Acuerdo de Tratamiento de Datos de Copilot Audit
Última actualización: 22/04/2025
El presente Acuerdo de Tratamiento de Datos («ATD») complementa y forma parte integrante de los Términos y Condiciones o de cualquier otro acuerdo principal aplicable (el «Acuerdo Principal») celebrado entre NEXTBP («Nosotros», «nuestro», «nuestros» o el «Encargado del Tratamiento») y usted («Usted», el «Cliente») relativo al uso del software Copilot Audit (el «Software»). El presente ATD rige el Tratamiento de Datos Personales realizado por el Encargado del Tratamiento por cuenta del Cliente en el marco de la prestación del Software.
1. Definiciones
A los efectos del presente ATD, los siguientes términos tendrán el significado que se les atribuye a continuación:
- Datos Personales: Toda información sobre una persona física identificada o identificable («Interesado»).
- Responsable del Tratamiento: La persona física o jurídica que, sola o conjuntamente con otras, determina los fines y medios del Tratamiento de Datos Personales. En el marco del presente ATD, el Cliente es el Responsable del Tratamiento.
- Encargado del Tratamiento: La persona física o jurídica que trata Datos Personales por cuenta del Responsable del Tratamiento. En el marco del presente ATD, NEXTBP es el Encargado del Tratamiento.
- Subencargado del Tratamiento: Cualquier tercero encargado del tratamiento contratado por el Encargado del Tratamiento (NEXTBP) para tratar Datos Personales por cuenta del Cliente.
- Tratamiento: Cualquier operación o conjunto de operaciones realizadas sobre Datos Personales o conjuntos de Datos Personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.
- Legislación sobre Protección de Datos: El conjunto de leyes y normativas aplicables en materia de protección de datos y privacidad, incluyendo, pero sin limitarse a, el Reglamento General de Protección de Datos (Reglamento (UE) 2016/679 o «RGPD») y cualquier legislación nacional que lo transponga o complemente.
- Violación de Datos Personales: Una violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de Datos Personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
2. Roles y Responsabilidades
2.1. El Cliente actúa como Responsable del Tratamiento. Es el único responsable de la licitud de la recogida y del Tratamiento de los Datos Personales que confía al Encargado del Tratamiento a través del Software, incluida la base jurídica de dicho Tratamiento.
2.2. NEXTBP actúa como Encargado del Tratamiento. NEXTBP tratará los Datos Personales únicamente por cuenta del Cliente, basándose en las instrucciones documentadas de este último (tal como se establecen en el Acuerdo Principal y el presente ATD, y mediante el uso del Software por parte del Cliente) y de conformidad con la Legislación sobre Protección de Datos aplicable.
3. Objeto, Naturaleza y Duración del Tratamiento
3.1. Objeto del Tratamiento: El Tratamiento tiene por objeto permitir al Encargado del Tratamiento proporcionar el Software y los servicios asociados al Cliente, de conformidad con el Acuerdo Principal. Esto incluye, en particular, el alojamiento de datos, la ejecución de las funcionalidades del Software (por ejemplo, análisis y tratamiento automatizado de los documentos de auditoría importados), el mantenimiento y el soporte técnico.
3.2. Naturaleza de las operaciones de Tratamiento: Las operaciones pueden incluir la recepción, almacenamiento, organización, análisis, consulta, utilización, puesta a disposición (a través de la interfaz del Software), supresión y/o restitución de los Datos Personales.
3.3. Tipos de Datos Personales: Los tipos de Datos Personales tratados son determinados y controlados por el Cliente a su entera discreción, y pueden incluir, sin limitarse a, la información contenida en los documentos importados por el Cliente en el Software (tales como nombres, datos de contacto, información financiera, profesional, etc.).
3.4. Categorías de Interesados: Las categorías de Interesados son determinadas por el Cliente y pueden incluir, sin limitarse a, los empleados, clientes, proveedores, auditados o cualquier otra persona física cuyos Datos Personales estén contenidos en los documentos tratados a través del Software.
3.5. Duración del Tratamiento: El Encargado del Tratamiento tratará los Datos Personales durante la vigencia del Acuerdo Principal, salvo instrucción contraria por escrito del Cliente o exigencia legal. Las modalidades de supresión o restitución de los datos al final del contrato se definen en el artículo 4.7.
4. Obligaciones del Encargado del Tratamiento (NEXTBP)
El Encargado del Tratamiento se compromete a:
4.1. Tratamiento según instrucciones: Tratar los Datos Personales únicamente siguiendo instrucciones documentadas del Cliente, inclusive con respecto a las transferencias de datos a un tercer país o una organización internacional, salvo que esté obligado a ello en virtud del Derecho de la Unión o de los Estados miembros que se aplique al Encargado del Tratamiento; en tal caso, el Encargado del Tratamiento informará al Cliente de esa obligación legal antes del tratamiento, salvo que tal Derecho prohíba esa información por razones importantes de interés público. El uso del Software por parte del Cliente constituye una instrucción documentada.
4.2. Confidencialidad: Garantizar que las personas autorizadas para tratar Datos Personales (empleados, agentes, subcontratistas) se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación legal apropiada de confidencialidad.
4.3. Seguridad del Tratamiento: Aplicar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, de conformidad con el artículo 32 del RGPD. Estas medidas tienen por objeto proteger los Datos Personales contra la destrucción, pérdida, alteración, divulgación no autorizada o acceso no autorizado.
4.4. Recurso a Subencargados del Tratamiento: No contratar a otro encargado del tratamiento (Subencargado del Tratamiento) sin la autorización previa por escrito, específica o general, del Cliente. En caso de autorización general por escrito, el Encargado del Tratamiento informará al Cliente de cualquier cambio previsto en la adición o sustitución de otros subencargados, dando así al Cliente la oportunidad de oponerse a dichos cambios. Cuando el Encargado del Tratamiento recurra a un Subencargado del Tratamiento, le impondrá las mismas obligaciones en materia de protección de datos que las establecidas en el presente ATD, mediante contrato u otro acto jurídico.
4.5. Asistencia al Cliente: Asistir al Cliente, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos del Interesado (acceso, rectificación, supresión, limitación, portabilidad, oposición).
4.6. Notificación de Violaciones de Datos: Notificar al Cliente cualquier Violación de Datos Personales sin dilación indebida tras tener conocimiento de ella, y proporcionar al Cliente la información necesaria para que pueda cumplir con sus propias obligaciones de notificación a las autoridades de control y/o a los Interesados.
4.7. Destino de los Datos al finalizar el contrato: A elección del Cliente, suprimir todos los Datos Personales o devolverlos al Cliente al término de la prestación de los servicios relativos al Tratamiento, y destruir las copias existentes, a menos que el Derecho de la Unión o de los Estados miembros exija la conservación de los Datos Personales.
4.8. Auditoría e información: Poner a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo, así como permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del Cliente o de otro auditor autorizado por él.
4.9. Datos de Uso: En la medida en que el Software registre métricas de uso (como el número de documentos procesados, el volumen de datos u otros indicadores) con fines de facturación, gestión de cuotas, mejora del servicio o seguimiento del rendimiento, estas métricas pueden estar indirectamente vinculadas a Datos Personales si los elementos contabilizados (ej.: documentos) los contienen. El Encargado del Tratamiento se compromete a tratar estos datos de uso agregados o técnicos respetando el presente ATD y la Legislación sobre Protección de Datos, limitando su uso a los fines mencionados.
5. Transferencias de Datos Personales fuera del EEE
Cualquier transferencia de Datos Personales por parte del Encargado del Tratamiento a un país situado fuera del Espacio Económico Europeo (EEE) solo se realizará si se implementan garantías adecuadas de conformidad con los requisitos de la Legislación sobre Protección de Datos (por ejemplo, decisión de adecuación de la Comisión Europea, Cláusulas Contractuales Tipo aprobadas, Normas Corporativas Vinculantes). El Encargado del Tratamiento informará al Cliente sobre los mecanismos de transferencia utilizados bajo petición.
6. Ley Aplicable y Jurisdicción Competente
El presente ATD se rige por el derecho francés. Cualquier litigio relativo a su interpretación o ejecución será competencia de los tribunales designados en el Acuerdo Principal.
7. Responsabilidad
La responsabilidad de cada parte derivada de o en relación con este ATD estará sujeta a las limitaciones y exclusiones de responsabilidad estipuladas en el Acuerdo Principal.
Al aceptar los Términos y Condiciones o utilizar el Software, usted reconoce haber leído, comprendido y aceptado estar vinculado por las disposiciones del presente Acuerdo de Tratamiento de Datos.