Este anexo a la Ley de Resiliencia Operativa Digital ("DORA") ("Anexo") se crea para documentar el cumplimiento del REGLAMENTO (UE) 2022/2554 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 14 de diciembre de 2022 sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) nº 1060/2009, (UE) nº 648/2012, (UE) nº 600/2014, (UE) nº 909/2014 y (UE) 2016/1011.
Esta adenda entrará en vigor a partir de la fecha de la firma de ambas partes.
En caso de cualquier inconsistencia o conflicto entre las disposiciones de este Addendum y las disposiciones de cualquier otro documento referenciado en el Acuerdo, los términos de este Addendum prevalecerán en la medida de dicha inconsistencia o conflicto.
Acuerdo - significa la Confirmación de Pedido, los Términos y Condiciones, el Acuerdo de Procesamiento de Datos, el Anexo DORA y los Acuerdos de Nivel de Servicio acordados entre Formalize y el Cliente.
Servicios TIC - tiene el significado prescrito en el artículo 3 de DORA.
Datos personales - significa cualquier información según se define en el Artículo 4.1 del Reglamento General de Protección de Datos (UE) 2016/679.
Procesador - tiene el significado prescrito en el artículo 4.8 del Reglamento General de Protección de Datos (UE) 2016/679.
Servicios - significa los servicios prestados al Cliente por Formalize bajo el Acuerdo.
Subcontratación - significa el uso por parte de Formalize de subcontratistas para cumplir con sus obligaciones y prestar sus Servicios bajo el Acuerdo y este Anexo.
El Cliente es una entidad que cae dentro del Ámbito de Aplicación de DORA según se define en el Artículo 2 de DORA y/o su legislación nacional de aplicación.
Formalize se compromete a proporcionar al Cliente los Servicios que constituyen Servicios de TIC según se definen en DORA. El propósito de este Anexo es garantizar que dichos requisitos y estándares se incluyan en el Acuerdo.
A los efectos de este Anexo, las Partes asumen que Formalize ApS respalda las funciones comerciales importantes o críticas del Cliente.
Una descripción clara y completa de todas las funciones y servicios TIC que proporcionará Formalize se puede encontrar en los Términos y Condiciones que forman parte de este Acuerdo. Estos Servicios TIC se considerarán como servicios en la nube: SaaS.
El Cliente tiene el deber de identificar cuáles de esos servicios respaldan funciones comerciales importantes o críticas del Cliente.
El Cliente tiene derecho a supervisar de forma continua el desempeño de Formalize en relación con el Contrato y los niveles de servicio acordados. A este respecto, se le concede al Cliente:
Para facilitar el ejercicio de estos derechos, Formalize proporcionará al Cliente certificaciones de terceros, informes de auditoría interna y externa, que estarán disponibles en cualquier momento en el centro de confianza de Formalize, tal y como se explica más adelante en el apartado 4.3. Informes.
Además, el Cliente tendrá derecho a solicitar, con una frecuencia que sea razonable y legítima desde una perspectiva de gestión de riesgos, modificaciones del alcance de las certificaciones o informes de auditoría a otros sistemas y controles relevantes y el derecho contractual de realizar auditorías individuales y agrupadas a su discreción con respecto a los acuerdos contractuales y ejecutar esos derechos de acuerdo con la frecuencia acordada.
Formalize se compromete a notificar al Cliente sin demora indebida por escrito sobre cualquier desarrollo que pueda tener un impacto material en la capacidad de Formalize para realizar eficazmente los Servicios de conformidad con:
Formalize se somete a auditorías anuales y como parte de las certificaciones e informes obtenidos y renovados, se revisa y prueba el plan de contingencia empresarial. Formalize además realiza, con el fin de mantener las certificaciones e informes antes mencionados, una prueba semestral del plan de Recuperación ante Desastres. Además, Formalize realiza una prueba de penetración anual realizada por un tercero independiente. Los resultados de estos ejercicios se publican en la página web de Formalize en el Trust Center.
El Cliente tiene derecho a exigir a Formalize que le proporcione informes (incluidos informes de auditoría interna o externa), según corresponda, cuando dichos informes indiquen la incapacidad de Formalize para realizar eficazmente los Servicios de conformidad con los requisitos establecidos en esta Cláusula.
El Cliente tiene la responsabilidad de proporcionar para Formalizar y mantener actualizado un correo electrónico específico donde se le suministrarán comunicaciones relacionadas con DORA.
Los incidentes se gestionarán y comunicarán al Cliente según lo descrito en el Acuerdo de Nivel de Servicio.
Formalize proporcionará al Cliente toda la asistencia necesaria en caso de que se produzca un Incidente que surja de o en conexión con los Servicios.
Formalize proporcionará cualquier asistencia relacionada con un incidente relacionado con las TIC de forma gratuita, a menos que las Partes acuerden lo contrario.
Formalize podrá utilizar subcontratistas para realizar parte de los Servicios ("Subcontratación" a un "Socio subcontratista").
En cuanto a los Servicios subcontratados, la ubicación, la longitud de la cadena de suministro, la naturaleza de los datos, el subcontratista y las ubicaciones de los servicios (procesamiento y almacenamiento de datos), esta información se puede encontrar en el formulario Formalizar - DORA - Datos del proveedor y Acuerdo de procesamiento de datos, proporcionado junto con esta Adenda.
En el caso de que Formalize utilice Socios Subcontratistas para realizar parte de los servicios, Formalize reconoce y acepta:
Formalize proporciona en el Acuerdo de Procesamiento de Datos una descripción general actualizada de las ubicaciones (países) donde se prestan los Servicios subcontratados y donde se procesan los datos, incluida la ubicación de almacenamiento.
Formalizar deberá informar al Cliente sobre cualquier cambio en las ubicaciones donde se prestan las funciones y Servicios subcontratados.
Formalize ha implementado medidas técnicas y organizativas apropiadas considerando el estado actual del desarrollo tecnológico y las medidas disponibles, incluyendo entre otras según corresponda:
Sin perjuicio de cualquier disposición en contrario, durante la vigencia del Contrato, el Cliente tendrá derecho a acceder a los datos pertenecientes al Cliente, en todo momento, de forma compatible con la funcionalidad de los Servicios.
En caso de insolvencia o cese de las operaciones comerciales de Formalize, el Cliente tendrá acceso sin restricciones a los datos que le pertenecen.
La prestación de Servicios de Formalize incluye el procesamiento de los Datos Personales del Cliente en el ámbito de aplicación del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de Datos Personales y a la libre circulación de estos datos ("Reglamento General de Protección de Datos"), a tal efecto, las Partes han celebrado un Acuerdo de Procesamiento de Datos separado que establece responsabilidades y obligaciones con respecto a dicho procesamiento de Datos Personales.
Cuando sea apropiado, y al menos una vez al año, el personal formal participará en programas de concientización sobre seguridad.
Se puede solicitar a los empleados relevantes de Formalize que participen en los programas de concientización sobre seguridad de las TIC y en la capacitación sobre resiliencia operativa digital del Cliente si el Cliente considera que el contenido de los programas de concientización de Formalize no es suficiente para los propósitos de DORA.
Cuando los programas y capacitaciones tengan un impacto en las actividades normales de negocio de Formalize, Formalize tiene el derecho de cobrar una tarifa determinada ex ante por la disponibilidad de los empleados.
El plazo de esta Adenda comienza en la fecha de su firma y continúa en pleno vigor y efecto hasta (i) la fecha en que el Acuerdo activo expire o se termine de conformidad con los términos del Acuerdo; (ii) la fecha en que el Acuerdo activo se termine de conformidad con las disposiciones de esta Adenda; o (iii) la fecha en que el Cliente ya no sea una empresa sujeta a DORA.
Además de los derechos de rescisión del Cliente establecidos en los Términos y Condiciones, el Cliente podrá rescindir un Acuerdo en los siguientes casos:
En relación con los derechos de rescisión descritos en las cláusulas a, b y c, el Cliente deberá notificar por escrito a Formalize con al menos 15 días de antelación, lo que servirá como período de subsanación para que Formalize subsane el incumplimiento, riesgo o deficiencia identificados a satisfacción razonable del Cliente. Si Formalize no soluciona adecuadamente el problema dentro del período de subsanación, el Cliente podrá rescindir el Acuerdo con efecto inmediato.
En caso de rescisión según la cláusula d, el Acuerdo se considerará rescindido inmediatamente mediante notificación por escrito del Cliente, sin necesidad de un período de subsanación.
La rescisión de conformidad con esta cláusula se realizará sin perjuicio de cualquier otro derecho o recurso disponible para el Cliente conforme al Acuerdo o la legislación aplicable.
La intención de esta sección (en adelante denominada "el Plan de Salida") es proporcionar claridad sobre un período de transición adecuado para los casos en que el Acuerdo haya sido o haya sido rescindido (o vaya a ser rescindido próximamente). El Plan de Salida prevé medidas para garantizar una transición fluida y oportuna, por lo que Formalize está obligada a cooperar plenamente con la salida.
El Plan de Salida comienza 30 días antes de la terminación del contrato.
Salida Suave - 30 días antes de las terminaciones
A partir de este día y durante los 30 días siguientes, el Cliente seguirá teniendo acceso a los Servicios, a todas las aplicaciones y a todos los datos almacenados, y deberá aprovechar la oportunidad para extraer los datos pertinentes de la infraestructura de Formalize. Durante este plazo, el Cliente deberá comunicar a Formalize cualquier otra información que no haya podido extraerse para permitirle migrar a otro proveedor de servicios TIC externo o cambiar a soluciones internas acordes con la complejidad del servicio prestado.
Durante la fase de salida suave, el Cliente es responsable de iniciar todas las actividades de exportación de datos. Formalize brindará soporte al Cliente en la exportación de los elementos enumerados en Datos anteriormente.
Salida dura - Eliminación de datos - Días 1 a 30 después de la terminación
Luego de la Fase de Salida Suave, Formalize revisará y garantizará la eliminación de todos los datos del Cliente de su infraestructura. Esta eliminación se llevará a cabo dentro de los 30 días posteriores a la conclusión de la Fase de Salida Suave, después de lo cual la información se conservará en un almacenamiento de respaldo durante 90 días.
Luego de la Fase de Salida Suave, Formalize revisará y garantizará la eliminación de todos los datos del Cliente de su infraestructura. Esta eliminación se llevará a cabo dentro de los 30 días posteriores a la conclusión de la Fase de Salida Suave, después de lo cual la información se conservará en un almacenamiento de respaldo durante 90 días.
Durante la Fase de Salida Dura, Formalize es responsable de la eliminación final de todos los datos del Cliente de su infraestructura y de informar al Cliente por escrito sobre la finalización del Plan de Salida.
Cooperación con la salida:
Formalizar está obligado a colaborar plenamente en la ejecución de la salida y realizar todos los trabajos necesarios, con sujeción a los límites que se establecen a continuación.
Los servicios de Formalize podrán continuar después de la fecha de terminación y hasta que se complete por completo la transición a un nuevo proveedor de servicios o sistema. El Cliente deberá informar a Formalize de su intención de continuar accediendo al Sistema. Esta notificación deberá realizarse antes de la fecha de terminación y las partes acordarán un acuerdo provisional por un período de entre 6 meses y 1 año; los costos del acuerdo provisional podrán reflejar un aumento de precio de no más del 10% con respecto al Acuerdo anterior.
Actualización del plan de salida:
El Plan de Salida podrá actualizarse y revisarse anualmente a solicitud escrita del Cliente en consulta con Formalize, incluyendo un costo y un cronograma.
Cualquier solicitud realizada por el Cliente bajo esta Adenda deberá:
En caso de conflicto o inconsistencia entre este Anexo y los términos del Acuerdo, prevalecerá este Anexo.
Los cambios al Acuerdo o al Anexo sólo podrán acordarse entre las Partes por escrito.
Este Anexo se rige por la legislación nacional danesa y las reglamentaciones europeas aplicables a las que se hace referencia en el presente documento, DORA y las reglamentaciones delegadas relacionadas.
Si el tribunal declara inválidos los artículos de esta Adenda, los demás artículos permanecerán plenamente vigentes.
Las disposiciones de este Anexo se basan en la Ley de Resiliencia Operativa Digital (DORA), los actos delegados relacionados, las normas técnicas de implementación (ITS) y las normas técnicas regulatorias (RTS). En caso de que cualquiera de estos instrumentos legales se modifique o derogue, y alguna disposición de este Anexo ya no se refleje o requiera en el marco regulatorio aplicable, dicha disposición dejará de aplicarse. Sin embargo, las disposiciones restantes de este Anexo continuarán en pleno vigor y efecto a menos que las partes acuerden lo contrario.
