El presente Acuerdo de Procesamiento de Datos (“APD” o “Acuerdo”) se celebra entre:
| Campo | Detalles |
|---|---|
| Empresa | [NOMBRE LEGAL COMPLETO DEL CLIENTE] |
| Dirección registrada | [DIRECCIÓN] |
| NIF/Número de empresa | [NÚMERO DE IVA] |
| Contacto de protección de datos | [CORREO ELECTRÓNICO / CONTACTO DEL DPO] |
| Representante firmante | [NOMBRE, CARGO] |
| Campo | Detalles |
|---|---|
| Empresa | Xygeni Security, SL |
| Dirección registrada | C/Pasión 4, 2 Planta, 47001 Valladolid, España |
| IVA | B09620287 |
| Contacto de protección de datos | info@xygeni.io |
| Representante firmante | [NOMBRE, CARGO] |
En adelante, el Controlador y el Encargado del Tratamiento se denominarán individualmente como una “Parte” y colectivamente como las “Partes”.
Este DPA forma parte del Acuerdo Maestro de Servicio o Términos de Servicio (“Acuerdo Principal”) entre las Partes que rigen la prestación por parte de Xygeni de su seguridad de la aplicación y software supply chain security servicios (los “Servicios”). En caso de conflicto entre este Acuerdo de Protección de Datos y el Acuerdo Principal, este Acuerdo de Protección de Datos prevalecerá en materia de protección de datos.
A los efectos de este DPA:
Las Partes reconocen y acuerdan que:
Cuando Xygeni procesa datos personales para sus propios fines (por ejemplo, gestión de cuentas, facturación, análisis para la mejora del servicio), actúa como responsable del tratamiento independiente. Dicho procesamiento se rige por la Política de Privacidad de Xygeni y queda fuera del alcance de este Acuerdo de Protección de Datos.
El objeto, la naturaleza, la duración y la finalidad del tratamiento, así como los tipos de datos personales tratados y las categorías de interesados, se detallan en el Anexo 1 (Detalles del Tratamiento) de este Acuerdo de Protección de Datos.
El Procesador tratará los Datos del Cliente únicamente en la medida necesaria para prestar los Servicios descritos en el Contrato Principal y de conformidad con las instrucciones documentadas del Responsable del Tratamiento, salvo que la ley aplicable lo exija. En tal caso, el Procesador informará al Responsable del Tratamiento de dicho requisito legal antes de procesar los datos, salvo que la ley lo prohíba por razones importantes de interés público.
El Controlador instruye al Procesador para que procese los Datos del Cliente según sea necesario para: (a) prestar los Servicios de conformidad con el Acuerdo Principal; (b) cumplir con las instrucciones del Controlador comunicadas por escrito de vez en cuando; y (c) cumplir con las obligaciones del Procesador en virtud del presente DPA.
El Procesador deberá informar de inmediato al Responsable del Tratamiento si, a su juicio razonable, una instrucción de este último infringe la Ley de Protección de Datos aplicable. En tal caso, el Procesador tendrá derecho a cesar el tratamiento de datos conforme a dicha instrucción hasta que el Responsable del Tratamiento la haya aclarado o modificado.
El Controlador garantiza y declara que: (a) tiene una base legal válida según el Art. 6 del RGPD (y, cuando corresponda, el Art. 9) para procesar los Datos Personales relevantes; (b) ha proporcionado todos los avisos requeridos y obtenido todos los consentimientos requeridos; y (c) la transferencia de Datos del Cliente al Procesador no viola ninguna ley aplicable.
El Encargado del Tratamiento procesará los Datos del Cliente únicamente siguiendo las instrucciones documentadas del Responsable del Tratamiento, salvo que así lo exija la legislación aplicable de la UE o de un Estado miembro. El Encargado del Tratamiento no procesará los Datos del Cliente para sus propios fines ni los divulgará a terceros, excepto cuando sea necesario para prestar los Servicios o cuando lo exija la ley.
El procesador deberá garantizar que las personas autorizadas para procesar los datos del cliente tengan commitSe comprometen a mantener la confidencialidad o están sujetos a una obligación legal de confidencialidad. El acceso a los datos del cliente se limitará a aquellos empleados, contratistas y subcontratistas que necesiten acceder a ellos para la prestación de los Servicios.
El Procesador deberá implementar y mantener medidas técnicas y organizativas apropiadas para proteger los Datos del Cliente contra el procesamiento no autorizado o ilícito y contra la pérdida, destrucción, daño, alteración o divulgación accidentales, teniendo en cuenta:
Dichas medidas deberán incluir, como mínimo, las establecidas en el Anexo 2 (Medidas de seguridad técnicas y organizativas) del presente Acuerdo de Protección de Datos (APD). La certificación ISO 27001 del Encargado del Tratamiento constituye prueba de un sistema básico de gestión de la seguridad de la información. El Encargado del Tratamiento deberá mantener la certificación ISO 27001 o equivalente durante toda la vigencia del presente APD.
El Procesador deberá, teniendo en cuenta la naturaleza del procesamiento, asistir al Responsable del Tratamiento mediante medidas técnicas y organizativas apropiadas, en la medida en que sea posible, para cumplir con la obligación del Responsable del Tratamiento de responder a las solicitudes de ejercicio de derechos.cisGarantizar los derechos de los interesados en virtud de la legislación aplicable en materia de protección de datos (incluidos los derechos de acceso, rectificación, supresión, limitación, portabilidad y oposición en virtud de los artículos 15 a 22 del RGPD).
El Procesador deberá: (a) notificar de inmediato al Controlador si recibe una solicitud de un Interesado en relación con los Datos del Cliente; (b) no responder a dichas solicitudes salvo en las instrucciones documentadas del Controlador o según lo exija la ley aplicable; y (c) proporcionar al Controlador asistencia razonable para responder a dichas solicitudes dentro de los plazos legales aplicables (30 días según el Art. 12 del RGPD).
El encargado del tratamiento ayudará al responsable del tratamiento a garantizar el cumplimiento de las obligaciones establecidas en los artículos 32 a 36 del RGPD, teniendo en cuenta la naturaleza del tratamiento y la información de la que dispone el encargado del tratamiento, incluso con respecto a:
Tras la rescisión o expiración del Acuerdo Principal, o a solicitud del Responsable del Tratamiento, el Encargado del Tratamiento, a elección del Responsable del Tratamiento, eliminará o devolverá al Responsable todos los Datos del Cliente que obren en su poder, y eliminará las copias existentes, salvo que la legislación aplicable de la UE o de un Estado miembro exija el almacenamiento de los Datos Personales. El Encargado del Tratamiento confirmará por escrito la eliminación en un plazo de 30 días a partir del momento en que se produzca el evento desencadenante.
Procesador standard El calendario de retención de datos (establecido en el Anexo 1) se aplicará a menos que el Responsable del tratamiento solicite su eliminación con anterioridad.
El Procesador deberá poner a disposición del Controlador toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en este Acuerdo de Protección de Datos, y deberá permitir y contribuir a las auditorías, incluidas las inspecciones, realizadas por el Controlador o un auditor designado por este.
El procesador puede cumplir con esta obligación proporcionando:
El Procesador deberá notificar al Controlador sin demora indebida y, en cualquier caso, dentro de las 48 horas siguientes a tener conocimiento de una Violación de Datos Personales que afecte a los Datos del Cliente. Dicha notificación deberá incluir, en la medida en que esté disponible en ese momento:
Cuando no sea posible proporcionar toda la información mencionada simultáneamente, esta podrá facilitarse por fases sin demoras indebidas. El Procesador cooperará con el Responsable del Tratamiento y adoptará las medidas razonables que este requiera para colaborar en la investigación, mitigación y subsanación de la infracción.
Las Partes reconocen que la obligación, conforme al artículo 33 del RGPD, de notificar a la autoridad de control competente (Agencia Española de Protección de Datos — AEPD, u otra autoridad pertinente) en un plazo de 72 horas desde que tenga conocimiento de una violación de datos personales, recae en el Responsable del Tratamiento. La notificación del Encargado del Tratamiento al Responsable del Tratamiento, según lo dispuesto en esta Cláusula, tiene por objeto permitir que el Responsable del Tratamiento cumpla con esta obligación reglamentaria. Dicha notificación no constituirá una admisión de culpa o responsabilidad.
El Responsable del tratamiento autoriza al Encargado del tratamiento a contratar a los Subencargados del tratamiento que figuran en el Anexo 3 (Subencargados del tratamiento autorizados) del presente Acuerdo de Protección de Datos. El Encargado del tratamiento deberá imponer a cada Subencargado del tratamiento obligaciones de protección de datos equivalentes a las establecidas en el presente Acuerdo de Protección de Datos, en particular, proporcionando garantías suficientes para la aplicación de medidas técnicas y organizativas adecuadas.
El Procesador deberá notificar al Controlador cualquier cambio previsto relativo a la adición o sustitución de Subprocesadores mediante: (a) la actualización de la lista de Subprocesadores publicada en https://xygeni.io/legal/subprocessors con la fecha de “Última actualización” revisada; y (b) el envío de una notificación por escrito al Controlador con al menos diez (10) días de antelación a la entrada en vigor del cambio. El Controlador podrá oponerse al cambio por motivos razonables de protección de datos en un plazo de siete (7) días a partir de dicha notificación. Si el Controlador se opone y las Partes no pueden resolver la objeción, el Controlador podrá rescindir el Contrato Principal con un preaviso razonable y sin penalización alguna.
Si el Procesador contrata a un Subprocesador, seguirá siendo plenamente responsable ante el Controlador por el cumplimiento de las obligaciones de dicho Subprocesador en la medida en que este no cumpla con sus obligaciones de protección de datos.
Para cada subprocesador, el procesador deberá:
El Procesador no transferirá los Datos del Cliente a un país fuera del Espacio Económico Europeo (EEE) a menos que:
Cuando se requieran SCC, el Procesador, a solicitud del Controlador, ejecutará los SCC aplicables con el Controlador y/o con el Subprocesador correspondiente. El módulo aplicable de los SCC será el Módulo Dos (Controlador a Procesador) para las transferencias del Controlador al Procesador, y el Módulo Tres (Procesador a Subprocesador) para las transferencias posteriores del Procesador a los Subprocesadores.
La autoridad de control competente a efectos de las CCT es la Agencia Española de Protección de Datos (AEPD), salvo acuerdo pactado por escrito en contrario.
El Procesador deberá mantener y poner a disposición del Controlador, previa solicitud, un registro actualizado de todas las transferencias internacionales de Datos del Cliente y el mecanismo de transferencia aplicable para cada una.
9. Evaluaciones de impacto de la protección de datos
Cuando una actividad de tratamiento pueda suponer un alto riesgo para los derechos y libertades de las personas físicas y el Responsable del tratamiento esté obligado a realizar una Evaluación de Impacto en la Protección de Datos (EIPD) conforme al artículo 35 del RGPD, el Encargado del tratamiento prestará al Responsable del tratamiento la asistencia e información razonables necesarias para que este pueda llevar a cabo la EIPD. El Encargado del tratamiento responderá a las solicitudes razonables del Responsable del tratamiento relacionadas con la EIPD en un plazo de 15 días hábiles.
El Procesador deberá mantener, a solicitud del Responsable del Tratamiento, un registro de las actividades de procesamiento realizadas en nombre del Responsable del Tratamiento de conformidad con el Artículo 30(2) del RGPD, que incluya: el nombre y los datos de contacto del Procesador y de cualquier Subencargado del Tratamiento; las categorías de procesamiento realizadas en nombre del Responsable del Tratamiento; las transferencias de Datos Personales a un tercer país; y una descripción general de las medidas de seguridad técnicas y organizativas.
La responsabilidad de cada Parte frente a la otra en virtud del presente Acuerdo de Protección de Datos (APD) o en relación con el mismo estará sujeta a las limitaciones y exclusiones establecidas en el Acuerdo Principal. Cuando un interesado haya sufrido daños como consecuencia de un tratamiento que infrinja la legislación aplicable en materia de protección de datos, cada Parte será responsable de los daños causados por dicho tratamiento que infrinja el RGPD, de conformidad con los artículos 82 y 83 del mismo. Nada de lo dispuesto en esta cláusula limita la responsabilidad de ninguna de las Partes frente a los interesados en virtud de la legislación aplicable.
Este Acuerdo de Protección de Datos (APD) entrará en vigor en la fecha del Acuerdo Principal (o en la fecha de su firma, si esta fuera posterior) y permanecerá vigente durante la vigencia del Acuerdo Principal. La rescisión del Acuerdo Principal por cualquier motivo dará por terminado automáticamente este APD.
Tras la rescisión, las obligaciones del Procesador en virtud de la Cláusula 5.6 (eliminación o devolución de datos) seguirán vigentes, y el Procesador deberá eliminar o devolver los Datos del Cliente en un plazo de 30 días a partir de la fecha de rescisión. Las cláusulas relativas a la confidencialidad, la responsabilidad, la legislación aplicable y la auditoría también seguirán vigentes tras la rescisión.
El presente Acuerdo de Protección de Datos (APD) se regirá e interpretará de conformidad con la legislación española. Las Partes se someten a la jurisdicción no exclusiva de los tribunales de Madrid para la resolución de cualquier controversia que surja de o en relación con el presente APD. En caso de conflicto entre alguna disposición del presente APD y las Cláusulas Contractuales Tipo (CCT), prevalecerán estas últimas.
Acuerdo completo: Este Acuerdo de Protección de Datos, junto con sus Anexos y el Acuerdo Principal, constituye el acuerdo completo entre las Partes con respecto al objeto del presente y reemplaza todos los acuerdos, entendimientos o declaraciones anteriores relacionados con el procesamiento de datos.
Enmiendas: Este Acuerdo de Protección de Datos solo podrá modificarse mediante acuerdo escrito firmado por representantes autorizados de ambas Partes.
Divisibilidad: Si alguna disposición de este Acuerdo de Protección de Datos se considera inválida o inaplicable, las demás disposiciones permanecerán en pleno vigor y efecto.
Precedencia: En caso de conflicto entre este Acuerdo de Procesamiento de Datos (APD) y los Anexos, prevalecerá el texto del APD, salvo que el Anexo indique explícitamente lo contrario. En caso de conflicto entre este APD y las Cláusulas de Contingencia (CCC) (cuando corresponda), prevalecerán las CCC.
El objeto del procesamiento es la prestación por parte de Xygeni de application security posture management, software supply chain security análisis, detección de vulnerabilidades, Seguridad en CI/CD supervisión y servicios relacionados, tal como se describe en el Acuerdo Principal.
Recopilación, organización, estructuración, almacenamiento, análisis, recuperación, uso, divulgación por transmisión, alineación o combinación, restricción, borrado o destrucción de los Datos del Cliente.
El tratamiento de los datos del cliente se lleva a cabo con el único fin de prestar los servicios al responsable del tratamiento, incluidos: detección y notificación de vulnerabilidades de seguridad; análisis de riesgos de la cadena de suministro de software; CI/CD pipeline security supervisión; detección de anomalías; y atención al cliente.
El Procesador tratará los Datos del Cliente durante la vigencia del Contrato Principal. Tras su finalización, el Procesador conservará los Datos del Cliente durante 3 meses después de la fecha de finalización de la suscripción antes de su eliminación, a menos que el Responsable del Tratamiento solicite su eliminación anticipada. Los datos de la cuenta de prueba se conservarán durante 1 mes después de la expiración de la prueba.
| Categoría: | Ejemplos |
|---|---|
| Datos de la cuenta de usuario | Nombre, dirección de correo electrónico, nombre de usuario, hash de contraseña, cargo, organización |
| Datos de actividad y uso | Login eventos, llamadas a la API, registros de actividad de escaneo, marcas de tiempo, direcciones IP |
| metadatos de detección de seguridad | Nombres de repositorios, rutas de archivos (donde se producen los hallazgos), metadatos de dependencia, pipeline referencias de configuración |
| Datos de comunicación | Tickets de soporte, correspondencia por correo electrónico relacionada con los Servicios |
Los interesados incluyen: empleados, contratistas y otros usuarios autorizados del Controlador que acceden a los Servicios; colaboradores (desarrolladores, cuentas de bots, agentes de compilación) a los repositorios y pipelines supervisado por los Servicios; y representantes y personas de contacto del Controlador.
Los Servicios no están diseñados para procesar datos personales de categorías especiales, tal como se definen en el artículo 9 del RGPD. El Responsable del Tratamiento garantiza que no enviará datos personales de categorías especiales a los Servicios sin un acuerdo previo por escrito con Xygeni y la implementación de las salvaguardas adicionales adecuadas.
Xygeni implementa las siguientes medidas técnicas y organizativas para proteger los datos de los clientes, de conformidad con el sistema de gestión de seguridad de la información de Xygeni, certificado según la norma ISO 27001:
