UNNAX PAYMENT SYSTEMS, S.L.U. APÉNDICE DEL TRATAMIENTO DE DATOS

Este Apéndice del Tratamiento de Datos («DPA» o «Apéndice«) forma parte del acuerdo principal («Acuerdo Principal«) celebrado entre (i) Compañía o el Cliente quien actúa en su propio nombre y como agente de cada Filial de la Compañía; y (ii) UNNAX PAYMENT SYSTEMS, SLU («UnnaxTech«) quien actúa en su propio nombre y como agente de cada Filial de UnnaxTech.

 

UnnaxTech formaliza este DPA en su propio nombre y, en la medida en que lo exijan las leyes de protección de datos aplicables, en nombre y representación de cualquier Subencargado del tratamiento autorizado. 

 

En el transcurso de la prestación de los Servicios por parte de UnnaxTech al Cliente de conformidad con el Acuerdo Principal, UnnaxTech podrá tratar Datos Personales en nombre del Cliente y las Partes acuerdan que cumplirán con las siguientes disposiciones con respecto a cualquier Dato Personal, actuando cada una de manera razonable y de buena fe.

 

Los términos utilizados en este Apéndice tendrán los significados que aquí se establecen. Los términos escritos con la letra inicial en mayúscula que no estén definidos de otro modo en este documento tendrán el significado que se les da en el Acuerdo Principal. Excepto según se modifiquen a continuación, los términos del Acuerdo Principal tendrán plena vigencia. 

 

Teniendo en cuenta las obligaciones mutuas estipuladas en este documento, las partes acuerdan que los términos y condiciones que se detallan a continuación se agregaran como Apéndice al Acuerdo Principal. Excepto cuando el contexto exija lo contrario, las referencias al Acuerdo Principal que figuren en este Apéndice son al Acuerdo Principal, tal como haya quedado enmendado por el Anexo, e incluido este último.

 

  1. OBJETO

1.1. El presente Apéndice estipula los términos y condiciones que se aplicarán al tratamiento de los Datos Personales a los que UnnaxTech tenga acceso en virtud de los Servicios.

1.2. A los fines del presente Apéndice, los términos tendrán los significados establecidos en el Anexo 1.2. 

 

  1. OBJETIVOS DEL TRATAMIENTO

2.1. UnnaxTech se compromete a tratar los datos personales en nombre de la Compañía de acuerdo con las condiciones establecidas en este DPA. El tratamiento se realizará exclusivamente en el marco del Acuerdo y para todos los fines que se acuerden posteriormente.

2.2. UnnaxTech se abstendrá de usar los datos personales para cualquier otro fin que no sea el especificado por la Compañía. La Compañía informará a UnnaxTech de cualquier fin que no esté contemplado en este DPA. 

2.3. Todos los datos personales tratados en nombre de la Compañía seguirán siendo propiedad de la Compañía y/o de los Interesados.

2.4. UnnaxTech no tomará decisiones unilaterales con respecto al tratamiento de los datos personales para otros fines, incluidas las decisiones relativas a la transferencia de los mismos a terceros y la duración del almacenamiento de los datos.

2.5. El Anexo 2.5 de este Apéndice establece cierta información con respecto al Tratamiento por parte de los Encargados Contratados de los Datos Personales de la Compañía según lo exige el artículo 28(3) del RGPD (y, posiblemente, los requisitos equivalentes de otras Leyes de Protección de Datos). La Compañía podrá modificar en el futuro de forma razonable el Anexo 2.5 mediante notificación por escrito a UnnaxTech, según la Compañía lo considere razonablemente necesario para cumplir con esos requisitos. Nada de lo estipulado en el Anexo 2.5 confiere ningún derecho ni impone ninguna obligación a ninguna de las partes de este Apéndice.

 

  1. OBLIGACIONES DE UNNAXTECH

3.1. UnnaxTech garantizará el cumplimiento de las leyes y reglamentos aplicables, incluidas las leyes y reglamentos que rigen la protección de datos personales.

3.2. UnnaxTech proporcionará a la Compañía, a su solicitud y sin demora, los detalles sobre las medidas que ha adoptado para cumplir con sus obligaciones en virtud de este Apéndice.

3.3. Las obligaciones de UnnaxTech que surgen en virtud de los términos de este Apéndice también se aplican a quienes tratan los Datos Personales de la Compañía siguiendo las instrucciones de UnnaxTech. 

 

  1. PERSONAL DE UNNAXTECH Y DE LAS FILIALES DE UNNAXTECH

4.1. UnnaxTech y cada Filial de UnnaxTech adoptarán las medidas razonables para garantizar la confianza en cualquier empleado, agente o contratista de cualquier Encargado del Tratamiento Contratado que pueda tener acceso a los Datos Personales de la Compañía, asegurando en cada caso que el acceso esté estrictamente limitado a aquellas personas que necesitan saber o acceder a los Datos Personales de la Compañía en cuestión, según sea estrictamente necesario para los fines del Acuerdo Principal, y para cumplir con las Leyes Aplicables en el contexto de las obligaciones de esa persona con el Encargado del Tratamiento Contratado, y garantizando que todas esas personas estén sujetas a compromisos de confidencialidad o a obligaciones de confidencialidad profesionales o legales.

 

  1. SEGURIDAD

5.1. Teniendo en cuenta la tecnología más avanzada, los costes de implementación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como el riesgo de la probabilidad de variación y severidad para los derechos y libertades de las personas físicas, UnnaxTech y cada Filial de UnnaxTech implementarán las medidas técnicas y organizativas adecuadas para proteger los Datos (i) de la destrucción accidental o ilegal, y (ii) de la pérdida, alteración, divulgación no autorizada o acceso no autorizado a los Datos. Como mínimo, tales medidas deberán incluir las medidas de seguridad identificadas en el Anexo 5.1.

5.2. Al evaluar el nivel de seguridad adecuado, UnnaxTech y cada Filial de UnnaxTech deberán tener especialmente en cuenta los riesgos que presenta el Tratamiento, en concreto en caso de una Violación de la Seguridad de los Datos Personales.

 

  1. SUBTRATAMIENTO

6.1. La Compañía reconoce y acepta que para prestar los Servicios UnnaxTech utilizará los Subencargados del Tratamiento (incluidas las Filiales de UnnaxTech) según lo establecido en la lista de Subencargados del Tratamiento en vigor en ese momento disponible en [https://www.unnax.com/es/subprocessor]. 

6.2. UnnaxTech celebrará un acuerdo por escrito con cada uno de dichos Subencargados del Tratamiento que les imponga unas obligaciones que sean sustancialmente similares a las impuestas a UnnaxTech en virtud de este Apéndice. UnnaxTech solo conservará aquellos Subencargados del Tratamiento que, de forma razonable, considere que protegerán adecuadamente la privacidad, la confidencialidad y la seguridad de los Datos Personales. 

 

  1. DERECHOS DE LOS INTERESADOS

7.1. Teniendo en cuenta la naturaleza del Tratamiento, UnnaxTech y cada una de sus Filiales ayudarán a cada Miembro del Grupo de la Compañía a implementar las medidas técnicas y organizativas adecuadas, en la medida de lo posible, para que cumplan con sus obligaciones, en la forma que la Compañía lo considere razonable, para responder a las solicitudes de los Interesados que desean ejercer sus derechos en virtud de las Leyes de Protección de Datos.

7.2. UnnaxTech:

7.2.1. Notificará de inmediato a la Compañía si un Encargado del Tratamiento Contratado recibe una solicitud de un Interesado en virtud de cualquier Ley de Protección de Datos con respecto a los Datos Personales de la Compañía.

7.2.2. Se asegurará de que el Encargado del Tratamiento Contratado solo responda a esa solicitud siguiendo las instrucciones documentadas de la Compañía o de la Filial correspondiente o según lo exijan las Leyes Aplicables a las que está sujeto el Encargado del Tratamiento Contratado, en cuyo caso, UnnaxTech deberá, en la medida en que lo permita la Ley Aplicable, informar a la Compañía de ese requisito legal antes de que el Encargado del Tratamiento Contratado responda a la solicitud.

 

  1. VIOLACIÓN DE LA SEGURIDAD DE LOS DATOS PERSONALES

8.1. UnnaxTech notificará a la Compañía sin demora indebida cuando UnnaxTech o cualquier Subencargado del Tratamiento tenga conocimiento de una Violación de la Seguridad de los Datos Personales que afecte a los Datos Personales de la Compañía, proporcionando a la Compañía información suficiente para permitir que cada Miembro del Grupo de la Compañía cumpla con cualquier obligación de comunicar o informar a los Interesados de la Violación de la Seguridad de los Datos Personales en virtud de las Leyes de Protección de Datos.

8.2. UnnaxTech cooperará con la Compañía y con cada Miembro del Grupo de la Compañía y tomará las medidas comerciales razonables que le indique la Compañía para ayudar en la investigación, la mitigación y la recuperación de cada Violación de Seguridad de los Datos Personales.

 

  1. AYUDA DE UNNAXTECH

9.1. UnnaxTech ayudará a la Compañía a garantizar el cumplimiento de sus obligaciones de conformidad con los artículos 32 a 36 del RGPD, teniendo en cuenta la naturaleza del tratamiento y la información disponible para UnnaxTech.

 

  1. ELIMINACIÓN O DEVOLUCIÓN DE DATOS PERSONALES DE LA COMPAÑÍA

10.1. Al término o vencimiento del Acuerdo, UnnaxTech (a elección de la Compañía) destruirá o devolverá a la Compañía todos los Datos Personales de esta (incluidas todas las copias de los Datos) que estén en su posesión o control (incluidos los datos cuyo tratamiento haya sido subcontratado a un tercero). Este requisito no se aplicará en la medida en que cualquier ley aplicable requiera que UnnaxTech conserve parte o la totalidad de los Datos, en cuyo caso UnnaxTech aislará y protegerá los Datos de cualquier tratamiento adicional, excepto en la medida en que dicha ley lo exija. 

10.2. A solicitud de la Compañía, UnnaxTech deberá proporcionar una certificación por escrito de que ha cumplido con los requisitos de esta Sección firmada por un delegado de UnnaxTech.

 

  1. DEMOSTRACIÓN DEL CUMPLIMIENTO

11.1. UnnaxTech pondrá a disposición de la Compañía la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el artículo 28 del RGPD y, si es necesario, permitirá auditorías realizadas por una Compañía que no sea competidora de UnnaxTech.

 

  1. TRANSFERENCIAS RESTRINGIDAS

12.1. Cada Miembro del Grupo de la Compañía (como «exportador de datos») y cada Encargado del Tratamiento Contratado, según corresponda, (como «importador de datos») formalizarán las Cláusulas Contractuales Tipo con respecto a cualquier Transferencia Restringida de ese Miembro del Grupo de la Compañía a ese Encargado del Tratamiento Contratado.

12.2. Las Cláusulas Contractuales Tipo entrarán en vigor cuando se produzca en último lugar una de estas situaciones: 

12.2.1. El exportador de datos se convierta en parte de ellas.

12.2.2. El importador de datos se convierta en parte de ellas. 

12.2.3. Inicio de la transferencia restringida correspondiente.

12.3. La Sección 12.1 no se aplicará a una Transferencia Restringida a menos que su efecto, junto con otros pasos de cumplimiento razonable y factible (que, para evitar dudas, no incluyen la obtención de consentimientos de los Interesados), sea para permitir que la Transferencia Restringida relevante tenga lugar sin el incumplimiento de Ley de Protección de Datos aplicable.

12.4. UnnaxTech garantiza y declara que, antes del comienzo de cualquier Transferencia Restringida a un Subencargado del Tratamiento que no sea una Filial de UnnaxTech, la formalización de las Cláusulas Contractuales Tipo por parte de UnnaxTech o la Filial de UnnaxTech correspondiente, y el acuerdo de modificaciones de dichas Cláusulas Contractuales Tipo, como agente del Subencargado del Tratamiento y en su nombre, habrán sido autorizadas debidamente y de forma efectiva (o posteriormente ratificadas) por ese Subencargado del Tratamiento.

 

  1. CONDICIONES GENERALES

13.1. Ley y jurisdicción aplicables

13.1.1. El Apéndice y su implementación se regirán por la legislación española.

13.1.2. Cualquier litigio que pueda surgir en relación con y/o que surja de este Apéndice se regirá por los tribunales de la ciudad de Barcelona (España).

13.2. Orden de prevalencia

13.2.1. Nada de lo estipulado en el presente Apéndice reduce las obligaciones de UnnaxTech o de cualquier Filial de UnnaxTech en virtud del Acuerdo Principal en relación con la protección de Datos Personales o permite a UnnaxTech o cualquier Filial de UnnaxTech Tratar (o permitir el Tratamiento de) Datos Personales de una manera que el Acuerdo Principal prohíba. En el caso de cualquier conflicto o contradicción entre este Apéndice y las Cláusulas Contractuales Tipo, prevalecerán las Cláusulas Contractuales Tipo.

13.2.2. De conformidad con la Sección 13.2, con respecto al objeto de este Apéndice, en el caso de contradicción entre las disposiciones de este Apéndice y cualquier otro acuerdo entre las partes, incluido el Acuerdo Principal e incluso (excepto cuando se acuerde expresamente lo contrario por escrito, firmado en nombre de las partes) acuerdos celebrados o que se pretendan celebrar después de la fecha de este Apéndice, prevalecerán las disposiciones de este Apéndice.

13.3. Separación

13.3.1. En caso de que alguna disposición de este Apéndice sea inválida o inaplicable, el resto de este Apéndice seguirá siendo válido y vigente. La disposición inválida o inaplicable deberá ser (i) enmendada según sea necesario para garantizar su validez y aplicabilidad, al tiempo que se preservan las intenciones de las partes en la mayor medida posible o, si esto no es posible, (ii) se interpretan de una manera como si la parte inválida o inaplicable nunca hubiera formado parte del contenido del mismo.

 

Y, PARA QUE ASÍ CONSTE, se formaliza este Apéndice y se convierte en parte vinculante del Acuerdo Principal con vigencia a partir de la fecha arriba indicada.

 

ANEXO 1.2: DEFINICIONES

 

En este Apéndice, los términos siguientes tendrán los significados que se detallan a continuación y los términos afines se interpretarán en consecuencia:


  • «Leyes Aplicables» son (a) las leyes de la Unión Europea o de los Estados miembro con respecto a los Datos Personales de la Compañía respecto de los cuales cualquier Miembro del Grupo de la Compañía está sujeto a las Leyes de Protección de Datos de la UE; y (b) cualquier otra ley aplicable con respecto a cualquier Dato Personal de la Compañía respecto de los cuales cualquier Miembro del Grupo de la Compañía esté sujeto a cualquier otra Ley de Protección de Datos;
  • «Filial de la Compañía» es una entidad que posee o controla, es propiedad o está controlada por o está bajo el control común o la propiedad de la Compañía, donde el control se define como la posesión, directa o indirectamente, del poder para dirigir u orientar la dirección de la administración y las políticas de una entidad, ya sea a través de la propiedad de valores con derecho a voto, por contrato o de otra manera;
  • «Miembro del Grupo de la Compañía» es la Compañía o cualquier Filial de la Compañía;
  • «Datos Personales de la Compañía» es cualquier Dato Personal Tratado por un Encargado del Tratamiento Contratado en nombre de un Miembro del Grupo de la Compañía de conformidad o en relación con el Acuerdo Principal; 
  • «Encargado del Tratamiento Contratado» es UnnaxTech o un Subencargado del Tratamiento;
  • «Leyes de Protección de Datos» son las Leyes de Protección de Datos de la UE y, en la medida en que sea aplicable, las leyes de protección de datos o de privacidad de cualquier otro país;
  • «EEE» es el Espacio Económico Europeo;
  • «Leyes de Protección de Datos de la UE» es la Directiva 95/46/CE de la UE, tal como se traspuso a la legislación nacional de cada Estado miembro y en su versión oportunamente modificada, reemplazada o sustituida, incluidas por el RGPD y las leyes que implementan o complementan el RGPD;
  • «RGPD» es el Reglamento General de Protección de Datos de la UE 2016/679;
  • «Transferencia Restringida» es:
  • Una transferencia de Datos Personales de la Compañía de cualquier Miembro del Grupo de la Compañía a un Encargado del Tratamiento Contratado; o
  • Una transferencia ulterior de los Datos Personales de la Compañía de un Encargado del Tratamiento Contratado a un Encargado del Tratamiento Contratado, o entre dos establecimientos de un Encargado del Tratamiento Contratado.
  • En cada caso, cuando dicha transferencia esté prohibida por las Leyes de Protección de Datos (o por las condiciones de los acuerdos de transferencia de datos establecidos para abordar las restricciones de la transferencia de datos de las Leyes de Protección de Datos) en ausencia de (i) las Cláusulas Contractuales Tipo, o (ii) una autocertificación para el Escudo de la Privacidad (que se mantendrá durante el tiempo que UnnaxTech trate los Datos Personales de la Compañía), asumiendo que el alcance de dicha autocertificación abarca todos los Datos Personales de la Compañía que UnnaxTech trata en virtud del Acuerdo y este Apéndice, y UnnaxTech se compromete a cumplir con los Principios del Escudo de la Privacidad al tratar dichos Datos Personales de la Compañía.
  • «Servicios» son los servicios y otras actividades que deben ser suministrados o realizados por UnnaxTech o en su nombre para los Miembros del Grupo de la Compañía de conformidad con el Acuerdo Principal;
  • «Cláusulas Contractuales Tipo» son las cláusulas contractuales tipo que adopta directamente la Comisión o una autoridad de control de conformidad con el art. 28.7 y 28.8 del RGPD;
  • «Subencargado del Tratamiento» es cualquier persona (incluidos terceros y cualquier Filial de UnnaxTech, pero no un empleado de UnnaxTech o cualquiera de sus subcontratistas) designado por o en nombre de UnnaxTech o de cualquier Filial de UnnaxTech para Tratar Datos Personales en nombre de cualquier Miembro del Grupo de la Compañía en relación con el Acuerdo Principal; y
  • «Filial de UnnaxTech» es una entidad que posee o controla, es propiedad o está controlada por o está bajo el control común o la propiedad de UnnaxTech, donde el control se define como la posesión, directa o indirectamente, del poder para dirigir u orientar la dirección de la administración y las políticas de una entidad, ya sea a través de la propiedad de valores con derecho a voto, por contrato o de otra manera.


  • Los términos «Comisión«, «Responsable del Tratamiento«, «Interesado«, «Estado Miembro«, «Datos Personales«, «Violación de la Seguridad de los Datos Personales«, «Tratamiento» y «Autoridad de Control» tendrán el mismo significado que en el RGPD, y sus términos afines se interpretarán en consecuencia. 
  • La palabra «incluir» se interpretará en el sentido de incluir sin limitación, y los términos afines se interpretarán en consecuencia.

 

ANEXO 2.5: DETALLES DE TRATAMIENTO DE DATOS PERSONALES DE LA COMPAÑÍA

Este Anexo 2.5 incluye ciertos detalles del Tratamiento de Datos Personales de la Compañía según lo requiere el Artículo 28(3) RGPD.

 

Objeto y duración del Tratamiento de los Datos Personales de la Compañía

El objeto y la duración del Tratamiento de los Datos Personales de la Compañía están estipulados en el Acuerdo Principal y en este Apéndice.

 

La naturaleza y finalidad del Tratamiento de los Datos Personales de la Empresa

Que UnnaxTech preste los Servicios al Cliente de conformidad con el Acuerdo Principal.

 

Los tipos de Datos Personales de la Compañía que se tratarán serán:

Nombre

Apellido

Nombre de usuario

Dirección de correo electrónico personal

Fecha de nacimiento

Edad

Sexo

Teléfono móvil

Cuenta bancaria

Número de tarjeta de crédito

Número de tarjeta de débito

Informe crediticio

Registros de préstamos

Otros estados financieros

 

Las categorías de Interesados con las que están relacionados los Datos Personales de la Compañía

Usuario de banca en línea.

 

Las obligaciones y derechos de la Compañía y sus Filiales

Las obligaciones y los derechos de la Compañía y sus Filiales están estipuladas en el Acuerdo Principal y este Apéndice.

 

ANEXO 5.1 

DESCRIPCIÓN DE LAS MEDIDAS DE SEGURIDAD TÉCNICAS Y ORGANIZATIVA QUE DEBE IMPLEMENTAR EL PROVEEDOR

 

  1. Programa de Seguridad de la Información (PSI)

El Proveedor dispondrá de un PSI diseñado para (a) ayudar al Cliente a proteger los Datos Personales contra la pérdida, el acceso o la divulgación accidentales o ilegales, (b) identificar los riesgos internos y previsiblemente razonables para la seguridad y el acceso no autorizado a la Red del Proveedor (que se define a continuación), y c) minimizar los riesgos de seguridad, incluso a través de la evaluación de riesgos y la realización de pruebas periódicas. El Proveedor designará a un empleado para que sea responsable del PSI.

El PSI incluirá las medidas siguientes: 

1.1. Seguridad de la red

Podrán acceder a la Red del Proveedor los empleados, contratistas y cualquier otra persona que lo necesite para proporcionar los servicios de tratamiento de datos. El Proveedor mantendrá controles de acceso y políticas para gestionar el acceso a la Red del Proveedor desde cada conexión de red y usuario, incluido el uso de controles de autenticación, cortafuegos o sistemas de detección de intrusiones. El Proveedor dispondrá de planes de respuesta a incidencias de seguridad para gestionar las posibles incidencias en materia de seguridad. 

1.2. Seguridad física

Los componentes físicos de la Red del Proveedor se encuentran en instalaciones («Instalaciones») controladas por una empresa certificada con ISO 27001 (es decir, Amazon Web Services) o en Instalaciones que cumplen o superan todos los requisitos siguientes de seguridad física:

  1. Controles físicos de acceso. Los controles de barrera física se utilizan para evitar la entrada no autorizada a las Instalaciones, tanto en el perímetro como en los puntos de acceso del edificio. El paso a través de las barreras físicas en las Instalaciones requiere la validación del control de acceso electrónico (por ejemplo, sistemas de acceso con tarjeta, etc.) o la validación por parte del personal de seguridad (por ejemplo, un servicio de guardia de seguridad contratado o interno, recepcionista, etc.). A los empleados y contratistas se les asignan credenciales de identificación con foto que se deben llevar puestas mientras los empleados y contratistas se encuentran en cualquiera de las Instalaciones. Los visitantes deben registrarse con el personal designado, deben mostrar una identificación adecuada, se les asigna una tarjeta de identificación de visitante que deben llevar mientras se encuentran en cualquiera de las Instalaciones y son escoltados continuamente por empleados o contratistas autorizados mientras visitan las Instalaciones. 
  2. Acceso limitado de empleados y contratistas. El Proveedor proporciona acceso a las Instalaciones a aquellos empleados y contratistas que tienen una necesidad comercial legítima de dichos privilegios de acceso. Cuando un empleado o contratista ya no tiene una necesidad comercial para los privilegios de acceso asignados, estos se revocan rápidamente, incluso si el empleado o contratista continúa siendo un empleado del Proveedor o sus filiales. 

  3. Protecciones físicas de seguridad. Todos los puntos de acceso (excepto las puertas de entrada principales) se encuentran permanentemente en un estado bloqueado. Los puntos de acceso a las Instalaciones se controlan mediante cámaras de videovigilancia que graban a todas las personas que acceden a las Instalaciones. El Proveedor también dispone de sistemas electrónicos de detección de intrusiones que detectan el acceso no autorizado a las Instalaciones, incluido el control de los puntos de vulnerabilidad (p. ej., puertas de entrada principales, puertas de salida de emergencia, escotillas de techo, puertas de zonas de carga y descarga, etc.) con contactos de puertas, dispositivos de rotura de vidrios, detección de movimiento interior, u otros dispositivos diseñados para detectar individuos que intentan acceder a las Instalaciones. Cualquier acceso físico a las Instalaciones por parte de los empleados y contratistas queda registrado y se audita periódicamente.

1.3. Seguridad de los Datos Personales. Controles para la protección de los Datos Personales. 

El Proveedor conservará las medidas técnicas y organizativas adecuadas para la protección de la seguridad (incluida la protección contra el Tratamiento no autorizado o ilegal y contra la destrucción, pérdida, alteración o daño accidental o ilegal, así como la divulgación o el acceso no autorizado a los Datos Personales), la confidencialidad y la integridad de los Datos Personales adecuados al riesgo, incluidos, entre otros, según corresponda: (i) la seudonimización y el cifrado de datos personales; (ii) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resistencia permanentes de los sistemas y servicios de tratamiento; (iii) la capacidad de restablecer la disponibilidad y el acceso a los datos personales de manera oportuna en caso de una incidencia física o técnica; (iv) un proceso para probar, evaluar y valorar periódicamente la efectividad de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. El proveedor controla regularmente el cumplimiento de estas medidas. El proveedor no reducirá significativamente la seguridad general de los servicios de tratamiento de datos durante un período de suscripción. 

1.4. Continuidad empresarial y recuperación de desastres 

El proveedor dispondrá de un plan de Continuidad empresarial y recuperación de desastres basado en el riesgo. El plan de recuperación se comprobará al menos una vez al año para garantizar que es posible la recuperación total y para cumplir con los SLA previstos.

1.5. Seguridad de los empleados

El proveedor tendrá acuerdos de confidencialidad firmados con los empleados y contratistas. Para los puestos que tengan acceso a información personal, también se comprobarán los antecedentes. Además,) todos los empleados y contratistas tendrán una forma común de informar sobre las incidencias, aprobada por la organización, y realizarán al menos una formación anual sobre cuestiones de seguridad.

  1. Evaluación continua

El proveedor debe reevaluar y actualizar sus políticas de seguridad de forma periódica. Los cambios deben estar documentados y se deben usar los controles de cambio.