Contrato de encargado de tratamiento de protección de datos
Reunidos
De una parte, El Usuario, en nombre y representación propia, en adelante el RESPONSABLE del tratamiento.
Y de otra parte, D. Alex Rosales Cavero, con DNI nº 46139517E, actuando en nombre e interés propio, con domicilio en Carrer de la Creu, 33, de Sant Just Desvern, en adelante el ENCARGADO del tratamiento.
Ambas partes se reconocen mútuamente la capacidad legal suficiente para suscribir y obligarse en virtud del presente contrato y, en su virtud,
MANIFIESTAN
I.- Que el RESPONSABLE y el ENCARGADO han formalizado un contrato, a través de la plataforma erescambio.com para la prestación de servicios de la sociedad de información.
II.- Que, según establece la normativa vigente, el prestador de dichos servicios adquiere la condición de ENCARGADO de los datos que trata por cuenta del RESPONSABLE.
III.- Que las partes, a efectos de regular las condiciones por las que se regirá los tratamientos de datos personales derivados de la referida relación contractual,
Acuerdan
PRIMERO.- Objeto del encargo de tratamiento
Mediante las presentes cláusulas se habilita al ENCARGADO del tratamiento, para tratar por cuenta del RESPONSABLE, los datos de carácter personal necesarios para prestar los servicios contratados a través de la plataforma https://www.erescambio.com. El tratamiento consistirá en:
a) Gestionar la Prestación de Servicios y productos Contratados de: Hosting, Consultoría, Creación de Páginas Web y Correo electrónico, Publicidad y Creación de Activos de Marketing, Formación, Organización de Eventos, Gestionar la compraventa de libros Analógicos y Digitales y Cumplimiento de obligaciones legales. La gestión del ENCARGADO de la prestación de servicios y productos contratados se realizará a través de un CRM que comprende funcionalidades para la gestión de los clientes y de los servicios y productos contratados.
b) Atender las consultas de las personas que contacten con erescambio.
c) Enviar Newsletters (email, sms u otro tipo de servicios de mensajería en Internet).
d) Altas y seguimiento en cuentas de erescambio en redes sociales: https://www.facebook.com/erescambio/, https://www.linkedin.com/company/erescambio/e https://www.instagram.com/erescambio/
Concreción de los tratamientos a realizar:
(X) Recogida | (X) Difusión |
(X) Registro | ( ) Interconexión |
(X) Estructuración | ( ) Cotejo |
(X) Modificación | (X) Limitación |
(X) Conservación | (X) Supresión |
(X) Extracción | (X) Destrucción |
(X) Consulta | (X) Comunicación |
(X) Comunicación por transmisión | |
(X) Otros: los inherentes al servicio contratado |
SEGUNDO.- Identificación de la información afectada
Para la ejecución de las prestaciones derivadas del cumplimiento del objeto de este encargo, el RESPONSABLE del tratamiento, pone a disposición del encargado del tratamiento, la información que se describe a continuación: • nombre y apellidos • nº de DNI • número de teléfono móvil • dirección de correo electrónico • domicilio y • nombre de usuario y contraseña.
TERCERO.- Duración
El presente acuerdo tendrá la misma duración que la relación contractual de la que deriva. Una vez finalice el presente contrato, el encargado del tratamiento devolverá al RESPONSABLE, o a otro encargado que designe el RESPONSABLE, los datos personales y suprimirá cualquier copia que esté en su poder. No obstante, el ENCARGADO podrá mantener bloqueados los datos para atender posibles responsabilidades administrativas o jurisdiccionales.
CUARTO.- Obligaciones del encargado del tratamiento
El encargado del tratamiento y todo su personal se obliga a:
a) Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios.
b) Tratar los datos de acuerdo con las instrucciones del RESPONSABLE del tratamiento. Si el encargado del tratamiento considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, el encargado informará inmediatamente al RESPONSABLE.
c) Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del RESPONSABLE, que contenga:
- El nombre y los datos de contacto del encargado o encargados y de cada RESPONSABLE por cuenta del cual actúe el encargado y, en su caso, del representante del RESPONSABLE o del encargado y del delegado de protección de datos.
- Las categorías de tratamientos efectuados por cuenta de cada RESPONSABLE.
- En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49 apartado 1, párrafo segundo del RGPD, la documentación de garantías adecuadas.
- Una descripción general de las medidas técnicas y organizativas de seguridad relativas a:
- La seudonimización y el cifrado de datos personales.
- La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
- La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
- El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
d) No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del RESPONSABLE del tratamiento, en los supuestos legalmente admisibles. El encargado puede comunicar los datos a otros encargados del tratamiento del mismo RESPONSABLE, de acuerdo con las instrucciones del RESPONSABLE. En este caso, el RESPONSABLE identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación. Si el encargado debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, informará al RESPONSABLE de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público.
e) Subcontratación
El RESPONSABLE del tratamiento autoriza al ENCARGADO a subcontratar con las empresas SiteGround Spain, S.L. y The Rocket Science Group LLC (MailChimp) las prestaciones que, respectivamente, comportan los tratamientos siguientes: hosting y servicio de mensajería en internet. Para subcontratar con otras empresas, el ENCARGADO debe comunicarlo por escrito al RESPONSABLE, identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el RESPONSABLE no manifiesta su oposición en el plazo de 48 horas desde la recepción de la comunicación.
El subcontratista, que también tiene la condición de ENCARGADO del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el ENCARGADO del tratamiento y las instrucciones que dicte el RESPONSABLE. Corresponde al ENCARGADO inicial regular la nueva relación, de forma que el nuevo ENCARGADO quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, el ENCARGADO inicial seguirá siendo plenamente RESPONSABLE ante el RESPONSABLE en lo referente al cumplimiento de las obligaciones.
f) Mantener el deber de secreto respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice su objeto.
g) Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente.
h) Mantener a disposición del RESPONSABLE la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior.
i) Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.
j) Asistir al RESPONSABLE del tratamiento en la respuesta al ejercicio de los derechos de:
- Acceso, rectificación, supresión y oposición
- Limitación del tratamiento
- Portabilidad de datos
- A no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles).
- Revocación del consentimiento.
Cuando los interesados ejerzan los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas o revoquen su consentimiento ante el ENCARGADO del tratamiento, éste debe comunicarlo por correo electrónico a la dirección del RESPONSABLE que consta en la política de privacidad. La comunicación debe hacerse a la mayor brevedad y, en ningún caso, podrá superar el plazo de 48 horas laborables.
Cuando los interesados ejerzan los referidos derechos ante el RESPONSABLE, el ENCARGADO deberá colaborar con el RESPONSABLE, en todo momento y en un plazo no superior a las 48 horas laborables, a efectos de facilitarle toda la información y asistencia que éste requiera para dar respuesta a los interesados
k) Derecho de información
El ENCARGADO del tratamiento, en el momento de la recogida de los datos, debe facilitar la información relativa a los tratamientos de datos que se van a realizar. La redacción y el formato en que se facilitará la información se debe consensuar con el RESPONSABLE antes del inicio de la recogida de los datos.
- Notificación de violaciones de la seguridad de los datos. El ENCARGADO notificará al RESPONSABLE, sin dilación indebida y a través de la dirección de correo electrónico que le indique el RESPONSABLE, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación, a efectos que el RESPONSABLE comunique la referida incidencia ante la Agencia Española de Protección de Datos Personales, o la autoridad de control que en su caso pudiera corresponder:
- Se facilitará, como mínimo, la información siguiente:
- Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
- Datos de la persona de contacto del ENCARGADO para obtener más información.
- Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.
- Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
- Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.
- El ENCARGADO asistirá al RESPONSABLE, con toda la información de la que disponga, a realizar la comunicación de las violaciones de la seguridad de los interesados, cuando sea probable que dicha violación suponga un alto riesgo para sus derechos y libertades.
- El ENCARGADO, a petición del RESPONSABLE, comunicará en el menor tiempo posible esas violaciones de la seguridad de los datos a los interesados, cuando sea probable que la violación suponga un alto riesgo para los derechos y las libertades de las personas físicas. La comunicación debe realizarse en un lenguaje claro y sencillo y deberá incluir los elementos que en cada caso señale el RESPONSABLE y, como mínimo: a) La naturaleza de la violación de datos; b) Datos del punto de contacto del RESPONSABLE o del ENCARGADO donde se pueda obtener más información; c) Posibles consecuencias de la violación de la seguridad de los datos personales; d) Medidas adoptadas o propuestas por el RESPONSABLE para poner remedio a la violación de la seguridad, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
- Se facilitará, como mínimo, la información siguiente:
- Poner a disposición del RESPONSABLE toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el RESPONSABLE u otro auditor autorizado por él.
- Implantar las medidas de seguridad técnicas y organizativas necesarias para garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. Las medidas de seguridad mínimas que se recogen en el apartado “SEXTA. Medidas de seguridad mínimas a aplicar por el ENCARGADO”.
QUINTO.- Obligaciones del RESPONSABLE del tratamiento
Corresponde al RESPONSABLE del tratamiento:
a) Entregar al ENCARGADO los datos a los que se refiere la cláusula SEGUNDA de este documento.
b) Realizar una evaluación del impacto en la protección de datos personales de las operaciones de tratamiento a realizar por el ENCARGADO, cuando proceda.
c) Realizar las consultas previas que corresponda.
d) Velar, de forma previa y durante todo el tratamiento, por el cumplimiento del RGPD por parte del ENCARGADO.
e) Supervisar el tratamiento, incluida la realización de inspecciones y auditorías.
SEXTO.- Medidas de seguridad mínimas a aplicar por el ENCARGADO
En este apartado se recogen las medidas de seguridad mínimas que deberá aplicar el ENCARGADO. El ámbito de aplicación de estas medidas serán:
- Los recursos bajo el control del ENCARGADO (como sistemas informáticos y de archivo, centros de trabajo y trabajadores) y que éste destine al tratamiento de los datos
- Los recursos bajo el control del RESPONSABLE cuando éste haya encomendado al ENCARGADO la seguridad de los mismos.
- Los sistemas de información que el ENCARGADO desarrolle o implante por cuenta del RESPONSABLE
Estas medidas mínimas se enumeran a continuación:
- Medidas organizativas. Todo el personal al que el ENCARGADO proporcione acceso a los datos personales deberá ser informado de las siguientes medidas organizativas:
- Deber de confidencialidad y secreto
- Se deberá evitar el acceso de personas no autorizadas a los datos personales, a tal fin se evitará: dejar los datos personales expuestos a terceros (pantallas electrónicas desatendidas, documentos en papel en zonas de acceso público, soportes con datos personales, etc.), esta consideración incluye las pantallas que se utilicen para la visualización de imágenes del sistema de videovigilancia si lo hubiera. Cuando la persona se ausente del puesto de trabajo, procederá al bloqueo de la pantalla o al cierre de la sesión.
- Los documentos en papel y soportes electrónicos se almacenarán en lugar seguro (armarios o estancias de acceso restringido) durante las 24 horas del día, y serán custodiados cuando, con motivo de su tramitación, se encuentren fuera de los dispositivos o salas de archivo.
- No se desecharán documentos (papel) o soportes electrónicos (cd, pen drives, discos duros, etc.) con datos personales sin garantizar su destrucción, de forma que la información no sea recuperable.
- No se comunicarán datos personales o cualquier información personal a terceros, se prestará atención especial en no divulgar datos personales protegidos durante las consultas telefónicas, correos electrónicos, etc.
- El deber de secreto y confidencialidad persiste incluso cuando finalice la relación laboral o de prestación de servicios.
- Derechos de los titulares de los datos
- Se informará a todo el personal del ENCARGADO acerca del procedimiento para atender los derechos de los interesados, definiendo de forma clara los mecanismos por los que pueden ejercerse los derechos y teniendo en cuenta lo siguiente:
- Se establecerá claramente si la obligación de atender estos derechos corresponde al RESPONSABLE o al ENCARGADO.
- El ejercicio de derechos requerirá la previa presentación por parte del interesado de copia de su DNI o documento identificativo.
- Se comunicará este tipo de solicitudes al RESPONSABLE sin dilación indebida.
- Para el derecho de acceso se facilitará la lista de los datos personales de que se disponga junto con la finalidad para la que han sido recogidos, la identidad de los destinatarios de los datos, los plazos de conservación, y la identidad del RESPONSABLE ante el que pueden solicitar la rectificación supresión y oposición al tratamiento de los datos.
- Para el derecho de rectificación se procederá a modificar los datos de los interesados que fueran inexactos o incompletos atendiendo a los fines del tratamiento.
- Para el derecho de supresión se suprimirán los datos de los interesados cuando los interesados manifiesten su negativa u oposición al consentimiento para el tratamiento de sus datos y no exista deber legal que lo impida.
- Se informará a todo el personal del ENCARGADO acerca del procedimiento para atender los derechos de los interesados, definiendo de forma clara los mecanismos por los que pueden ejercerse los derechos y teniendo en cuenta lo siguiente:
- Violaciones de seguridad de datos de carácter personal. Cuando se produzcan violaciones de seguridad de datos de carácter personal, como por ejemplo, el robo o acceso indebido a los datos personales se notificará al RESPONSABE de forma inmediata acerca de dichas violaciones de seguridad, incluyendo toda la información necesaria para el esclarecimiento de los hechos que hubieran dado lugar al acceso indebido a los datos personales. Asimismo, se apoyará al RESPONSABLE a realizar la notificación de la violación de la seguridad a la Agencia de Protección de Datos competente teniendo en cuenta la información a disposición del ENCARGADO.
- Deber de confidencialidad y secreto
- Medidas de seguridad técnicas, relativas a la identificación. El ENCARGADO implantará como mínimo las siguientes medidas técnicas para garantizar la identificación y autenticación de los usuarios con acceso a los datos:
- No se permitirá el uso para fines particulares de aquellos ordenadores y dispositivos destinados al tratamiento de los datos personales.
- Cuando el mismo ordenador o dispositivo se utilice para el tratamiento de datos personales y fines de uso personal se recomienda disponer de varios perfiles o usuarios distintos para cada una de las finalidades. Deben mantenerse separados los usos profesional y personal del ordenador o dispositivo.
- Se recomienda disponer de perfiles con derechos de administración para la instalación y configuración del sistema y usuarios sin privilegios o derechos de administración para el acceso a los datos personales. Esta medida evitará que en caso de ataque de ciberseguridad puedan obtenerse privilegios de acceso o modificar el sistema operativo.
- Se garantizará la existencia de contraseñas (o mecanismos equivalentes) para el acceso a los datos personales almacenados en sistemas electrónicos. Las contraseñas tendrán al menos 8 caracteres, mezcla de números y letras, y se renovarán periódicamente (al menos de forma semestral).
- Cuando a los datos personales accedan distintas personas, para cada persona con acceso a los datos personales, se dispondrá de un usuario y contraseña específicos (identificación inequívoca).
- Se debe garantizar la confidencialidad de las contraseñas, evitando que queden expuestas a terceros. En ningún caso se compartirán las contraseñas ni se dejarán anotadas en lugar común y el acceso de personas distintas del usuario.
- Medidas de seguridad técnicas para salvaguardar los datos. A continuación se exponen las medidas técnicas mínimas para garantizar la salvaguarda de los datos personales:
- Actualización de ordenadores y dispositivos. Los dispositivos y ordenadores utilizados para el almacenamiento y el tratamiento de los datos personales deberán mantenerse actualizados en la medida posible.
- Malware: En los ordenadores y dispositivos donde se realice el tratamiento de los datos personales se dispondrá de un sistema de antivirus que garantice en la medida posible el robo y destrucción de la información y datos personales. El sistema de antivirus deberá ser actualizado de forma periódica.
- Cortafuegos: Para evitar accesos remotos indebidos a los datos personales se velará para garantizar la existencia de un cortafuegos activado en aquellos sistemas en los que se realice el almacenamiento y/ o tratamiento de datos personales.
- Cifrado de datos. Cuando se precise realizar la extracción de datos personales fuera del recinto donde se realiza su tratamiento, ya sea por medios físicos o por medios electrónicos, se deberá valorar la posibilidad de utilizar un método de cifrado para garantizar la confidencialidad de los datos personales en caso de acceso indebido a la formación.
- Copia de seguridad. Periódicamente se realizará una copia de seguridad en un segundo soporte distinto del que se utiliza para el trabajo diario. La copia se almacenará en lugar seguro, distinto de aquél en que esté ubicado el equipo con los ficheros originales, con el fin de permitir la recuperación de los datos personales en caso de pérdida de la información.
- Verificación, evaluación y valoración periódica de las medidas de seguridad. El ENCARGADO implantará un procedimiento periódico que le permita verificar, evaluar y valorar, la eficacia de las medidas técnicas y organizativas implantadas en los sistemas de tratamiento, centros de trabajo y usuarios bajo su control.
- De ese procedimiento periódico se derivaran la implantación de mecanismos adicionales para:
- Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
- Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
- Seudonimizar y cifrar los datos personales, en su caso.
- Las medidas de seguridad abarcarán la protección de los sistemas de información así como de los sistemas de tratamiento manual y archivo de la documentación.
- La revisión podrá ealizarse por mecanismos automáticos (software o programas informáticos) o de forma manual.
- El ENCARGADO dispondrá en todo momento de información actualizada sobre las medidas de seguridad aplicadas en el encargo de tratamiento y deberá proporcionarlas al RESPONSABLE cuando éste las solicite y en todo caso siempre que haya cambios relevantes en su arquitectura de seguridad de la información.
- De ese procedimiento periódico se derivaran la implantación de mecanismos adicionales para:
SEPTIMO.- Incumplimiento
El incumplimiento por parte del ENCARGADO de las obligaciones referidas en el presente acuerdo comportará que sea considerado también RESPONSABLE del tratamiento, respondiendo antes las autoridades de Protección de Datos, o ante cualquier tercera persona de las infracciones que se puedan haber cometido derivadas de la ejecución del presente acuerdo y/o del cumplimento de la legislación vigente en materia de protección de datos de carácter personal.
OCTAVO. – Legislación y jurisdicción
El presente acuerdo se regirá e interpretará conforme a la legislación española en todo aquello que no esté expresamente regulado, sometiéndose las partes, para las controversias que pudieran surgir en relación al mismo, a la competencia de los juzgados y tribunales de la ciudad señalada en el encabezamiento, con renuncia a cualquier otro fuero que les pudiera corresponder.
Y de conformidad con lo anterior, ambas partes suscriben el presente documento y se obligan mediante la aceptación electrónica del mismo por el RESPONSABLE, a un solo efecto, en el lugar y fecha indicados en la cabecera.
RESPONSABLE ENCARGADO