Proteccion de Datos de carácter personal

En lo referente al cumplimiento de la legislación vigente en materia de datos personales, y si pretende almacenar ficheros de datos personales utilizando nuestra plataforma, le proporcionamos la siguiente información relacionada con el servicio que tiene contratado con Occentus Network.

Si almacena datos de carácter personal en nuestra infraestructura, Occentus Network pasaría a ser uno de los encargados del tratamiento. Puede encontrar el clausulado requerido por el RGPD recogido en la cláusula 13 de nuestras condiciones generales de contratación establecidas por defecto al contratar el servicio con Occentus Network. En el caso de haber formalizado su contrato con anterioridad al 25 de mayo de 2018 y necesitar actualizar su contrato con las cláusulas contractuales tipo del RGPD, puede solicitar su copia personalizada, firmada y sellada a través de su área de cliente.

Política de Protección de datos

En Occentus tratamos sus datos personales con la finalidad de llevar a cabo, correctamente, la gestión profesional, la relación comercial, la facturación, así como el contacto con el cliente para la posibilitar la prestación del servicio.

Los datos correspondientes a las personas autorizadas y de contacto, facilitados por el cliente, tendrán como objeto la gestión de control de privilegios y de accesos para garantizar la seguridad de los servicios y de las instalaciones. Será responsabilidad del cliente informar a los interesados, y en los términos establecidos en la ley, de su inclusión, y el tratamiento de estos datos.

La base legal para el tratamiento de sus datos es la solicitud de servicios mediante la aceptación de este contrato, según los términos y condiciones detallados en el mismo. Los datos sólo podrán ser utilizados para los fines expuestos de acuerdo con los principios de transparencia y de limitación de la finalidad.

Los datos serán cedidos en aquellos casos en que así se exija legalmente a las entidades públicas con competencia en la materia.

No se producirán transferencias internacionales de datos, excepto que se indique expresamente en la descripción de los servicios ofertados, o en las Condiciones Particulares asociadas, como en los registros de nombres de dominio u otros servicios, según lo contemplado en el 28.1 (Servicios de Registro), consintiendo el Cliente en estos casos la transferencia internacional al contratar el servicio.

Los datos personales proporcionados se conservarán mientras se mantenga la relación comercial y profesional, y posteriormente se deberán conservar durante el plazo general establecido para la prescripción de las acciones personales en la legislación civil y el cumplimiento de conservación de datos para cumlir con las obligaciones fiscales. A lo largo de ese periodo los datos se podrán poner a disposición de la administración pública con competencia en la materia, previa solicitud de los mismos por causa justificada.

Así mismo, en caso de impago, Occentus podrá comunicar sus datos a entidades gestoras de cobro para la gestión de la reclamación de la deuda en nombre de Occentus Network.

  1. Derechos del interesado.
    En su calidad de interesado tiene derecho a:

    1. Obtener confirmación sobre si en Occentus se están tratando datos personales que les conciernan, y en tal caso, derecho de acceso a sus datos personales, a los fines del tratamiento, y a las categorías de datos personales de que se trate.
    2. Solicitar la rectificación de los datos inexactos o, en su caso, solicitar su supresión cuando, los datos ya no sean necesarios para los fines que fueron recogidos; se haya retirado el consentimiento en el que se basa el tratamiento o se oponga al tratamiento; los datos personales se hayan tratado de manera ilícita; o deban suprimirse para el cumplimiento de una obligación legal establecida en el derecho de la Unión o de los Estados miembros.
    3. Solicitar la limitación del tratamiento de sus datos cuando, impugne la exactitud de los datos personales durante el plazo que permita al responsable verificar la exactitud de los mismos; el tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso; el responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones; o el interesado se haya opuesto al tratamiento, mientras se verifica si los motivos legítimos del responsable prevalecen sobre los del interesado. En tales casos, únicamente conservaremos los datos para el ejercicio o la defensa de reclamaciones.
    4. Solicitar su oposición al tratamiento de sus datos por motivos relacionados con su situación particular. Occentus dejará de tratar los datos, salvo por motivos legítimos imperiosos, o el ejercicio o la defensa de posibles reclamaciones.
    5. Recibir los datos personales que le incumban, y que haya facilitado, en un formato estructurado, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado, cuando, el tratamiento este basado en el consentimiento; o el tratamiento se efectúe por medios automatizados.

      Puede ejercitar sus derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento y, cuando legalmente proceda, portabilidad, mediante el envío de una solicitud por escrito, indicando el derecho que desea ejercitar y aportando una copia por las dos caras de su DNI o documento legal de identificación de su identidad tanto mediante al correo electrónico: proteccion.datos@occentus.net o mediante carta postal a: Occentus Network S.L., C/ Villa de Madrid 44, Pol. Ind. Fuente del Jarro, 46988, Paterna, Valencia.
      Así mismo, le informamos que la legislación vigente contempla su derecho de presentar una reclamación directamente ante una autoridad de control.

  2. Tratamiento de datos responsabilidad del Cliente.
    Únicamente en el supuesto que Occentus tuviera acceso a datos de carácter personal responsabilidad del Cliente, y la prestación de los servicios contratados implique un tratamiento de datos personales por cuenta de un responsable del tratamiento, ya sea el Cliente o un tercero que contrate los servicios del Cliente directa o indirectamente, Occentus será considerado “encargado del tratamiento”, comprometiéndose a cumplir las obligaciones que le correspondan en función de la naturaleza y alcance de los servicios contratados y en virtud de lo establecido en la normativa vigente en materia de protección de datos, nacional o supranacional.

    1. Obligaciones como encargado del tratamiento:
      1. Tratar los datos personales a los que tiene acceso conforme a las instrucciones documentadas del Cliente, no aplicándolos o utilizándolos con fines distintos a los establecidos en el presente Contrato, inclusive con respecto a las transferencias de datos personales a un tercer país o una organización internacional, salvo que esté obligado a ello en virtud del Derecho de la Unión o de los Estados miembros que se aplique al encargado; en tal caso, el encargado informará al responsable de esa exigencia legal previa al tratamiento, salvo que tal Derecho lo prohíba por razones importantes de interés público.
        Si el encargado del tratamiento considera que alguna de las instrucciones infringe cualquier disposición en materia de protección de datos de la Unión o de los Estados miembros, el encargado informará inmediatamente al Cliente.
      2. Garantizar que las personas autorizadas para tratar datos personales se comprometan a respetar la confidencialidad.
      3. A doptar las medidas de seguridad que se indican en la dirección: https://www.occentus.net/legal/proteccion-datos/ , formando parte de este contrato por referencia el contenido de esa página web. Es responsabilidad del cliente revisar que dichas medidas se ajustan al nivel de seguridad aplicable al riesgo asociado al tratamiento de datos personales específico que realizará utilizando el servicio de Occentus Network.
      4. No subcontratar ninguna de las prestaciones que formen parte del objeto de este contrato que comporten el tratamiento de datos personales, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios prestados por Occentus Network, sin comunicarlo previamente al Cliente en la descripción de los servicios ofertados, o en las Condiciones Particulares asociadas al servicio. Si posteriormente fuera necesario subcontratar algún tratamiento con alcance a datos personales, este hecho será comunicado previamente y por escrito al Cliente con una antelación de 15 días, indicando los tratamientos de datos personales que se pretenden subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el Cliente no manifiesta su oposición en el plazo de preaviso. Occentus se encargaría de que el subcontratista, que también tendrá la condición de encargado del tratamiento, esté obligado a su vez igualmente a cumplir las obligaciones establecidas en este contrato. Corresponde a Occentus regular la nueva relación de forma que el nuevo encargado quede sujeto a las mismas condiciones y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, Occentus seguirá siendo plenamente responsable ante el Cliente en lo referente al cumplimiento de las obligaciones.
      5. Asistir al Cliente, teniendo en cuenta la naturaleza del tratamiento, el alcance de los servicios contratados, y siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados.
      6. Dar apoyo al Cliente aportando la información necesaria, cuando proceda y teniendo en cuenta el alcance de los servicios contratados y la información a disposición de Occentus Network, para:la valoración de la seguridad del tratamiento, las notificaciones de violaciones de seguridad a la autoridad de control y a los interesados, la realización de las evaluaciones de impacto relativas a la protección de datos, y la realización de las consultas previas a la autoridad de control.
        Occentus notificará al Cliente sin dilación indebida las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento en base al alcance de los servicios contratados, juntamente con toda la información de la que disponga para la documentación y comunicación de la incidencia. No será necesaria la notificación cuando sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si no fuera posible facilitar toda la información simultáneamente, en la medida en que lo sea, la información se facilitará de manera gradual sin dilación indebida.
        Será obligación y entera responsabilidad del cliente notificar a la autoridad de control en un plazo inferior a las 72 horas las posibles violaciones de la seguridad de los datos personales de los que sea responsable.
      7. Suprimir o devolver, a elección del Cliente, todos los datos personales una vez finalice la prestación de los servicios de tratamiento, suprimiendo todas las copias existentes a menos que se requiera la conservación de los datos personales en virtud del Derecho de la Unión o de los Estados miembros. La devolución podrá hacerse efectiva por parte del Cliente mediante la copia remota de la información albergada en los sistemas de información proporcionados por Occentus durante el periodo de vigencia del contrato, pudiendo suponer un coste adicional en el caso que se solicite otro mecanismo para la devolución o se generen consumos extra de ancho de banda o almacenamiento respecto a la cuota incluida en el servicio.
        Occentus garantiza que la supresión de los datos se llevará a cabo en un plazo no superior a tres meses, salvo que el servicio incluyese copias de seguridad con un plazo de retención mayor, siendo durante ese plazo de tiempo convertidos en inaccesibles.
      8. Poner a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el Cliente u otro auditor autorizado por él, siempre y cuando ello no suponga distorsiones irrazonables en el desarrollo por Occentus de su actividad ordinaria y tales informaciones o documentos tengan relación directa con los trabajos o servicios contratados a Occentus Network.
    2. En el caso que el Cliente no sea el responsable del tratamiento de datos personales albergados en servicios prestados por Occentus Network, y actué a su vez como un encargado del tratamiento contratado directa o indirectamente por el responsable del tratamiento, el Cliente actuará de interlocutor entre Occentus y el responsable del tratamiento, el Delegado de Protección de Datos relacionado, o aquel que le haya contratado como encargado del tratamiento, garantizando que seguirá las indicaciones del responsable del tratamiento y transmitirá documentalmente a Occentus Network aquellas instrucciones que le correspondan en función del alcance de los servicios contratados a Occentus Network. Occentus llevará por escrito un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de sus Clientes, a disposición de la autoridad de control que lo solicite.
      En el caso que el Cliente tratara los datos por cuenta de un responsable del tratamiento, o existiera un Delegado de Protección de Datos relacionado con el tratamiento, deberá notificar sus datos de contacto a Occentus desde el apartado de gestión de Contactos del área de Clientes, de forma que Occentus pueda incorporar esa información al registro de las categorías de actividades de tratamiento según establece la legislación vigente.

Corresponderá al responsable del tratamiento, o aquel al que haya subcontratado a tal efecto, facilitar el derecho de información en el momento de la recogida de los datos, no siendo una función incluida en el alcance del servicio contratado a Occentus Network.

Occentus declina cualquier responsabilidad sobre la vulneración de los sistemas de seguridad gestionados por el Cliente, sus aplicativos o de la inviolabilidad de los datos de carácter personal cuando estos son transportados a través de cualesquiera redes de telecomunicación ajenas a la gestión de Occentus Network.
 

Medidas de seguridad

El Considerando 81 del RGPD prevé que el encargado del tratamiento debe ofrecer suficientes garantías en lo referente a conocimientos especializados, fiabilidad y recursos, con vistas a la aplicación de medidas técnicas y organizativas que cumplan los requisitos del Reglamento, incluida la seguridad del tratamiento.

El sistema de información de Occentus Network se encuentra certificado por AENOR conforme a:

  • UNE-ISO/IEC 20000-1:2011 de Sistemas de Gestión de Servicios de TI
  • Esquema Nacional de Seguridad (Real Decreto 3/2010, de 8 de enero)
  • UNE-ISO 27001:2014 del sistema de gestión de seguridad de la información

Dado que Occentus Network proporciona únicamente la infraestructura técnica, y en los casos en los que la incluye el servicio la administración de la misma, las medidas de seguridad proporcionadas por Occentus Network se limitan a estas funciones, estando excluidos otros aspectos, fuera del entorno y el servicio prestado por Occentus Network, y que el responsable del fichero tiene la obligación de cumplir.

En función de aquellos servicios que sean contratados por el Cliente según se refleja en el contrato principal, Occentus Network se responsabiliza de implantar las siguientes medidas de seguridad en los servicios de alojamiento exclusivamente en los términos que a continuación se detallan:

  • Funciones y obligaciones del personal: El personal de administración y operación de sistemas de Occentus Network ha recibido la formación necesaria para realizar las labores de gestión en los sistemas implicados, dispone de las normas y procedimientos para la realización de las mismas y es consciente del compromiso de Occentus Network en lo relativo a la confidencialidad e integridad de los datos del cliente. Estas funciones no incluyen las relativas a la administración y gestión que, según las condiciones de los servicios contratados, deba realizar el Cliente.
  • Registro de incidencias: Occentus Network comunicará las incidencias ocurridas que puedan afectar a la información del cliente, indicando el tipo de incidencia, el momento en que se ha producido, la persona que realiza la notificación, a quién se le comunica y los efectos que se hubieran derivado de la misma.
  • Identificación y autenticación: Occentus Network mantendrá una relación actualizada de usuarios con acceso autorizado a la administración y operación de los sistemas de información, existiendo un procedimiento de asignación, distribución y almacenamiento de contraseñas de acceso que garantiza su confidencialidad e integridad, implantando mecanismos para la identificación de forma inequívoca y personalizada de estos usuarios. Asimismo, se indicará el acceso autorizado para cada uno de los usuarios, además de la lista de personal con autorización para conceder, alterar o anular el acceso autorizado sobre datos y recursos relativos al servicio prestado por Occentus Network. La gestión de contraseñas no incluye aquellas proporcionadas al Cliente para el acceso al servicio, cuyo mantenimiento y control será responsabilidad del Cliente según lo estipulado en las condiciones del servicio contratado, así como las relativas a aplicaciones propietarias instaladas por el cliente.
  • Control de acceso: Los empleados de Occentus Network tendrán acceso autorizado únicamente a los recursos necesarios para el desempeño de sus funciones de administración y operación. El Cliente tendrá la responsabilidad de establecer los mecanismos de control de acceso necesarios con las herramientas destinadas a tal fin en el servicio contratado según lo estipulado en las condiciones del servicio contratado, así como los relativos a aplicaciones propietarias instaladas por el cliente.
  • Control de acceso físico: Las dependencias donde se alberga la infraestructura que presta el servicio están equipadas con control de acceso y sistemas de monitorización y control para garantizar que únicamente accede a las mismas el personal autorizado.
  • Gestión de soportes: Occentus Network realiza la gestión e inventario de los soportes entregados por el Cliente o resultantes de la realización de copias de respaldo. Asimismo Occentus Network tiene implantadas medidas para la destrucción y desecho de soportes. La salida de estos soportes fuera de los locales de Occentus Network se realiza siempre y cuando exista autorización previa del cliente. El Cliente será responsable de la información que, obtenida a través de la red con acceso autorizado, sea almacenada en soportes propios.
  • Copias de respaldo y recuperación: Occentus Network realizará copias de seguridad de la información del Cliente según el modelo de servicio de Backup contratado. Si el servicio de backup está incluido en el servicio las copias de seguridad se realizarán con una periodicidad semanal o menor, y se realizan periódicamente verificaciones de estas copias.
  • Auditoria: Occentus Network proporcionará los datos necesarios a los clientes para la realización de auditorias por parte del personal propio del Cliente o por un tercero, siempre y cuando ello no suponga distorsiones irrazonables en el desarrollo por Occentus Network de su actividad ordinaria y tales informaciones o documento tengan relación con los trabajos o servicios encargados y con los ficheros de los que fuera titular el Cliente.
  • Registro de accesos: El control de acceso físico dispondrá de un registro que permitirá determinar el usuario que accedió en un determinado momento a las dependencias. El Cliente tendrá la responsabilidad de establecer los mecanismos de registro de acceso necesarios, con las herramientas destinadas a tal fin en el servicio contratado según lo estipulado en las condiciones acordadas, así como los relativos a aplicaciones propietarias instaladas por el cliente.

Autoridad de control

Así mismo, les informamos que la legislación vigente contempla su derecho de presentar una reclamación directamente ante una autoridad de control. Agencia Española de protección de datos.