Acuerdo de Encargado del Tratamiento (DPA)

Este Acuerdo de Encargado del Tratamiento (en adelante, "DPA") se celebra entre:

De una parte, Singularity Biomed S.L. (en adelante, "Navexia" o el "Encargado del Tratamiento"), con NIF B67399923 y domicilio en Avenida Via Augusta 15-25, 08174 Sant Cugat del Vallès, Barcelona, España.

Y de otra parte, el cliente que ha contratado los servicios de Navexia (en adelante, el "Cliente" o el "Responsable del Tratamiento").

Ambas partes se reconocen mutuamente la capacidad legal necesaria para suscribir el presente DPA, que forma parte integral de los Términos y Condiciones que regulan la prestación del servicio.

CLÁUSULAS

1. Objeto del Encargo

1.1. En virtud de los Términos y Condiciones, el Cliente contrata los servicios de Navexia, que implican el tratamiento de datos de carácter personal de los que el Cliente es Responsable. 1.2. El presente DPA tiene por objeto regular el tratamiento de dichos datos por parte de Navexia, en estricto cumplimiento de lo dispuesto en el Artículo 28 del RGPD.

2. Identificación de la Información Afectada

La naturaleza y finalidad del tratamiento, los tipos de datos personales y las categorías de interesados afectados son los descritos en el Anexo I de este DPA.

3. Duración

El presente DPA entrará en vigor en el momento de la contratación del Servicio y tendrá la misma duración que el contrato principal de prestación de servicios.

4. Obligaciones del Encargado del Tratamiento (Navexia)

Navexia, como Encargado del Tratamiento, se compromete a:

a) Tratar los datos únicamente siguiendo las instrucciones documentadas del Cliente, incluyendo las transferencias de datos, salvo que esté legalmente obligado a ello. b) Garantizar la confidencialidad, asegurando que las personas autorizadas para tratar los datos personales se hayan comprometido a respetar la confidencialidad de forma expresa y por escrito. c) Implementar medidas de seguridad técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, de conformidad con el Artículo 32 del RGPD. Esto incluye, entre otras, la seudonimización y el cifrado de datos, la capacidad de garantizar la confidencialidad, integridad y disponibilidad permanentes de los sistemas, y procesos de verificación y evaluación regulares. d) Respetar las condiciones para recurrir a otro encargado (sub-encargado), según lo estipulado en la cláusula 6. e) Asistir al Cliente, en la medida de lo posible, para que este pueda cumplir con su obligación de responder a las solicitudes de ejercicio de derechos de los interesados (derechos ARSOPOL). Navexia notificará al Cliente sin dilación indebida cualquier solicitud recibida. f) Dar apoyo al Cliente en el cumplimiento de sus obligaciones de seguridad, incluyendo la notificación de violaciones de seguridad de los datos a la autoridad de control y a los interesados, de acuerdo con los artículos 33 y 34 del RGPD. Navexia notificará al Cliente cualquier violación de la seguridad de los datos personales a su cargo sin dilación indebida. g) Una vez finalizada la prestación del servicio, a elección del Cliente, suprimir o devolver todos los datos personales y suprimir las copias existentes, salvo que se requiera la conservación de los datos en virtud del Derecho de la Unión o de los Estados miembros. h) Poner a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente DPA, así como permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del Cliente o de otro auditor autorizado por él.

5. Obligaciones del Responsable del Tratamiento (Cliente)

El Cliente, como Responsable del Tratamiento, se compromete a: a) Proporcionar a Navexia los datos necesarios para la prestación del servicio. b) Garantizar que tiene una base jurídica legítima para el tratamiento de los datos personales que confía a Navexia. c) Realizar una evaluación de impacto relativa a la protección de datos cuando proceda. d) Velar por el cumplimiento del RGPD y de este DPA por su parte.

6. Sub-encargados del Tratamiento

6.1. El Cliente autoriza expresamente a Navexia a recurrir a los sub-encargados enumerados en el Anexo I para llevar a cabo actividades de tratamiento específicas. 6.2. Navexia impondrá al sub-encargado las mismas obligaciones de protección de datos que las estipuladas en el presente DPA, en particular la prestación de garantías suficientes de aplicación de medidas técnicas y organizativas apropiadas. 6.3. Si Navexia tiene la intención de añadir nuevos sub-encargados o sustituir a los existentes, lo notificará al Cliente con una antelación mínima de 30 días. El Cliente podrá oponerse a dichos cambios en un plazo de 15 días desde la notificación. Si el Cliente se opone, las partes negociarán de buena fe una solución.

7. Ley Aplicable y Jurisdicción

El presente DPA se regirá e interpretará de acuerdo con las leyes de España y el RGPD. Cualquier controversia será sometida a la jurisdicción de los Juzgados y Tribunales de Barcelona.

ANEXO I – DETALLES DEL TRATAMIENTO

A. Lista de Sub-encargados del Tratamiento Autorizados

B. Detalles del Tratamiento

• Naturaleza y Finalidad: La prestación del servicio de Business Intelligence contratado, consistente en el análisis, procesamiento y visualización de los datos proporcionados por el Cliente.

• Duración: La vigencia del contrato de prestación de servicios entre Navexia y el Cliente.

• Tipos de Datos Personales: Los datos personales que el Cliente, bajo su exclusiva responsabilidad y criterio, decida subir o conectar a la plataforma. Esto puede incluir, sin limitarse a: datos de contacto, datos económicos y financieros, datos transaccionales, datos de recursos humanos, etc.

• Categorías de Interesados: Las categorías de interesados cuyos datos son tratados son determinadas exclusivamente por el Cliente. Esto puede incluir, sin limitarse a: clientes finales del Cliente, empleados del Cliente, proveedores del Cliente, etc.