TEXT IN ENGLISH WILL FOLLOW TO TEXT IN SPANISH

 

Estimado cliente:

 

Con motivo de la entrada en vigor el Reglamento General Europeo de Protección de Datos (RGPD), le facilitamos información detallada relativa al tratamiento de sus datos personales por parte de ECIJA & ASOCIADOS ABOGADOS BARCELONA, S.L. (en adelante “ECIJA”).

 

 

RESPONSABLE DEL TRATAMIENTO

ECIJA & ASOCIADOS ABOGADOS BARCELONA, S.L. con domicilio Avenida Diagonal, 458, 8ª, 08006 Barcelona (España), es la entidad responsable del tratamiento de sus datos de carácter personal, para las finalidades que a continuación se describen.

 

RESPONSABLE DE PROTECCIÓN DE DATOS

Puede Ud. contactar con nuestro Responsable de Protección de Datos en la dirección postal de ECIJA, o en la dirección electrónica “informatica@ecijalegal.com

 

CÓMO HEMOS OBTENIDO SUS DATOS

Los datos que disponemos de Ud. han sido obtenidos a través de las relaciones comerciales o contractuales que Ud, o la empresa, entidad u organización para la cual Ud. trabaja o colabora, ha mantenido, o mantiene en la actualidad, con ECIJA.

 

QUÉ DATOS PERSONALES TRATAMOS DE UD.

Los datos que trataremos de Ud. para las finalidades legítimas que más adelante se explican, se limitan a sus datos de contacto y, en su caso, sus datos de contacto corporativo relativos a la empresa, entidad u organización para la cual Ud. trabaja o colabora, así como otros posibles datos adicionales que podamos solicitarle y que sean necesarios para la gestión y prestación de nuestros servicios.

.

 

PARA QUÉ TRATAMOS SUS DATOS PERSONALES

 

Sus datos los tratamos con la exclusiva finalidad de poder prestarle los servicios de asesoramiento jurídicos que Ud. nos ha solicitado o contratado, o para mantener las relaciones comerciales, contractuales o de colaboración con la empresa, entidad u organización para la cual Ud. trabaja o colabora, en particular a efectos de la presentación de servicios jurídicos solicitados por su empresa u organización.

Asimismo, podremos utilizar sus datos para el envío de comunicaciones comerciales relativas a servicios de ECIJA y que sean de naturaleza similar a las que motivan la relación entre ECIJA y Ud, o entre ECIJA  y la empresa, entidad u organización para la cual Ud. trabaja o colabora.

 

POR QUÉ MOTIVO PODEMOS TRATAR SUS DATOS PERSONALES

 

El tratamiento e sus datos personales responde a la necesidad de poder dar cumplimiento a nuestras obligaciones contractuales para con Ud., en relación con los servicios de asesoramiento jurídico que Ud, nos haya contratado, o sobre los cuales haya solicitado información a nuestro despacho.

 

Si sus datos los tenemos a efectos de relacionarnos con su empresa u organización el tratamiento de sus datos de contacto corporativo relacionado con el mantenimiento de la relación de la empresa, entidad u organización para la cual Ud. trabaja o colabora con ECIJA responde a un interés legítimo de nuestra entidad, expresamente reconocido por la normativa sobre privacidad.

 

El tratamiento de sus datos personales para el envío de información promocional sobre actividades de ECIJA similares a las que motivan la relación con Ud, o con la empresa, entidad u organización para la cual Ud. trabaja o colabora, responde a un interés legítimo de nuestra entidad y está autorizado por la normativa vigente.

 

 

CUÁNDO Y POR QUÉ MOTIVO PODEMOS FACILITAR SUS DATOS A TERCEROS

 

Sus datos podrán ser cedidos a los destinatarios que se indican a continuación, por los motivos que a continuación se explican:

 

-   Administraciones Públicas: para el cumplimiento de las obligaciones legales a las que ECIJA está sujeta por su actividad

 

-   Proveedores que precisen acceder a sus datos para la prestación de servicios que ECIJA haya contratado a dichos proveedores, y con los cuales ECIJA tiene suscritos los contratos de confidencialidad y de tratamiento de datos personales necesarios y exigidos por la normativa para proteger su privacidad.

 

- Otros terceros cuando sea necesario para cumplir con la prestación de los servicios que nos contrate (bancos, aseguradoras, administraciones públicas, contrapartes, beneficiarios, procuradores, notarios u otros terceros sobre los cuales será oportunamente informado)

 

 

Si en el futuro ECIJA realizara otras cesiones de datos personales, le informará oportunamente.

 

 

TRANSFERENCIAS INTERNACIONALES DE DATOS

 

ECIJA tiene contratados los servicios de proveedores tecnológicos ubicados en países que no disponen de normativa equivalente al RGPD (“Terceros Países”). Dichos proveedores han suscrito con ECIJA los contratos de confidencialidad y tratamiento de datos exigidos por la normativa para proveedores ubicados en Terceros Países, aplicando las garantías y salvaguardas necesarias para preservar su privacidad.

 

Para más información sobre las garantías a su privacidad, puede dirigirse al Responsable de Protección de Datos, a través de las direcciones postal y electrónica indicadas.

 

 

DURANTE CUÁNTO TIEMPO GUARDAREMOS SUS DATOS

 

Sus datos personales se conservarán mientras se mantenga su relación con ECIJA y, tras la finalización de dicha relación por cualquier causa, durante los plazos de prescripción legales que sean de aplicación. En este supuesto, se tratarán a los solos efectos de acreditar el cumplimiento de nuestras obligaciones legales o contractuales. Finalizados dichos plazos de prescripción, sus datos serán eliminados o, alternativamente, anonimizados.

 

CUÁLES SON SUS DERECHOS

Ud. puede ejercitar sus derechos de acceso, rectificación, supresión y portabilidad, limitación y/u oposición al tratamiento, a través de las direcciones postal y electrónica indicadas.

Asimismo, si Ud. considera que el tratamiento de sus datos personales vulnera la normativa o sus derechos de privacidad, puede presentar una reclamación:

-   A nuestro Responsable de Protección de Datos, a través de las direcciones postal y electrónica indicadas.

-   Ante la Agencia Española de Protección de Datos, a través de su sede electrónica (www.agpd.es), o de su dirección postal.

 

TRATAMIENTO DE DATOS DE LOS QUE UD. O SU EMPRESA SON RESPONSABLES DE TRATAMIENTO

 

Para la prestación de nuestros servicios de asesoramiento jurídico, es posible que necesitemos tratar datos personales de los cuales Ud., o su empresa u organización, son responsable de tratamiento. Le indicamos a continuación nuestra Declaración de Privacidad, donde se detallan nuestras obligaciones y compromisos de privacidad y confidencialidad en relación con el tratamiento por parte de ECIJA de dichos datos.

 

Atentamente

 

 

  ECIJA & ASOCIADOS ABOGADOS BARCELONA, S.L.

 

 

 

DECLARACIÓN DE PRIVACIDAD DE ECIJA & ASOCIADOS ABOGADOS BARCELONA, S.L.

RESPECTO AL TRATAMIENTO DE DATOS PERSONALES POR CUENTA DE SUS CLIENTES

 

Ecija y Asociados Abogados Barcelona S.L. con CIF B-65434136, domiciliada en Barcelona, Avinguda Diagonal 458, 08006, (en adelante ECIJA), constituida por tiempo indefinido, mediante escritura de fecha 21 de octubre de 2010, autorizada por la Notario de Barcelona Dña. Amanay Rivas, con el número 613 de su protocolo, inscrita en el Registro Mercantil de Barcelona, al tomo 42.231, folio 205, hoja B-405042, inscripción 1ª debidamente representada en este acto por D. Gabriel Nadal Vallvé en su calidad de Consejero Delegado.

 

MANIFIESTA

 

I.          Para la prestación de sus servicios de asesoramiento jurídico (en adelante “los Servicios”), ECIJA necesita tratar los datos personales responsabilidad de sus clientes.

 

II.         Para regular dicho acceso conforme a lo establecido por Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, (en adelante, RGPD), y su normativa de desarrollo, ECIJA se compromete a las siguientes obligaciones de confidencialidad y tratamiento de datos:

 

PRIMERA.- OBJETO.

 

La prestación de los Servicios contratados implica la realización por ECIJA de los siguientes tratamientos: registro, consulta, conservación, difusión, modificación y supresión de datos personales.

 

SEGUNDA.- DURACIÓN.

 

Las obligaciones de confidencialidad de ECIJA incluidas en la presente Declaración de Privacidad, estarán vigente durante todo el tiempo de prestación de los Servicios. No obstante lo anterior, ECIJA se compromete a seguir respetando las obligaciones establecidas en la presente Declaración de Privacidad tras el momento de resolución, finalización o vencimiento de los Servicios.

 

TERCERA.- FINALIDAD DEL TRATAMIENTO.

 

Los datos personales serán tratados, únicamente, para llevar a cabo la prestación de los Servicios. Si ECIJA considerase necesario llevar a cabo un tratamiento de los datos con una finalidad distinta deberá proceder a solicitar previamente la autorización por escrito del Cliente. A falta de dicha autorización, ECIJA no podrá efectuar dicho tratamiento.

 

CUARTA.- TIPOLOGÍA DE DATOS TRATADOS Y CATEGORÍAS DE INTERESADOS

 

4.1 Los tipos de datos personales del Cliente que ECIJA tratará en son los siguientes:

 

          Datos identificativos

          Datos de características personales

          Datos de detalles de empleo

          Datos de información comercial

          Datos económicos, financieros y de seguros

          Datos de transacciones de bienes y servicios

 

 

4.2 Las categorías de interesados de los cuales el cliente es responsable de tratamiento, y cuyos datos serán tratados por ECIJA para la prestación de los servicios, son las siguientes:

 

          Clientes.

          Potenciales Clientes.

          Proveedores.

          Personas de contacto.

          Empleados.

·                Terceros relacionados con el asesoramiento jurídico

 

QUINTA.- OBLIGACIONES DE ECIJA

 

ECIJA se compromete a cumplir las siguientes obligaciones:

 

a.        Tratar los datos personales, únicamente, para llevar a cabo la prestación de los Servicios contratados, ajustándose a las instrucciones que, en cada momento, le indique, por escrito, el Cliente (salvo que exista una normativa que obligue a tratamientos complementarios, en tal caso, el encargado informará al responsable de esa exigencia legal previa al tratamiento, salvo que tal Derecho lo prohíba por razones importantes de interés público)

 

b.        Mantener el deber de secreto respecto a los datos de carácter personal a los que tenga acceso, incluso después de finalizada la relación contractual, así como a garantizar que las personas a su cargo se hayan comprometido por escrito a mantener la confidencialidad de los datos personales tratados.

 

c.        Garantizar, teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, aplicará medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:

 

          la seudonimización y el cifrado de datos personales;

 

          la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;

 

          la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;

 

          un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

 

Al evaluar la adecuación del nivel de seguridad tendrá particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

 

En cualquier caso, teniendo en cuenta la tipología de tratamientos a realizar, se dará cumplimiento, como mínimo, a las medidas de seguridad identificas en el Anexo de la presente Declaración de Privacidad.

 

 

 

 

d.        Guardar bajo su control y custodia los datos personales a los que acceda con motivo de la prestación del Servicio y a no divulgarlos, transferirlos, o de cualquier otra forma comunicarlos, ni siquiera para su conservación a otras personas ajenas al mismo y a la prestación del Servicio.

 

No obstante, el Cliente podrá autorizar de manera expresa y por escrito al Encargado del Tratamiento para que recurra a otro Encargado del Tratamiento (en adelante, el “Subcontratista”), cuyos datos identificativos (nombre social completo y NIF) y servicios subcontratados deberán ser comunicados al Cliente, antes de la prestación del servicio, con una antelación mínima de un (1) mes. ECIJA informará del mismo modo al Cliente de cualquier cambio previsto en la incorporación o sustitución de los Subcontratistas, dando así al responsable la oportunidad de oponerse a dichos cambios.

 

En caso de hacer uso de la facultad reconocida en el párrafo anterior, ECIJA queda obligado a trasladar y comunicar al Subcontratista el conjunto de las obligaciones que para ECIJA se derivan de la presente Política de Privacidad y, en particular, la prestación de garantías suficientes de que aplicará medidas técnicas y organizativas apropiadas, de manera que el tratamiento se conforme con la normativa aplicable.

 

En cualquier caso, queda autorizado el acceso a los datos que realicen las personas físicas que presten sus servicios a ECIJA actuando dentro del marco organizativo de éste en virtud de una relación mercantil y no laboral. Asimismo, queda autorizado el acceso a los datos a las empresas y profesionales que ECIJA tenga contratados en su ámbito organizativo interno para que le presten servicios generales o de mantenimiento (servicios informáticos, asesoramiento, auditorías, etc.), siempre que dichas tareas no hayan sido concertadas por ECIJA con la finalidad de subcontratar con un tercero todo o parte de los Servicios que presta al Cliente.

 

En el supuesto de que el Subcontratista prestase sus servicios desde países que no disponen de normativa de protección de datos equivalente a la europea (“Terceros Países”), ECIJA se compromete a:

 

          Informar al Cliente de dicha circunstancia, y, si procede, colaborar con el Cliente en la tramitación de la correspondiente autorización previa a la transferencia internacional de datos con destino al Tercer País que corresponda; y

 

          A establecer cuantas salvaguardas sean exigidas por la normativa europea de protección de datos de carácter personal respecto a transferencias internacionales de datos con destino a Terceros Países, y en particular a suscribir con los importadores de datos en Terceros Países acuerdos basados en las Cláusulas Modelo aprobadas al efecto por las autoridades de la Unión Europea.

 

e.        Suprimir o devolver al Cliente, a su elección, todos los datos personales a los que haya tenido acceso para prestar el Servicio. Asimismo, ECIJA se obliga a suprimir las copias existentes, a menos que exista una norma jurídica que exija la conservación de los datos personales. No obstante, ECIJA podrá conservar los datos, debidamente bloqueados, en tanto pudieran derivarse responsabilidades de su relación con el Cliente.

 

f.          Notificar, sin dilación indebida, al cliente, las violaciones de la seguridad de los datos personales de las que tenga conocimiento, dando apoyo al Cliente en la notificación a la Agencia Española de Protección de Datos u otra Autoridad de Control competente, y en su caso, a los interesados de las violaciones de seguridad que se produzcan, así como a darle apoyo, cuando sea necesario, en la realización de evaluaciones de impacto de privacidad y en la consulta previa a la Agencia Española de Protección de Datos, cuando proceda, así como asistir al Cliente para que éste pueda cumplir con la obligación de dar respuesta a las solicitudes de ejercicio de derechos.

 

g.        Cooperar con la Agencia Española de Protección de Datos u otra Autoridad de Control, a solicitud de ésta, en el cumplimiento de sus atribuciones.

 

h.         Poner a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en esta Declaración de Privacidad y para permitir y contribuir a la realización de auditorías, incluidas las inspecciones, por parte del Cliente o un tercero autorizado por él.

 

 

 

ECIJA & ASOCIADOS ABOGADOS BARCELONA, S.L.

                                     

 

ANEXO I

 

 

Medidas de seguridad generales (exigibles siempre que se produzca alguno de los tratamientos identificados):

 

          Identificación, difusión y documentación de las funciones y obligaciones del personal con acceso a los datos.

          Definición e implantación de un procedimiento identificación y autenticación de los usuarios.

          Definición e implantación de un procedimiento de control de acceso a los datos.

          Definición e implantación de un procedimiento de registro de incidencias.

          Definición e implantación de un procedimiento de copias de respaldo.

          Implantación de un procedimiento inventariado y control de entrada y salida de soportes y documentos.

          Definición de los criterios de archivo de soportes y los dispositivos para su almacenamiento.

          Definición e implantación de controles periódicos de Seguridad para probar, evaluar y valorar regularmente la eficacia de las medidas técnicas y organizativas para garantir la seguridad del tratamiento.

          Nombramiento de un responsable o responsables de seguridad o, en su caso, Data Protection Officer.

          Definición e implantación de controles de acceso físico.

          Definición e implantación de un plan de continuidad del servicio.

          Definición e implantación de un procedimiento seudonimización de los datos personales en los casos que sea técnicamente posible

 

Medidas de seguridad especiales (exigibles siempre que se produzcan varios de los tratamientos identificados o alguno de ellos que se considere especialmente sensible):

 

          Definición e implantación de un procedimiento de cifrado de soportes

          Definición e implantación de un procedimiento anonimización de los datos personales en los casos que sea técnicamente posible

          Definición e implantación de un procedimiento de registro de acceso a los datos.

          Definición e implantación de un procedimiento cifrado de comunicaciones.

          Definición e implantación de un procedimiento de copias de respaldo y recuperación.

 

 

ECIJA & ASOCIADOS ABOGADOS BARCELONA, S.L.                                    

 

 

 

Dear Client:

 

Due to the entry into force of the European General Data Protection Regulation (GDPR), we provide you with detailed information regarding the processing of your personal data by ECIJA & ASOCIADOS ABOGADOS BARCELONA, S.L. (hereinafter "ECIJA").

 

DATA CONTROLLER

 

ECIJA & ASOCIADOS ABOGADOS BARCELONA, S.L. with address Avenida Diagonal, 458, 8ª, 08006 Barcelona (Spain), is the data controller of your personal data, for the purposes described below.

 

DATA PROTECTION MANAGER

 

You can contact our Data Protection Manager at the postal address of ECIJA, or at the electronic address informatica@ecijalegal.com

 

HOW WE HAVE OBTAINED YOUR DATA

 

The data that we have of you has been obtained through the commercial or contractual relationships that you, or the company, entity or organization for which you work or collaborate, have maintained, or maintain at present, with ECIJA.

 

WHAT PERSONAL DATA WE PROCESS

 

Your personal data will be processed for the legitimate purposes that are explained below, and are limited to your contact details and, where appropriate, your corporate contact information regarding the company, entity or organization for which you work or collaborate, as well as other possible additional data that we may request and that we might need in order to manage and deliver our services.

 

FOR WHAT PURPOSES WE PROCESS YOUR PERSONAL DATA

 

We process your data with the exclusive purpose of being able to provide you with the legal advice services that you have requested or hired, or to maintain commercial, contractual or collaborative relationships with the company, entity or organization for which you work or collaborate, in particular in connection with legal services requested by your company or organization.

 

Likewise, we may use your data to send commercial communications regarding ECIJA services that are similar in nature to those that motivate the relationship between ECIJA and you, or between ECIJA and the company, entity or organization for which you work or collaborate

 

WHY WE CAN PROCESS YOUR PERSONAL DATA

 

The processing of your personal data responds to the need of our firm to be able to comply with our contractual obligations to you, in relation to the legal advice services that you have hired or that you have requested information to our firm.

 

If your data is related your company or organization, the processing of your corporate contact details for the maintenance of the relationship with the company, entity or organization for which you work or collaborate responds to a legitimate interest of our firm, expressly recognized by privacy regulations in force.

 

The processing of your personal data to send promotional information about ECIJA’s activities similar to those that motivate the relationship with you, or with the company, entity or organization for which you work or collaborate, responds to a legitimate interest of our entity and is authorized by current legislation in force.

 

WHEN AND FOR WHAT REASON WE CAN DISCLOSE YOUR DATA TO THIRD PARTIES

 

Your data may be disclosed to the categories of recipients described below, for the following reasons:

 

-   Public Administrations: for the fulfilment of the legal obligations to which ECIJA is subject due to its activity

 

-   Service providers that require access to data for the provision of services that ECIJA has hired to those suppliers, and with which ECIJA has signed confidentiality and data processing agreements as required privacy legislation.

 

- Other third parties if necessary to comply with our provision of the services you have requested (such as banks, insurance companies, public administrations, counterparts, beneficiaries, court agents, notaries and other third parties that we will promptly inform you)

 

If, in the future ECIJA, required other disclosures of your personal data, ECIJA will inform you in a timely manner.

 

INTERNATIONAL TRANSFERS OF DATA

 

ECIJA has contracted the services of technological suppliers located in countries that do not have regulations equivalent to the GDPR ("Third Countries"). These suppliers have signed with ECIJA confidentiality and data processing agreements as required by the law for suppliers located in Third Countries, applying necessary guarantees and safeguards to protect your privacy.

 

For more information about the guarantees to your privacy, you can contact the Data Protection Manager, at our postal and electronic addresses.

 

FOR HOW LONG WILL WE KEEP YOUR DATA

 

Your personal data will be kept while your relationship with ECIJA is maintained and, after the termination of this relationship for any reason, during the applicable statutory limitation periods. In this case, they will be processed for the sole purpose of proving compliance with our legal or contractual obligations. Once limitation periods have ended, your data will be deleted or, alternatively, anonymized.

 

WHAT ARE YOUR RIGHTS

 

You can exercise your rights of access, rectification, deletion and portability, limitation and / or opposition to treatment, through the indicated postal and electronic addresses.

Also, if you consider that the processing of your personal data violates the regulations or your privacy rights, you can file a claim:

 

-   To our Data Protection Manager, at our postal and electronic addresses.

 

-   Before the Spanish Agency for Data Protection, through its website (www.agpd.es), or its postal address.

 

PROCESSING OF DATA WHEN YOU OR YOUR ORGANIZATION ARE DATA CONTROLLERS

 

For the provision of our legal advice services, we may need to process personal data of which you, or your company or organization, are data controllers. We enclose our Privacy Statement, which details our privacy and confidentiality representations and warranties in relation to the processing by ECIJA of such data

 

Sincerely

 

 

 

ECIJA & ASOCIADOS ABOGADOS BARCELONA, S.L.

 

 

ECIJA & ASOCIADOS ABOGADOS BARCELONA, S.L. PRIVACY STATEMENT

IN RELATION TO DATA PROCESSING ON BEHALF OF OUR CLIENTS

 

 

Ecija y Asociados Abogados Barcelona S.L. with CIF B-65434136, domiciled in Barcelona, Avinguda Diagonal 458, 08006, (hereinafter ECIJA), duly represented in this act by Mr. Gabriel Nadal Vallvé in his capacity as Chief Executive Officer.

 

DECLARES

 

I.     For the execution is legal advice services (hereinafter “the Services”), ECIJA requires the processing of personal data for which their clients are considered as clients.

 

II.     In order to govern such processing in compliance with Regulation (EU) 2016/679 of the European Parliament and of the Council, of 27 April 2016 (hereinafter, the “RGPD”), ECIJA represents and warrants that will comply with the following confidentiality and data processing

 

OBLIGATIONS

 

FIRST.- Purpose.

 

The provision of the Services implies the accomplishment by ECIJA of some the following data processing activities: registration, consultation, storage, disclosure, modification and suppression of personal data.

 

SECOND.- Term.

 

This Privacy Statement shall remain in force for the entire duration of the Services. Notwithstanding the foregoing, ECIJA will continue to comply with all obligations included in the Privacy Statement after the termination by any cause of the Services.

 

THIRD.- Purpose of the Processing.

 

Client personal data will be processed only to carry out the provision of the Services. If ECIJA considers necessary to carry out a processing of the data for a different purpose, ECIJA shall proceed to request the prior written authorization of the Client. In the absence of such authorization, ECIJA may not carry out such processing.

 

FOURTH.- Nature of data processed and categories of data subjects.

 

4.1 The types of clients’ personal data that ECIJA will process are the following:

 

     Identification data

     Personal characteristics data

     Details of employment data

     Commercial information data

     Economic, financial and insurance data

     Transaction of goods and services data

 

4.2 The categories of data subjects for whom ECIJA clients are data controllers, and that will be processed by ECIJA in connection with the services, are as follows:

 

     Customers.

     Prospects.

     Suppliers.

     Corporate contact details.

     Employees.

     Third parties related with the Services

 

FIFTH.- ECIJA Obligations

 

ECIJA undertakes to fulfil the following obligations:

 

a.    To process personal data only to carry out the provision of the contracted Services, in accordance with the instructions given in writing, at any time, by the Client (unless there is a legal rule that requires complementary processing, in such case, ECIJA will inform the Client of that legal requirement prior to the processing, unless the Law prohibits it on public interest grounds).  

 

b.    To maintain the duty of secrecy with respect to the personal data to which he has access, even after the termination of the contractual relationship, and to ensure that his dependants have committed in writing to maintain the confidentiality of the personal data processed.

 

c.    To ensure, taking into account the state of the art, the costs of implementation, and the nature, scope, context and purposes of the processing, as well as the risks of varying probability and severity for the rights and freedoms of natural persons, that he will apply adequate technical and organizational measures to ensure a level of security appropriate to the risk, including, where appropriate, among other things:

 

     The pseudonymisation and encryption of personal data;

 

     The ability of ensuring the confidentiality, integrity, availability and resilience continued of the systems and services treatment;

 

     The ability of restoring the availability and access to personal data quickly in the event of a physical or technical incident;

     A process of regular verification, evaluation and assessment of the effectiveness of the technical and organizational measures in order to ensure the safety of the treatment.

 

When evaluating the adequacy of the security level, special account shall be taken of the risks presented by the data processing, in particular as a consequence of the destruction, loss or accidental or unlawful alteration of the personal data transmitted, stored or otherwise processed, or the communication or access not authorized to such data.

 

IN any event, minimum security measures ECIJA will apply are described in Annexi I attached to this Privacy Statement.

 

d.    To keep under his control and custody the personal data to which he has access in relation with the provision of the Service, and to not disclose them, neither transfer or otherwise communicate them, not even for their preservation, to persons unrelated with the provision of the Services.

 

However, the Client may authorize, expressly and in writing, ECIJA to use another data processor (hereinafter, the “Subcontractor”), whose identification data (full social name and N.I.F) and subcontracted services must be communicated to the Client, prior to the provision of the service, at least with one (1) month in advance. ECIJA will also inform the Client of any change envisaged in the incorporation or substitution of the Subcontractors, giving thus to the Client the opportunity to object such changes.

 

In case of making use of the power recognized in the previous paragraph, ECIJA is obliged to transfer and communicate to the Subcontractor the whole obligations that for ECIJA as established in this Privacy Statement and, in particular, the provision of enough guarantees that he will apply appropriate technical and organizational measures, so that the processing complies with the applicable regulations.

 

In any case, access to the data made by natural persons who render their services to ECIJA, acting within the organizational framework of the latter by virtue of a commercial and non-labour relationship, is authorized. In addition, access to the data is granted to companies and professionals that ECIJA has hired in his internal organizational framework in order to provide general or maintenance services (computer services, consulting, audits, etc.), as long as such tasks have not been arranged by ECIJA with the purpose of subcontracting with a third party all or part of the Services provided to the Client.

 

In the event that the Subcontractor provides services from countries that do not have data protection regulations equivalent to the GDPR ("Third Countries"), ECIJA commits to:

 

     Inform the Client of said circumstance, and, if applicable, collaborate with the Client in the processing of the corresponding authorization prior to the international transfer of data to the corresponding Third Country; Y

 

     To establish as many safeguards as are required by the European regulations for the protection of personal data regarding international transfers of data to Third Countries, and in particular to sign agreements with importers in Third Countries based on the approved Model Clauses to that effect by the authorities of the European Union.

 

e.    To delete or return to the Client, at his choice, all personal data to which ECIJA has had access in order to provide the Service. Likewise, ECIJA undertakes to delete the existing copies, unless there is a legal rule that requires the preservation of the personal data. However, ECIJA may keep the data, duly blocked, regarding the responsibilities that could stem from his relation with Client. 

 

f.     To notify the Client, without undue delay, of any personal data security breaches of which he is aware, giving support to the Client in the notification to the Spanish Data Protection Agency or other competent Control Authority and, if applicable, to the interested parties of the security breaches that occur, as well as to provide support, when necessary, in the carrying-out of privacy impact assessments and in the prior consultation to the Spanish Data Protection Agency, where appropriate, as well as to assist the Client so he can fulfil the obligation of responding the requests to exercise certain rights.

 

g.    To cooperate with the Spanish Data Protection Agency or with other Control Authority, at its request, in the fulfilment of its power.

 

h.    To make available to the Client the whole information necessary to demonstrate compliance with obligations established under this Privacy Statement, as well as to allow and contribute to the performance of audits, including inspections, by the Client or by a third party authorized by him.

 

 

 

 

ECIJA & ASOCIADOS ABOGADOS BARCELONA, S.L.

 

 

 

 

 

 

 

ANNEX I

 

 

 

Generic security measures (to be applied to all data processings in connection with the Services):

 

• Identification, dissemination and documentation of the functions and obligations of the staff with access to the data.

• Definition and implementation of a user identification and authentication procedure.

• Definition and implementation of a procedure to control access to data.

• Definition and implementation of an incident registration procedure.

• Definition and implementation of a backup procedure.

• Implementation of an inventory procedure and control of entry and exit of media and documents.

• Definition of the criteria for archiving media and the devices for storage.

• Definition and implementation of periodic safety controls to regularly test, evaluate and assess the effectiveness of technical and organizational measures to ensure the safety of treatment.

• Appointment of a responsible or responsible for security or, where appropriate, Data Protection Officer.

• Definition and implementation of physical access controls.

• Definition and implementation of a service continuity plan.

• Definition and implementation of a pseudonymization procedure for personal data in cases that are technically possible

 

Special security measures (to be applied to processing of special categories of data in connection with the Services, if any):

 

• Definition and implementation of a support encryption procedure

• Definition and implementation of an anonymous procedure for personal data in cases that are technically possible

• Definition and implementation of a procedure to register access to data.

• Definition and implementation of an encrypted communication procedure.

• Definition and implementation of a backup and recovery procedure.

 

 

 

 

ECIJA & ASOCIADOS ABOGADOS BARCELONA, S.L.