Durante la ejecución de mis proyectos de implementación, consultoría, formación o soporte, puedo utilizar diferentes herramientas y proveedores tecnológicos para la gestión, almacenamiento y procesamiento de datos personales, en función de las necesidades específicas de cada proyecto.
En este contexto, actúo como encargado del tratamiento por cuenta del cliente, y los proveedores utilizados actúan como subencargados del tratamiento, prestando servicios necesarios para la correcta ejecución del servicio contratado. Estos proveedores tratan los datos en el marco de sus propias condiciones de servicio y acuerdos de tratamiento de datos.
La selección de dichos proveedores se realiza aplicando criterios de diligencia debida, verificando que ofrecen garantías adecuadas en materia de protección de datos personales y cumplimiento normativo.
Josep Maria Martínez actúa como consultor e implementador externo, y los servicios utilizados en la prestación del servicio son proporcionados por terceros ajenos a su control.
En este sentido, Josep Maria Martínez no será responsable del funcionamiento, disponibilidad, rendimiento, errores técnicos, cambios en las condiciones del servicio, modificaciones en funcionalidades, interrupciones, fallos de seguridad o cualquier otra incidencia derivada de dichos servicios de terceros, en la medida en que estos aspectos dependen exclusivamente de los proveedores correspondientes.
Medidas de Seguridad Técnicas y Organizativas
Ámbito de Aplicación y Alcance:
Las medidas de seguridad detalladas a continuación se aplican a los accesos, cuentas y sistemas gestionados directamente por Josep Maria Martínez en el marco de la prestación del servicio.
Estas medidas no resultan aplicables a los accesos o credenciales proporcionados directamente por el Cliente (por ejemplo, acceso a su instancia de ClickUp, Asana o monday.com), siendo el Cliente responsable de la configuración, gestión de seguridad y políticas de acceso de dichos sistemas.
Control de Acceso y Autenticación:
Para los sistemas gestionados directamente, Josep Maria Martínez utiliza herramientas profesionales de gestión de contraseñas, garantizando el uso de credenciales únicas y robustas.
Asimismo, se emplea autenticación de doble factor (2FA) mediante códigos dinámicos (TOTP) en aquellos servicios que lo permiten.
Estas medidas de control de acceso y autenticación se aplican exclusivamente a los sistemas y accesos gestionados directamente por Josep Maria Martínez, no resultando aplicables a los accesos o credenciales proporcionados y gestionados por el Cliente, cuya configuración, gestión y nivel de seguridad son responsabilidad exclusiva del mismo.
Protección de Datos y Equipos:
Los dispositivos de trabajo cuentan con medidas de protección actualizadas, incluyendo software de seguridad, antivirus y sistemas de control de acceso biométrico (como huella dactilar o reconocimiento facial), cuando están disponibles en los dispositivos utilizados.
Siempre que resulta técnicamente viable, Josep Maria Martínez realiza copias de seguridad de su información en sistemas locales protegidos mediante mecanismos de autenticación reforzada.
Estas copias de seguridad no incluyen la información alojada en las plataformas utilizadas por los clientes (como ClickUp, Asana o monday.com), siendo el Cliente responsable de la gestión y realización de las copias de seguridad en sus propios sistemas.
Seguridad Organizativa y Prestación del Servicio:
El servicio de implementación, consultoría, formación o soporte es prestado única y directamente por Josep Maria Martínez, sin subcontratación de terceros para su ejecución.
Asimismo, se deja constancia de que Josep Maria Martínez no dispone de empleados ni de personal interno que intervenga en la prestación del servicio o tenga acceso a la información del cliente.
Sin perjuicio de lo anterior, para la correcta prestación del servicio pueden utilizarse proveedores tecnológicos que actúan como subencargados del tratamiento, tal y como se ha detallado previamente.
En caso de requerirse la participación de especialistas externos (programadores, expertos en automatización u otros perfiles técnicos), estos serán contratados directamente por el Cliente, quedando su intervención fuera del ámbito de control y responsabilidad de Josep Maria Martínez.
A continuación se listan los servicios o proveedores utilizados y su finalidad:
Nombre de la entidad: ClickUp
Ubicación: EE.UU., Irlanda, Alemania, Australia y Singapur
Objeto del tratamiento: SaaS de gestión de proyectos (ClickUp Project Management)
Naturaleza del tratamiento: Almacenamiento, organización, acceso, consulta y visualización de datos personales en el marco de la gestión de tareas y proyectos
Duración del tratamiento: Durante la vigencia del contrato con el cliente y, posteriormente, hasta la finalización de la relación contractual
Nombre de la entidad: ClickUp
Ubicación: EE.UU., Irlanda, Alemania, Australia y Singapur
Objeto del tratamiento: SaaS de toma de notas asistidas por IA (ClickUp Notetaker)
Naturaleza del tratamiento: Grabación y toma de notas digitales en el marco de la realización de reuniones
Duración del tratamiento: Durante la vigencia del contrato con el cliente y, posteriormente, hasta la finalización de la relación contractual
Nombre de la entidad: ClickUp
Ubicación: EE.UU., Irlanda, Alemania, Australia y Singapur
Objeto del tratamiento: SaaS de inteligencia artificial (ClickUp Brain Max)
Naturaleza del tratamiento: Realización de consultas, análisis, diagnósticos y redacción de contenidos y documentación basada en IA
Duración del tratamiento: Durante la vigencia del contrato con el cliente y, posteriormente, hasta la finalización de la relación contractual
Nombre de la entidad: ClickUp
Ubicación: EE.UU., Irlanda, Alemania, Australia y Singapur
Objeto del tratamiento: SaaS de grabación de vídeo (ClickUp Vídeo Recording)
Naturaleza del tratamiento: Grabación de vídeos tipo screencast para mostrar ejemplos de uso o grabación de videoconferencias
Duración del tratamiento: Durante la vigencia del contrato con el cliente y, posteriormente, hasta la finalización de la relación contractual
Nombre de la entidad: ClickUp
Ubicación: EE.UU., Irlanda, Alemania, Australia, Filipinas y Singapur
Objeto del tratamiento: Soporte técnico (ClickUp Help)
Naturaleza del tratamiento: Gestión de peticiones de soporte y asistencia proporcionados directamente por el personal de ClickUp
Duración del tratamiento: Durante la vigencia del contrato con el cliente y, posteriormente, hasta la finalización de la relación contractual
Nombre de la entidad: Microsoft Office 365
Ubicación: Dublín (Irlanda), Ámsterdam (Países Bajos), Francia Central, Frankfurt (Alemania), Reino Unido Sur y España
Objeto del tratamiento: SaaS de correo electrónico, calendario y contactos (Microsoft Exchange)
Naturaleza del tratamiento: Gestión de calendario, contactos y envío de correo electrónico
Duración del tratamiento: Durante la vigencia del contrato con el cliente y, posteriormente, hasta la finalización de la relación contractual
Nombre de la entidad: Microsoft Office 365
Ubicación: Dublín (Irlanda), Ámsterdam (Países Bajos), Francia Central, Frankfurt (Alemania), Reino Unido Sur y España
Objeto del tratamiento: SaaS de almacenamiento en la nube (Microsoft OneDrive)
Naturaleza del tratamiento: Almacenamiento de archivos
Duración del tratamiento: Durante la vigencia del contrato con el cliente y, posteriormente, hasta la finalización de la relación contractual
Nombre de la entidad: Microsoft Office 365
Ubicación: Dublín (Irlanda), Ámsterdam (Países Bajos), Francia Central, Frankfurt (Alemania), Reino Unido Sur y España
Objeto del tratamiento: SaaS de gestión de reservas (Microsoft Bookings)
Naturaleza del tratamiento: Gestión de calendario de servicios y sistema autónomo de reservas
Duración del tratamiento: Durante la vigencia del contrato con el cliente y, posteriormente, hasta la finalización de la relación contractual
Nombre de la entidad: Microsoft Office 365
Ubicación: Dublín (Irlanda), Ámsterdam (Países Bajos), Francia Central, Frankfurt (Alemania), Reino Unido Sur y España
Objeto del tratamiento: SaaS de comunicaciones (Microsoft Teams)
Naturaleza del tratamiento: Realización de videoconferencias y mensajería
Duración del tratamiento: Durante la vigencia del contrato con el cliente y, posteriormente, hasta la finalización de la relación contractual
Nombre de la entidad: Google
Ubicación: Dublín (Irlanda), Hamina (Finlandia), Eemshaven y Groningen (Países Bajos) y Saint-Ghislain (Bélgica)
Objeto del tratamiento: SaaS de ofimática (Sheets)
Naturaleza del tratamiento: Procesamiento de documentos (incluidos archivos .xls) para su exportación a formato CSV
Duración del tratamiento: Durante la vigencia del contrato con el cliente y, posteriormente, hasta la finalización de la relación contractual
Nombre de la entidad: Google
Ubicación: Dublín (Irlanda), Hamina (Finlandia), Eemshaven y Groningen (Países Bajos) y Saint-Ghislain (Bélgica)
Objeto del tratamiento: SaaS de almacenamiento en la nube (Google Drive)
Naturaleza del tratamiento: Almacenamiento de documentos (incluidos archivos .xls) para su exportación a formato CSV
Duración del tratamiento: Durante la vigencia del contrato con el cliente y, posteriormente, hasta la finalización de la relación contractual
Nombre de la entidad: Agile Bits
Ubicación: EE.UU. (Virginia)
Objeto del tratamiento: SaaS de gestión de contraseñas (1Password)
Naturaleza del tratamiento: Almacenamiento, gestión y supervisión de contraseñas
Duración del tratamiento: Durante la vigencia del contrato con el cliente y, posteriormente, hasta la finalización de la relación contractual
Nombre de la entidad: OpenAI
Ubicación: EE.UU. e Irlanda
Objeto del tratamiento: SaaS de inteligencia artificial (Chat GPT)
Naturaleza del tratamiento: Realización de consultas, análisis, diagnósticos y redacción de contenidos y documentación basada en IA
Duración del tratamiento: Durante la vigencia del contrato con el cliente y, posteriormente, hasta la finalización de la relación contractual
Nombre de la entidad: Anthropic
Ubicación: EE.UU. (Texas y Nueva York)
Objeto del tratamiento: SaaS de inteligencia artificial (Claude)
Naturaleza del tratamiento: Realización de consultas, análisis, diagnósticos y redacción de contenidos y documentación basada en IA
Duración del tratamiento: Durante la vigencia del contrato con el cliente y, posteriormente, hasta la finalización de la relación contractual
Nombre de la entidad: Plaud Inc
Ubicación: EE.UU. (Texas y Nueva York)
Objeto del tratamiento: SaaS de toma de notas (Plaud AI)
Naturaleza del tratamiento: Grabación y toma de notas digitales en el marco de la realización de reuniones
Duración del tratamiento: Durante la vigencia del contrato con el cliente y, posteriormente, hasta la finalización de la relación contractual
Nombre de la entidad: Apple
Ubicación: Dublín (Irlanda) y Viborg (Dinamarca), con expansión a Rennes (Francia) para servicios locales
Objeto del tratamiento: SaaS de almacenamiento en la nube (iCloud)
Naturaleza del tratamiento: Almacenamiento de notas y archivos en formato .md
Duración del tratamiento: Durante la vigencia del contrato con el cliente y, posteriormente, hasta la finalización de la relación contractual
Nombre de la entidad: Meta
Ubicación: Dublín (Irlanda)
Objeto del tratamiento: SaaS de mensajería (Whatsapp)
Naturaleza del tratamiento: Mensajería instantánea
Duración del tratamiento: Durante la vigencia del contrato con el cliente y, posteriormente, hasta la finalización de la relación contractual
Nombre de la entidad: Ontinet
Ubicación: España
Objeto del tratamiento: Software Antivirus (ESET HOME Security Premium)
Naturaleza del tratamiento: Protección de sistemas informáticos
Duración del tratamiento: Durante la vigencia del contrato con el cliente y, posteriormente, hasta la finalización de la relación contractual
Josep Maria Martínez 