ACUERDO DE PROCESAMIENTO DE DATOS (APD) - España Start Up

1. Objeto

El presente Acuerdo de Tratamiento de Datos (en adelante, el "APD") regula el tratamiento de los datos personales intercambiados entre Spain Startup and Investor Services S.L. (en adelante, "Spain Startup") y el Participante en relación con la gestión y ejecución del Acuerdo de Colaboración relativo al evento South Summit . Ambas partes reconocen su condición de Responsables del Tratamiento en virtud del artículo 26 del Reglamento General de Protección de Datos (UE) 2016/679 (GDPR).

2. Definiciones

1. Datos personales: Cualquier información relativa a una persona física identificada o identificable, como nombres, datos de contacto y otra información proporcionada por los representantes legales, empleados y otros interesados.
2. Tratamiento: Cualquier operación realizada sobre Datos Personales, incluyendo su recogida, registro, almacenamiento, uso o transmisión.
3. Responsables del tratamiento: Cada parte que determina los fines y medios del tratamiento de los datos personales intercambiados y gestionados de forma independiente.

3. Funciones y responsabilidades de las partes

Ambas partes actuarán como Controladores y tratarán los datos personales que recojan de forma independiente en sus respectivos sistemas. Ninguna de las partes actuará como Encargado del Tratamiento para la otra.

4. Datos tratados y finalidad

El tratamiento de datos se limita a lo siguiente:

1. Datos de contacto de los representantes legales de cada parte, como nombre, apellidos, dirección de correo electrónico y cargo.
2. Estos datos serán tratados únicamente para los siguientes fines:
   - Ejecución y gestión del Convenio de Colaboración.
   - Cumplimiento de las obligaciones contractuales y legales entre las partes.
   Los datos relativos a los empleados e invitados del Participante no serán objeto de intercambio entre las partes. Estas personas deberán registrarse directamente en la plataforma South Summit para obtener su acreditación y/o ticket, y España Startup será responsable del tratamiento de dichos datos de acuerdo con su política de privacidad.

5. Transferencia hipotética de datos por parte del participante

En el hipotético supuesto de que el Participante facilite una lista de asistentes a España Startup, España Startup actuará como Responsable del Tratamiento de dichos datos. Esta transferencia se considerará un acto de puesta en común de datos con arreglo al RGPD, y el Participante deberá cumplir los principios establecidos en la normativa aplicable, entre otros:
- Informar debidamente a los interesados cuyos datos serán compartidos, especificando la finalidad de la transferencia de datos y los derechos que pueden ejercer los interesados.
- Obtener el consentimiento, cuando sea necesario, para la transferencia de datos.
- Garantizar que la transferencia se lleva a cabo de conformidad con los fundamentos jurídicos previstos en el RGPD.

6. Acceso por el Instituto de Empresa (IE)

El Instituto de Empresa (IE), como socio preferente de Spain Startup, podrá acceder a los datos personales de los asistentes y participantes en el evento South Summit en el marco de las colaboraciones acordadas. En todos los casos, dicho acceso se realizará de conformidad con lo dispuesto en el GDPR y se limitará a los fines acordados en el marco de la colaboración, actuando España Startup como Responsable del tratamiento de los datos accesibles por el IE.

7. Transferencias internacionales de datos

Dado que Spain Startup organiza el evento South Summit en países fuera del Espacio Económico Europeo (EEE), incluidos Brasil y Corea del Sur, los datos personales pueden transferirse fuera del EEE con fines administrativos o en relación con la gestión del evento.
España Startup garantiza que dichas transferencias internacionales de datos se llevarán a cabo con las garantías adecuadas, de conformidad con los artículos 44 y siguientes del GDPR, mediante el empleo de:
- Cláusulas Contractuales Tipo (CCT) adoptadas por la Comisión Europea.
- Decisiones de adecuación adoptadas por la Comisión Europea con respecto al país de destino, cuando proceda.
- U otros mecanismos permitidos por el GDPR.
Cuando dichas transferencias no puedan ampararse en las salvaguardas mencionadas, se informará debidamente a los interesados y, en su caso, se recabará su consentimiento explícito.

8. Principio de información y derechos del interesado

Cada una de las Partes, como Responsable del tratamiento, se compromete a:

1. Informar a los interesados de los siguientes aspectos, de conformidad con el artículo 13 del RGPD:
   - Identidad y datos de contacto del Responsable del tratamiento (cada Parte para los datos que maneja).
   - Fines del tratamiento y base jurídica que lo sustenta.
   - Destinatarios de los datos, incluidas las transferencias internacionales cuando proceda.
   - Períodos de conservación de los datos personales.
   - Derechos de los interesados, incluidos los derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento y portabilidad de los datos, así como el derecho a presentar una reclamación ante la autoridad de control competente (la Agencia Española de Protección de Datos, en el caso de España).
2. Derechos de los interesados: Las partes tramitarán y atenderán las solicitudes de los interesados relativas al ejercicio de sus derechos y, en su caso, cooperarán para que las solicitudes se tramiten adecuadamente y dentro de los plazos establecidos por la legislación aplicable.

9. Datos de contacto del responsable de la protección de datos (RPD)

Cada parte deberá informar a los interesados de los datos de contacto de su delegado de protección de datos (RPD), cuando proceda. Para España Startup, los interesados pueden enviar sus consultas o solicitudes relacionadas con el tratamiento de datos a:
- Correo electrónico: privacy@spain-startup.com
- Referencia: "Derechos del interesado"
- RPD: El Delegado de Protección de Datos de España Startup puede ser contactado en la dirección de correo electrónico arriba indicada.

10. Obligaciones de las partes como responsables del tratamiento

Cada una de las Partes, como Responsable del tratamiento, se compromete a:

1. Recoger los datos de conformidad con la legislación aplicable: Ambas partes deben informar debidamente a los interesados sobre el tratamiento de sus datos personales, garantizando el cumplimiento del artículo 13 del GDPR.
2. Proteger los datos tratados: Aplicar las medidas técnicas y organizativas apropiadas, de conformidad con el artículo 32 del RGPD, para garantizar la seguridad de los datos personales.
3. Limitar el intercambio de datos: Las partes se comprometen a limitar el intercambio de datos personales a lo estrictamente necesario para la ejecución del Convenio de Colaboración.
4. Cumplimiento de los derechos de los interesados: Ambas partes atenderán las solicitudes de los interesados relativas al ejercicio de sus derechos, tales como acceso, rectificación, supresión, limitación, oposición y portabilidad de datos, en el ámbito de los datos tratados por cada parte.

11. Conservación y supresión de datos

1. Los datos tratados en virtud del presente APD se conservarán durante el tiempo necesario para el cumplimiento de los fines del Acuerdo de Colaboración y durante los plazos exigidos por la legislación aplicable, como el Código de Comercio español, que exige la conservación de determinados documentos durante al menos seis años.
2. Al término del Acuerdo, cada una de las partes suprimirá o anonimizará los datos personales, a menos que la legislación aplicable exija su conservación, en cuyo caso los datos se almacenarán de forma segura y sólo estarán disponibles para fines legales o reglamentarios.

12. Infracciones de seguridad

Cada una de las partes se compromete a notificar a la otra sin demora indebida cualquier fallo de seguridad que pueda comprometer los datos personales tratados en virtud del presente APD. Las partes cooperarán en la gestión y mitigación de cualquier consecuencia derivada de un incidente de seguridad.

13. Responsabilidad

Cada parte será responsable de su propio cumplimiento del GDPR y de la legislación aplicable. En caso de que una parte incumpla sus obligaciones, será responsable de cualquier sanción o daño que sufra o cause a la otra parte como consecuencia directa de dicho incumplimiento.

14. Resolución de litigios y jurisdicción

El presente APD se regirá por la legislación española. Cualquier controversia que surja en relación con el presente acuerdo se someterá a la jurisdicción de los tribunales competentes de Madrid.