Acuerdo de encargo de tratamiento de datos personales conforme al RGPD.
CONTRATO DE ENCARGADO DEL TRATAMIENTO DE DATOS PERSONALES
(Artículo 28 del Reglamento (UE) 2016/679 – Reglamento General de Protección de Datos)
De una parte,
COINFOMAESTRAT, S.L.L., con CIF B12525838, domicilio social en Calle del Pont, núm. 38 Bj, Vinaròs (Castellón), 12500, titular de la plataforma Ticketao, en adelante el Encargado del Tratamiento.
Y de otra,
La persona física o jurídica que contrata los servicios de Ticketao, cuyos datos constan en el proceso de alta, en adelante el Responsable del Tratamiento.
Ambas partes, reconociéndose capacidad suficiente para contratar, acuerdan formalizar el presente Contrato de Encargado del Tratamiento conforme al artículo 28 del Reglamento (UE) 2016/679 (RGPD), la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) y demás normativa aplicable.
El presente contrato regula el tratamiento de datos personales que el Encargado realiza por cuenta del Responsable como consecuencia de la prestación del servicio Ticketao.
La contratación de Ticketao implica la aceptación íntegra del presente acuerdo.
El Encargado prestará un servicio de alojamiento y gestión de información mediante una plataforma SaaS accesible a través de Internet.
Las operaciones de tratamiento podrán comprender, entre otras:
El Encargado no utilizará los datos para finalidades propias.
La finalidad exclusiva del tratamiento será permitir al Responsable utilizar Ticketao para:
Dependiendo del uso realizado por el Responsable, podrán tratarse, entre otros:
El Responsable será el único responsable del contenido de los datos incorporados a la plataforma.
Podrán verse afectados, entre otros:
El presente contrato permanecerá vigente mientras exista una relación contractual entre las partes.
Finalizada la prestación del servicio, se aplicará lo previsto en la cláusula relativa a devolución y eliminación de datos.
El Encargado tratará los datos únicamente siguiendo las instrucciones documentadas del Responsable.
Si el Encargado considerase que alguna instrucción infringe el RGPD u otra normativa aplicable, lo comunicará al Responsable sin demora indebida.
El Encargado se compromete a:
El Encargado adoptará medidas de seguridad apropiadas atendiendo al estado de la técnica, los costes de aplicación, la naturaleza del tratamiento y los riesgos existentes.
Entre otras podrán incluirse:
Estas medidas podrán evolucionar conforme avance la tecnología y cambien los riesgos de seguridad.
Toda la información tratada tendrá carácter confidencial.
El Encargado garantizará que cualquier persona con acceso a los datos quede sometida al deber de secreto incluso después de finalizar su relación laboral o profesional.
El Responsable autoriza al Encargado a contratar proveedores externos cuando ello resulte necesario para la prestación del servicio.
Podrán actuar como subencargados, entre otros:
El Encargado garantizará que dichos proveedores asuman obligaciones de protección de datos equivalentes a las previstas en el presente contrato.
Cuando la incorporación o sustitución de un subencargado suponga un cambio sustancial, el Responsable será informado por los medios habituales de comunicación.
Siempre que sea posible, los datos serán tratados dentro del Espacio Económico Europeo.
Si resultara necesario utilizar proveedores ubicados fuera del Espacio Económico Europeo, el Encargado garantizará que la transferencia se realiza conforme al RGPD, mediante una decisión de adecuación de la Comisión Europea o utilizando las garantías previstas en los artículos 46 y siguientes del Reglamento.
Cuando un interesado ejerza alguno de los derechos reconocidos por el RGPD directamente frente al Encargado, éste lo comunicará al Responsable sin demora indebida.
El Encargado colaborará razonablemente para facilitar el ejercicio de dichos derechos.
La resolución corresponderá al Responsable.
El Encargado notificará al Responsable cualquier violación de seguridad que afecte a datos personales sin dilación indebida desde que tenga conocimiento de ella.
La comunicación incluirá, cuando sea posible:
El Encargado colaborará con el Responsable, en la medida razonablemente posible, para facilitar el cumplimiento de las obligaciones previstas en los artículos 32 a 36 del RGPD.
El Encargado prestará al Responsable, teniendo en cuenta la naturaleza del tratamiento y la información de que disponga, la asistencia razonable necesaria para el cumplimiento de las obligaciones previstas en los artículos 35 y 36 del Reglamento (UE) 2016/679, relativas a la realización de evaluaciones de impacto sobre la protección de datos y, cuando resulte exigible, a las consultas previas ante la autoridad de control.
Con carácter general, el Encargado no accederá al contenido de los datos personales tratados por el Responsable.
No obstante, podrá acceder a dichos datos cuando resulte estrictamente necesario para la prestación de servicios de soporte técnico, mantenimiento, diagnóstico, actualización, resolución de incidencias o cualquier otra actuación imprescindible para garantizar el correcto funcionamiento de Ticketao, siempre por cuenta del Responsable y siguiendo sus instrucciones.
Todo acceso se limitará a la información estrictamente necesaria para la finalidad correspondiente y quedará sujeto a las obligaciones de confidencialidad, secreto profesional y seguridad previstas en el presente contrato.
Ticketao realiza copias automáticas de seguridad destinadas a garantizar la continuidad del servicio.
Las copias constituyen una medida técnica de protección y recuperación, pero no implican una garantía absoluta de recuperación íntegra de la información.
El Responsable podrá realizar exportaciones de sus datos utilizando las funcionalidades disponibles en la plataforma.
Finalizada la prestación del servicio, el Responsable podrá durante el plazo previsto en la política de conservación de Ticketao, exportar los datos personales incorporados a la plataforma mediante las funcionalidades habilitadas al efecto.
Concluido dicho plazo o cuando así lo solicite el Responsable, el Encargado, a elección del Responsable, procederá a la devolución de los datos personales o a su supresión definitiva, salvo que una norma del Derecho de la UE o del Derecho español exija su conservación.
La supresión comprenderá igualmente las copias existentes, excepto aquellas que deban mantenerse bloqueadas o conservadas para el cumplimiento de las obligaciones legales o mientras puedan derivarse responsabilidades relacionadas con la prestación del servicio.
Las copias de seguridad podrán mantenerse únicamente durante el tiempo estrictamente necesario para garantizar la integridad, disponibilidad y recuperación de los sistemas, siendo eliminadas conforme a la política interna de retención del Encargado.
Cada parte responderá exclusivamente de las obligaciones que le correspondan conforme al RGPD.
El Encargado no responderá por:
El Responsable podrá solicitar información razonable sobre las medidas técnicas y organizativas implantadas por el Encargado para garantizar el cumplimiento de la normativa de protección de datos.
El Encargado pondrá a disposición del Responsable toda la información razonablemente necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente contrato y en el artículo 28 del Reglamento (UE) 2016/679.
Cuando resulte necesario por imperativo legal o contractual, las partes podrán acordar la realización de auditorías o inspecciones, directamente o mediante un auditor independiente sujeto a obligaciones de confidencialidad, procurando que dichas actuaciones no interfieran de forma desproporcionada con la actividad ordinaria del Encargado ni comprometan la seguridad, confidencialidad o disponibilidad de los sistemas o de la información correspondiente a otros clientes.
El Encargado podrá actualizar el presente contrato cuando resulte necesario para adaptarlo a cambios legislativos, técnicos u organizativos.
Las modificaciones serán comunicadas con una antelación razonable y serán aplicables a partir de su entrada en vigor.
El Encargado mantendrá, cuando resulte legalmente exigible, el registro de actividades de tratamiento previsto en el artículo 30.2 del Reglamento (UE) 2016/679.
Asimismo, cooperará con la autoridad de control competente en el ejercicio de sus funciones cuando así lo exija la normativa aplicable y en relación con los tratamientos realizados por cuenta del Responsable.
En caso de contradicción entre este contrato y el resto de Condiciones Generales del Servicio en materia de Protección de Datos prevalecerá lo dispuesto en el este contrato respecto a las operaciones de tratamiento realizadas por cuenta del Responsable.
El presente contrato se regirá por el Reglamento (UE) 2016/679, la Ley Orgánica 3/2018 y el resto de la normativa española y europea que resulte aplicable en materia de protección de datos personales.
En todo lo no previsto expresamente en este contrato será de aplicación la legislación vigente en materia de protección de datos.