TEXT IN ENGLISH WILL FOLLOW TO TEXT IN SPANISH
Estimado cliente:
Con
motivo de la entrada en vigor el Reglamento General Europeo de Protección de Datos (RGPD), le
facilitamos información detallada relativa al
tratamiento de sus datos personales por parte de ECIJA & ASOCIADOS ABOGADOS
BARCELONA, S.L. (en adelante “ECIJA”).
RESPONSABLE DEL TRATAMIENTO
ECIJA
& ASOCIADOS ABOGADOS BARCELONA, S.L. con domicilio Avenida Diagonal, 458, 8ª,
08006 Barcelona (España), es la entidad responsable del
tratamiento de sus datos de carácter personal, para las finalidades que a
continuación se describen.
RESPONSABLE DE PROTECCIÓN DE DATOS
Puede
Ud. contactar con nuestro Responsable de Protección de Datos en la dirección postal de ECIJA,
o en la dirección electrónica “informatica@ecijalegal.com”
CÓMO HEMOS OBTENIDO SUS DATOS
Los
datos que disponemos de Ud. han sido obtenidos a través de las relaciones
comerciales o contractuales que Ud,
o la empresa, entidad u organización para
la cual Ud. trabaja o colabora,
ha mantenido, o mantiene en la actualidad, con ECIJA.
QUÉ DATOS PERSONALES TRATAMOS DE UD.
Los datos que trataremos de Ud. para las finalidades legítimas que más adelante se explican, se limitan a sus datos de contacto y, en su caso, sus datos de contacto corporativo relativos a la empresa, entidad u organización para la cual Ud. trabaja o colabora, así como otros posibles datos adicionales que podamos solicitarle y que sean necesarios para la gestión y prestación de nuestros servicios.
.
PARA QUÉ TRATAMOS SUS DATOS PERSONALES
Sus
datos los tratamos con la exclusiva finalidad de
poder prestarle los servicios de asesoramiento
jurídicos que Ud. nos ha solicitado o contratado, o para mantener
las relaciones comerciales, contractuales o de colaboración con la empresa,
entidad u organización para la cual Ud. trabaja o colabora,
en particular a efectos de la presentación de servicios jurídicos solicitados
por su empresa u organización.
Asimismo,
podremos utilizar sus datos
para el envío de comunicaciones comerciales relativas a servicios de ECIJA y que sean de naturaleza similar
a las que motivan la relación entre ECIJA y Ud,
o entre ECIJA y
la empresa, entidad u organización para la cual Ud. trabaja o colabora.
POR QUÉ MOTIVO PODEMOS TRATAR SUS DATOS
PERSONALES
El
tratamiento e sus datos personales responde a la necesidad de poder dar cumplimiento a nuestras obligaciones contractuales para
con Ud., en relación con los servicios de asesoramiento jurídico que Ud,
nos haya contratado, o sobre los cuales haya solicitado información a nuestro
despacho.
Si
sus datos los tenemos a efectos de relacionarnos con
su empresa u organización el
tratamiento de sus datos de contacto corporativo relacionado con el
mantenimiento de la relación de la empresa, entidad u organización para la cual
Ud. trabaja o colabora con ECIJA responde a un interés legítimo de nuestra entidad, expresamente reconocido por
la normativa sobre privacidad.
El
tratamiento de sus datos personales para el envío de información promocional
sobre actividades de ECIJA similares a las que motivan la relación con Ud,
o con la empresa, entidad u organización para
la cual Ud. trabaja o colabora, responde a un interés legítimo de nuestra
entidad y está autorizado por la normativa vigente.
CUÁNDO Y POR QUÉ MOTIVO PODEMOS
FACILITAR SUS DATOS A TERCEROS
Sus
datos podrán ser cedidos a los destinatarios que se
indican a continuación, por los motivos que a continuación se explican:
-
Administraciones
Públicas: para el cumplimiento de las obligaciones legales a las que ECIJA está sujeta por su actividad
-
Proveedores que precisen acceder a sus datos para la prestación de
servicios que ECIJA haya contratado a dichos proveedores, y con los cuales ECIJA tiene suscritos los contratos de confidencialidad y de tratamiento de datos
personales necesarios y exigidos por la normativa
para proteger su privacidad.
- Otros terceros cuando sea necesario para cumplir con la prestación de los servicios que nos contrate (bancos, aseguradoras, administraciones públicas, contrapartes, beneficiarios, procuradores, notarios u otros terceros sobre los cuales será oportunamente informado)
Si
en el futuro ECIJA realizara otras cesiones de datos personales, le informará oportunamente.
TRANSFERENCIAS INTERNACIONALES DE DATOS
ECIJA tiene contratados los servicios de proveedores tecnológicos ubicados en países
que no disponen de normativa equivalente al RGPD (“Terceros Países”). Dichos proveedores han suscrito con ECIJA los contratos de confidencialidad y tratamiento de datos exigidos por la normativa para proveedores ubicados en Terceros
Países, aplicando las garantías y salvaguardas necesarias para preservar su
privacidad.
Para
más información sobre las garantías a su privacidad, puede dirigirse al Responsable de Protección de Datos, a través
de las direcciones postal y electrónica indicadas.
DURANTE CUÁNTO TIEMPO GUARDAREMOS SUS
DATOS
Sus
datos personales se conservarán mientras se mantenga su relación con ECIJA y, tras la finalización de dicha relación por cualquier causa, durante los
plazos de prescripción legales que sean de aplicación. En este supuesto, se
tratarán a los solos efectos de acreditar el cumplimiento de nuestras
obligaciones legales o contractuales. Finalizados
dichos plazos de prescripción, sus datos serán eliminados o, alternativamente,
anonimizados.
CUÁLES SON SUS DERECHOS
Ud.
puede ejercitar sus derechos de acceso, rectificación, supresión y
portabilidad, limitación y/u oposición al tratamiento,
a través de las direcciones postal y electrónica indicadas.
Asimismo,
si Ud. considera que el tratamiento de sus datos personales vulnera la
normativa o sus derechos de privacidad, puede presentar una reclamación:
-
A
nuestro Responsable de Protección de Datos, a través de las direcciones postal y electrónica
indicadas.
-
Ante
la Agencia Española de Protección de Datos, a través de su sede electrónica (www.agpd.es), o de su dirección postal.
TRATAMIENTO DE DATOS DE LOS QUE UD. O SU
EMPRESA SON RESPONSABLES DE TRATAMIENTO
Para
la prestación de nuestros servicios de asesoramiento jurídico, es posible que
necesitemos tratar datos personales de los cuales Ud., o su empresa u
organización, son responsable de tratamiento. Le indicamos
a continuación nuestra
Declaración de Privacidad, donde se detallan nuestras obligaciones y
compromisos de privacidad y confidencialidad en relación con el tratamiento por
parte de ECIJA de dichos datos.
Atentamente
DECLARACIÓN
DE PRIVACIDAD DE ECIJA & ASOCIADOS ABOGADOS BARCELONA, S.L.
RESPECTO
AL TRATAMIENTO DE DATOS PERSONALES POR CUENTA DE SUS CLIENTES
Ecija
y Asociados Abogados Barcelona S.L. con CIF B-65434136, domiciliada en
Barcelona, Avinguda Diagonal 458, 08006, (en adelante ECIJA), constituida
por tiempo indefinido, mediante escritura de fecha 21 de octubre de 2010,
autorizada por la Notario de Barcelona Dña. Amanay Rivas, con el número 613 de su protocolo, inscrita en el Registro Mercantil de
Barcelona, al tomo 42.231, folio 205, hoja B-405042,
inscripción 1ª debidamente representada en este acto por D. Gabriel Nadal Vallvé en su calidad de Consejero Delegado.
MANIFIESTA
I. Para la
prestación de sus servicios de asesoramiento jurídico (en adelante “los Servicios”), ECIJA necesita tratar los datos
personales responsabilidad de sus clientes.
II. Para regular
dicho acceso conforme a lo establecido por Reglamento (UE) 2016/679 del
Parlamento Europeo y del Consejo, de 27 de abril de 2016, (en adelante, RGPD), y su normativa de desarrollo, ECIJA se compromete a
las siguientes obligaciones de confidencialidad y tratamiento de datos:
PRIMERA.- OBJETO.
La
prestación de los Servicios contratados implica la realización por ECIJA de los
siguientes tratamientos: registro, consulta,
conservación, difusión, modificación y supresión de datos personales.
SEGUNDA.- DURACIÓN.
Las
obligaciones de confidencialidad de ECIJA incluidas en la presente Declaración
de Privacidad, estarán vigente durante todo el tiempo de prestación de los Servicios. No obstante lo anterior, ECIJA
se compromete a seguir respetando las obligaciones establecidas en la presente
Declaración de Privacidad tras el momento de resolución, finalización o
vencimiento de los Servicios.
TERCERA.- FINALIDAD
DEL TRATAMIENTO.
Los
datos personales serán tratados, únicamente, para llevar a cabo la prestación
de los Servicios. Si ECIJA considerase necesario llevar a cabo un tratamiento
de los datos con una finalidad distinta deberá proceder a solicitar previamente la autorización por escrito del Cliente. A falta de
dicha autorización, ECIJA no podrá efectuar dicho tratamiento.
CUARTA.- TIPOLOGÍA DE DATOS TRATADOS Y
CATEGORÍAS DE INTERESADOS
4.1
Los tipos de datos personales del Cliente que ECIJA tratará en son los siguientes:
• Datos
identificativos
• Datos de
características personales
• Datos de
detalles de empleo
• Datos de
información comercial
• Datos
económicos, financieros y de seguros
• Datos de
transacciones de bienes y servicios
4.2
Las categorías de interesados de los cuales el
cliente es responsable de tratamiento, y cuyos datos serán tratados por ECIJA
para la prestación de los servicios, son las siguientes:
• Clientes.
• Potenciales
Clientes.
• Proveedores.
• Personas de
contacto.
• Empleados.
·
Terceros relacionados con el
asesoramiento jurídico
QUINTA.- OBLIGACIONES DE ECIJA
ECIJA
se compromete a cumplir las siguientes obligaciones:
a. Tratar los
datos personales, únicamente, para llevar a cabo la prestación de los Servicios
contratados, ajustándose a las instrucciones que, en cada momento, le indique,
por escrito, el Cliente (salvo que exista una normativa que obligue a
tratamientos complementarios, en tal caso, el
encargado informará al responsable de esa exigencia legal previa al
tratamiento, salvo que tal Derecho lo prohíba por razones importantes de
interés público)
b. Mantener el
deber de secreto respecto a los datos de carácter personal
a los que tenga acceso, incluso después de finalizada la relación contractual,
así como a garantizar que las personas a su cargo se hayan comprometido por
escrito a mantener la confidencialidad de los datos personales tratados.
c. Garantizar,
teniendo en cuenta el estado de la técnica, los
costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del
tratamiento, así como riesgos de probabilidad y gravedad variables para los
derechos y libertades de las personas físicas, aplicará medidas técnicas y organizativas apropiadas para garantizar
un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:
• la seudonimización y
el cifrado de datos personales;
• la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de
tratamiento;
• la capacidad de restaurar la disponibilidad y el acceso a los datos personales de
forma rápida en caso de incidente físico o técnico;
• un proceso
de verificación, evaluación y valoración regulares de
la eficacia de las medidas técnicas y organizativas para garantizar la
seguridad del tratamiento.
Al
evaluar la adecuación del nivel de seguridad tendrá particularmente en cuenta
los riesgos que presente el tratamiento de datos, en
particular como consecuencia de la destrucción, pérdida o alteración accidental
o ilícita de datos personales transmitidos, conservados o tratados de otra
forma, o la comunicación o acceso no autorizados a dichos datos.
En
cualquier caso, teniendo en cuenta la tipología de
tratamientos a realizar, se dará cumplimiento, como mínimo, a las medidas de
seguridad identificas en el Anexo de la presente Declaración de Privacidad.
d. Guardar bajo
su control y custodia los datos personales a los que
acceda con motivo de la prestación del Servicio y a no divulgarlos,
transferirlos, o de cualquier otra forma comunicarlos, ni siquiera para su
conservación a otras personas ajenas al mismo y a la prestación del Servicio.
No
obstante, el Cliente podrá autorizar de manera
expresa y por escrito al Encargado del Tratamiento para que recurra a otro
Encargado del Tratamiento (en adelante, el “Subcontratista”), cuyos datos
identificativos (nombre social completo y NIF) y servicios subcontratados
deberán ser comunicados al Cliente, antes de la
prestación del servicio, con una antelación mínima de un (1) mes. ECIJA
informará del mismo modo al Cliente de cualquier cambio previsto en la
incorporación o sustitución de los Subcontratistas, dando así al responsable la oportunidad de oponerse a dichos cambios.
En
caso de hacer uso de la facultad reconocida en el párrafo anterior, ECIJA queda
obligado a trasladar y comunicar al Subcontratista el conjunto de las
obligaciones que para ECIJA se derivan de la presente Política de Privacidad y, en particular, la prestación de
garantías suficientes de que aplicará medidas técnicas y organizativas
apropiadas, de manera que el tratamiento se conforme con la normativa
aplicable.
En
cualquier caso, queda autorizado el acceso a los
datos que realicen las personas físicas que presten sus servicios a ECIJA
actuando dentro del marco organizativo de éste en virtud de una relación
mercantil y no laboral. Asimismo, queda autorizado el acceso a los datos a las
empresas y profesionales que ECIJA tenga contratados
en su ámbito organizativo interno para que le presten servicios generales o de
mantenimiento (servicios informáticos, asesoramiento, auditorías, etc.),
siempre que dichas tareas no hayan sido concertadas por ECIJA con la finalidad de subcontratar con un tercero todo o parte de los
Servicios que presta al Cliente.
En
el supuesto de que el Subcontratista prestase sus servicios desde países que no
disponen de normativa de protección de datos equivalente a la europea
(“Terceros Países”), ECIJA se compromete a:
• Informar al
Cliente de dicha circunstancia, y, si procede, colaborar con el Cliente en la
tramitación de la correspondiente autorización previa a la transferencia
internacional de datos con destino al Tercer País que corresponda; y
• A establecer
cuantas salvaguardas sean exigidas por la normativa europea de protección de
datos de carácter personal respecto a transferencias internacionales de datos
con destino a Terceros Países, y en particular a suscribir con los importadores de datos en Terceros Países acuerdos basados en las
Cláusulas Modelo aprobadas al efecto por las autoridades de la Unión Europea.
e. Suprimir o
devolver al Cliente, a su elección, todos los datos personales a los que haya
tenido acceso para prestar el Servicio. Asimismo,
ECIJA se obliga a suprimir las copias existentes, a menos que exista una norma
jurídica que exija la conservación de los datos personales. No obstante, ECIJA
podrá conservar los datos, debidamente bloqueados, en tanto pudieran derivarse
responsabilidades de su relación con el Cliente.
f. Notificar,
sin dilación indebida, al cliente, las violaciones de la seguridad de los datos
personales de las que tenga conocimiento, dando apoyo al Cliente en la
notificación a la Agencia Española de Protección de
Datos u otra Autoridad de Control competente, y en su caso, a los interesados
de las violaciones de seguridad que se produzcan, así como a darle apoyo,
cuando sea necesario, en la realización de evaluaciones de impacto de
privacidad y en la consulta previa a la Agencia
Española de Protección de Datos, cuando proceda, así como asistir al Cliente
para que éste pueda cumplir con la obligación de dar respuesta a las
solicitudes de ejercicio de derechos.
g. Cooperar con
la Agencia Española de Protección de Datos u otra
Autoridad de Control, a solicitud de ésta, en el cumplimiento de sus
atribuciones.
h. Poner a
disposición del Cliente toda la información necesaria para demostrar el
cumplimiento de las obligaciones establecidas en esta Declaración de Privacidad
y para permitir y contribuir a la realización de auditorías, incluidas las
inspecciones, por parte del Cliente o un tercero
autorizado por él.
ECIJA & ASOCIADOS ABOGADOS
BARCELONA, S.L.
ANEXO
I
Medidas
de seguridad generales (exigibles siempre que se produzca alguno de los
tratamientos identificados):
• Identificación,
difusión y documentación de las funciones y
obligaciones del personal con acceso a los datos.
• Definición e
implantación de un procedimiento identificación y autenticación de los
usuarios.
• Definición e
implantación de un procedimiento de control de acceso
a los datos.
• Definición e
implantación de un procedimiento de registro de incidencias.
• Definición e
implantación de un procedimiento de copias de respaldo.
• Implantación
de un procedimiento inventariado y control de entrada y salida de soportes y documentos.
• Definición
de los criterios de archivo de soportes y los dispositivos para su
almacenamiento.
• Definición e
implantación de controles periódicos de Seguridad para probar, evaluar y
valorar regularmente la eficacia de las medidas técnicas y organizativas para garantir la seguridad del tratamiento.
• Nombramiento
de un responsable o responsables de seguridad o, en su caso, Data Protection Officer.
• Definición e
implantación de controles de acceso físico.
• Definición e
implantación de un plan de continuidad del servicio.
• Definición e
implantación de un procedimiento seudonimización de los datos personales en los casos que sea técnicamente posible
Medidas
de seguridad especiales (exigibles siempre que se produzcan varios de los
tratamientos identificados o alguno de ellos que se
considere especialmente sensible):
• Definición e
implantación de un procedimiento de cifrado de soportes
• Definición e
implantación de un procedimiento anonimización de los datos personales en los
casos que sea técnicamente posible
• Definición e
implantación de un procedimiento de registro de acceso a los datos.
• Definición e
implantación de un procedimiento cifrado de comunicaciones.
• Definición e
implantación de un procedimiento de copias de respaldo y recuperación.
ECIJA & ASOCIADOS ABOGADOS
BARCELONA, S.L.
Dear Client:
Due to the entry into force of the European General Data
Protection Regulation (GDPR), we provide you with detailed information regarding the
processing of your personal data by ECIJA &
ASOCIADOS ABOGADOS BARCELONA, S.L. (hereinafter "ECIJA").
DATA CONTROLLER
ECIJA & ASOCIADOS ABOGADOS BARCELONA, S.L. with address Avenida Diagonal, 458, 8ª, 08006 Barcelona (Spain), is the data
controller of your personal data, for the purposes described below.
DATA PROTECTION
MANAGER
You can contact our Data Protection Manager at the postal
address of ECIJA, or at the electronic address informatica@ecijalegal.com
HOW WE HAVE
OBTAINED YOUR DATA
The data that we have of you has been obtained through the
commercial or contractual relationships that you, or the company, entity or organization for which you work or collaborate, have
maintained, or maintain at present, with ECIJA.
WHAT PERSONAL
DATA WE PROCESS
Your personal data will be processed for the legitimate purposes that are explained below, and are limited to your contact details and, where appropriate, your corporate contact information regarding the company, entity or organization for which you work or collaborate, as well as other possible additional data that we may request and that we might need in order to manage and deliver our services.
FOR WHAT
PURPOSES WE PROCESS YOUR PERSONAL DATA
We process your data with the exclusive purpose of being able to provide you with the legal advice services that you
have requested or hired, or to maintain commercial, contractual or
collaborative relationships with the company, entity or organization for which
you work or collaborate, in particular in connection
with legal services requested by your company or organization.
Likewise, we may use your data to send commercial
communications regarding ECIJA services that are similar in nature to those
that motivate the relationship between ECIJA and you, or between ECIJA and the company, entity or organization for which
you work or collaborate
WHY WE CAN PROCESS YOUR PERSONAL
DATA
The processing of your personal data responds to the need of our firm to be able to comply with our contractual obligations to
you, in relation to the legal advice services that you have hired or that you have requested information to our firm.
If your data is related your company or organization, the processing of your corporate contact details for the maintenance of the relationship with the company, entity or organization for which you work or
collaborate responds to a legitimate interest of our firm, expressly recognized by privacy regulations in force.
The processing of your personal data to send promotional
information about ECIJA’s activities similar to those that motivate the relationship
with you, or with the company, entity or organization for which you work or
collaborate, responds to a legitimate interest of our entity and is authorized
by current legislation in
force.
WHEN AND FOR
WHAT REASON WE CAN DISCLOSE YOUR DATA TO
THIRD PARTIES
Your data may be disclosed to the categories of recipients described below, for the following reasons:
-
Public Administrations: for the fulfilment of the legal obligations to which ECIJA is subject due to
its activity
-
Service providers that require access to data for the provision of services that ECIJA has
hired to those suppliers, and with which ECIJA has signed confidentiality and
data processing
agreements as required privacy legislation.
- Other third parties if necessary to comply with our provision of the services you have requested (such as banks, insurance companies, public administrations, counterparts, beneficiaries, court agents, notaries and other third parties that we will promptly inform you)
If, in the future ECIJA, required other disclosures of your personal data, ECIJA will inform you in a timely manner.
INTERNATIONAL
TRANSFERS OF DATA
ECIJA has contracted the services of technological suppliers located in countries that do not
have regulations equivalent to the GDPR ("Third Countries"). These suppliers have signed
with ECIJA confidentiality and data processing agreements as required by the law for suppliers located in Third
Countries, applying necessary guarantees and safeguards to protect your privacy.
For more information about the guarantees to your privacy,
you can contact the Data Protection Manager, at our postal and electronic addresses.
FOR HOW LONG
WILL WE KEEP YOUR DATA
Your personal data will be kept while your relationship
with ECIJA is maintained and, after the termination of this relationship for
any reason, during the applicable statutory limitation periods. In this case, they will be processed for the sole purpose of proving compliance with our legal
or contractual obligations. Once limitation periods have ended, your data will
be deleted or, alternatively, anonymized.
WHAT ARE YOUR
RIGHTS
You can exercise your rights of access, rectification, deletion and portability, limitation and / or opposition
to treatment, through the indicated postal and electronic addresses.
Also, if you consider that the processing of your personal
data violates the regulations or your privacy rights, you can file a claim:
-
To our Data Protection Manager, at our postal and electronic addresses.
-
Before the Spanish Agency for Data Protection, through its website (www.agpd.es), or its postal address.
PROCESSING OF DATA WHEN YOU OR YOUR ORGANIZATION ARE DATA CONTROLLERS
For the provision of our legal advice services, we may need
to process personal data of which you, or your company or organization, are data controllers. We enclose our
Privacy Statement, which details our privacy and confidentiality representations and warranties in relation to the processing by ECIJA of such data
Sincerely
ECIJA & ASOCIADOS ABOGADOS
BARCELONA, S.L.
ECIJA
& ASOCIADOS ABOGADOS BARCELONA, S.L. PRIVACY STATEMENT
IN RELATION TO DATA PROCESSING ON BEHALF OF
OUR CLIENTS
Ecija y Asociados Abogados Barcelona S.L. with
CIF B-65434136, domiciled in Barcelona, Avinguda Diagonal 458, 08006, (hereinafter ECIJA), duly represented
in this act by Mr. Gabriel Nadal Vallvé in his capacity as Chief Executive Officer.
DECLARES
I. For the execution is legal advice
services (hereinafter “the Services”), ECIJA requires the processing of
personal data for which their clients are considered as clients.
II. In order to govern such processing in compliance with
Regulation (EU) 2016/679 of the European Parliament
and of the Council, of 27 April 2016 (hereinafter, the “RGPD”), ECIJA
represents and warrants that will comply with the following confidentiality and
data processing
OBLIGATIONS
FIRST.- Purpose.
The provision of the Services implies the accomplishment by ECIJA of some the following
data processing activities: registration, consultation, storage, disclosure,
modification and suppression of personal data.
SECOND.- Term.
This Privacy Statement shall remain in force
for the entire duration of the Services.
Notwithstanding the foregoing, ECIJA will continue to comply with all
obligations included in the Privacy Statement after the termination by any
cause of the Services.
THIRD.- Purpose of the
Processing.
Client personal data will
be processed only to carry out the provision of the Services. If ECIJA
considers necessary to carry out a processing of the data for a different
purpose, ECIJA shall proceed to request the prior written authorization of the
Client. In the absence of such authorization, ECIJA
may not carry out such processing.
FOURTH.- Nature of data
processed and categories of data subjects.
4.1 The types of clients’ personal data that
ECIJA will process are the following:
• Identification data
• Personal characteristics data
• Details of employment data
• Commercial information data
• Economic, financial and insurance data
• Transaction of goods and services data
4.2 The categories of data subjects for whom
ECIJA clients are data controllers, and that will be processed by ECIJA in
connection with the services, are as follows:
• Customers.
• Prospects.
• Suppliers.
• Corporate contact details.
• Employees.
• Third parties related with the
Services
FIFTH.- ECIJA
Obligations
ECIJA undertakes to fulfil the following
obligations:
a. To process personal data only to carry out the provision of
the contracted Services, in accordance with the instructions given in writing,
at any time, by the Client (unless there is a legal rule that requires
complementary processing, in such case, ECIJA will
inform the Client of that legal requirement prior to the processing, unless the
Law prohibits it on public interest grounds).
b. To maintain the duty of secrecy with respect to the
personal data to which he has access, even after the termination of the contractual relationship, and to ensure that his
dependants have committed in writing to maintain the confidentiality of the
personal data processed.
c. To ensure, taking into account the state of the art, the
costs of implementation, and the nature, scope,
context and purposes of the processing, as well as the risks of varying
probability and severity for the rights and freedoms of natural persons, that
he will apply adequate technical and organizational measures to ensure a level
of security appropriate to the risk, including, where
appropriate, among other things:
• The pseudonymisation and encryption of personal data;
• The ability of ensuring the confidentiality, integrity,
availability and resilience continued of the systems and services treatment;
• The ability of restoring the availability and access to
personal data quickly in the event of a physical or technical incident;
• A process of regular verification, evaluation and
assessment of the effectiveness of the technical and organizational measures in
order to ensure the safety of the treatment.
When evaluating the adequacy of the security
level, special account shall be taken of the risks
presented by the data processing, in particular as a consequence of the
destruction, loss or accidental or unlawful alteration of the personal data
transmitted, stored or otherwise processed, or the communication or access not authorized to such data.
IN any event, minimum security measures ECIJA
will apply are described in Annexi I attached to this Privacy Statement.
d. To keep under his control and custody the personal data to
which he has access in relation with the provision of
the Service, and to not disclose them, neither transfer or otherwise
communicate them, not even for their preservation, to persons unrelated with
the provision of the Services.
However, the Client may authorize, expressly
and in writing, ECIJA to use another data processor
(hereinafter, the “Subcontractor”), whose identification data (full social name
and N.I.F) and subcontracted services must be communicated to the Client, prior
to the provision of the service, at least with one (1) month in advance. ECIJA will also inform the Client of any change
envisaged in the incorporation or substitution of the Subcontractors, giving
thus to the Client the opportunity to object such changes.
In case of making use of the power recognized
in the previous paragraph, ECIJA is obliged to
transfer and communicate to the Subcontractor the whole obligations that for
ECIJA as established in this Privacy Statement and, in particular, the
provision of enough guarantees that he will apply appropriate technical and organizational measures, so that the processing complies with
the applicable regulations.
In any case, access to the data made by
natural persons who render their services to ECIJA, acting within the
organizational framework of the latter by virtue of a commercial and non-labour relationship, is authorized. In
addition, access to the data is granted to companies and professionals that
ECIJA has hired in his internal organizational framework in order to provide
general or maintenance services (computer services,
consulting, audits, etc.), as long as such tasks have not been arranged by
ECIJA with the purpose of subcontracting with a third party all or part of the
Services provided to the Client.
In the event that the Subcontractor provides
services from countries that do not have data
protection regulations equivalent to the GDPR ("Third Countries"),
ECIJA commits to:
• Inform the Client of said circumstance, and, if applicable,
collaborate with the Client in the processing of the corresponding
authorization prior to the international transfer of
data to the corresponding Third Country; Y
• To establish as many safeguards as are required by the
European regulations for the protection of personal data regarding
international transfers of data to Third Countries,
and in particular to sign agreements with importers in Third Countries based on
the approved Model Clauses to that effect by the authorities of the European
Union.
e. To delete or return to the Client, at his choice, all
personal data to which ECIJA has had access in order
to provide the Service. Likewise, ECIJA undertakes to delete the existing
copies, unless there is a legal rule that requires the preservation of the
personal data. However, ECIJA may keep the data, duly blocked, regarding the
responsibilities that could stem from his relation
with Client.
f. To notify the Client, without undue delay, of any personal
data security breaches of which he is aware, giving support to the Client in
the notification to the Spanish Data Protection Agency or other competent Control Authority and, if applicable, to
the interested parties of the security breaches that occur, as well as to
provide support, when necessary, in the carrying-out of privacy impact
assessments and in the prior consultation to the Spanish
Data Protection Agency, where appropriate, as well as to assist the Client so
he can fulfil the obligation of responding the requests to exercise certain
rights.
g. To cooperate with the Spanish Data Protection Agency or
with other Control Authority, at its request, in the
fulfilment of its power.
h. To make available to the Client the whole information
necessary to demonstrate compliance with obligations established under this
Privacy Statement, as well as to allow and contribute to the performance of audits, including inspections, by the Client or by a
third party authorized by him.
ECIJA & ASOCIADOS ABOGADOS BARCELONA, S.L.
ANNEX I
Generic security measures (to be applied to
all data processings in connection with the Services):
• Identification,
dissemination and documentation of the functions and obligations of the staff
with access to the data.
• Definition and implementation of a user
identification and authentication procedure.
• Definition and implementation of a procedure
to control access to data.
• Definition and implementation of an incident
registration procedure.
• Definition and implementation of a backup
procedure.
• Implementation of an inventory procedure and
control of entry and exit of media and documents.
• Definition of the
criteria for archiving media and the devices for storage.
• Definition and implementation of periodic
safety controls to regularly test, evaluate and assess the effectiveness of
technical and organizational measures to ensure the safety of treatment.
• Appointment of a responsible or responsible
for security or, where appropriate, Data Protection Officer.
• Definition and implementation of physical
access controls.
• Definition and implementation of a service
continuity plan.
• Definition and
implementation of a pseudonymization procedure for personal data in cases that are technically
possible
Special security measures (to be applied to
processing of special categories of data in connection with the Services, if
any):
• Definition and implementation
of a support encryption procedure
• Definition and implementation of an
anonymous procedure for personal data in cases that are technically possible
• Definition and implementation of a procedure
to register access to data.
• Definition and implementation
of an encrypted communication procedure.
• Definition and implementation of a backup
and recovery procedure.
ECIJA
& ASOCIADOS ABOGADOS BARCELONA, S.L.