1. OBJECTE I FINALITAT

Aquest Acord de Tractament de Dades (el "DPA") regula les condicions en què Trivity Tech, S.L. (d'ara endavant, "Trivity") tracta dades personals per compte del Proveïdor, en qualitat d'encarregat del tractament, de conformitat amb el Reglament (UE) 2016/679, de 27 d'abril, General de Protecció de Dades (RGPD), i amb la resta de normativa aplicable.

Aquest DPA forma part integrant dels Termes i Condicions de Trivity per a Proveïdors (els "Termes legals") i s'hi incorpora per referència. En cas de contradicció entre aquest DPA i els Termes legals, prevaldrà el que disposa aquest DPA exclusivament en matèria de protecció de dades personals.

2. IDENTIFICACIÓ DE LES PARTS I ROLS

A efectes del RGPD:

El Proveïdor actua com a responsable del tractament respecte de les dades personals dels usuaris finals o clients que contracten o participen en les seves activitats.

Trivity actua com a encarregat del tractament quan tracta aquestes dades personals per compte del Proveïdor en el marc dels Serveis.

Trivity actua com a responsable del tractament respecte de les dades personals tractades per a les seves pròpies finalitats (usuaris de la Plataforma, com ara les dades identificatives del Proveïdor d'activitats o d'Agents i prescriptors, facturació, suport, compliment, seguretat, etc.), les quals queden fora de l'àmbit d'aquest DPA. En aquests casos, Trivity determina de manera autònoma les finalitats i mitjans del tractament, actuant com a responsable independent.

3. DECLARACIÓ DE TRIVITY

Trivity, com a encarregada del tractament, declara i garanteix que proporciona garanties suficients per aplicar mesures tècniques i organitzatives apropiades de manera que el tractament compleixi els requisits del RGPD, així com de la Directiva (UE) 2016/943, de 8 de juny de 2016, relativa a la protecció dels coneixements tècnics i la informació empresarial no divulgats (secrets comercials) contra la seva obtenció, utilització i revelació il·lícites, i de la seva transposició espanyola, la Llei 1/2019, de 20 de febrer, de Secrets Empresarials. Aquestes mesures tenen per objecte protegir els drets de les persones interessades i tota la informació empresarial o confidencial de l'empresa client a la qual s'accedeixi durant la prestació del servei principal, denominada de manera genèrica dades o informació.

En concret, l'encarregat del tractament declara i garanteix que compleix substancialment, i es compromet a continuar complint substancialment durant tota la vigència del Contracte principal, totes les lleis i normes aplicables en matèria de protecció de dades, privacitat i seguretat de la informació.

Així mateix, declara i garanteix que disposa d'un programa de seguretat escrit complet que compleix les exigències aplicables de protecció de la informació, i que el continuarà mantenint.

4. DESCRIPCIÓ DEL TRACTAMENT

Naturalesa del tractament

Tractament de dades personals necessari per a la prestació de serveis tecnològics de gestió, comercialització i distribució d'activitats, incloent-hi, entre altres:

• gestió de reserves;
• gestió de clients;
• comunicacions operatives;
• eines de gestió i exportació de dades;
• suport tècnic vinculat als Serveis.

Finalitat

Exclusivament la prestació dels Serveis d'acord amb els Termes Generals i Particulars i amb les instruccions documentades del Proveïdor.

Categories d'interessats

Usuaris finals o clients del Proveïdor de l'activitat publicada a la Plataforma Trivity.

Categories de dades

Podran incloure, entre altres:

• dades identificatives (nom, cognoms);
• dades de contacte (correu electrònic, telèfon);
• dades de reserva (data, activitat, participants);
• dades operatives necessàries per a la gestió de l'activitat.

Preguntes personalitzades configurades pel Proveïdor

El Proveïdor pot configurar, sota la seva exclusiva responsabilitat, camps personalitzats o preguntes addicionals dirigides als usuaris finals durant el procés de reserva, amb la finalitat de recollir informació necessària per a la correcta prestació de l'activitat.

Trivity no defineix, decideix ni controla el contingut, finalitat, proporcionalitat, obligatorietat ni base jurídica d'aquestes preguntes, actuant exclusivament com a proveïdor d'una infraestructura tecnològica que permet la seva configuració i tractament tècnic.

En relació amb les dades personals recollides a través d'aquests camps personalitzats, el Proveïdor actua com a responsable del tractament i Trivity actua com a encarregat del tractament, tractant aquestes dades únicament per compte del Proveïdor i d'acord amb les seves instruccions documentades.

El Proveïdor és l'únic responsable de garantir que les preguntes configurades compleixen la normativa de protecció de dades aplicable, que existeix una base legal vàlida per al seu tractament i, quan resulti exigible, que s'obté el consentiment explícit de l'usuari final.

Tractament de Categories Especials de Dades

El Proveïdor reconeix que la Plataforma es posa a la seva disposició com una eina d'infraestructura tecnològica neutra. En cas que el Proveïdor decideixi, sota la seva exclusiva responsabilitat, capturar o tractar categories especials de dades (com ara al·lèrgies, condicions de salut, discapacitats o dades biomètriques) a través de camps personalitzats o qualsevol altra funcionalitat, el Proveïdor garanteix que compta amb una base legal habilitant addicional d'acord amb l'article 9 del RGPD (com el consentiment explícit de l'interessat o el compliment d'obligacions en matèria de seguretat i salut).

Trivity no supervisa ni valida la licitud d'aquesta recollida de dades, actuant únicament com a prestador del suport tècnic per al seu emmagatzematge per compte del Proveïdor.

Informació empresarial

La informació empresarial rellevant i/o confidencial, així com la relativa a secrets empresarials, fa referència a aquella informació que es faciliti en confiança o sota deure de reserva entre les Parts, així com als secrets comercials relatius al negoci del Proveïdor, en la seva condició de responsable del tractament. Això inclou, encara que no es limita, aquella informació i secrets referents a:

• Estratègia corporativa i de màrqueting, plans i desenvolupament de negoci, informes de vendes i resultats d'investigacions.
• Mètodes i procediments de negoci, informació tècnica i know-how relativa als respectius negocis que no estigui disponible per al públic en general, incloent-hi invents, dissenys, programes, tècniques, sistemes de bases de dades, fórmules i idees, independentment que estiguin o no registrats com a marques, patents, dibuixos, models i dissenys industrials.
• Contactes de negoci, llistes de clients, usuaris i proveïdors o detalls dels contractes celebrats amb ells.
• Nivells de vendes, nivells de despesa i polítiques de compres i preus.
• Pressupostos, comptes de gestió, informes comercials i altres informes financers. Així com, si escau, informació no publicada de preus relativa a accions o fons que cotitzen en qualsevol mercat oficial de valors.
• Qualsevol document considerat per les Parts com a "confidencial", així com el Material adjunt.

Durada

Aquest acord té la mateixa durada que el contracte o acord principal en què s'integra, tenint en compte les obligacions de l'Encarregat del tractament sobre l'eliminació o devolució de les dades, així com la prohibició d'un ús posterior.

Pel que fa al deure de confidencialitat sobre secrets empresarials, aquest s'estendrà mentre la informació conservi caràcter confidencial o de secret empresarial i, en tot cas, durant un termini mínim de cinc (5) anys posteriors a la finalització de la relació contractual entre les Parts, llevat que la legislació aplicable exigeixi un termini superior.

5. INSTRUCCIONS DEL PROVEÏDOR

Trivity tractarà les dades personals únicament d'acord amb les instruccions documentades del Proveïdor, incloses les derivades de l'ús normal de la Plataforma i dels Serveis.

Si Trivity considera que una instrucció infringeix el RGPD o una altra normativa aplicable, ho notificarà al Proveïdor sense dilació indeguda.

6. OBLIGACIONS DE TRIVITY COM A ENCARREGAT

Per al tractament de les dades, Trivity, com a encarregada del tractament, ha de:

• Tractar les dades només seguint instruccions documentades del responsable del tractament, incloent-hi allò relatiu a transferències de dades a tercers països o organitzacions internacionals, llevat que estigui obligat a fer-ho en virtut d'un requisit legal. En aquest cas, l'encarregat del tractament haurà d'informar el responsable del tractament d'aquest requeriment legal abans del tractament, llevat que la llei esmentada prohibeixi la seva comunicació per raons importants d'interès públic.
• Garantir que les persones autoritzades per tractar dades s'hagin compromès a respectar la confidencialitat o estiguin subjectes a una obligació de confidencialitat de naturalesa estatutària.
• Prendre totes les mesures necessàries en virtut de la secció 8 sobre Mesures de seguretat.
• Assistir el Responsable del tractament, tenint en compte la naturalesa del tractament, mitjançant mesures tècniques i organitzatives apropiades, en la mesura que sigui possible, a complir l'obligació del Responsable del tractament de respondre a les sol·licituds d'exercici de drets dels afectats.
• Ajudar el Responsable del tractament a garantir el compliment de les obligacions relacionades amb la seguretat de les dades, tenint en compte la naturalesa del tractament i la informació de què disposa l'encarregat del tractament.
• A elecció del Responsable del tractament, suprimirà o retornarà totes les dades al Responsable del tractament un cop finalitzi la prestació de serveis relacionats amb el tractament, i suprimirà les còpies existents llevat que per llei es requereixi la conservació de dades.
• Posar a disposició del Responsable del tractament tota la informació necessària per demostrar el compliment de les obligacions establertes al RGPD i permetre i contribuir a la realització d'auditories, incloses inspeccions, dutes a terme pel Responsable del tractament o un altre auditor autoritzat pel Responsable del tractament. Respecte a aquest punt, l'Encarregat del tractament ha d'informar sense demora el Responsable del tractament si, al seu parer, una instrucció infringeix el RGPD o altres disposicions en matèria de protecció de dades.
• Proporcionar assistència al Responsable del tractament durant la realització de qualsevol avaluació d'impacte sobre la protecció de dades (Privacy Impact Assessment, "PIA") que el Responsable del tractament necessiti dur a terme, de conformitat amb el que estableix l'article 35 del RGPD.
• Proporcionar assistència al Responsable del tractament durant la realització de qualsevol consulta prèvia a l'autoritat de control que el Responsable del tractament vulgui realitzar, de conformitat amb el que estableix l'article 36 del RGPD.
• Abstenir-se de determinar la finalitat i els mitjans del tractament. Si l'Encarregat del tractament infringeix el RGPD en determinar la finalitat i els mitjans de tractament, se'l considerarà responsable del tractament respecte d'aquest tractament.

7. EMPLEATS DE L'ENCARREGAT DEL TRACTAMENT

L'Encarregat del tractament ha de prendre les mesures necessàries per garantir la fiabilitat dels empleats o terceres parts autoritzades que puguin accedir a les dades. En particular, ha d'assegurar que l'accés a aquestes estigui limitat estrictament a aquells individus que realment ho necessitin i que tots aquests individus estiguin subjectes a obligacions de confidencialitat legals o professionals.

8. MESURES DE SEGURETAT

Trivity aplicarà mesures tècniques i organitzatives apropiades per protegir les dades personals contra destrucció, pèrdua, alteració, divulgació o accés no autoritzat, tenint en compte l'estat de la tècnica, els costos d'aplicació i la naturalesa del tractament.

Aquestes mesures inclouran, entre altres:

• control d'accessos;
• xifrat en trànsit quan correspongui;
• còpies de seguretat;
• mesures de seguretat lògica i organitzativa coherents amb un servei SaaS professional.

Trivity no garanteix la invulnerabilitat absoluta dels sistemes. En aquest sentit, Trivity es compromet a aplicar mesures coherents amb l'estat de la tècnica i la naturalesa del servei; no obstant això, atesa la naturalesa de l'entorn digital i l'evolució dels vectors d'amenaça, no pot garantir la invulnerabilitat absoluta dels seus sistemes ni l'absència d'elements lesius introduïts per tercers aliens al seu control. Trivity declina qualsevol responsabilitat per danys derivats d'atacs de denegació de servei (DoS/DDoS), injecció de codi maliciós o qualsevol altra forma de ciberatac que excedeixi l'estàndard de diligència deguda professional.

9. SUBENCARREGATS DEL TRACTAMENT

El Proveïdor autoritza expressament Trivity a recórrer a subencarregats del tractament per a la correcta prestació dels Serveis, incloent-hi proveïdors d'infraestructura al núvol, correu electrònic, comunicacions, pagaments i suport tècnic.

Trivity garantirà que aquests subencarregats estiguin subjectes a obligacions contractuals de protecció de dades equivalents a les establertes en aquest DPA per mitjà d'un contracte, especialment pel que fa a proporcionar garanties suficients d'aplicació de mesures tècniques i organitzatives apropiades de manera que el tractament compleixi els requisits del RGPD.

La informació sobre els subencarregats utilitzats per Trivity podrà posar-se a disposició del Proveïdor de forma actualitzada a través de la Plataforma o de canals informatius habilitats.

En el supòsit que aquest subencarregat incompleixi les seves obligacions de protecció de dades, l'Encarregat del tractament serà l'únic responsable davant el Responsable del tractament de l'execució de les obligacions d'aquest subencarregat.

El Proveïdor podrà oposar-se de manera motivada a la incorporació d'un nou subencarregat quan existeixin raons fundades relacionades amb la protecció de dades personals. En aquest cas, les Parts buscaran de bona fe una solució raonable. L'oposició haurà de comunicar-se en un termini raonable des de la notificació del nou subencarregat.

10. TRANSFERÈNCIES INTERNACIONALS

Com a norma general, l'encarregat del tractament no tractarà ni transferirà dades personals fora de l'EEE ("Transferència internacional"), llevat que (i) sigui absolutament necessari per a la prestació dels serveis previstos en l'Acord principal, (ii) el responsable del tractament estigui degudament informat i (iii) aquesta transferència internacional es gestioni d'acord amb aquesta clàusula.

Quan sigui absolutament necessari realitzar una transferència internacional de dades per a la prestació dels serveis d'acord amb l'Acord principal:

Si la Transferència internacional es duu a terme en un territori que garanteix un nivell adequat de protecció, no es necessita una autorització específica, però el Responsable del tractament ha de ser informat sense demora.

Si la Transferència internacional es duu a terme en un territori en què no es garanteixi un nivell adequat de protecció, l'Encarregat del tractament proporcionarà les mesures de salvaguarda degudes i a condició que els drets exigibles dels afectats i les vies de recurs eficaces estiguin disponibles. Aquestes mesures de salvaguarda es proporcionaran mitjançant l'acceptació de les clàusules de protecció de dades estàndard adoptades per la Comissió Europea.

11. OBLIGACIONS DEL RESPONSABLE DEL TRACTAMENT

Correspon al responsable del tractament:

• a) Entregar a l'encarregat les dades a què es refereix aquest document i que són necessàries per a la consecució de l'acord principal.
• b) Realitzar una avaluació de l'impacte en la protecció de dades de les operacions de tractament a realitzar per l'encarregat.
• c) Realitzar les consultes prèvies que correspongui.
• d) Vetllar, de manera prèvia i durant tot el tractament, pel compliment del RGPD per part de l'Encarregat.
• e) Supervisar el tractament, inclosa la realització d'inspeccions i auditories en els termes previstos en aquest DPA.

Les auditories o inspeccions hauran de realitzar-se amb preavís raonable, durant horari laboral i de manera que no interfereixin injustificadament amb l'activitat de Trivity, limitant-se a la informació estrictament necessària per verificar el compliment d'aquest DPA. En cap cas implicaran accés directe a sistemes, codi font, bases de dades d'altres clients ni informació confidencial de Trivity o de tercers, llevat d'obligació legal imperativa o acord exprés per escrit entre les Parts.

12. DRETS DE LES PERSONES INTERESSADES

Quan Trivity rebi directament una sol·licitud d'exercici de drets d'una persona interessada les dades de la qual tracti per compte del Proveïdor, actuarà com a encarregada del tractament i col·laborarà amb el Proveïdor, en la seva condició de responsable del tractament, en la mesura que sigui necessari per garantir que els drets dels afectats es respecten i s'exerceixen degudament. Aquesta sol·licitud serà posada en coneixement del Proveïdor o del seu Delegat de Protecció de Dades (Data Protection Officer, "DPO") sense dilació indeguda i en un termini raonable des de la seva recepció, juntament amb la informació i documentació rellevant disponible.

En cap cas Trivity respondrà directament a la persona interessada llevat d'instrucció expressa del Proveïdor o exigència legal.

13. VIOLACIÓ DE LA SEGURETAT DE LES DADES

Trivity notificarà al Responsable del tractament sense dilació indeguda qualsevol violació de la seguretat de les dades de què tingui coneixement, juntament amb tota la informació i documentació rellevant, a:

• Adreça de correu electrònic: admin@trivityapp.com
• Número de telèfon: +34 681278113

Aquesta notificació ha d'incloure com a mínim:

• Una descripció de la naturalesa de la violació de la seguretat de les dades, les categories i nombres d'interessats afectats i les categories i nombres de registres de dades afectats;
• El nom i la informació de contacte del DPO de l'Encarregat del tractament o una altra persona de contacte competent que pugui proporcionar informació addicional;
• Descripció de les possibles conseqüències de la violació de la seguretat de les dades;
• Descripció de les mesures adoptades o proposades per posar remei a la violació de la seguretat de les dades, incloent-hi, si escau, les mesures adoptades per mitigar els possibles efectes negatius.

Trivity col·laborarà i cooperarà amb el Responsable del tractament en la mesura que sigui necessari per investigar, mitigar i reparar aquesta violació de la seguretat de les dades.

14. CONSERVACIÓ, DEVOLUCIÓ I SUPRESSIÓ DE DADES

Un cop finalitzada la prestació dels Serveis:

• el Proveïdor podrà, durant un període raonable no inferior a 30 dies, exportar les dades disponibles mitjançant les funcionalitats habilitades;
• Trivity suprimirà o anonimitzarà les dades personals tractades com a encarregat, llevat d'aquelles que s'hagin de conservar per obligacions legals;
• les còpies de seguretat podran conservar-se durant els períodes tècnics necessaris, quedant subjectes a les mesures de seguretat aplicables.

Un cop exportades les dades, el Proveïdor serà l'únic responsable del seu tractament ulterior.

15. RESPONSABILITAT

Cada Part respondrà de les sancions, danys o perjudicis derivats d'incompliments directes imputables al seu propi àmbit de responsabilitat d'acord amb el RGPD i els Termes legals.

Res en aquest DPA amplia la responsabilitat de Trivity més enllà del que preveuen els Termes legals i el RGPD.

16. LLEI APLICABLE I JURISDICCIÓ

Aquest DPA i totes les obligacions originades o relacionades amb el tractament de les dades es regiran per les lleis espanyoles.

En relació amb les disputes o reclamacions que poguessin ocasionar-se sota aquest DPA, les parts per la present se sotmeten a la jurisdicció dels tribunals de Barcelona (Espanya).

Aquest DPA s'incorpora als Termes legals i serà vinculant des de la seva acceptació electrònica pel Proveïdor, sense necessitat de signatura manuscrita, en la mesura permesa per la legislació aplicable.

17. ENTRADA EN VIGOR

Aquest DPA entrarà en vigor en la data d'acceptació dels Termes legals pel Proveïdor i romandrà vigent mentre Trivity tracti dades personals per compte del Proveïdor.