RGPD - Data Processing Agreement (DPA)
Contrato de Encargado del Tratamiento de datos de carácter personal para la Licencia de uso de los productos de software de Walcu
De una parte, el Cliente, que actúa como responsable del tratamiento (en adelante, “Responsable del Tratamiento” o el “Responsable”).
Y, de otra parte, ALDAJO TRADING, S.L., como encargado del tratamiento, con CIF B88049705, y domicilio social situado en Carretera de la Coruña Km 17, 28231 Las Rozas de Madrid (Madrid) (en adelante, el “Encargado del Tratamiento” o el “Encargado”).
En adelante, ambas partes conjuntamente como “las Partes” o individualmente como “la Parte” se reconocen capacidad suficiente para llevar a cabo la contratación del presente contrato de encargado del tratamiento (en adelante, “Contrato de Encargado del Tratamiento”) y a tal efecto:
MANIFIESTAN
1. Que ambas Partes han suscrito un contrato de licencia de uso de un producto de software titularidad del Encargado del Tratamiento.
2. Que el Cliente es el Responsable del Tratamiento de los datos identificados en la Estipulación Cuarta, todo ello conforme a lo dispuesto en el Reglamento (UE) 2016/679, de 27 de abril (en adelante, “RGPD”), y en la L.O. 3/2018, de 5 de diciembre, de protección de datos y garantía de los derechos digitales (LOPDGDD).
Si, como consecuencia de la ejecución de los servicios contratados el Encargado tuviera acceso y efectuara algún tipo de tratamiento de los datos de carácter personal de los que es responsable el Responsable, lo hará en su condición de Encargado del Tratamiento, de conformidad con lo previsto en el artículo 28 del RGPD.
3. Que en cumplimiento de lo dispuesto en el RGPD, y en el resto de normativa aplicable en materia de protección de datos, el ENCARGADO ofrece suficientes garantías para implementar políticas técnicas y organizativas apropiadas para aplicar las medidas de seguridad que establece la normativa vigente y proteger los derechos de los interesados.
4. Ambas partes convienen suscribir el presente Contrato de Encargado del Tratamiento, con sujeción a las siguientes,
ESTIPULACIONES
PRIMERA. Objeto.
Mediante las presentes cláusulas se habilita al Encargado del Tratamiento, para tratar por cuenta del Responsable del Tratamiento, los datos de carácter personal necesarios para prestar el servicio descrito en la cláusula tercera de los Términos y Condiciones de contratación para la Licencia de uso de los productos de software del Encargado. El Encargado actuará siempre conforme a las instrucciones del Responsable, las cuales se describen en el presente DPA.
Las operaciones de tratamiento autorizadas serán las estrictamente necesarias para alcanzar la finalidad del servicio, y pueden ser:
- Consulta
- Conservación
- Limitación
- Supresión / Destrucción
SEGUNDA. Duración.
El presente Contrato de Encargado de Tratamiento entrará en vigor en el momento de su aceptación y tendrá la misma duración que los servicios contratados con el Encargado del Tratamiento.
TERCERA.- Finalidad del Tratamiento.
El Encargado del Tratamiento se obliga a que el tratamiento de datos que realice quede circunscrito a lo que resulte necesario para llevar a cabo la prestación de los servicios regulados en los Términos y Condiciones de Walcu (https://www.walcu.com/es/terminos-de-uso/) y que hayan sido contratados por el Responsable.
CUARTA.- Tipología de datos tratados.
Categorías de interesados:
- Datos de la cuenta del Responsable del tratamiento. Los empleados e individuos del Responsable del tratamiento autorizados por él para acceder a la cuenta.
- Contenido del Responsable del tratamiento. Clientes y usuarios finales del Responsable del tratamiento.
- Datos de uso del Responsable del tratamiento. Clientes y usuarios finales del Responsable del tratamiento.
Tipo de datos tratados:
- Datos de carácter identificativo y de contacto.
- Datos profesionales.
- Datos de uso de la aplicación.
- Datos económicos y bancarios.
- Datos de voz y/o imagen
El Encargado del Tratamiento no se responsabiliza de la información que el cliente introduzca o almacene, siendo de su exclusiva responsabilidad tanto la tipología de datos que introduzca, en particular de datos de categorías especiales, como el tratamiento que realice de los mismos.
QUINTA.- Prohibición de comunicación de datos personales.
El Encargado del Tratamiento se compromete a guardar bajo su control y custodia los datos personales suministrados por el Responsable del Tratamiento a los que acceda con motivo de la prestación de los Servicios y a no divulgarlos, transferirlos, o de cualquier otra forma comunicarlos, ni siquiera para su conservación a otras personas ajenas al mismo y a la prestación del Servicio.
No obstante, el Encargado del Tratamiento no incurrirá en responsabilidad cuando, previa indicación expresa y por escrito del Responsable del Tratamiento, comunique los datos a un tercero designado por aquél, al que hubiera encomendado la prestación de un servicio conforme a lo previsto en la normativa vigente en materia de protección de datos.
No se considerará comunicación o cesión de datos el acceso por parte del Encargado del Tratamiento a los datos de carácter personal, cuando dicho acceso sea necesario para la correcta prestación de los Servicios.
SEXTA.- Subcontratación de los Servicios.
El Responsable acepta que el Encargado puede contratar con subencargados (en adelante, “Subencargados del Tratamiento” o “Subencargado”) para cumplir con sus obligaciones en virtud de este Contrato.
El Responsable proporciona un consentimiento general para que el Encargado se comprometa con los Subencargados, conforme a los siguientes requisitos:
- Todo Subencargado debe garantizar el cumplimiento de la normativa en materia de protección de datos.
- El Encargado restringirá el acceso del Subencargado a los Datos personales del Responsable estrictamente necesarios para la prestación de sus servicios.
El Responsable acepta que el Encargado pueda contratar a Subencargados adicionales para tratar los datos dentro de los servicios prestados y para los fines permitidos, y mantendrá una lista actualizada de sus Subencargados, si bien en estos casos, se informará al Responsable de dichos cambios para que, en su caso, pueda oponerse a los mismos. En caso de oposición, el Encargado decidirá si contrata con dicho Subencargado o no. En caso de decidir contratar con el Subencargado con oposición del Responsable, se incurrirá automáticamente en causa de terminación del Contrato entre las partes.
Cuando el Encargado recurra a un Subencargado, ambos respetarán las condiciones indicadas en los apartados 2 y 4 del artículo 28 del RGPD. Concretamente, el Encargado se compromete a que los Subencargados respeten las mismas obligaciones de protección de datos que las indicadas en el presente contrato.
El Encargado pone a disposición del Responsable una lista de los subencargados de tratamiento que estará siempre actualizada (https://www.walcu.com/es/lista-subencargados/).
SÉPTIMA.- Transferencias internacionales de datos.
El Encargado del Tratamiento podrá realizar transferencias internacionales de los datos responsabilidad del Responsable del Tratamiento fuera del Espacio Económico Europeo, necesarias para la prestación de los servicios contratados. En el caso de realizar transferencias fuera del EEE, éstas se llevarán a cabo de conformidad con lo dispuesto en los artículos 44 a 49 del RGPD.
El Responsable pone a disposición del Encargado una lista actualizada de terceros con acceso a datos y las eventuales transferencias internacionales llevadas a cabo (https://www.walcu.com/es/lista-subencargados/).
OCTAVA.- Seguridad de los datos personales.
El Encargado del Tratamiento garantiza la aplicación de medidas técnicas y organizativas adecuadas para que el tratamiento cumpla los requisitos legales, de conformidad lo dispuesto en el artículo 32 del RGPD.
En caso de que el Encargado solicite al Responsable, por los medios indicados en la Cláusula Decimosexta, un documento explicativo de dichas medidas, se le entregará por los mismos medios, a la mayor brevedad.
NOVENA.- Colaboración en la notificación de las violaciones de seguridad.
9.1. Notificación de brechas de seguridad
En caso de que se produzca una violación de seguridad en los sistemas del Encargado del Tratamiento, que pueda afectar a los datos responsabilidad del Responsable del Tratamiento, el Encargado del Tratamiento, en el plazo máximo de 36 horas, siempre después de haber tenido conocimiento de la violación de datos personales, se obliga a notificarla al Responsable del Tratamiento a través de la dirección de correo electrónico que se designe por el Responsable, juntamente con toda la información relevante para la documentación y comunicación de la incidencia.
9.2. Asistencia al Responsable
El Encargado pondrá a disposición del Responsable la información que requiera el Responsable para demostrar el cumplimiento de las obligaciones indicadas en el artículo 28 del RGPD. También permitirá la realización de auditorías, incluidas inspecciones, por parte del Responsable o de otro auditor autorizado por éste. El Encargado no está adherido a ningún Código de conducta aprobado a tenor del artículo 40 del RGPD.
DÉCIMA.- Derechos de acceso, rectificación, supresión, limitación, oposición y portabilidad de los datos.
En el caso de ejercicio de derechos por terceros clientes o trabajadores del Responsable del Tratamiento se dará traslado por el Encargado inmediatamente al Responsable y, a más tardar 7 días laborales, para que atienda y dé, en su caso, debida respuesta.
DECIMOPRIMERA.- Confidencialidad.
El deber de secreto y confidencialidad que se deriva del presente Contrato obliga al Encargado del Tratamiento durante la vigencia de la relación mantenida con el Responsable del Tratamiento.
El Encargado del Tratamiento asegura que las personas a su cargo, autorizadas a tratar los datos personales responsabilidad del Responsable del Tratamiento, asumirán un compromiso de confidencialidad y que estarán sujetas a adecuadas obligaciones legales de confidencialidad, incluso después de la terminación del Contrato.
El Encargado del Tratamiento se compromete a permitir el acceso a dichos datos únicamente a aquellos empleados que deban conocerlos para la correcta ejecución de sus funciones en el marco de la prestación de Servicios.
DECIMOSEGUNDA.- Período de conservación y devolución de la información.
El Encargado proporcionará la posibilidad de obtener una copia o borrar los datos a través de su sistema. Esta es la forma en la que el Responsable podrá ejercer su derecho de acceso, portabilidad y supresión de datos. El Responsable acepta ser el único responsable de obtener una copia de sus datos y de la supresión los mismos tras la finalización del periodo de supresión indicado a continuación. Una vez finalice el contrato, el Encargado:
- Proporcionará al Responsable durante los 30 días después de la fecha del vencimiento del contrato, la posibilidad de obtener una copia de sus datos a través de su sistema.
- Borrará automáticamente los datos del responsable en un plazo de 30 días después de la terminación del contrato.
- Borrará automáticamente los datos del responsable en los sistemas de respaldo en un plazo de 60 días después de la terminación del contrato.
Cualquier contenido del Responsable del Tratamiento archivado en los sistemas de respaldo del Encargado estará aislado de forma segura y protegido de cualquier tratamiento posterior, excepto cuando sea requerido por la ley aplicable.
Sin perjuicio de lo dispuesto anteriormente, el Encargado del Tratamiento puede retener la información del Responsable del Tratamiento o cualquier parte del mismo si así lo exige la ley aplicable. Así el Encargado del Tratamiento tratará los datos de la cuenta del Responsable del Tratamiento durante el tiempo que sea necesario para proporcionar los servicios al Responsable del Tratamiento. Los datos de la cuenta del Responsable del Tratamiento almacenados en el (los) sistema (s) de administración se deben conservar mínimo durante un plazo de seis años después de la terminación de la relación para fines de contabilidad, realización de impuestos y auditoría, según y de acuerdo con la ley aplicable. Los datos de la cuenta del Responsable del Tratamiento almacenados en las comunicaciones con los equipos de atención al cliente del Encargado del Tratamiento pueden conservarse hasta tres años después de la terminación del Contrato.
En cualquier caso, los datos conservados por los motivos indicados, una vez finalizada la relación contractual entre las partes, permanecerán en todo momento bloqueados.
DECIMOTERCERA.-Responsabilidades de las partes.
EL ENCARGADO DEL TRATAMIENTO responderá de las infracciones en que pudiera incurrir en el caso de que trate los datos de carácter personal del Responsable con otra finalidad que no sea la recogida en este contrato, así como cuando no adopte las medidas de seguridad correspondientes.
EL RESPONSABLE DEL TRATAMIENTO responderá de cualesquiera infracciones, sanciones y/o multas que pudieran serle impuestos por el incumplimiento de sus obligaciones derivadas de la normativa en materia de Protección de Datos.
DECIMOCUARTA.- Protección de datos.
Cada una de las Partes queda informada de que sus datos de carácter personal serán tratados por la otra parte, de acuerdo con lo establecido en el Reglamento General 2016/679, de protección de datos y con la L.O. 3/2018, de protección de datos y garantía de los derechos digitales, con la finalidad de permitir el desarrollo, cumplimiento y control de la prestación de los servicios, siendo la base del tratamiento el cumplimiento de la relación contractual. La datos se conservarán durante la vigencia del contrato y posteriormente, por obligación legal, hasta que prescriban las obligaciones y/o responsabilidades derivadas. Los datos de las partes podrán ser cedidos a bancos, aseguradoras y Administraciones Públicas, en los casos previstos en la Ley y para los fines en ellos definidos. Las partes podrán solicitar el acceso a los datos personales, su rectificación, su supresión, su portabilidad y la limitación de su tratamiento, así como oponerse al mismo, en el domicilio de la otra parte que figura en el encabezamiento de este Contrato.
DECIMOQUINTA.- Legislación y fuero aplicable.
El Responsable del Tratamiento afirma conocer y aceptar los términos de uso recogidos en www.walcu.com/es/terminos-de-uso/
El presente Contrato de Encargado del Tratamiento se regirá por la normativa española y europea en materia de Protección de Datos de Carácter Personal, así como las resoluciones y directrices de la Agencia Española de Protección de Datos y otros organismos competentes en la materia.
Para dirimir cualquier discrepancia con respecto a la interpretación y/o ejecución de lo establecido en el presente Contrato de Encargado del Tratamiento, las Partes se someten a la jurisdicción de los Juzgados y Tribunales de Madrid Capital, con renuncia expresa de cualquier otra legislación o fuero que les pudiera corresponder.
DECIMOSEXTA.- Notificaciones.
Las partes se comprometen a comunicarse, con carácter preferente y habitual, a través del correo electrónico a las siguientes direcciones:
- El Encargado: dpo@walcu.com
- El Responsable: el correo electrónico del administrador principal del producto de Walcu contratado o aquel de uso habitual entre las partes.
DECIMOSÉPTIMA.- Aceptación.
Las Partes acuerdan que podrán hacer uso de la firma electrónica simple para suscribir el presente Contrato de Encargado del Tratamiento y en consecuencia aceptan y reconocen que la utilización de la firma electrónica simple tendrá la misma validez que la firma manuscrita en soporte papel para la perfección del mismo.