Este Apéndice del Reglamento de Resiliencia Operativa Digital («DORA») (en adelante, el «Apéndice») se crea para documentar el cumplimiento del REGLAMENTO (UE) 2022/2554 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 14 de diciembre de 2022, relativo a la resiliencia operativa digital para el sector financiero y por el que se modifican los Reglamentos (CE) nº 1060/2009, (UE) nº 648/2012, (UE) nº 600/2014, (UE) nº 909/2014 y (UE) 2016/1011.
Este Apéndice entrará en vigor a partir de la fecha de la firma de ambas partes.
En caso de cualquier inconsistencia o conflicto entre las disposiciones de este Apéndice y las disposiciones de cualquier otro documento referido en el Acuerdo, prevalecerán los términos de este Apéndice en relación con dicha inconsistencia o conflicto.
Acuerdo - Significa la confirmación del pedido, las Condiciones Generales, el Acuerdo de Tratamiento de Datos, el Apéndice de DORA y los Acuerdos de Nivel de Servicio acordados entre Formalize y el Cliente.
Servicios TIC - Tiene el significado establecido en el artículo 3 de DORA.
Datos Personales - Significa cualquier información definida en el artículo 4.1 del Reglamento General de Protección de Datos (UE) 2016/679.
Encargado del Tratamiento (Processor) - Tiene el significado establecido en el artículo 4.8 del Reglamento General de Protección de Datos (UE) 2016/679.
Servicios - Significa los servicios prestados al Cliente por Formalize en virtud del Acuerdo.
Subcontratación - Significa el uso por parte de Formalize de subcontratistas para cumplir con sus obligaciones y prestar sus Servicios bajo el Acuerdo y este Apéndice.
El Cliente es una entidad dentro del ámbito de aplicación de DORA, según lo definido en el artículo 2 de DORA y/o su legislación nacional aplicable.
Formalize se compromete a proporcionar al Cliente los Servicios que constituyen Servicios de TIC tal como se definen en DORA. El propósito de este Apéndice es garantizar que dichos requisitos y estándares se incluyan en el Acuerdo.
Para los efectos de este Apéndice, las Partes asumen que Formalize ApS asistirá con las funciones empresariales importantes o críticas del Cliente.
En las Condiciones Generales que forman parte de este Acuerdo, se encuentra una descripción clara y completa de todas las funciones y servicios TIC prestados por Formalize. Estos Servicios TIC se considerarán como servicios en la nube: SaaS.
El Cliente tiene la obligación de identificar cuáles de estos servicios respaldan sus funciones empresariales importantes o críticas.
El Cliente tiene derecho a supervisar el rendimiento de Formalize en relación con el Acuerdo y los niveles de servicio acordados de manera continuada. A estos efectos, se otorga al Cliente los siguientes derechos:
Para facilitar el ejercicio de estos derechos, Formalize proporcionará al Cliente certificaciones de terceros, así como informes de auditoría interna y externa. Estos estarán disponibles en todo momento en el centro de confianza de Formalize, según se detalla en el apartado 4.3. Informes.
Además, el Cliente tendrá derecho a solicitar, con una frecuencia razonable y legítima desde una perspectiva de gestión de riesgos, modificaciones en el alcance de las certificaciones o informes de auditoría para otros sistemas y controles relevantes, así como el derecho contractual de realizar auditorías individuales y conjuntas a su discreción en relación con los acuerdos contractuales y ejecutar dichos derechos conforme a la frecuencia acordada.
Formalize se compromete a notificar por escrito y sin demora indebida al Cliente sobre cualquier desarrollo que pueda tener un impacto material en la capacidad de Formalize para prestar los Servicios de manera eficaz, en cumplimiento de:
Formalize se somete a auditorías anuales y, como parte de las certificaciones e informes obtenidos y renovados, el plan de continuidad del negocio es revisado y probado. Además, con el fin de mantener dichas certificaciones e informes, Formalize realiza semestralmente una prueba del Plan de recuperación en caso de catástrofe.Asimismo, Formalize lleva a cabo anualmente una prueba de penetración realizada por un tercero independiente. Los resultados de estos ejercicios se publican en la página web de Formalize, en el Centro de Confianza.
El Cliente tiene derecho a exigir a Formalize que le proporcione informes (incluidos informes de auditoría interna o externa), según proceda, cuando dichos informes indiquen la incapacidad de Formalize para prestar eficazmente los Servicios de conformidad con los requisitos establecidos en la presente cláusula.
El Cliente tiene la responsabilidad de proporcionar a Formalize y mantener actualizado un correo electrónico específico al que se enviará toda comunicación relacionada con DORA.
Los incidentes se gestionarán y comunicarán al Cliente según lo descrito en el Acuerdo de Nivel de Servicio.
Formalize proporcionará al Cliente toda la asistencia necesaria en caso de que ocurra un incidente derivado de o relacionado con los Servicios.
Cualquier asistencia relacionada con un incidente vinculado a las TIC será prestada por Formalize sin coste adicional alguno, salvo que las Partes acuerden lo contrario.
Formalize puede utilizar subcontratistas para llevar a cabo parte de los Servicios («Subcontratación» a un «Socio de subcontratación»).
Con respecto a los Servicios subcontratados, la ubicación, la extensión de la cadena de suministro, la naturaleza de los datos, el subcontratista y las ubicaciones de los servicios (tratamiento y almacenamiento de datos), esta información se encuentra disponible en el formulario Formalize - DORA - Datos del Proveedor y en el Acuerdo de Tratamiento de Datos, los cuales se proporcionan junto con este Apéndice.
En el caso de que Formalize utilice Socios de subcontratación para realizar parte de los servicios, Formalize reconoce y acuerda lo siguiente:
Formalize proporciona en el Acuerdo de Tratamiento de Datos una visión general actualizada de los países donde se prestan los servicios subcontratados y donde se tratan dichos datos, incluida la ubicación del almacenamiento.
Formalize deberá informar al Cliente sobre cualquier cambio en dichas ubicaciones donde se prestan las funciones y Servicios subcontratados.
Formalize ha implementado medidas técnicas y organizativas adecuadas, considerando el estado actual del desarrollo tecnológico y las medidas disponibles incluyendo, entre otras, según sea corresponda:
Sin perjuicio de cualquier disposición en contrario, durante la vigencia de los acuerdos, el Cliente tendrá derecho a acceder en todo momento a sus datos, de manera coherente con la funcionalidad de los Servicios.
En caso de insolvencia o cese de las operaciones comerciales de Formalize, el Cliente tendrá acceso ilimitado a los datos que le pertenezcan.
La prestación de servicios por parte de Formalize incluye el procesamiento de los datos personales del Cliente, según lo dispuesto en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos («Reglamento General de Protección de Datos»), para este fin, las Partes han firmado un Acuerdo de Tratamiento de Datos separado que establece responsabilidades y obligaciones con respecto a dicho tratamiento de datos personales.
Cuando sea pertinente, y al menos una vez al año, el personal de Formalize participará en programas de concienciación sobre seguridad.
Se podrá solicitar que los empleados relevantes de Formalize participen en los programas de concienciación sobre seguridad TIC y en la formación sobre resiliencia operativa digital del Cliente, si el Cliente considera que el contenido de los programas de concienciación de Formalize no es suficiente para los fines de DORA.
Cuando los programas y la formación afecten las actividades comerciales normales de Formalize, Formalize tiene el derecho de cobrar una tarifa previamente determinada por la disponibilidad de los empleados.
El plazo de este Apéndice comenzará en la fecha de la firma del mismo y continuará en pleno vigor y efecto hasta: (i) el día en que expire o se termine el acuerdo activo según los términos del acuerdo; (ii) el día en que se termine el acuerdo activo de acuerdo con las disposiciones de este Apéndice; o (iii) el día en que el Cliente deje de ser una empresa sujeta a DORA.
Además de los derechos de terminación del Cliente establecidos en las Condiciones Generales, el Cliente podrá rescindir el Acuerdo con base en los siguientes puntos:
Con respecto a los derechos de rescisión descritos en las cláusulas a, b y c, el Cliente deberá notificar por escrito a Formalize con al menos 15 días de antelación, lo que servirá como período de subsanación para que Formalize subsane el incumplimiento, riesgo o deficiencia identificados, de manera que cumpla razonablemente con las expectativas del Cliente. Si Formalize no soluciona adecuadamente el problema dentro de dicho período, el Cliente podrá rescindir el Acuerdo con efecto inmediato.
En caso de rescisión según la cláusula d, el Acuerdo se considerará rescindido inmediatamente tras la notificación por escrito del Cliente, sin necesidad de un período de subsanación.
La rescisión de conformidad con esta cláusula no afectará a ningún otro derecho o recurso disponible para el Cliente conforme al Acuerdo o la legislación aplicable.
El objetivo de esta sección (en adelante, «el Plan de Salida») es detallar de manera clara el período de transición adecuado para los casos en los que el Contrato haya finalizado o esté próximo a su término. El Plan de Salida establece las medidas necesarias para asegurar una transición ordenada y oportuna, con el compromiso pleno de Formalize de cooperar en el proceso de salida.
El Plan de Salida comienza 30 días antes de la finalización del acuerdo.
Salida Suave - 30 días antes de la rescisión
A partir de este día, y durante los 30 días siguientes, el Cliente todavía tiene acceso a los Servicios, a todas las aplicaciones y a todos los datos almacenados. El Cliente deberá aprovechar la oportunidad para extraer los datos pertinentes de la infraestructura de Formalize. Durante este plazo, el Cliente deberá comunicar a Formalize cualquier otra información que no haya podido extraerse para permitirle migrar a otro proveedor de servicios TIC externo o cambiar a soluciones internas coherentes con la complejidad del servicio prestado.
Durante la fase de Salida Suave, el Cliente es responsable de iniciar todas las actividades de exportación de datos. Formalize asistirá al Cliente en la exportación de los elementos enumerados anteriormente en el apartado de Datos.
Salida Definitiva - Eliminación de datos - De 1 a 30 días después de la rescisión
Tras la Fase de Salida Suave, Formalize revisará y garantizará la eliminación de todos los datos del Cliente de su infraestructura. Esta eliminación se llevará a cabo dentro de los 30 días siguientes a la conclusión de la fase de salida suave, después de lo cual la información se almacenará en copias de seguridad durante 90 días.
Tras la Fase de Salida Suave, Formalize revisará y garantizará la eliminación de todos los datos del Cliente de su infraestructura. Esta eliminación se llevará a cabo dentro de los 30 días siguientes a la conclusión de la fase de salida suave, después de lo cual la información se almacenará en copias de seguridad durante 90 días.
Durante la Fase de Salida Definitiva, Formalize es responsable de la eliminación final de todos los datos del Cliente de su infraestructura y de informar al Cliente por escrito de la finalización del Plan de Salida.
Cooperación en el proceso de salida:
Formalize está obligada a cooperar plenamente en la ejecución de la salida y a realizar todos los trabajos necesarios, con sujeción a los límites establecidos a continuación.
Los servicios prestados por Formalize podrán continuar después de la fecha de finalización y seguir prestándose hasta que la transición a un nuevo proveedor de servicios o sistema se haya completado en su totalidad. El Cliente deberá comunicar a Formalize su intención de continuar accediendo al Sistema. Esta notificación se realizará antes de la fecha de rescisión y las partes acordarán un acuerdo provisional por un periodo de entre 6 meses y 1 año, los costes del acuerdo provisional podrían reflejar un incremento de precios no superior al 10% con respecto al Acuerdo anterior.
Actualización del Plan de Salida:
El Plan de Salida podrá ser revisado y actualizado anualmente a solicitud escrita del Cliente, en colaboración con Formalize. Dicha actualización deberá incluir un presupuesto detallado y un cronograma específico para su implementación.
Cualquier solicitud realizada por el Cliente en virtud de este Apéndice debe:
En caso de conflicto o incoherencia entre el presente Apéndice y los términos del Acuerdo, prevalecerá el presente Apéndice.
Las excepciones o cambios del Acuerdo o del Apéndice sólo podrán ser acordadas entre las Partes por escrito.
Este Anexo se rige por la legislación nacional danesa y el reglamento europeo aplicable al que se hace referencia en el documento presente, DORA y los reglamentos delegados relacionados.
Si el tribunal declara nulos algunos artículos de este Apéndice, los demás permanecerán plenamente vigentes.
Las disposiciones del presente Apéndice se basan en la Ley de Resiliencia Operativa Digital (DORA), sus actos delegados, las Normas Técnicas de Ejecución (ITS) y las Normas Técnicas de Reglamentación (RTS). En caso de que cualquiera de estos instrumentos jurídicos se modifique o derogue, y cualquier disposición del presente Apéndice deje de reflejarse o exigirse en el marco normativo aplicable, dicha disposición dejará de aplicarse. No obstante, las restantes disposiciones del presente Apéndice seguirán plenamente vigentes, salvo que las partes acuerden lo contrario.
