Contrato responsable del tratamiento de datos

Reunidos

De una parte, Don ________________________________________________ provisto de DNI nº _____________ actuando como representante legal de ________________________________________________ con domicilio en ________________________________________________ y CIF nº _____________ en adelante RESPONSABLE DEL FICHERO.
De otra parte, Don ________________________________________________ provisto de DNI nº _____________ actuando como legal representante de GIGAFOX S.L., con domicilio en Calle Infanta Beatriz, 4, 5Bi y CIF nº B88202106 en adelante ENCARGADO DEL TRATAMIENTO.

Manifiestan

  • Que ambas partes se encuentran vinculadas por una relación contractual de carácter mercantil para la prestación de servicios de consultoría, desarrollo, gestión, mantenimiento y/o alojamiento web (en adelante SERVICIO).
  • Que para la prestación de dicho servicio es necesario que el ENCARGADO DEL TRATAMIENTO tenga acceso y realice tratamientos de datos de carácter personal responsabilidad del RESPONSABLE DEL FICHERO, por lo que asume las funciones y obligaciones que el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, estipula para los Encargados de Tratamiento.
  • Ambas partes reconocen cumplir con todas las obligaciones derivadas de la normativa comunitaria y nacional en materia de protección de datos, en especial las relativas al derecho de información, consentimiento y deber de secreto, , y a la adopción de las medidas de seguridad técnicas y organizativas que garanticen la seguridad de los datos personales.
  • Que, en cumplimiento del artículo 28 del RGPD, ambas partes de forma libre y espontánea voluntad acuerdan regular este acceso y tratamiento de datos de carácter personal de conformidad con las siguientes:

Estipulaciones

PRIMERO: Objeto del contrato

Mediante las presentes cláusulas se habilita a la entidad ENCARGADA DE TRATAMIENTO, para tratar por cuenta del, RESPONSABLE DEL TRATAMIENTO, los datos de carácter personal necesarios para prestar el servicio anteriormente descrito.

Concreción de los tratamientos a realizar:

  • Recogida
  • Estructuración
  • Conservación
  • Consulta
  • Cotejo
  • Supresión
  • Registro
  • Modificación
  • Extracción
  • Comunicación por transmisión
  • Interconexión.

SEGUNDO: Identificación de la información afectada

Para la ejecución de las prestaciones derivadas del cumplimiento del objeto de este encargo, el RESPONSABLE DEL TRATAMIENTO, pone a disposición del ENCARGADO DEL TRATAMIENTO, la información que se describe a continuación:

  • Nombre
  • DNI
  • Email
  • Dirección postal
  • Teléfono
  • Dirección IP

TERCERO: Duración

El presente acuerdo tiene una duración de 1 año, renovable automáticamente por años naturales mientras siga vigente el acuerdo mercantil.

Una vez finalice el presente contrato, el ENCARGADO DE TRATAMIENTO debe suprimir/devolver al RESPONSABLE, o devolver a otro encargado que designe el RESPONSABLE los datos personales y suprimir cualquier copia que esté en su poder.

CUARTO: Obligaciones del encargado del tratamiento

El ENCARGADO DEL TRATAMIENTO y todo su personal se obliga a:

  1. Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios.
  2. Tratar los datos de acuerdo con las instrucciones del responsable del tratamiento. Si el ENCARGADO DEL TRATAMIENTO considera que alguna de las instrucciones infringe el Reglamento (UE) 2016/679 o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, el encargado informará inmediatamente al responsable.
  3. No comunicar los datos a terceras personas, salvo en las relaciones con subencargados o cuando cuente con la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles. El encargado puede comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones del responsable. Si el encargado debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, informará al responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público.
  4. Se autoriza al encargado a recurrir a otros encargados (subencargado) para prestar los servicios. Estando el subencargado del tratamiento sujeto a las mismas condiciones que el encargado del tratamiento en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. El Anexo I incluye los subencargados designados en este momento y sus funciones.
  5. Observar en todo momento, y en relación con los ficheros de datos de carácter personal a los que tuviera acceso o le pudieren ser entregados por el Responsable, para la realización en cada caso de los trabajos y servicios que pudieren acordarse, el deber de confidencialidad y secreto profesional que, de conformidad con lo dispuesto en la normativa de Protección de Datos, subsistirá aun después de finalizar la relación de los trabajos encargados en relación con cualquier fichero así como, en su caso, tras la finalización por cualquier causa del presente contrato.
  6. Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, así como garantizarles la formación necesaria en materia de protección de datos personales.
  7. Corresponde al responsable facilitar el derecho de información en el momento de la recogida de los datos.
  8. El encargado del tratamiento notificará al responsable del tratamiento, sin dilación indebida, y en cualquier caso antes del plazo máximo de 48h , y a través de email, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia. No será necesaria la notificación cuando sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si se dispone de ella se facilitará, como mínimo, la información siguiente:
    1. Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
    2. El nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.
    3. Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.
    4. Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos. Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.
    5. Corresponde al responsable del tratamiento comunicar las violaciones de la seguridad de los datos a la Autoridad de Protección de Datos y a los interesados.
  9. Poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones.
  10. Implantar las medidas de seguridad necesarias para:
    1. Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
    2. Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
    3. Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento.
    4. Seudonimizar y cifrar los datos personales, en su caso.
  11. Devolver al responsable del tratamiento los datos de carácter personal y, si procede, los soportes donde consten, una vez cumplida la prestación. La devolución debe comportar el borrado total de los datos existentes en los equipos informáticos utilizados por el encargado. No obstante, el encargado puede conservar una copia, con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación.

QUINTO: Obligaciones del encargado del tratamiento

Corresponde al RESPONSABLE DEL TRATAMIENTO:

  1. Entregar al encargado los datos a los que se refiere la cláusula SEGUNDA de este documento.
  2. Realizar una evaluación del impacto en la protección de datos personales de las operaciones de tratamiento a realizar por el encargado.
  3. Realizar las consultas previas que corresponda.
  4. Velar, de forma previa y durante todo el tratamiento, por el cumplimiento del Reglamento (UE) 2016/679 por parte del encargado.
  5. Supervisar el tratamiento, incluida la realización de inspecciones y auditorías.

FIRMA

El RESPONSABLE DEL TRATAMIENTO

El ENCARGADO DEL TRATAMIENTO

ANEXO I: Subencargados

Para la correcta y completa prestación de los servicios, el encargado del tratamiento podrá realizar contrataciones con otras compañías que a su vez asuman el rol de encargados del tratamiento. Evaluamos las compañías para que tengan un nivel de cumplimiento suficiente de cara al GDPR. Esta lista contiene todos los subencargados dentro de todos los servicios que proveemos, si quieres conocer la lista exhaustiva de subencargados que intervienen en tu caso concreto, por favor contacta con nosotros.

Proveedores de servicios de gestión, fiscalidad y contabilidad.

SubencargadoProveePaísInformación
Ecosistemas Digitales de Negocio S.L.Contabilidad y fiscalidad.España, UEPrivacidad
Banco de Sabadell S.A.Servicios bancarios.España, UE
Slack Technologies, LLC
Slack Technologies Limited
Comunicación interna.EEUU
Irlanda, EU.
DPA
GDPR
Zoho Corporation B.V.Plataforma de atención al cliente.Países Bajos, EUGDPR Compliance
AgileBits, Inc.Almacenamiento seguro de contraseñas.Canadá (Servidores en UE)Legal Center
TELCOM Business Solutions S.L.Voz IPEspaña, UEPrivacidad

Proveedores de almacenamiento de datos y copias de seguridad

SubencargadoProveePaísInformación
Zoho Corporation B.V.Almacenamiento de datos.Países bajos, UEGDPR Compliance
GDPR Workdrive Compliance
Tresorit AGAlmacenamiento de copias de seguridad.Suiza (UE)Legal center
Backblaze –Almacenamiento de copias de seguridad.California, EEUUDPA
GDPR
GoDaddy.com LLC –Almacenamiento de copias de seguridad y gestión remota de sitios.Arizona, EEUU (Servidores en UE)DPA

Proveedores de control de versiones

SubencargadoProveePaísInformación
GitHub, Inc.Control de versiones e integración continua. La transmisión de datos personales contenidos en base de datos a esta plataforma se hará de forma encriptada. California, EEUUDPA
AtlassianControl de versiones e integración continua. La transmisión de datos personales contenidos en base de datos a esta plataforma se hará de forma encriptada. AustraliaGDPR

Proveedores de servicios de procesos de la información.

SubencargadoProveePaísInformación
Amazon Web Services EMEA SARLServidores, almacenamiento de datos, almacenamiento de copias de seguridad y email saliente.Luxemburgo (Servidores en UE)GDPR Center
Cloudways Ltd.Gestión de servidores.Malta, UEDPA
Privacy policy
DigitalOcean –ServidoresNueva York, EEUU (Servidores en UE)DPA
GDPR
SiteGround Spain S.L.Servidores web y emailEspaña, UELegal
Dinahosting S.L.Servidores web y emailEspaña, UELegal
Soluciones Corporativas IP, S.L.Registro de dominiosEspaña, UELegal
Linode, LLC –ServidoresFiladelfia, EEUU (Servidores en UE)DPA
GDPR
Google, inc. –Servidores web y emailDPA
GDPR
10DENCEHISPAHARD, S.L.Servidores web y emailEspaña, UELegal
RGPD