Acuerdo de procesamiento de datos

Este Acuerdo de procesamiento de datos ("APD") forma parte del acuerdo entre usted ("Cliente") y Getia AS ("Encargado del tratamiento") para el uso de nuestros servicios.

• Datos personales: Cualquier información relativa a una persona física identificada o identificable
• Tratamiento: Cualquier operación realizada sobre datos personales
• Responsable del tratamiento: La entidad que determina los fines y medios del tratamiento
• Encargado del tratamiento: La entidad que trata datos personales por cuenta del responsable

El Encargado del tratamiento deberá:

• Tratar datos personales solo según instrucciones documentadas del Cliente
• Asegurar que las personas que tratan datos estén sujetas a obligaciones de confidencialidad
• Implementar medidas de seguridad técnicas y organizativas apropiadas
• Asistir al Cliente en la respuesta a solicitudes de los interesados
• Eliminar o devolver todos los datos personales al terminar los servicios

El Cliente autoriza al Encargado a contratar subencargados según la Lista de subencargados.

Algunos de nuestros subencargados están ubicados en Estados Unidos. Para transferencias de datos personales a países fuera del Espacio Económico Europeo (EEE) que no tienen un nivel adecuado de protección de datos, nos basamos en los siguientes mecanismos legales:

• Cláusulas contractuales tipo (CCT): Hemos suscrito cláusulas contractuales tipo de la UE (Decisión de Ejecución (UE) 2021/914) con nuestros subencargados para garantizar una protección adecuada de los datos personales transferidos fuera del EEE.
• Medidas complementarias: Además de las CCT, implementamos medidas técnicas y organizativas complementarias que incluyen cifrado de datos en tránsito y en reposo, controles de acceso y compromisos contractuales de los subencargados.
• Marco de protección de datos: Cuando corresponda, nuestros subencargados con sede en EE.UU. participan en el Marco de Privacidad de Datos UE-EE.UU.

Puede solicitar una copia de las CCT aplicables contactándonos en dpo@attorly.ai.

• Cifrado de datos en tránsito (TLS 1.2+) y en reposo (AES-256)
• Controles de acceso y autenticación
• Evaluaciones de seguridad periódicas
• Procedimientos de respuesta a incidentes

En caso de una violación de datos personales, el Encargado notificará al Cliente dentro de las 72 horas.

Conservamos datos personales solo el tiempo necesario para cumplir los fines para los que fueron recogidos:

• Datos de cuenta: Conservados durante la duración de su cuenta y eliminados dentro de los 30 días posteriores al cierre
• Documentos: Eliminados inmediatamente a solicitud del usuario o dentro de los 30 días posteriores a la eliminación de la cuenta
• Resultados de análisis: Conservados durante 90 días después de la eliminación del documento asociado
• Registros de auditoría: Conservados durante 2 años con fines de seguridad y cumplimiento
• Registros de pago: Conservados durante 5 años a partir del final del ejercicio fiscal conforme a la Ley de Contabilidad Noruega (bokføringsloven). Los registros de periodos de prueba y pagos fallidos se conservan hasta 12 meses para prevención de fraude

Delegado de protección de datos: dpo@attorly.ai