Marc integral de tractament de dades
Marc integral de tractament de dades: nimbusbydurbec.com/marc-dades.html
1. OBJECTE I ÀMBIT D'APLICACIÓ
El present Anex desenvolupa i complementa la clàusula 16 de l'Acord en matèria de protecció de dades personals, i regula els diferents regims de tractament que es produeixen en el marc de l'ús de NIMBUS, de conformitat amb el Reglament (UE) 2016/679 del Parlament Europeu i del Consell (d'ara endavant, "RGPD") i la Llei Orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i garantia dels drets digitals (d'ara endavant, "LOPDGDD").
L'Anex distingeix tres escenaris de tractament amb regims jurídics diferenciats:
- Escenari A: Corresponsabilitat en el tractament de dades de pilots i operadors de drons.
- Escenari B: Encàrrec de tractament (DURBEC AERO com a encarregat de les dades del CLIENT).
- Escenari C: Responsables independents (Tractament de dades comercials i de contacte).
ESCENARI A — CORRESPONSABILITAT EN EL TRACTAMENT DE DADES DE PILOTS I OPERADORS DE DRONS
A.1. Qualificació jurídica i justificació
DURBEC AERO i el CLIENT actuen com a corresponsables del tractament respecte a les dades personals dels pilots i operadors de drons que utilitzen NIMBUS per sol·licitar, coordinar o registrar operacions amb UAS en relació amb les infraestructures aeronàutiques gestionades pel CLIENT.
Ambdues Parts determinen conjuntament les finalitats essencials d'aquest tractament, la coordinació operacional de vols de drons, i participen en la definició dels mitjans del mateix, raó per la qual, de conformitat amb l'article 26 del RGPD, ostenten la condició de corresponsables del tractament.
A.2. Finalitats del tractament compartit
Les finalitats del tractament corresponsable són les següents:
- Gestió, tramitació i resolució de sol·licituds de vol o coordinació d'operacions UAS.
- Comunicació entre pilots/operadors i la infraestructura aeronàutica receptora.
- Registre i arxiu documental d'operacions coordinades a través de NIMBUS.
- Compliment d'obligacions derivades de la normativa aeronàutica aplicable (EASA, AESA, Reglament UE 2019/947 i concordants).
A.3. Categories de dades afectades
Les dades personals objecte del tractament corresponsable poden incloure:
- Dades identificatives del pilot o representant de l'operador: nom, cognoms, document d'identitat o número de pilot, adreça de contacte.
- Dades de contacte: correu electrònic, telèfon.
- Dades d'habilitació i certificació: número de llicència o certificat de pilot, número de registre de l'operador UAS, assegurances contractades.
- Dades operacionals: zona de vol sol·licitada, altitud, franja horària, tipus d'aeronau, matrícula.
- Dades derivades de l'ús de NIMBUS: registres d'accés, historial de sol·licituds, comunicacions dins de la plataforma.
A.4. Distribució de responsabilitats
Les Parts acorden la següent distribució de responsabilitats en l'exercici de la corresponsabilitat:
| Responsabilitat | DURBEC AERO | CLIENT |
|---|---|---|
| Informació als interessats (capa tècnica de la plataforma) | ✓ | |
| Informació als interessats (en qualitat de infraestructura receptora) | ✓ | |
| Atenció de drets ARSLOP adreçats a través de NIMBUS | ✓ | ✓ |
| Atenció de drets ARSLOP adreçats directament al CLIENT | ✓ | |
| Seguretat de la plataforma i dels sistemes | ✓ | |
| Exactitud i legitimitació de les dades introduïdes pel CLIENT | ✓ | |
| Notificació de bretxes de seguretat a l'autoritat de control | ✓ (quan la bretxa s'origini a NIMBUS) | ✓ (quan la bretxa s'origini als seus propis sistemes) |
| Gestió del registre d'activitats de tractament (RAT) | ✓ | ✓ |
A.5. Punt de contacte per a interessats
El punt de contacte únic per als interessats (pilots i operadors) respecte al tractament corresponsable serà DURBEC AERO, a través de l'adreça support@durbec.aero . DURBEC AERO traslladarà al CLIENT, sense dilació indeguda, totes les sol·licituds d'exercici de drets que correspongui atendre per aquest últim.
Aquesta designació no limita el dret de l'interès a exercir els seus drets davant qualsevol de les Parts.
A.6. Base jurídica del tractament
La base jurídica del tractament corresponsable és, amb caràcter principal, l'execució d'un contracte o l'aplicació de mesures precontractionals a petició de l'interès (Art. 6.1.b RGPD), i subsidiàriament el compliment d'obligacions legals derivades de la normativa aeronàutica aplicable (Art. 6.1.c RGPD).
A.7. Conservació de dades
Les dades tractades en el marc de la corresponsabilitat es conservaran durant el temps necessari per a la prestació del servei i, posteriorment, durant els terminis legals de conservació aplicables en matèria aeronàutica i de protecció de dades. Salvo obligació legal en contra, les dades es bloquejaran i eliminaran conforme al previst a la clàusula 23 de l'Acord.
ESCENARI B — ENCÀRREC DE TRACTAMENT (Art. 28 RGPD)
DURBEC AERO com a encarregat del tractament de les dades del CLIENT
B.1. Objecte i naturalesa de l'encàrrec
En el marc de la prestació dels Serveis objecte de l'Acord, el CLIENT, en condició de responsable del tractament, encarrega a DURBEC AERO, que actua com a encarregat del tractament, el tractament de dades personals que el CLIENT introdueix, gestiona i emmagatzema a NIMBUS en l'exercici de la seva pròpia activitat.
L'encàrrec de tractament es limitarà estrictament al necessari per a la prestació dels Serveis, conforme a les instruccions del CLIENT i als termes del present Acord.
B.2. Finalitats de l'encàrrec
DURBEC AERO únicament tractarà les dades personals encomanades per a les finalitats següents:
- Allotjament, emmagatzematge i disponibilitat de les dades a la plataforma NIMBUS.
- Processament de les dades necessari per al funcionament de les funcionalitats contractades.
- Suport tècnic i manteniment que, si escau, requereixi accés a dades.
- Operacions de còpia de seguretat i recuperació davant incidents.
Queda expressament exclòs qualsevol ús de les dades per a finalitats pròpies de DURBEC AERO, excepte el previst a l'Escenari A d'aquest Anex i a la clàusula 15 de l'Acord respecte a dades anonimitzades i agregades.
B.3. Categories de dades i persones afectades
El tractament per encàrrec podrà incloure les categories de dades següents, segons el que el CLIENT introdueixi a NIMBUS:
- Dades del personal de l'aeròdrom o infraestructura: nom, càrrec, dades de contacte, credencials d'accés a NIMBUS.
- Dades de gestió operacional: registres d'operacions, documentació de vols, comunicacions operatives.
- Dades de tercers gestionades pel CLIENT a través de la plataforma.
El CLIENT és l'únic responsable de la llicitud del tractament de les dades que introdueix a NIMBUS i d'haver informat els interessats corresponents.
B.4. Obligacions de DURBEC AERO com a encarregat del tractament
DURBEC AERO es compromet a:
a) Tractar les dades personals seguint únicament les instruccions documentades del CLIENT, i a informar-ne si, en la seva opinió, alguna instrucció infringeix el RGPD o una altra normativa aplicable.
b) Garantir que les persones autoritzades per a tractar les dades personals s'han compromès a respectar la confidencialitat o estan subjectes a una obligació de confidencialitat de naturalesa estatutària.
c) Adoptar totes les mesures tècniques i organitzatives apropiades de conformitat amb l'article 32 del RGPD, per tal de garantir un nivell de seguretat adequat al risc.
d) Respectar les condicions establertes en el present Anex per a recórrer a un altre encarregat del tractament (subencarregat).
e) Assistir el CLIENT, tenint en compte la naturalesa del tractament i mitjançant mesures tècniques i organitzatives apropiades, en la mesura del possible, perquè aquest pugui complir la seva obligació de respondre a sol·licituds d'exercici de drets dels interessats.
f) Notificar al CLIENT, sense dilació indeguda i en tot cas en un termini màxim de 48 hores des que en tingui coneixement, qualsevol violació de seguretat que afecti les dades personals del CLIENT tractades a NIMBUS. La notificació inclourà, com a mínim: descripció de la naturalesa de la violació, categories i nombre aproximat d'interessats afectats, dades de contacte del responsable de seguretat de DURBEC AERO, possibles conseqüències i mesures adoptades o proposades.
g) Assistir el CLIENT en la realització d'avaluacions d'impacte relatives a la protecció de dades (EIPD) quan escaigui, i en les consultes prèvies amb l'autoritat de control.
h) Suprimir o retornar al CLIENT, segons aquest esculli, totes les dades personals un cop finalitzada la prestació dels Serveis, conforme al previst a la clàusula 23 de l'Acord, i destruir les còpies existents llevat que una obligació legal exigeixi la conservació de les dades.
i) Posar a disposició del CLIENT tota la informació necessària per a demostrar el compliment de les obligacions establertes en aquest Escenari B, i facilitar i contribuir a la realització d'auditories, incloses inspeccions, portades a terme pel CLIENT o per un auditor autoritzat per aquest, amb una freqüència màxima d'un cop l'any i preavís raonable previ.
B.5. Subencarregats del tractament
El CLIENT autoritza DURBEC AERO a subcontractar amb tercers proveïdors tecnològics necessaris per a la prestació del Servei, en particular proveïdors d'infraestructura cloud i hosting.
A la data de la signatura del present Acord, DURBEC AERO utilitza com a proveïdor d'infraestructura principal Hetzner Online GmbH (Alemanya), amb la qual manté un Acord d'Encàrrec del Tractament conforme a l'article 28 RGPD.
DURBEC AERO notificarà al CLIENT, amb una anticipació mínima de 30 dies naturals, qualsevol canvi previst respecte als subencarregats, inclosa la incorporació o substitució de subencarregats. El CLIENT tindrà dret a oposar-se al canvi per raons legítimes relacionades amb la protecció de dades, comunicant-ho per escrit en el termini de 14 dies des de la notificació. Si no s'arriba a un acord, el CLIENT podrà resoldre l'Acord principal sense penalització.
DURBEC AERO imposarà a tots els subencarregats obligacions equivalents a les establertes en el present Escenari B, responent davant del CLIENT del seu compliment.
B.6. Localització del tractament
El tractament de les dades encomanades es realitzarà, amb caràcter general, a l'Espai Econòmic Europeu. Qualsevol transferència internacional de dades requerirà l'autorització prèvia del CLIENT i haurà d'emparar-se en les garanties adequades previstes als articles 44 i següents del RGPD.
B.7. Instruccions del CLIENT
Les instruccions del CLIENT respecte al tractament de les seves dades s'entendran formulades, amb caràcter general, mitjançant la configuració de NIMBUS i l'ús de les seves funcionalitats. Instruccions addicionals o especials s'hauran de comunicar per escrit a DURBEC AERO amb identificació expressa del seu caràcter d'instrucció de tractament.
ESCENARI C — RESPONSABLES INDEPENDENTS: DADES COMERCIALS I DE CONTACTE (Art. 6 RGPD)
C.1. Naturalesa del tractament
En el context de la relació comercial i contractual derivada de l'Acord, cada Part tracta dades personals dels interlocutors i representants de l'altra Part (nom, càrrec, adreça de correu electrònic corporatiu, telèfon de contacte) actuant cadascuna com a responsable independent del tractament respecte a aquestes dades.
Cap Part actua com a encarregada del tractament de l'altra en aquest escenari.
C.2. Finalitats i bases jurídiques
DURBEC AERO tractarà les dades de contacte del CLIENT per a:
- Gestió i execució de l'Acord (base jurídica: Art. 6.1.b RGPD).
- Enviament de comunicacions tècniques, comercials i de suport relacionades amb NIMBUS (base jurídica: Art. 6.1.b i 6.1.f RGPD — interès legítim).
- Compliment d'obligacions legals (base jurídica: Art. 6.1.c RGPD).
El CLIENT tractarà les dades de contacte de DURBEC AERO per a la gestió de la relació contractual i comunicacions derivades de l'Acord, amb les mateixes bases jurídiques.
C.3. Obligacions de cada Part com a responsable independent
Cada Part, en condició de responsable independent, es compromet a:
a) Informar els seus propis interlocutors sobre el tractament de les seves dades personals, de conformitat amb els articles 13 i 14 del RGPD.
b) Tractar les dades rebudes de l'altra Part exclusivament per a les finalitats descrites a l'Acord, sense cedir-les a tercers llevat obligació legal o consentiment exprés.
c) Adoptar mesures de seguretat adequades al risc del tractament.
d) Conservar les dades durant la vigència de l'Acord i, posteriorment, durant els terminis de prescripció de les accions legals derivades del mateix, amb caràcter general, cinc (5) anys des de la terminació.
e) Atendre sense dilació indeguda les sol·licituds d'exercici de drets que els respectius interessats puguin adreçar-los.
C.4. Comunicació entre responsables independents
Quan, en el marc de l'Acord, una Part hagi de comunicar a l'altra dades personals dels seus interlocutors necessàries per a l'execució contractual, aquesta comunicació es basarà en l'interès legítim de ambdues Parts (Art. 6.1.f RGPD) o, si escau, en el compliment del contracte (Art. 6.1.b RGPD), i quedarà limitada a les dades estrictament necessàries.
DISPOSICIONS COMUNES A TOTS ELS ESCENARIS
D.1. Delegat de Protecció de Dades
En cas que alguna de les Parts designi un Delegat de Protecció de Dades (DPD/DPO), comunicarà les seves dades de contacte a l'altra Part. A la data de la signatura del present Acord, les dades de contacte en matèria de protecció de dades de DURBEC AERO són: support@durbec.aero .
D.2. Registre d'Activitats de Tractament
Cada Part mantindrà el seu propi Registre d'Activitats de Tractament (RAT) conforme a l'article 30 del RGPD, incloent-hi els tractaments derivats del present Acord.
D.3. Modificacions
Qualsevol modificació del present Anex s'haurà d'acordar per escrit entre les Parts. En cas de contradicció entre el present Anex i el cos principal de l'Acord en matèria de protecció de dades, prevaldrà el disposat en aquest Anex.
D.4. Legislació aplicable en matèria de protecció de dades
El present Anex es regeix pel RGPD i la normativa espanyola de desenvolupament. En cas de discrepàncies interpretatives, les Parts poden consultar les directrius del Comitè Europeu de Protecció de Dades (CEPD) i de l'Agència Espanyola de Protecció de Dades (AEPD).