Términos de uso

Términos y condiciones generales del servicio

RESPONSABILIDADES DE SYMPOSIUM

SYMPOSIUM se compromete a Prestar los Servicios de conformidad con las estipulaciones del Contrato de Servicio, empleando un grado de profesionalidad y diligencia razonable; y con arreglo al marco legal y reglamentario aplicable.

SYMPOSIUM no asume ningún compromiso ni otorgamos ninguna garantía de que el Servicio estará libre de errores o interrupciones. En especial cuando la causa de tal retraso o interrupción esté fuera de nuestro control, incluyendo, a título enunciativo y no limitativo, la indisponibilidad de la red de telecomunicaciones.

El CLIENTE acepta que podremos suspender la prestación de los Servicios durante intervalos de tiempo de mantenimiento y/o interrupción previstos o de emergencia. Le notificaremos con una antelación razonable de las interrupciones del servicio previstas.

Nuestra responsabilidad total frente al CLIENTE por todas las demandas que se presenten en un año natural con independencia de que dichas reclamaciones sean de origen contractual, extracontractual (incluyendo negligencia) o de cualquier otro tipo, en relación con el Contrato de Servicios quedará limitada en total a una cantidad igual al 100% de las cantidades efectivamente abonadas por la licencia en el año correspondiente.

Además, como ENCARGADO de protección de datos se compromete a:

  • Tratar los datos personales únicamente siguiendo instrucciones del RESPONSABLE contenidas en este contrato. Si en virtud del cumplimiento de obligaciones legales de naturaleza imperativa deba realizar algún tratamiento adicional lo notificará al RESPONSABLE.
  • Formar e informar al personal para que conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones, así como las consecuencias en que pudiera incurrir en caso de incumplimiento.
  • Garantizar que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad.
  • Si resultare necesario, cooperará lealmente con el RESPONSABLE cuando fuera necesario llevar a cabo la evaluación de impacto relativa a la protección de datos prevista por el artículo 35 RGPD.
  • Asistir al RESPONSABLE, teniendo cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados establecidos en el capítulo III del Reglamento (UE) 2016/679.
  • Poner a disposición del RESPONSABLE toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el contrato.
  • Garantizar la adecuada llevanza del Registro de Actividades del tratamiento regulado por el artículo 30.2 y en particular asegurará la debida documentación de las medidas técnicas y organizativas de seguridad.
  • Notificar al responsable de cualquier incidente de seguridad susceptible de ser considerado violación de la seguridad de los datos personales conforme a lo dispuesto por los artículos 33 y 34 RGPD. Para ello se seguirá el procedimiento descrito en Anexo II de este contrato.
  • Notificar al RESPONSABLE los tratamientos que se deriven del deber de colaboración con las Fuerzas y Cuerpos de Seguridad, jueces y tribunales, y autoridades públicas.

RESPONSABILIDADES DEL CLIENTE

El CLIENTE se compromete a:

  • Facilitar al equipo de SYMPOSIUM toda la información y ayuda necesaria para la puesta en marcha de la plataforma.
  • No ceder, arrendar o vender su acceso a la plataforma a un tercero sin previo consentimiento de SYMPOSIUM.
  • No utilizar los Servicios para fines fraudulentos o ilegales, ni permitir que otros lo hagan.
  • No utilizar los Servicios para fines ofensivos, indecentes, obscenos, amenazantes o difamatorios, y no permitir que otros lo hagan.
  • Cumplir con todas las leyes y disposiciones reglamentarias de aplicación. En particular las obligaciones establecidas en el Reglamento General de Protección de Datos, así en la normativa vigente aplicable u otras normas conexas.
  • Seguir en todo momento nuestras instrucciones razonables relativas a los Servicios.
  • No eliminar ninguna advertencia sobre derechos de autor o propiedad que se incluya en el software o en la documentación que le entreguemos.
  • En cuanto a RESPONSABLE de protección de Datos cumplir con el deber de transparencia del artículo 13 del RGPD en los casos y en los términos descritos.
  • El CLIENTE se obliga a indemnizarnos por todos los costes adicionales en que podamos incurrir debido a cualquier retraso u omisión suya en el cumplimiento de sus obligaciones o responsabilidades recogidas en el Contrato de Servicio. Podremos facturarle los fallos registrados que sean diagnosticados como de responsabilidad suya o causados por el incumplimiento de cualquiera de sus obligaciones o responsabilidades.

SYMPOSIUM COMO AGREGADOR DE EVENTOS

El abanico de servicios que ofrece SYMPOSIUM alcanza también al usuario final, entendiendo por tal, a las personas que se inscriben en eventos gestionados por el aplicativo y que consultan información del mismo por cualquier procedimiento.

Respecto de los usuarios finales SYMPOSIUM permite obtener información sobre actividades que resulten de interés para el usuario, suscribir alertas y recibir información específica en áreas de su interés.

El servicio de agregación busca prestar un servicio de valor añadido a los clientes de SYMPOSIUM en la medida en la que contribuye a una mayor difusión de sus eventos y su consiguiente incremento de inscritos y difusión de marca.

En la relación con el servicio de agregación SYMPOSIUM actuará en calidad de RESPONSABLE del tratamiento de datos personales en los términos definidos por el artículo 4 del Reglamento General de Protección de Datos que libremente y al margen de su relación con la universidad se suscriban al servicio. SYMPOSIUM se compromete a la plena garantía de los derechos de los usuarios y al ejercicio de los mismos, y en particular de los previstos por el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico y la normativa que adicionalmente resultaré de aplicación.

FECHA DE INICIO, PERÍODO DE VIGENCIA Y RESOLUCIÓN ANTICIPADA.

  • Fecha de Inicio y período de vigencia del servicio: ver fecha de inicio del Contrato de servicio.
  • El Contrato se renovará automáticamente salvo que algunas de las partes especifiquen lo contrario con un plazo de 60 días antes de la fecha de fin del contrato.
  • Resolución Anticipada: En el caso de incumplimiento por cualquiera de las Partes, la parte cumplidora podrá resolver unilateralmente el presente Contrato mediante previa notificación por escrito a la parte incumplidora cuando ésta concurra en alguna de las siguientes circunstancias:
    • el incumplimiento grave o continuado de las obligaciones establecidas en el presente Contrato;
    • en caso de darse cualquiera de las causas previstas en las leyes.
    • será causa de resolución de este contrato sin indemnización alguna aquellos casos en los que transcurridos diez días naturales después de haberse requerido colaboración con el RESPONSABLE de datos, el ENCARGADO no colaborase debidamente.
    • La negativa del RESPONSABLE a autorizar la subcontratación del servicio que incumpla lo indicado en la cláusula 8.

En caso de que la causa de la resolución sea un incumplimiento grave o reiterado por alguna de las partes de sus obligaciones, deberá concederse a la parte que no haya cumplido sus obligaciones un plazo no inferior a quince (15) días hábiles para restituir la situación a su estado correcto conforme a lo previsto en el contrato y en las leyes y normas que resulten aplicables, excepto en lo previsto en la letra (c) del párrafo anterior.

CONDICIONES ECONÓMICAS

El Cliente se obliga a abonar los Precios estipulados, incorporados o indicados en el formulario “Contrato y Termino y condiciones Generales del Servicio”.

Salvo que se indique lo contrario en el formulario del Contrato los precios serán en euros y no incluirán ningún impuesto de aplicación que grave las operaciones, el consumo o el impuesto sobre el valor añadido.

Las partes asumen y aceptan que todos los impuestos que el presente pudieran generar, serán satisfechos conforme a lo dispuesto en las Leyes, Reglamentos y demás disposiciones aplicables al efecto. Las tarifas de precios indicados serán revisadas anualmente para adaptarlos a las nuevas funcionalidades que se vayan incorporando a la plataforma SYMPOSIUM.

PROTECCIÓN DE DATOS

De conformidad con lo establecido en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, así como en la  Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales y demás normativa de desarrollo las partes se comprometen al cumplimiento de las obligaciones que sean legalmente exigibles por la vigente normativa de protección de datos.

El CLIENTE informará a todas las personas concernidas por lo dispuesto en este apartado de la condición de SYMPOSIUM como destinatario de los Datos, así como de que SYMPOSIUM podrá incorporar a sus sistemas de información tanto los datos de las personas firmantes de este contrato, como los datos relativos al personal del CLIENTE cuyo tratamiento resulte necesario para la gestión de este contrato y la adecuada prestación del servicio. En el Anexo al presente contrato se especifica la descripción detallada de los tratamientos de datos personales a realizar en la prestación de servicios y las obligaciones específicas en materia de seguridad.

SUBCONTRATACIÓN DE SERVICIOS y TRANSFERENCIAS INTERNACIONALES DE DATOS.

El CLIENTE autoriza a SYMPOSIUM la subcontratación a Amazon Web Services Spain S.L. los servicios de infraestructura, esto es, servidores virtuales y los servicios de base de datos y almacenamiento distribuido en los que se ejecutan las instancias para el CLIENTE y la web de Symposium.  Disponen de la ISO 27017 relativa a los Controles de Seguridad para servicios Cloud. 

Si el ENCARGADO necesitase cambiar de empresa subcontratada, el RESPONSABLE autoriza a contratar con: MICROSOFT, GOOGLE, IBM

La notificación de los cambios producidos se realizará cuando se tenga conocimiento de ello, sin dilación indebida.

En el caso que SYMPOSIUM desee incorporar un nuevo subcontratista no mencionado informará al RESPONSABLE con una antelación mínima de 15 días naturales, dando así al responsable la oportunidad de oponerse a dichos cambios.

En cualquier caso, SYMPOSIUM garantiza que se acordará con el subcontratista encargado, mediante contrato, las mismas obligaciones de protección de datos que las estipuladas en el presente contrato.

Se autorizan aquellos tratamientos que constituyan una transferencia internacional de datos personales a efectos del Reglamento (UE) 2016/679, siempre que se den las siguientes circunstancias:

  1. Que se trate de un tratamiento indispensable para la prestación del servicio contratado o el cumplimiento de una obligación legal.
  2. Que se garantice el cumplimiento de lo previsto por el Reglamento (UE) 2016/679.

MEDIDAS DE SEGURIDAD y NOTIFICACIÓN DE VIOLACIONES DE SEGURIDAD

SYMPOSIUM, como el ENCARGADO de garantizar el cumplimiento de los objetivos de confidencialidad, integridad, disponibilidad y resiliencia de la información adoptará las medidas de seguridad descritas en el Anexo II a este contrato

En caso de producirse una violación de seguridad el ENCARGADO lo notificará al responsable del tratamiento, sin dilación indebida, y en un plazo máximo de 72 horas desde su conocimiento junto con toda la información relevante para la documentación y comunicación de la incidencia, de acuerdo con lo establecido en el Anexo II del presente contrato. Sólo en el caso que no exista probabilidad de que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas, no será necesaria la notificación.

DEVOLUCIÓN DE LOS DATOS TRAS LA PRESTACIÓN DE SERVICIOS

Una vez cumplida la prestación de los servicios y en un plazo de 10 días hábiles, el ENCARGADO devolverá al responsable los datos de carácter personal y, si procede, los soportes donde consten.  Asimismo, suprimirá todos los datos y copias existentes en los equipos informáticos, pudiendo conservar una copia, con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación.

El ENCARGADO deberá aportar un documento acreditativo de la supresión de la información, indicando, en su caso que sea necesaria su conservación, la existencia de dicha copia. El procedimiento de devolución se ajustará a lo descrito en el apartado e) del Anexo I a este Contrato.

MISCELÁNEA

Comunicaciones

En el caso de que fuese necesario proceder a enviar cualquier comunicación a las partes como consecuencia del cumplimiento de las obligaciones establecidas en el presente Contrato, se cursarán a nombre de cada parte y se dirigirán al lugar y a las personas de contacto identificadas en este Contrato.

Nulidad Parcial

Si un Juzgado o Tribunal de justicia o cualquier autoridad competente declarase nula o ineficaz cualquier estipulación del presente Contrato, el resto del Contrato mantendrá su plena vigencia y eficacia, salvo en el supuesto de que dicha estipulación fuera de naturaleza sustancial para el Contrato de manera que se frustraran los objetivos económicos, jurídicos y comerciales perseguidos por las partes.

Legislación y Jurisdicción

El presente Contrato se regirá e interpretará de conformidad con la legislación española y ambas partes, con renuncia a cualquier otro fuero que pudiera corresponderles, se someten irrevocable e incondicionalmente a la competencia exclusiva de la jurisdicción de los Juzgados y Tribunales de Barcelona capital para resolver todo conflicto o cuestión que surja o esté relacionado con este Contrato.

PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN

Descripción detallada de los tratamientos.

Datos que se facilitan o a los que accede el encargado del tratamiento.

Los tratamientos de datos previstos a realizar, relacionados con el desarrollo de los servicios objeto de la prestación, son los siguientes: recogida, estructuración, modificación, consulta y supresión.

Para la ejecución de las actividades derivadas de la prestación de servicios, el ENCARGADO tratará la información que en cada evento generado en SYMPOSIUM defina el RESPONSABLE.  Por defecto serán las siguientes:

  • Para todo usuario registrado en la plataforma se solicita el nombre completo, así como su correo electrónico. 
  • En el caso de una inscripción con pago: nombre completo de la empresa o individuo responsable del pago de la inscripción; CIF/NIF/NIE u documento de identificación para extranjeros y dirección postal. 
  • En el caso de la documentación científica se relacionará el nombre del autor o coautor con la publicación científica a través de su código ORCID. 

La aplicación permite la integración de otros campos los cuales serán definidos por el RESPONSABLE y en su caso tendrá la obligación de notificarlo al ENCARGADO.

El ENCARGADO usualmente verifica la conformación de cada evento. No obstante, en cualquier caso, cuando el RESPONSABLE utilice o amplíe el rango de datos personales, y tales necesiten de la adopción de medidas específicas adicionales, deberá notificarlo específicamente. En cuanto a las categorías de interesados que se verán afectadas por los tratamientos de datos realizados por el ENCARGADO son las siguientes: Clientes y usuarios; Personas de contacto; Profesores; Personal de investigación; y representantes legales.; Asociados o miembros.

Modo de entrega o acceso a los datos.

La entrega de la información al ENCARGADO, como el acceso a los datos de carácter personal, variará en función del lugar donde se desarrolle la prestación de los servicios.

Si los tratamientos de datos se realizan en las instalaciones o los sistemas del encargado, el ENCARGADO deberá establecer las suficientes medidas técnicas y organizativas de seguridad que controlen los accesos y garanticen la confidencialidad, integridad y disponibilidad y resiliencia de la información tratada.

En caso que el ENCARGADO lleve a cabo los tratamientos de datos con acceso remoto a los sistemas del responsable o con acceso a datos únicamente en sistemas de responsable, el ENCARGADO deberá llevar a cabo las medidas de seguridad expuestas en el Anexo II, de conformidad con lo regulado en el artículo 28 del RGPD. En todo caso, tanto el RESPONSABLE como el ENCARGADO en el tratamiento y envío de información personal por medios lógicos como físicos, deberán establecer las medidas técnicas y organizativas de seguridad idóneas para evitar el acceso no autorizado, la pérdida, la sustracción o la modificación de la información tratada, protegiendo así la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas y la información objeto de tratamiento.

Sistemas de información afectados conforme al Registro de Actividades del Tratamiento.

Los datos personales que se integran en los sistemas de información del ENCARGADO a los que accede en virtud del presente contrato, se encuentran en el fichero denominado:

USUARIOS: Sin perjuicio de las obligaciones del ENCARGADO en materia del registro de las actividades del tratamiento, corresponderá al RESPONSABLE cumplir con las obligaciones establecidas en el artículo 30.1 del Reglamento General de Protección de Datos.

Devolución de los datos.

Una vez cumplida la prestación de los servicios, el ENCARGADO devolverá al responsable los datos de carácter personal y, si procede, los soportes donde consten.  Asimismo, suprimirá todos los datos y copias existentes en los equipos informativos, pudiendo conservar una copia, con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación.

Así, en un plazo de 10 días hábiles tras la finalización de la prestación de servicios, el ENCARGADO deberá aportar un certificado acreditativo de la supresión de la información y en el caso que sea necesaria su conservación, porque así lo regula la legislación aplicable, se deberá indicar en el mismo.

Sin perjuicio de lo anterior, y previa comunicación del RESPONSABLE una vez cumplida la prestación, se le podrá exigir al ENCARGADO:

  • La entrega de la información a otro encargado del tratamiento y, si procede, los soportes donde consten. Tras la entrega se suprimirán todos los datos y copias existentes en los equipos informativos, pudiendo conservar una copia, con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación. Asimismo, se dispondrá de 10 días hábiles para la entrega del certificado acreditativo de la supresión en los términos fijados.
  • La destrucción de la información tratada tras la prestación de servicios. El ENCARGADO dispondrá de 10 días hábiles para la entrega del certificado acreditativo de la destrucción. En el caso que sea necesaria la conservación de la información, porque así lo regula la legislación aplicable, se deberá indicar en el mismo.

Obligaciones específicas en materia de seguridad.

Notificación de violaciones de seguridad.

El ENCARGADO notificará vía correo electrónico[1] al responsable del tratamiento, sin dilación indebida, y en un plazo máximo de 72 horas desde su conocimiento junto con toda la información relevante para la documentación y comunicación de la incidencia.

Solo en el caso que no exista probabilidad de que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas, no será necesaria la notificación al Responsable.

La información a incorporar en la notificación, si se conoce, es la siguiente: 

  1. Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
  2. El nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.
  3. Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.
  4. Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos. 

Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida. Además, el ENCARGADO deberá cumplir con las instrucciones que el responsable del tratamiento le dirija en cada momento relativas a la notificación y documentación asociada a posibles incidentes de seguridad, en coherencia con los protocolos o procedimientos que se hayan adoptado.

Obligaciones de seguridad del personal del encargado del tratamiento.

El ENCARGADO deberá:

  • definir las funciones de los usuarios o perfiles de usuarios con acceso a los datos de carácter personal y a los sistemas de información y documentarlas, en caso de existir, en el Documento o Política de Seguridad.
  • definir las funciones de control o autorizaciones delegadas por el responsable del organismo o entidad;
  • formar e informar al personal para que conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones, así como las consecuencias en que pudiera incurrir en caso de incumplimiento.

Medidas de seguridad adoptadas.

Con la finalidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas de información, se han adoptado las siguientes medidas de seguridad:

  1. Encriptado de contraseñas.
    1. Las contraseñas de los usuarios se encuentran hasheadas en base de datos, no estando en ningún momento en texto plano y no pudiendo ser descifradas o descubiertas por un ataque de fuerza bruta tras un acceso a los datos.  
    2. El algoritmo utilizado para la función de hash de contraseñas es SHA2 que añade la complejidad necesaria para prevenir acceso por colisión. 
  2. Copia de seguridad y prevención de caídas. 
    1. La base de datos de la plataforma se despliega en una configuración Multi-AZ, esto genera una instancia exactamente igual a la que hay en uso y que es replicada en una infraestructura física independiente, así como en una zona de disponibilidad geográfica diferente (dentro de Europa). Cualquier operación de mantenimiento o de caída sobre la base de datos principal promociona a la base de datos de respaldo como base de datos principal mientras la operación o la caída no devuelve la base de datos a su funcionamiento correcto. 
    2. Además, se establece una copia de seguridad diaria de la base de datos manteniendo un histórico de 30 días. 
    3. Los ficheros derivados de la gestión de eventos (documentación científica, documentos proporcionados por los organizadores de eventos, ficheros subidos como respuesta a formularios de introducción de datos personalizados para la organización de eventos, etc..), se realiza una copia de seguridad incremental con una periodicidad diaria manteniendo un histórico de 7 días.  
    4. Los sistemas de backup utilizados son los propios del proveedor de servicios Cloud proporcionando un almacenamiento resiliente de las mismas. 
    5. La plataforma principal se encuentra implementada para alta disponibilidad, los servidores que dan respuesta se encuentran en un cluster balanceado y con reglas para gestionar el autoescalado de recursos en base a criterios de aumento de carga.
    6. La periodicidad e histórico de las copias de seguridad podrán ser ampliadas / mejoradas en la medida en las que la plataforma y la infraestructura así lo requieran en el futuro.
  3. Acceso limitado a través de red interna y bastionada
    1. Los sistemas de ficheros y de base de datos de la plataforma se encuentran únicamente accesibles desde un servidor de bastión, y únicamente accesible desde la red de administración de la plataforma, no estando accesible a ninguna otra red o Internet.
    2. El acceso por parte del equipo de Symposium se realiza mediante usuario y contraseña y claves de encriptación asimétricas.
  4. Monitorización, auditoría y detección de ataques
    1. Todos los servidores de la infraestructura se encuentran monitorizados en tiempo real a nivel de procesos, uso de recursos y accesos. Se establecen además una serie de alertas de servicio que son notificados automáticamente a los administradores de la plataforma para detectar ataques de fuerza bruta o anomalías en el sistema. 
    2. Un sistema de bitácora y auditoría de acceso protegido para la red interna de Symposium, centraliza la información de logs, y auditoría de todos los servicios. Este sistema analiza mediante reglas de Machine Learning automático, cualquier comportamiento anómalo de la plataforma, así como establecer cuadros de mando que analizan el uso de la plataforma y de las múltiples instancias. 
    3. El sistema de bitácora permite alertar al equipo de desarrollo de la misma cuando parte de la plataforma puede generar un comportamiento anómalo, como repetidos intentos de login fallido, errores de código, fallos en el envío de correo o fallos en el acceso a los sistemas de autenticación propios de cada Universidad o Entidad con instancia en Symposium.
    4. Se establecen además reglas automáticas y manuales para el bloqueo de subredes que estén efectuando ataques detectados por los sistemas de monitorización o por los sistemas de bitácora en base a las alertas registradas.

Las medidas de seguridad adoptadas se someterán a un proceso de verificación, evaluación y valoración regulares que determinen la eficacia de las medidas técnicas y organizativas implementadas, garantizando así la seguridad del tratamiento


[1] El indicado en la casilla email correspondiente al Resp. Protección de Datos.