Contrato de acceso a datos por cuenta de terceros

REUNIDOS

 

De una parte, Jotelulu, S.L.U. con domicilio en Plaza Pablo Ruiz Picasso, n.º 1, 28020 Madrid (España), debidamente inscrita en registro mercantil de su domicilio y con NIF B65814709, debidamente representado por David Amorín Iglesias (en adelante, el <<ENCARGADO DEL TRATAMIENTO>> y/o <<SUBENCARGADO DEL TRATAMIENTO>>).

 

Y, de otra parte, tú, el USUARIO/PARTNER (en adelante, el <<RESPONSABLE DEL TRATAMIENTO>>).

EXPONEN

 

I. Que ambas partes se reconocen mutuamente la capacidad legal suficiente para suscribir el presente Contrato. 

 

II. Que el RESPONSABLE DEL TRATAMIENTO ha contratado los servicios del ENCARGADO DEL TRATAMIENTO. 

 

III. Que en relación al cliente final del RESPONSABLE DEL TRATAMIENTO, Jotelulu, S.L.U. actuará como SUBENCARGADO.

 

IV. Que la prestación de los servicios se realizará: (i) En las instalaciones del RESPONSABLE DEL TRATAMIENTO, (ii) En las instalaciones del ENCARGADO DEL TRATAMIENTO, (iii) Fuera de las instalaciones de ambas partes o por conexión remota.

 

V. Que de conformidad con el artículo 28 del REGLAMENTO (UE) 2016/679, de 27 de abril de 2016 del Parlamento Europeo y del Consejo relativo a la Protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de los mismos y la Ley Orgánica 3/2018 del 5 de diciembre de 2018 de Protección de Datos personales y garantía de los derechos digitales, ambas partes convienen en suscribir el presente Contrato, el cual aceptan expresamente y de acuerdo a las siguientes:

 

CLÁUSULAS

1. Objeto del encargo

Mediante el presente Contrato, se habilita al ENCARGADO DEL TRATAMIENTO, para tratar por cuenta del RESPONSABLE DEL TRATAMIENTO, los datos de carácter personal necesarios para prestar los servicios que se contraten en la plataforma. El tratamiento consistirá, exclusivamente, en el alojamiento y gestión de servicios informáticos, (en adelante, <<el Servicio>>).

2. Identificación de la información afectada

Para la ejecución de las prestaciones derivadas del cumplimiento del objeto de este encargo, el RESPONSABLE DEL TRATAMIENTO, pone a disposición del ENCARGADO DEL TRATAMIENTO, la información que se describe a continuación:

 

a. Todos los datos contenidos en los sistemas informáticos

3. Duración

El presente Contrato estará en vigor durante toda la duración de la prestación de los Servicios. Sin perjuicio de lo anterior, ambas Partes acuerdan que las disposiciones de este Contrato, expresamente o implícitamente destinadas a continuar en vigor después de la terminación o expiración de este Contrato o de los Servicios, permanecerán vigentes y continuarán vinculando a ambas Partes.

 

El deber de confidencialidad entre las partes continuará más allá de la expiración de este Contrato.

 

Si el presente Contrato modifica total o parcialmente una cláusula de un contrato anterior entre las partes, prevalecerá este Contrato.

4. Obligaciones del encargado del tratamiento

El ENCARGADO DEL TRATAMIENTO, y todo su personal se obliga a:

 

A. Utilizar los datos personales objeto del tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto del Servicio. En ningún caso podrá utilizar los datos para fines propios ni podrá llevar a cabo tratamientos fuera del alcance del Servicio.

 

B. Tratar los datos de acuerdo con las instrucciones del RESPONSABLE DEL TRATAMIENTO. Si el ENCARGADO DEL TRATAMIENTO considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, informará inmediatamente al RESPONSABLE DEL TRATAMIENTO.

 

C. Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del RESPONSABLE DEL TRATAMIENTO, que contenga:

 

a. El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado y, en su caso, del representante del responsable o del encargado y del delegado de protección de datos.

 

b. Las categorías de tratamientos efectuados por cuenta de cada responsable.

 

c. En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en su caso, de las transferencias indicadas en el artículo 49, párrafo segundo del RGPD, la documentación de garantías adecuadas.

 

d. Una descripción general de las medidas técnicas y organizativas de seguridad relativas a:

 

i. La seudonimización y el cifrado de datos personales.

 

ii. La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.

 

iii. La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.

 

iv. El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

 

D. No comunicar datos a terceras personas, salvo que cuente con la autorización expresa del RESPONSABLE DEL TRATAMIENTO, en los supuestos legalmente admisibles. El ENCARGADO DEL TRATAMIENTO puede comunicar datos a otros encargados del tratamiento del RESPONSABLE DEL TRATAMIENTO, de acuerdo con las instrucciones del RESPONSABLE DEL TRATAMIENTO. En este caso, el RESPONSABLE DEL TRATAMIENTO identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación. Si el ENCARGADO DEL TRATAMIENTO debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembro que le sea aplicable, informará al RESPONSABLE DEL TRATAMIENTO de esa exigencia legal de manera previa, salvo que el Derecho lo prohíba por razones importantes de interés público.

 

E. El RESPONSABLE DEL TRATAMIENTO autoriza al ENCARGADO DEL TRATAMIENTO a subcontratar a terceros que le prestan servicios (en delante, subcontratistas). Estos subcontratistas pueden o no ser proveedores externos dentro de la UE / EEE.

 

En el caso que un subcontratista este dentro de una jurisdicción fuera de la UE / EEE y que no está en la lista aprobada por la Comisión Europea de niveles de protección de datos satisfactorios bajo el RGPD, el ENCARGADO DEL TRATAMIENTO y dicho subcontratista suscribirán un acuerdo expreso para asegurar que mantendrá todos los datos personales con exquisito cumplimiento de los estándares de diligencia exigidos por las leyes vigentes de protección de datos de la UE.

 

En virtud del presente acuerdo el RESPONSABLE DEL TRATAMIENTO consiente de manera previa específica y explícita el uso por parte ENCARGADO DEL TRATAMIENTO de subcontratista. en virtud del presente encargo, incluso después de que finalice su objeto.

 

F. Garantizar que las personas autorizadas para tratar datos personales se comprometen de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente.

 

G. Mantener a disposición del RESPONSABLE DEL TRATAMIENTO la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior.

 

H. Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.

 

I. Asistir al RESPONSABLE DEL TRATAMIENTO en la respuesta al ejercicio de los derechos de:

 

a. Acceso, rectificación, supresión y oposición.

 

b. Limitación del tratamiento.

 

c. Portabilidad de los datos.

 

d. A no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles).

 

Cuando las personas afectadas ejerzan los derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento y portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas ante el ENCARGADO DEL TRATAMIENTO, éste debe comunicarlo por correo electrónico a la dirección dpd@jotelulu.com. La comunicación debe hacerse de forma inmediata y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud. El ENCARGADO DEL TRATAMIENTO no debe responder bajo ninguna circunstancia, en nombre y por cuenta del RESPONSABLE DEL TRATAMIENTO, a las solicitudes que reciba, excepto con el consentimiento previo del RESPONSABLE DEL TRATAMIENTO.

 

J. Corresponde al RESPONSABLE DEL TRATAMIENTO facilitar el derecho de información en el momento de la recogida de los datos.

 

K. Notificación de violaciones de la seguridad de los datos: el ENCARGADO DEL TRATAMIENTO notificará al responsable del tratamiento, sin dilación indebida, y, en cualquier caso, antes del plazo máximo de 24 horas las violaciones de la seguridad de los datos personales a su cargo de la que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia. Esta comunicación se realizará de la siguiente forma: Enviando un correo electrónico al RESPONSABLE DEL TRATAMIENTO.

 

La comunicación contendrá, como mínimo, la información siguiente:

 

a. Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.

 

b. Nombre y datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.

 

c. Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.

 

d. Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

 

Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida. Corresponde al encargado del tratamiento comunicar en el menor tiempo posible las violaciones de la seguridad de los datos a los interesados, cuando sea probable que la violación suponga un alto riesgo para los derechos y las libertades de las personas físicas.

 

La comunicación debe realizarse en un lenguaje claro y sencillo y deberá, como mínimo:

 

a. Explicar la naturaleza de la violación de datos.

 

b. Indicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.

 

c. Describir las posibles consecuencias de la violación de la seguridad de los datos personales.

 

d. Describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

 

L. Dar apoyo al RESPONSABLE DEL TRATAMIENTO en la realización de las evaluaciones de impacto relativas a la protección de datos cuando proceda.

 

M. Dar apoyo al RESPONSABLE DEL TRATAMIENTO en la realización de las consultas previas a la autoridad de control, cuando proceda.

 

N. Poner a disposición del RESPONSABLE DEL TRATAMIENTO toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el RESPONSABLE DEL TRATAMIENTO u otro auditor autorizado por él.

 

O. En todo caso, deberá implantar mecanismos para:

 

a. Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.

 

b.. Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.

 

c. Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento.

 

d. Seudonimizar y cifrar los datos personales, en su caso.

 

P. Destino de los datos una vez finalice la prestación de los servicios: El ENCARGADO DEL TRATAMIENTO deberá devolver al RESPONSABLE DEL TRATAMIENTO los datos de carácter personal y, si procede, los soportes donde consten, una vez cumplida la prestación. La devolución debe comportar el borrado total de los datos existentes en los equipos informáticos utilizados por el encargado. No obstante, el ENCARGADO DEL TRATAMIENTO puede conservar una copia, con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades relativa a la ejecución de la prestación.

5. Obligaciones del responsable del tratamiento

Corresponde al RESPONSABLE DEL TRATAMIENTO:

 

A. Entregar al encargado los datos a los que se refiere la cláusula II de este documento.

 

B. Realizar una evaluación del impacto en la protección de datos personales de las operaciones de tratamiento a realizar por el encargado.

 

C. Realizar las consultas previas que corresponda.

 

D. Velar, de forma previa y durante el tratamiento, por el cumplimiento del RGPD por parte del encargado.

 

E. Supervisar el tratamiento, incluida la realización de inspecciones y auditorías.

6. Responsabilidades y garantías

Si el ENCARGADO DEL TRATAMIENTO incumple este Contrato o cualquier Ley o reglamento de Protección de Datos al determinar los propósitos y medios de tratamiento, se considerará responsable de dicho tratamiento, asumiendo así todas las responsabilidades, reclamaciones y sanciones directas e indirectas que puedan surgir para el RESPONSABLE DEL TRATAMIENTO de dicho incumplimiento por parte del ENCARGADO DEL TRATAMIENTO.

 

Además, ambas partes acuerdan que el incumplimiento de estas obligaciones será motivo de rescisión del presente Contrato. Por lo tanto, cualquier incumplimiento por parte del ENCARGADO DEL TRATAMIENTO, su personal, proveedores o personas involucradas en la prestación de Contrato y recibir una compensación por cualquier daño que surja del incumplimiento de las obligaciones contractuales.

7. Auditoría y controles

El RESPONSABLE DEL TRATAMIENTO se reserva el derecho de llevar a cabo, a su exclusivo criterio, cualquier verificación que considere útil para establecer el cumplimiento por parte del ENCARGADO DEL TRATAMIENTO y, en su caso, de sus subencargados de tratamiento, de sus obligaciones relacionadas con los Datos Personales tratados en nombre del RESPONSABLE DEL TRATAMIENTO. El ENCARGADO DEL TRATAMIENTO se compromete a responder y, en su caso, a asegurarse de que sus subencargados respondan a cualquier solicitud de auditoría por parte del RESPONSABLE DEL TRATAMIENTO y operación de auditoría realizada por el ENCARGADO DEL TRATAMIENTO o por un tercero elegido por el ENCARGADO DEL TRATAMIENTO. El ENCARGADO DEL TRATAMIENTO se compromete a cooperar y, cuando corresponda, a garantizar que sus subencargados de tratamiento cooperen con el RESPONSABLE DEL TRATAMIENTO en dichas operaciones, en particular proporcionando toda la información relevante y acceso a todos los equipos, software, datos, archivos, sistemas de información, etc., utilizados para tratar los Datos Personales de los Responsables, y no cobrar ningún costo al RESPONSABLE DEL TRATAMIENTO por tales operaciones. Si la auditoría realizada revela un incumplimiento de las garantías y compromisos del ENCARGADO DEL TRATAMIENTO y, en su caso, de sus subencargados, el ENCARGADO DEL TRATAMIENTO deberá tomar medidas inmediatas para remediarlos por su cuenta. Estas operaciones de auditoría y sus resultados no eximen de ninguna manera a los subencargados de tratamiento de sus otras obligaciones contractuales.

8. Ley aplicable y jurisdicción

El presente Contrato de Tratamiento de Datos se regirá por las Leyes de Protección de Datos, así como por las resoluciones y directrices de la Agencia Española de Protección de Datos y demás órganos competentes en esta materia. Para resolver cualquier discrepancia que pudiera surgir en relación con la interpretación y / o ejecución de lo dispuesto en este Contrato de Tratamiento de Datos, ambas Partes se someten a la jurisdicción de los Juzgados y Tribunales de la ciudad de Madrid, con renuncia expresa a cualquier otra legislación o fuero que puede ser aplicable a ellos.

 

El USUARIO/PARTNER acepta las condiciones y cláusulas del presente Contrato, declarando haberlo leído en su totalidad, y aceptando mediante la casilla habilitada expresamente la totalidad de los términos y condiciones contenidos en el presente Contrato.