Acuerdo de Procesamiento de Datos

Propósito Procesamiento de datos personales Duración del acuerdo Obligaciones del encargado Obligaciones del responsable Subprocesamiento Medidas de seguridad Responsabilidades y garantías Auditoría y controles Gestión de solicitudes Portabilidad de datos Gestión de solicitudes de terceros Puntos de contacto

Última actualización: noviembre de 2024

Este acuerdo forma parte integral del Contrato vigente entre Jotelulu, S.L., con domicilio social en Leganitos 47, 4.º Piso, 28013 Madrid (España), debidamente inscrita en el registro mercantil de su domicilio social y con Número de Identificación Fiscal ESB65814709, representada por David Amorín Iglesias (en adelante, el PROVEEDOR o «ENCARGADO») y,

Por otro lado, cualquier entidad que cree una cuenta de cliente con el propósito de utilizar los Servicios proporcionados por JOTELULU según lo definido en el Contrato (en adelante, el CLIENTE o «RESPONSABLE»).

Considerando que, para la ejecución de dichos Servicios, el ENCARGADO necesita procesar datos personales controlados por el CLIENTE (en adelante, los «Datos Personales del Responsable»).

Considerando que, para regular dicho acceso, ambas Partes acuerdan celebrar este APD, que se regirá por el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 (en adelante, el “RGPD”), sus reglamentos de implementación y, en particular, por las siguientes disposiciones.

 

CLÁUSULAS

  1. Propósito

De conformidad con el Artículo 28 del REGLAMENTO (UE) 2016/679 de 27 de abril de 2016 del Parlamento Europeo y del Consejo sobre la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de dichos datos, y la Ley Orgánica 3/2018 de 5 de diciembre de Protección de Datos Personales y garantía de derechos digitales, el propósito de este acuerdo es definir las condiciones bajo las cuales JOTELULU está autorizado como ENCARGADO para tratar datos personales en nombre del CLIENTE en relación con la prestación de los Servicios establecidos en el Contrato.

En caso de conflicto entre este acuerdo y otros documentos que constituyan el Contrato, prevalecerá este documento.

El tratamiento de datos personales llevado a cabo por el ENCARGADO en su calidad de responsable del tratamiento está fuera del alcance de este Acuerdo y se realiza bajo las condiciones descritas en la “Política de Privacidad” de JOTELULU.

Cuando este Acuerdo contenga términos definidos por el Reglamento (UE) 2016/679 sobre la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de dichos datos (en adelante, el “RGPD”), dichos términos tendrán el significado que les otorgue el RGPD. Otros términos que comiencen con mayúscula tendrán el significado definido en el Contrato.

 

  1. Procesamiento de datos personales

En virtud de este Acuerdo de Procesamiento de Datos, el ENCARGADO está autorizado para procesar, en nombre del CLIENTE, los datos personales en la medida necesaria para proporcionar los servicios contratados por el CLIENTE.

El procesamiento consistirá, exclusivamente, en el tratamiento de datos personales descrito en el Contrato, en particular en los Términos Específicos de los Servicios aplicables y en cualquier otro tratamiento de datos personales acordado por escrito entre las Partes.

 

  1. Duración del Acuerdo

Este Acuerdo permanecerá vigente durante el tiempo que se presten los Servicios. No obstante, ambas Partes acuerdan que las disposiciones de este Acuerdo que, expresa o implícitamente, estén destinadas a continuar en vigor después de la terminación o expiración de este Acuerdo o de los Servicios, seguirán vinculando a ambas Partes.

El deber de confidencialidad entre las Partes continuará más allá de la expiración de este Acuerdo.

 

  1. Obligaciones del ENCARGADO

El ENCARGADO, y todo su personal, se compromete a:

  • Usar los datos personales cubiertos por este Acuerdo, únicamente con el propósito de la prestación de los Términos Específicos de los Servicios, excluyendo cualquier uso de datos personales para sus propios fines o para fines de un tercero, en particular para fines comerciales, de marketing, creación de perfiles o minería de datos.
  • Procesar datos personales únicamente bajo las instrucciones documentadas del CLIENTE según lo dispuesto en el Contrato o de otra manera proporcionado por escrito por el CLIENTE. Si el ENCARGADO considera que alguna de las instrucciones infringe el RGPD u otras disposiciones de protección de datos de la Unión o de un Estado Miembro, deberá informar al CLIENTE lo antes posible.
  • Mantener, por escrito, un registro de todas las categorías de actividades de procesamiento realizadas en nombre del CLIENTE, que contenga todas las disposiciones obligatorias enumeradas en el artículo 30.2 del RGPD.
  • No comunicar datos a terceros, salvo con la autorización del CLIENTE según lo dispuesto en el Contrato, o si dicha comunicación es requerida por la legislación aplicable, y gestionar, de conformidad con el artículo «Gestión de solicitudes de acceso de terceros» a continuación, cualquier solicitud recibida de un tercero para recibir comunicación de datos personales cubiertos por este acuerdo. Si el ENCARGADO debe transferir datos personales a un tercer país o a una organización internacional, de conformidad con la legislación aplicable de la Unión o de un Estado Miembro, deberá informar al CLIENTE de esta obligación legal con antelación, salvo que la ley lo prohíba por razones importantes de interés público.
  • Garantizar que las personas autorizadas para procesar datos personales se comprometan de manera expresa y por escrito a respetar la confidencialidad y a cumplir con las medidas de seguridad correspondientes, de las cuales deben estar debidamente informadas.
  • Poner a disposición del CLIENTE la documentación que acredite el cumplimiento de la obligación establecida en la sección anterior.
  • Garantizar la formación necesaria en la protección de datos personales de las personas autorizadas para procesar datos personales.
  • Asistir al CLIENTE, mediante medidas técnicas y organizativas adecuadas, en el cumplimiento de su obligación de responder a las solicitudes de ejercicio de los derechos de los interesados establecidos en el RGPD, conforme a las condiciones descritas en el artículo “Gestión de solicitudes de los interesados” más adelante.
  • Asistir al CLIENTE en el cumplimiento de las obligaciones establecidas en los Artículos 33 y 34 del RGPD, teniendo en cuenta la naturaleza del procesamiento y la información a su disposición, y notificar al CLIENTE, en las condiciones establecidas en el artículo «Violaciones de datos personales», de todas las violaciones de datos personales cubiertas por este Acuerdo de las cuales tenga conocimiento.
  • Apoyar al CLIENTE en la realización de evaluaciones de impacto sobre la protección de datos cuando corresponda, de conformidad con el artículo 35 del RGPD.
  • Apoyar al CLIENTE en la realización de consultas previas con la autoridad de supervisión, de conformidad con el artículo 36 del RGPD, cuando corresponda.
  • Poner a disposición del CLIENTE toda la información necesaria para demostrar el cumplimiento de sus obligaciones de conformidad con el artículo 28 del RGPD, así como para la realización de auditorías o inspecciones llevadas a cabo por el RESPONSABLE u otro auditor autorizado por el RESPONSABLE. Dichas auditorías se realizarán bajo las condiciones establecidas en el artículo «Auditoría y control» a continuación.
  • Asistir al CLIENTE en garantizar el cumplimiento de las obligaciones establecidas en el Artículo 32 del RGPD, implementar y mantener las medidas técnicas y organizativas descritas en el documento «Infraestructura y Seguridad», con el fin de garantizar un nivel adecuado de seguridad de los datos personales objeto de este acuerdo de conformidad con dicho Artículo 32, e informar al CLIENTE sobre cualquier cambio en dichas medidas que pueda afectar la protección de dichos datos.
  • Al finalizar el Contrato, por cualquier motivo, devolver al CLIENTE, previa solicitud y bajo las condiciones establecidas en el artículo 11 «Portabilidad de datos» a continuación, los datos personales cubiertos por este acuerdo y eliminar cualquier copia de dichos datos que aún esté en su posesión dentro de un período de 60 días hábiles; sujeto a las copias que puedan conservarse sobre la base de un interés legítimo o una obligación legal.

 

  1. Obligaciones del RESPONSABLE

El CLIENTE se considera el responsable del tratamiento de los datos personales objeto de este acuerdo y se compromete a:

  • a) Con el fin de permitir la prestación del Servicio, se compromete a poner a disposición del ENCARGADO todos los datos personales y/o información necesaria para el adecuado funcionamiento de las actividades de procesamiento.
  • b) Entregar al ENCARGADO los datos mencionados en la cláusula II de este documento.
  • c) Realizar una evaluación del impacto en la protección de datos personales de las operaciones de procesamiento que llevará a cabo el ENCARGADO.
  • d) Llevar a cabo las consultas previas adecuadas.
  • e) Asegurar, antes y durante el procesamiento, el cumplimiento del RGPD por parte del ENCARGADO.
  • f) Supervisar el procesamiento, incluyendo la realización de inspecciones y auditorías.
  • g) Informar a los interesados sobre las condiciones bajo las cuales se procesan sus datos personales y las condiciones para ejercer sus derechos de acuerdo con las normativas vigentes.
  • h) Si el CLIENTE no es el responsable del tratamiento de los datos personales cubiertos por el presente acuerdo y/o si existen responsables conjuntos del citado tratamiento, acordar con los terceros responsables las condiciones del citado tratamiento de datos personales, según lo exija la legislación aplicable.

 

  1. Subprocesamiento

El ENCARGADO tiene la autorización general del CLIENTE para confiar a terceros (en adelante, los “subencargados”) el procesamiento de los Datos Personales objeto de este acuerdo.

Los subencargados existentes están listados en https://jotelulu.com/subencargados/

El ENCARGADO deberá imponer mediante contrato (o por otro acto jurídico bajo la legislación de la Unión Europea o la legislación de un estado miembro) a los subencargados, las mismas obligaciones en cuanto a la protección de datos personales que las establecidas en este Acuerdo, en particular proporcionando garantías suficientes para implementar medidas técnicas y organizativas apropiadas de manera que el procesamiento cumpla con los requisitos del RGPD.

Si el ENCARGADO recurre a un nuevo subencargado durante la vigencia del acuerdo, el ENCARGADO deberá notificar al CLIENTE por escrito con un aviso previo razonable (si es posible, al menos quince (15) días naturales), especificando: (a) la identidad del subencargado, (b) el procesamiento de datos personales que el ENCARGADO pretende confiar al subencargado, y (c) la ubicación desde la cual dicho procesamiento de datos personales será realizado por el subencargado.

El CLIENTE deberá notificar por escrito al ENCARGADO, dentro de los quince (15) días siguientes al envío de la notificación anterior, cualquier objeción a la intervención del nuevo subencargado, especificando las razones de dicha objeción. En este caso, las Partes se reunirán lo antes posible para tratar de llegar a una solución aceptable para ambas. En caso de no encontrar una solución aceptable, los Servicios en cuestión podrán ser terminados por cualquiera de las Partes dentro de un período razonable de tiempo, permitiendo al CLIENTE garantizar la reversibilidad de los Servicios.

Los subencargados pueden estar ubicados fuera de la UE/EEE. Si un subencargado está ubicado en una jurisdicción fuera de la UE/EEE que no figure en la lista aprobada por la Comisión Europea de terceros países que aseguran un nivel adecuado de protección conforme al artículo 45 del RGPD, se proporcionarán las garantías apropiadas, como cláusulas estándar de protección de datos adoptadas por la Comisión conforme al artículo 46 del RGPD, por parte del ENCARGADO y el subencargado antes de cualquier transferencia de datos, con el fin de garantizar que el nivel de protección de las personas físicas garantizado por el RGPD no se vea comprometido. La lista de subencargados disponible en el sitio web de JOTELULU especifica la ubicación de cada subencargado, así como las garantías adecuadas proporcionadas si es necesario. A solicitud del CLIENTE, el ENCARGADO deberá proporcionar cualquier información adicional útil sobre dichas garantías, incluyendo una copia de las cláusulas estándar de protección de datos aplicables.

 

  1. Medidas de seguridad y violaciones de datos personales

El ENCARGADO deberá aplicar y mantener medidas técnicas y organizativas adecuadas para proteger los datos personales que procesa en nombre del CLIENTE contra el acceso y procesamiento no autorizados o ilegales, y contra la pérdida, destrucción, daño, robo, alteración o divulgación accidentales, de conformidad con el Acuerdo de Procesamiento de Datos. Dichas medidas son apropiadas para garantizar un nivel de seguridad adecuado al riesgo y son adoptadas considerando el estado de la técnica, los costos de implementación, la naturaleza, el alcance, el contexto y los propósitos del procesamiento, así como las probabilidades y severidades variables de los riesgos para los derechos y libertades de las personas físicas. En este sentido, el ENCARGADO podrá actualizar las medidas técnicas y organizativas, siempre que dichas modificaciones no disminuyan el nivel general de seguridad.

Las violaciones de datos personales cubiertas por este acuerdo y de las que el ENCARGADO tenga conocimiento deberán notificarse al CLIENTE, sin demora indebida y, en cualquier caso, dentro de un período máximo de 48 horas.

Esta notificación se realizará mediante el envío de un correo electrónico a la dirección registrada por el CLIENTE en su cuenta de cliente.

La notificación deberá contener, como mínimo, la siguiente información:

  • Descripción de la naturaleza de la violación de datos personales, incluyendo, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
  • Nombre y datos de contacto del responsable de protección de datos u otro punto de contacto donde se pueda obtener más información.

iii. Descripción de las posibles consecuencias de la violación de datos personales.

  • Descripción de las medidas adoptadas o propuestas por el ENCARGADO para remediar la violación de datos personales, incluyendo, cuando corresponda, las medidas tomadas para mitigar los posibles efectos negativos.

Si y en la medida en que no sea posible proporcionar la información simultáneamente, esta se proporcionará de manera gradual sin demora indebida.

Es responsabilidad del CLIENTE y/o, en su caso, de cualquier tercero responsable, notificar las violaciones de datos personales objeto de este acuerdo a las Autoridades Competentes y a los interesados lo antes posible, cuando la violación pueda resultar en un alto riesgo para los derechos y libertades de las personas físicas.

 

  1. Responsabilidades y garantías

Si el ENCARGADO incumple este Acuerdo o cualquier Ley o reglamento de Protección de Datos al determinar los fines y medios del procesamiento, será considerado RESPONSABLE del procesamiento, asumiendo así todas las responsabilidades, reclamaciones y sanciones directas que puedan surgir para el CLIENTE debido a dicho incumplimiento por parte del ENCARGADO.

El ENCARGADO será responsable únicamente por los daños causados por el procesamiento en los casos en que (i) no haya cumplido con las obligaciones del RGPD relacionadas específicamente con los encargados del tratamiento o (ii) haya actuado en contra de las instrucciones legales por escrito del CLIENTE. En tales casos, se aplicará la disposición de responsabilidad del Contrato del cual forma parte este Acuerdo.

En el caso de que el ENCARGADO y el CLIENTE participen, según lo previsto en este Acuerdo, en un proceso de procesamiento que pueda resultar en daños para el Titular de los Datos, el CLIENTE deberá, en primera instancia, asumir la compensación total (o cualquier otra compensación) debida al Titular de los Datos y, posteriormente, reclamar al ENCARGADO la parte proporcional de la compensación correspondiente a la responsabilidad del ENCARGADO por dichas pérdidas, siempre que se aplique cualquier limitación de responsabilidad prevista en el Contrato del cual forma parte este Acuerdo.

Además, ambas partes acuerdan que el incumplimiento de estas obligaciones será motivo de terminación de este Acuerdo.

Tal como se describe en los Términos y Condiciones Generales de Servicio, la responsabilidad acumulativa total del ENCARGADO no excederá las tarifas de servicio pagadas por el CLIENTE durante el período de 12 meses inmediatamente anterior al evento que dio lugar a la reclamación.

 

  1. Auditoría y controles

El CLIENTE se reserva el derecho de realizar, a su exclusiva discreción, cualquier verificación que considere útil para establecer el cumplimiento del ENCARGADO con sus obligaciones en relación con el procesamiento de Datos Personales objeto de este acuerdo. El ENCARGADO se compromete a responder y, cuando corresponda, a garantizar que sus subencargados respondan a cualquier solicitud de auditoría realizada por el CLIENTE y a cualquier operación de auditoría llevada a cabo por el CLIENTE o por un tercero elegido por el CLIENTE.

Las auditorías in situ se llevan a cabo a intervalos razonables (no más de una vez al año), durante los días y horas laborables del ENCARGADO, y no deben de ninguna manera interrumpir las actividades del ENCARGADO. Las auditorías se realizan a cargo del CLIENTE y pueden ser facturadas al CLIENTE por el ENCARGADO en función del tiempo dedicado a tarifas razonables de mercado.

El CLIENTE deberá notificar al ENCARGADO por escrito, con un aviso previo razonable (mínimo 30 días), su intención de realizar una auditoría, especificando el propósito y alcance de la auditoría y la información a la que desea tener acceso, siempre que el propósito y el alcance de la auditoría se relacionen exclusivamente con las operaciones de procesamiento de datos cubiertas por este Acuerdo. En particular, la auditoría no puede relacionarse con los datos financieros, contables o comerciales del ENCARGADO.

El ENCARGADO se compromete a cooperar y, cuando corresponda, a garantizar que sus subencargados cooperen con el CLIENTE en dichas operaciones, proporcionando toda la información relevante y acceso a los recursos específicos utilizados para procesar los Datos Personales del CLIENTE. El auditor no está autorizado a acceder a recursos utilizados por o para otros clientes del ENCARGADO, ni a recursos compartidos entre el CLIENTE y otros clientes del ENCARGADO. En particular, el CLIENTE no está autorizado a realizar, ni a encargar, pruebas de penetración en dichos recursos compartidos (en particular, el Sitio Web y la Plataforma), ni pruebas de intrusión física en los sitios físicos y/o Centros de Datos usados por el ENCARGADO.

A solicitud del CLIENTE, el ENCARGADO deberá proporcionar un resumen gerencial de un informe técnico de auditoría sobre los recursos compartidos antes mencionados. Esta auditoría debe ser realizada por un auditor independiente y tener menos de tres años. Si el CLIENTE desea realizar pruebas de intrusión en los recursos específicamente puestos a su disposición como parte de los Servicios, primero se deberá firmar un acuerdo específico entre el ENCARGADO y el CLIENTE, y, en su caso, con los auditores externos.

Si la auditoría realizada revela un incumplimiento de las garantías y compromisos del ENCARGADO y, cuando corresponda, de sus subencargados, el ENCARGADO tomará medidas inmediatas para subsanarlos a su cargo.

Si el CLIENTE desea nombrar un auditor externo, este último debe (i) ser un auditor reconocido por su experiencia, (ii) no ser un competidor del SUBCONTRATISTA y (iii) comprometerse por escrito con el ENCARGADO a respetar la confidencialidad de todos los documentos e información comunicados a él o a los que tenga acceso durante la auditoría. El ENCARGADO se reserva el derecho de rechazar auditores externos por una causa justificada (en particular, conflictos de interés).

Si la auditoría se realiza a solicitud del RESPONSABLE, este asumirá todos los costos y honorarios profesionales derivados de la auditoría, en función del tiempo dedicado a tarifas razonables de mercado.

Al final de la auditoría, se comunicará al ENCARGADO una copia del informe completo de auditoría tan pronto como esté finalizado.

 

  1. Gestión de solicitudes de los interesados

El ENCARGADO asistirá al CLIENTE, mediante medidas técnicas y organizativas adecuadas, en el cumplimiento de su obligación de responder a las solicitudes para ejercer los derechos de los interesados establecidos en el RGPD, en particular los siguientes derechos:

  • Acceso, rectificación, eliminación y oposición.
  • Limitación del procesamiento.
  • Portabilidad de los datos.
  • No ser objeto de decisiones automatizadas individualizadas (incluyendo la elaboración de perfiles).

En particular, cuando los interesados envíen solicitudes para ejercer sus derechos al ENCARGADO, este deberá comunicar dichas solicitudes al CLIENTE por correo electrónico a la dirección de contacto proporcionada por el CLIENTE en su cuenta de cliente. La solicitud debe ser comunicada al CLIENTE lo antes posible, y en cualquier caso, dentro de los 7 días posteriores a su recepción.

Además, el ENCARGADO se compromete a:

  • a) Asistir al CLIENTE en el procesamiento de dichas solicitudes de los interesados, en particular proporcionando, a demanda, cualquier información necesaria en su posesión.
  • b) Garantizar la disponibilidad de los Servicios de acuerdo con sus compromisos contractuales, de modo que el CLIENTE pueda desplegar soluciones y una organización adecuada para procesar las solicitudes de los interesados de acuerdo con la legislación aplicable.

El ENCARGADO no debe, en ninguna circunstancia, responder en nombre y por cuenta del CLIENTE a las solicitudes que reciba, salvo que las Partes acuerden lo contrario.

 

  1. Portabilidad de datos

De acuerdo con el artículo «Período y finalización de los servicios» de los Términos y Condiciones Generales de Servicio, el CLIENTE es responsable de las operaciones necesarias para garantizar la portabilidad de los datos personales cubiertos por este acuerdo.

JOTELULU se compromete a:

(i) Garantizar la disponibilidad de los Servicios y asistir al CLIENTE para permitirle, antes de la fecha efectiva de terminación o expiración de los Servicios, organizar y llevar a cabo dichas operaciones de portabilidad, en particular, la copia de seguridad, migración y restauración de los datos personales en una nueva infraestructura.

(ii) A solicitud y siempre que esta solicitud sea viable y comunicada al ENCARGADO al menos 30 días antes de la fecha efectiva de terminación o expiración del Contrato, devolver al CLIENTE, al final de los Servicios y cualquiera que sea la causa, en un formato legible y utilizable, una copia de todos los datos solicitados disponibles como parte del Servicio en la fecha acordada.

Los métodos para calcular los costos, así como el plazo para la devolución de la copia mencionada en el punto (ii) anterior, y los formatos de devolución, se detallan en el panel de administración de JOTELULU.

Los procedimientos para mover máquinas virtuales/contenedores están descritos en el portal de JOTELULU.

El RESPONSABLE comunica su política de reversibilidad a la solicitud del CLIENTE.

 

  1. Gestión de solicitudes de acceso de terceros

Si recibe una solicitud de un tercero, incluyendo una autoridad (administrativa, judicial, gubernamental u otra), para obtener la comunicación de datos personales objeto de este Acuerdo, el ENCARGADO se compromete a:

  • a) Informar al CLIENTE lo antes posible (salvo que las normativas aplicables de la Unión Europea lo prohíban).
  • b) Solicitar al tercero que comunique su solicitud directamente al CLIENTE.
  • c) En caso de negativa por parte del tercero, oponerse sistemáticamente a la solicitud a menos que se establezca que la solicitud proviene de una autoridad competente actuando en ejecución de una decisión reconocida y ejecutable conforme al derecho de la Unión Europea y la legislación del Estado Miembro de la Unión Europea al que corresponda el procesamiento en cuestión, de conformidad con el Artículo 48 del RGPD, en cuyo caso la comunicación de los datos deberá limitarse exclusivamente a lo exigido por la decisión.

El ENCARGADO se compromete a mantener un registro de las solicitudes de terceros para la comunicación de Datos Personales objeto de este Acuerdo, que contenga, en particular, una copia de la solicitud y las respuestas realizadas, la lista de datos transmitidos, el/los destinatario(s) y las fechas de la comunicación.

 

  1. Puntos de contacto

Para todos los asuntos relacionados con la protección de datos personales y, en particular, para todas las notificaciones que deban realizarse de conformidad con este acuerdo, las Partes acuerdan utilizar los siguientes puntos de contacto:

Para contactar al CLIENTE:

El punto de contacto indicado por el CLIENTE en la información vinculada a su cuenta de cliente.

Para contactar al ENCARGADO:

dpd@jotelulu.com