Documento actualizado el 26 de diciembre de 2023.
Reunidos
De una parte, ________________________________________________ con DNI nº _____________ actuando en nombre y representación de ________________________________________________ con domicilio en ________________________________________________ y NIF nº _____________ en adelante, el «RESPONSABLE DEL TRATAMIENTO«.
De otra parte, ____________________________________ con DNI _____________ actuando en nombre y representación de GIGAFOX S.L., con domicilio en Calle Infanta Beatriz, 4, 5Bi, 18008, Granada (Granada) y NIF B88202106 en adelante el «ENCARGADO DEL TRATAMIENTO«.
El RESPONSABLE DEL TRATAMIENTO y el ENCARGADO DEL TRATAMIENTO que, en adelante, podrán ser denominadas, individualmente, «la Parte» y conjuntamente, «las Partes», reconociéndose mutuamente capacidad legal suficiente para contratar y obligarse en la representación que actúan, y siendo responsables de la veracidad de sus manifestaciones,
Manifiestan
- Que ambas partes se encuentran vinculadas por una relación contractual de carácter mercantil para la prestación de servicios de consultoría, desarrollo, gestión, mantenimiento y/o alojamiento web (en adelante SERVICIO).
- Que para la prestación de dicho servicio es necesario que el ENCARGADO DEL TRATAMIENTO tenga acceso y realice tratamientos de datos de carácter personal responsabilidad del RESPONSABLE DEL TRATAMIENTO, por lo que asume las funciones y obligaciones que el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, estipula para los Encargados de Tratamiento.
- Ambas partes reconocen cumplir con todas las obligaciones derivadas de la normativa comunitaria y nacional en materia de protección de datos, en especial las relativas al derecho de información, consentimiento y deber de secreto, , y a la adopción de las medidas de seguridad técnicas y organizativas que garanticen la seguridad de los datos personales.
- Que, en cumplimiento del artículo 28 del RGPD, ambas partes de forma libre y espontánea voluntad acuerdan regular este acceso y tratamiento de datos de carácter personal de conformidad con las siguientes:
Estipulaciones
PRIMERO: Objeto del contrato
Mediante las presentes cláusulas se habilita a la entidad ENCARGADA DE TRATAMIENTO, para tratar por cuenta del, RESPONSABLE DEL TRATAMIENTO, los datos de carácter personal necesarios para prestar el servicio anteriormente descrito.
Concreción de los tratamientos a realizar:
- Recogida
- Estructuración
- Conservación
- Consulta
- Cotejo
- Supresión
- Registro
- Modificación
- Extracción
- Comunicación por transmisión
- Interconexión.
SEGUNDO: Identificación de la información afectada
Para la ejecución de las prestaciones derivadas del cumplimiento del objeto de este encargo, el RESPONSABLE DEL TRATAMIENTO, pone a disposición del ENCARGADO DEL TRATAMIENTO, la información que se describe a continuación:
- Nombre
- DNI
- Dirección postal
- Teléfono
- Dirección IP
TERCERO: Duración
El presente acuerdo tiene una duración de 1 año, renovable automáticamente por años naturales mientras siga vigente el acuerdo mercantil.
Una vez finalice el presente contrato, el ENCARGADO DE TRATAMIENTO debe suprimir/devolver al RESPONSABLE, o devolver a otro encargado que designe el RESPONSABLE los datos personales y suprimir cualquier copia que esté en su poder.
CUARTO: Obligaciones del encargado del tratamiento
El ENCARGADO DEL TRATAMIENTO y todo su personal se obliga a:
- Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios.
- Tratar los datos de acuerdo con las instrucciones del responsable del tratamiento. Si el ENCARGADO DEL TRATAMIENTO considera que alguna de las instrucciones infringe el Reglamento (UE) 2016/679 o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, el encargado informará inmediatamente al responsable.
- No comunicar los datos a terceras personas, salvo en las relaciones con subencargados o cuando cuente con la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles. El encargado puede comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones del responsable. Si el encargado debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, informará al responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público.
- Se autoriza al encargado a recurrir a otros encargados (subencargado) para prestar los servicios. Estando el subencargado del tratamiento sujeto a las mismas condiciones que el encargado del tratamiento en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. El Anexo I incluye los subencargados designados en este momento y sus funciones. Esta lista podría variar en el futuro y se encontrará actualizada en https://giga4.team/contrato-responsable-del-tratamiento-de-datos/
- Observar en todo momento, y en relación con los ficheros de datos de carácter personal a los que tuviera acceso o le pudieren ser entregados por el Responsable, para la realización en cada caso de los trabajos y servicios que pudieren acordarse, el deber de confidencialidad y secreto profesional que, de conformidad con lo dispuesto en la normativa de Protección de Datos, subsistirá aun después de finalizar la relación de los trabajos encargados en relación con cualquier fichero así como, en su caso, tras la finalización por cualquier causa del presente contrato.
- Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, así como garantizarles la formación necesaria en materia de protección de datos personales.
- Corresponde al responsable facilitar el derecho de información en el momento de la recogida de los datos.
- El encargado del tratamiento notificará al responsable del tratamiento, sin dilación indebida, y en cualquier caso antes del plazo máximo de 48h , y a través de email, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia. No será necesaria la notificación cuando sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si se dispone de ella se facilitará, como mínimo, la información siguiente:
- Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
- El nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.
- Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.
- Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos. Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.
- Corresponde al responsable del tratamiento comunicar las violaciones de la seguridad de los datos a la Autoridad de Protección de Datos y a los interesados.
- Poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones.
- Implantar las medidas de seguridad necesarias para:
- Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
- Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
- Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento.
- Seudonimizar y cifrar los datos personales, en su caso.
- Devolver al responsable del tratamiento los datos de carácter personal y, si procede, los soportes donde consten, una vez cumplida la prestación. La devolución debe comportar el borrado total de los datos existentes en los equipos informáticos utilizados por el encargado. No obstante, el encargado puede conservar una copia, con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación.
QUINTO: Obligaciones del responsable del tratamiento
Corresponde al RESPONSABLE DEL TRATAMIENTO:
- Entregar al encargado los datos a los que se refiere la cláusula SEGUNDA de este documento.
- Realizar una evaluación del impacto en la protección de datos personales de las operaciones de tratamiento a realizar por el encargado.
- Realizar las consultas previas que corresponda.
- Velar, de forma previa y durante todo el tratamiento, por el cumplimiento del Reglamento (UE) 2016/679 por parte del encargado.
- Supervisar el tratamiento, incluida la realización de inspecciones y auditorías.
FIRMA
El RESPONSABLE DEL TRATAMIENTO | El ENCARGADO DEL TRATAMIENTO |
---|---|
ANEXO I: Subencargados
Para la correcta y completa prestación de los servicios, el encargado del tratamiento podrá realizar contrataciones con otras compañías que a su vez asuman el rol de encargados del tratamiento. Evaluamos las compañías para que tengan un nivel de cumplimiento suficiente de cara al GDPR. Esta lista contiene todos los subencargados dentro de todos los servicios que proveemos, si quieres conocer la lista exhaustiva de subencargados que intervienen en tu caso concreto, por favor contacta con nosotros.
Proveedores de servicios de gestión, fiscalidad y contabilidad.
Subencargado | Provee | País | Información |
---|---|---|---|
Ecosistemas Digitales de Negocio S.L. | Contabilidad y fiscalidad. | España, UE | Privacidad |
Fiscaliti Asesoría y Gestión S.L. | Contabilidad y fiscalidad. | España, UE | Privacidad |
Banco de Sabadell S.A. | Servicios bancarios. | España, UE | |
Slack Technologies, LLC Slack Technologies Limited | Comunicación interna. | EEUU Irlanda, UE. | DPA GDPR |
Zoho Corporation B.V. | Plataforma de atención al cliente. Gestión de firma de contratos. | Holanda, UE | Zoho Desk GDPR Zoho Sign GDPR GDPR Compliance |
AgileBits, Inc. | Almacenamiento seguro de contraseñas. | Canadá (Servidores en UE) | Legal Center |
TELCOM Business Solutions S.L. | Voz IP | España, UE | Privacidad |
Proveedores de almacenamiento de datos y copias de seguridad
Subencargado | Provee | País | Información |
---|---|---|---|
Apple Distribution International Ltd. | Almacenamiento de copias de seguridad. | Irlanda, UE | Legal DPA |
Backblaze – | Almacenamiento de copias de seguridad. | California, EEUU (Servidores en Holanda, UE) | DPA GDPR |
GoDaddy.com LLC – | Almacenamiento de copias de seguridad y gestión remota de sitios. | Arizona, EEUU (Servidores en UE) | DPA |
Proveedores de control de versiones
Subencargado | Provee | País | Información |
---|---|---|---|
GitHub, Inc. | Control de versiones e integración continua. La transmisión de datos personales contenidos en base de datos a esta plataforma se hará de forma encriptada. | California, EEUU | DPA |
Atlassian | Control de versiones e integración continua. La transmisión de datos personales contenidos en base de datos a esta plataforma se hará de forma encriptada. | Australia | GDPR |
Proveedores de servicios de procesos de la información.
Subencargado | Provee | País | Información |
---|---|---|---|
Amazon Web Services EMEA SARL | Servidores, almacenamiento de datos, almacenamiento de copias de seguridad y email saliente. | Luxemburgo (Servidores en UE) | GDPR Center |
Cloudways Ltd. | Gestión de servidores. | Malta, UE | DPA Privacy policy |
DigitalOcean – | Servidores | Nueva York, EEUU (Servidores en UE) | DPA GDPR |
SiteGround Spain S.L. | Servidores web y email | España, UE | Legal DPA |
Dinahosting S.L. | Servidores web y email | España, UE | Legal |
Soluciones Corporativas IP, S.L. | Registro de dominios | España, UE | Legal |
Linode, LLC – | Servidores | Filadelfia, EEUU (Servidores en UE) | DPA GDPR |
Google, inc. – | Servidores web y email | DPA GDPR | |
10DENCEHISPAHARD, S.L. | Servidores web y email | España, UE | Legal RGPD |
Hostinger International Ltd | Servidores web y email | Chipre, UE | Legal DPA |
Hetzner Online GmbH | Servidores web y email | Alemania, UE | Legal DPA |
Cloudflare, Inc. – | DNS, CDN, Firewall y optimización de carga | California, EEUU | RGPD DPA |
Auttomatic, Inc. – Aut O’Mattic A8C Ireland Ltd. | Servicio de bloqueo de spam en comentarios y formularios. | California, EEUU Irlanda, UE | Privacy |