1. OBJETO Y FINALIDAD

El presente Acuerdo de Tratamiento de Datos (el “DPA”) regula las condiciones en las que Trivity Tech, S.L. (en adelante, “Trivity”) trata datos personales por cuenta del Proveedor, en calidad de encargado del tratamiento, conforme a lo dispuesto en el Reglamento (UE) 2016/679, de 27 de abril, General de Protección de Datos (RGPD), y demás normativa aplicable.

Este DPA forma parte integrante de los Términos y Condiciones de Trivity para Proveedores (los “Términos Legales”) y se incorpora a los mismos por referencia. En caso de contradicción entre este DPA y los Términos Legales, prevalecerá lo dispuesto en este DPA exclusivamente en materia de protección de datos personales.

2. IDENTIFICACIÓN DE LAS PARTES Y ROLES

A los efectos del RGPD:

El Proveedor actúa como responsable del tratamiento respecto de los datos personales de los usuarios finales o clientes que contratan o participan en sus actividades.

Trivity actúa como encargado del tratamiento cuando trata dichos datos personales por cuenta del Proveedor en el marco de los Servicios.

Trivity actúa como responsable del tratamiento respecto de los datos personales tratados para sus propias finalidades (usuarios de la Plataforma, como son los datos identificativos del Proveedor de actividades o de Agentes y prescriptores, facturación, soporte, cumplimiento, seguridad, etc.), los cuales quedan fuera del ámbito de este DPA. En tales casos, Trivity determina de forma autónoma las finalidades y medios del tratamiento, actuando como responsable independiente.

3. DECLARACIÓN DE TRIVITY

Trivity, como encargada del tratamiento, declara y garantiza que proporciona suficientes garantías para integrar medidas técnicas y organizativas apropiadas de modo que el tratamiento cumpla con los requisitos del RGPD, así como, de la Directiva (UE) 2016/943 de 8 de junio de 2016, relativa a la protección de los conocimientos técnicos y la información empresarial no divulgados (secretos comerciales) contra su obtención, utilización y revelación ilícitas; y la transposición española Ley 1/2019, de 20 de febrero, de Secretos Empresariales; que garanticen la protección de los derechos de los afectados, así como, de toda la información empresarial afectada y/o confidencial de la empresa cliente a la que se acceda durante la prestación del servicio principal (en adelante, todo denominado de forma genérica como datos o información).

En concreto, el Encargado del tratamiento declara y garantiza que:

cumple sustancialmente, y se compromete a seguir cumpliendo sustancialmente durante toda la vigencia del Contrato Principal:

todas las leyes y normativa aplicables relativas a la protección de datos, la privacidad y la seguridad de la información; disponiendo de un programa de seguridad por escrito completo que cumple con las exigencias de protección de información, y seguirá manteniéndolo.

4. DESCRIPCIÓN DEL TRATAMIENTO

Naturaleza del tratamiento

Tratamiento de datos personales necesario para la prestación de servicios tecnológicos de gestión, comercialización y distribución de actividades, incluyendo, entre otros:

• gestión de reservas;
• gestión de clientes;
• comunicaciones operativas;
• herramientas de gestión y exportación de datos;
• soporte técnico vinculado a los Servicios.

Finalidad

Exclusivamente la prestación de los Servicios conforme a los Términos Generales y Particulares y a las instrucciones documentadas del Proveedor.

Categorías de interesados

Usuarios finales o clientes del Proveedor de la actividad publicada en la Plataforma Trivity.

Categorías de datos

Podrán incluir, entre otros:

• datos identificativos (nombre, apellidos);
• datos de contacto (correo electrónico, teléfono);
• datos de reserva (fecha, actividad, participantes);
• datos operativos necesarios para la gestión de la actividad.

Preguntas personalizadas configuradas por el Proveedor

El Proveedor puede configurar, bajo su exclusiva responsabilidad, campos personalizados o preguntas adicionales dirigidas a los usuarios finales durante el proceso de reserva, con el fin de recabar información necesaria para la correcta prestación de la actividad.

Trivity no define, decide ni controla el contenido, finalidad, proporcionalidad, obligatoriedad ni base jurídica de dichas preguntas, actuando exclusivamente como proveedor de una infraestructura tecnológica que permite su configuración y tratamiento técnico.

En relación con los datos personales recabados a través de dichos campos personalizados, el Proveedor actúa como responsable del tratamiento y Trivity actúa como encargado del tratamiento, tratando dichos datos únicamente por cuenta del Proveedor y conforme a sus instrucciones documentadas.

El Proveedor es el único responsable de garantizar que las preguntas configuradas cumplen la normativa de protección de datos aplicable, que existe una base legal válida para su tratamiento y, cuando resulte exigible, que se obtiene el consentimiento explícito del usuario final.

Tratamiento de Categorías Especiales de Datos

El Proveedor reconoce que la Plataforma se pone a su disposición como una herramienta de infraestructura tecnológica neutra. En caso de que el Proveedor decida, bajo su exclusiva responsabilidad, capturar o tratar categorías especiales de datos (tales como alergias, condiciones de salud, discapacidades o datos biométricos) a través de campos personalizados o cualquier otra funcionalidad, el Proveedor garantiza que cuenta con una base legal habilitante adicional conforme al Art. 9 del RGPD (como el consentimiento explícito del interesado o el cumplimiento de obligaciones en materia de seguridad y salud).

TRIVITY no supervisa ni valida la licitud de dicha recogida de datos, actuando únicamente como prestador del soporte técnico para su almacenamiento por cuenta del Proveedor.

Información empresarial

La información empresarial relevante y/o confidencial, así como la relativa a secretos empresariales, hace referencia a aquella información que se facilite en confianza o bajo deber de reserva entre las Partes, así como a los secretos comerciales relativos al negocio del Proveedor, en su condición de responsable del tratamiento. Esto incluye, aunque no se limita, a aquella información y secretos referentes a:

• Estrategia corporativa y de marketing, planes y desarrollo de negocio, reportes de ventas y resultados de investigaciones.
• Métodos y procedimientos de negocio, información técnica y "know-how" relativa a los respectivos negocios que no esté disponible para el público en general, incluyendo inventos, diseños, programas, técnicas, sistemas de bases de datos, fórmulas e ideas, independientemente de que estén o no registrados como marcas, patentes, o dibujos, modelos y diseños industriales.
• Contactos de negocio, listas de clientes, usuarios y proveedores o detalles de los contratos celebrados con ellos.
• Niveles de ventas, niveles de gasto y políticas de compras y precios.
• Presupuestos, cuentas de gestión, informes comerciales y otros reportes financieros. Así como, en su caso, información no publicada de precios relativa a acciones o fondos que cotizan en cualquier mercado oficial de valores.
• Cualquier documento considerado por las Partes como "confidencial", así como el Material adjunto.

Duración

El presente acuerdo tiene la misma duración que el contrato o acuerdo principal en el que se integra, teniendo en cuenta las obligaciones del Encargado de tratamiento sobre la eliminación o devolución de los datos, así como la prohibición de un uso posterior.

En lo que respecta al deber de confidencialidad sobre secretos empresariales, este se extenderá mientras la información conserve carácter confidencial o de secreto empresarial y, en todo caso, durante un plazo mínimo de cinco (5) años posteriores a la finalización de la relación contractual entre las Partes, salvo que la legislación aplicable exija un plazo superior.

5. INSTRUCCIONES DEL PROVEEDOR

Trivity tratará los datos personales únicamente conforme a las instrucciones documentadas del Proveedor, incluidas las derivadas del uso normal de la Plataforma y de los Servicios.

Si Trivity considera que una instrucción infringe el RGPD u otra normativa aplicable, lo notificará al Proveedor sin dilación indebida.

6. OBLIGACIONES DE TRIVITY COMO ENCARGADO

Para el tratamiento de los datos, Trivity, como encargada del tratamiento, debe:

• Procesar los datos solo siguiendo instrucciones documentadas del Responsable del tratamiento, inclusive en lo relativo a transferencias de datos a terceros países u organizaciones internacionales, salvo que esté obligado a ello en virtud de un requisito legal. En tal caso, el Encargado del tratamiento deberá informar al Responsable del tratamiento de dicho requerimiento legal antes de su tratamiento, a menos que la citada ley prohíba su comunicación por razones importantes de interés público.
• Garantizar que las personas autorizadas para tratar datos se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria.
• Tomar todas las medidas necesarias en virtud de la sección 8 sobre Medidas de seguridad.
• Asistir al Responsable del tratamiento, teniendo en cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, en la medida en que sea posible, a cumplir con la obligación del Responsable del tratamiento de responder a las solicitudes del ejercicio de derechos de los afectados.
• Ayudar al Responsable del tratamiento a garantizar el cumplimiento de las obligaciones relacionadas con la seguridad de los datos, teniendo en cuenta la naturaleza del tratamiento y la información de la que dispone el encargado del tratamiento.
• A elección del Responsable del tratamiento, suprimirá o devolverá todos los datos al Responsable del tratamiento una vez finalice la prestación de servicios relacionados con el tratamiento, y suprimirá las copias existentes a menos que por ley se requiera la conservación de datos.
• Poner a disposición del Responsable del tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el RGPD y permitir y contribuir a la realización de auditorías, incluidas inspecciones, llevadas a cabo por el Responsable del tratamiento u otro auditor autorizado por el Responsable del tratamiento. Respecto a este punto, el Encargado del tratamiento debe informar sin demora al Responsable del tratamiento si, en su opinión, una instrucción infringe el RGPD u otras disposiciones en materia de protección de datos.
• Proporcionar asistencia al Responsable del tratamiento durante la realización de cualquier evaluación del impacto sobre la privacidad (Privacy Impact Assessment, “PIA”, por sus siglas en inglés) que el Responsable del tratamiento necesite llevar a cabo, de conformidad con lo establecido en el artículo 35 del RGPD.
• Proporcionar asistencia al Responsable del tratamiento durante la realización de cualquier consulta previa a la autoridad supervisora que el Responsable del tratamiento desee realizar, de conformidad con lo establecido en el artículo 36 del RGPD.
• Abstenerse de determinar la finalidad y los medios del tratamiento. Si el Encargado del tratamiento infringe el RGPD al determinar la finalidad y los medios de tratamiento, se le considerará responsable del tratamiento con respecto a dicho tratamiento.

7. EMPLEADOS DEL ENCARGADO DEL TRATAMIENTO

El Encargado del tratamiento debe tomar las medidas necesarias para garantizar la fiabilidad de los empleados o terceras partes autorizadas que puedan acceder a los datos. En particular, debe asegurar que el acceso a los mismos esté limitado estrictamente a aquellos individuos que realmente lo necesiten y que todos estos individuos estén sujetos a obligaciones de confidencialidad legales o profesionales.

8. MEDIDAS DE SEGURIDAD

Trivity aplicará medidas técnicas y organizativas apropiadas para proteger los datos personales contra destrucción, pérdida, alteración, divulgación o acceso no autorizado, teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza del tratamiento.

Dichas medidas incluirán, entre otras:

• control de accesos;
• cifrado en tránsito cuando proceda;
• copias de seguridad;
• medidas de seguridad lógica y organizativa coherentes con un servicio SaaS profesional.

Trivity no garantiza la invulnerabilidad absoluta de los sistemas, en este sentido Trivity se compromete a aplicar medidas coherentes con el estado de la técnica y la naturaleza del servicio, no obstante, dada la naturaleza del entorno digital y la evolución de los vectores de amenaza, no puede garantizar la invulnerabilidad absoluta de sus sistemas ni la ausencia de elementos lesivos introducidos por terceros ajenos a su control. Trivity declina cualquier responsabilidad por daños derivados de ataques de denegación de servicio (DoS/DDoS), inyección de código malicioso o cualquier otra forma de ciberataque que exceda el estándar de diligencia debida profesional.

9. SUBENCARGADOS DEL TRATAMIENTO

El Proveedor autoriza expresamente a Trivity a recurrir a subencargados del tratamiento para la correcta prestación de los Servicios, incluyendo proveedores de infraestructura cloud, correo electrónico, comunicaciones, pagos y soporte técnico.

Trivity garantizará que dichos subencargados estén sujetos a obligaciones contractuales de protección de datos equivalentes a las establecidas en este DPA por medio de un contrato, especialmente en lo que se refiere a proporcionar suficientes garantías de aplicación de medidas técnicas y organizativas apropiadas de modo que el tratamiento cumpla con los requisitos del RGPD.

La información sobre los subencargados utilizados por Trivity podrá ponerse a disposición del Proveedor de forma actualizada a través de la Plataforma o de canales informativos habilitados.

En el supuesto de que dicho subencargado incumpla sus obligaciones de protección de datos, el Encargado del tratamiento será el único responsable frente al Responsable del tratamiento de la ejecución de las obligaciones de dicho subencargado.

El Proveedor podrá oponerse de forma motivada a la incorporación de un nuevo subencargado cuando existan razones fundadas relacionadas con la protección de datos personales. En tal caso, las Partes buscarán de buena fe una solución razonable. La oposición deberá comunicarse en un plazo razonable desde la notificación del nuevo subencargado.

10. TRANSFERENCIAS INTERNACIONALES

Como norma general, el Encargado del tratamiento no procesará ni transferirá datos personales fuera de la zona del EEE ("Transferencia internacional"), a menos que (i) sea absolutamente necesario para la prestación de servicios previstos en el Acuerdo principal, (ii) el Responsable del tratamiento esté debidamente informado y (iii) dicha transferencia internacional se gestione conforme a la presente cláusula.

Cuando sea absolutamente necesario realizar una transferencia internacional de datos para la prestación de servicios conforme al Acuerdo principal:

Si la Transferencia internacional se lleva a cabo en un territorio que garantiza un nivel adecuado de protección no se necesita una autorización específica, pero el Responsable del tratamiento debe ser informado sin demora.

Si la Transferencia internacional se lleva a cabo en un territorio en el que no se garantice un nivel adecuado de protección, el Encargado del tratamiento proporcionará las debidas medidas de salvaguarda y a condición de que los derechos de los afectados exigibles y las vías de recurso eficaces estén disponibles. Dichas medidas de salvaguarda se proporcionarán mediante la aceptación de las cláusulas de protección de datos estándar adoptadas por la Comisión Europea.

11. OBLIGACIONES DEL RESPONSABLE DEL TRATAMIENTO

Corresponde al responsable del tratamiento:

• a) Entregar al encargado los datos a los que se refiere este documento y que son necesarios para la consecución del acuerdo principal.
• b) Realizar una evaluación del impacto en la protección de datos de las operaciones de tratamiento a realizar por el encargado.
• c) Realizar las consultas previas que corresponda.
• d) Velar, de forma previa y durante todo el tratamiento, por el cumplimiento del RGPD por parte del Encargado.
• e) Supervisar el tratamiento, incluida la realización de inspecciones y auditorías en los términos previstos en este DPA.

Las auditorías o inspecciones deberán realizarse con preaviso razonable, durante horario laboral y de forma que no interfieran injustificadamente con la actividad de Trivity, limitándose a la información estrictamente necesaria para verificar el cumplimiento de este DPA. En ningún caso implicarán acceso directo a sistemas, código fuente, bases de datos de otros clientes ni información confidencial de Trivity o de terceros, salvo obligación legal imperativa o acuerdo expreso por escrito entre las Partes.

12. DERECHOS DE LOS INTERESADOS

Cuando Trivity reciba directamente una solicitud de ejercicio de derechos de un interesado cuyos datos trate por cuenta del Proveedor, actuará como encargada del tratamiento y colaborará con el Proveedor, en su condición de responsable del tratamiento, en la medida en que sea necesario para garantizar que los derechos de los afectados se respetan y ejercen debidamente. Dicha solicitud será puesta en conocimiento del Proveedor o de su Delegado de Protección de Datos (Data Protection Officer, “DPO”, por sus siglas en inglés) sin dilación indebida y en un plazo razonable desde su recepción, junto con la información y documentación relevante disponible.

En ningún caso Trivity responderá directamente al interesado salvo instrucción expresa del Proveedor o exigencia legal.

13. VIOLACIÓN DE LA SEGURIDAD DE LOS DATOS

Trivity notificará al Responsable del tratamiento sin dilación indebida ni demora injustificada cualquier violación de la seguridad de los datos de la que tenga conocimiento, junto con toda la información y documentación relevante, a:

• Dirección de e-mail: admin@trivityapp.com
• Número de teléfono: +34 681278113

Dicha notificación debe incluir como mínimo:

• Una descripción de la naturaleza de la violación de la seguridad de los datos, las categorías y números de interesados afectados y las categorías y números de registros de datos afectados;
• El nombre y la información de contacto del DPO del Encargado del tratamiento u otra persona de contacto competente que pueda proporcionar información adicional;
• Descripción de las posibles consecuencias de la violación de la seguridad de los datos;
• Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

Trivity colaborará y cooperará con el Responsable del tratamiento en la medida en que sea necesario, para investigar, mitigar y reparar dicha violación de la seguridad de los datos.

14. CONSERVACIÓN, DEVOLUCIÓN Y SUPRESIÓN DE DATOS

Una vez finalizada la prestación de los Servicios:

• el Proveedor podrá, durante un período razonable no inferior a 30 días, exportar los datos disponibles mediante las funcionalidades habilitadas;
• Trivity suprimirá o anonimizará los datos personales tratados como encargado, salvo aquellos que deban conservarse por obligaciones legales;
• las copias de seguridad podrán conservarse durante los períodos técnicos necesarios, quedando sujetas a las medidas de seguridad aplicables.

Una vez exportados los datos, el Proveedor será el único responsable de su tratamiento ulterior.

15. RESPONSABILIDAD

Cada Parte responderá de las sanciones, daños o perjuicios derivados de incumplimientos directos imputables a su propio ámbito de responsabilidad conforme al RGPD y a los Términos Legales.

Nada en este DPA amplía la responsabilidad de Trivity más allá de lo previsto en los Términos Legales y el RGPD.

16. LEY APLICABLE Y JURISDICCIÓN

Este DPA y todas las obligaciones originadas o relacionadas con el tratamiento de los datos se regirán por las leyes españolas.

En relación con las disputas o reclamaciones que pudieran ocasionarse bajo este DPA, las partes por la presente se someten a la jurisdicción de los tribunales de Barcelona (España).

El presente DPA se incorpora a los Términos Legales y será vinculante desde su aceptación electrónica por el Proveedor, sin necesidad de firma manuscrita, en la medida permitida por la legislación aplicable.

17. ENTRADA EN VIGOR

El presente DPA entrará en vigor en la fecha de aceptación de los Términos Legales por el Proveedor y permanecerá vigente mientras Trivity trate datos personales por cuenta del Proveedor.