliko edo ezabatuko ditu, baldin eta datuen kontserbazioa Europar Batasuneko edo aplikagarri den estatu kideko legediak eskatzen badu. Horretarako, Azpikontratugileak Erantzuleari, amaitzetik hogeita hamar (30) egun naturaleko epe maximoan, plataforma honetan aurreikusitako esportazio funtzionalitateak jarriko dizkio eskuragarri.

Epe hori igaro ondoren, Erantzuleak itzulera eskatu ez badu, Azpikontratugileak datu pertsonalen ezabatze segurua edo, hala badagokio, iraunkortasunez anonimizazioa egingo du, betebehar honen betetze dokumentala Erantzuleak eskatzen duenean eskuragarri uzteko.

14. Auditoriak

Azpikontratugileak Erantzuleari, eskaera arrazoizko baten aurretik eta urtean behin (1) gehienez (salbu eta betetze urraketaren seinaleak badaude edo kontrol-agintari batek eskatzen badu), DPA honen betetze egiaztatzeko beharrezko informazioa jarriko dio eskuragarri, hala badagokio, ziurtagiriak, kanpoko auditoria txostenak edo aseguramendu txostenak (SOC 2, ISO 27001, ziurtagiri europarren eskemak).

Informazio hori nahikoa ez bada eta justifikazio arrazoizkoa badago, Erantzuleak, zuzenean edo konfidentzialtasun betebeharra duen auditoria independente baten bidez, ezarritako neurri tekniko eta antolamenduen auditoria bat egin dezake. Auditoria lanorduan garatuko da, Azpikontratugilearen operatibitateari nabarmen eragin gabe, eta kostuak Erantzuleak ordainduko ditu, salbu eta auditoriak Azpikontratugilearen betetze urraketak agerian jartzen baditu.

15. Ardurak

Alderdiek elkarrekin eta interesdunen aurrean erantzungo dute beren betebeharren urraketaren ondorioz sortutako kalte eta kalteengatik, 82. artikuluan aurreikusitako terminoetan RGPDn eta aplikagarri den legedian. Azpikontratugilearen Erantzulearen aurrean DPA honen ondorioz sortutako ardurak Términos-en aurreikusitako muga guztien menpe egongo da, indarrean dagoen legediarekin bateragarriak direnak.

16. Legedia aplikagarria eta jurisdikzioa

DPA honek Derecho español arautzen du eta, bereziki, RGPD eta LOPDGDD. Edozein gatazka konpontzeko, alderdiek Tribunales competentes de Barcelona, Españari men egingo diote, beste foru batzuetatik espresuki uko eginez, Erantzuleak kontsumitzaile izaera duenean aplikagarri den menpeko menpekotasuna kaltetu gabe.