1. Introducción
Este Contrato de Encargado de Tratamiento forma parte de nuestros Términos y Condiciones de Uso y establece nuestro compromiso en relación con la protección de los datos que se almacenan en nuestro software (ReSales-Online) por parte de los Agentes Miembros. Este contrato debe leerse junto con nuestro Aviso Legal y Política de Privacidad, y el texto completo de nuestros Términos y Condiciones de Uso.
En consideración a que usted, el Agente Miembro ('Responsable del tratamiento'), facilita datos personales a disposición de ReSales Andalucia SL ('Encargado del tratamiento'), el Encargado del tratamiento se compromete a tratar los datos personales del Responsable del tratamiento de acuerdo con los términos y condiciones del presente Contrato de encargado de tratamiento (Contrato ET).
2. Definiciones
Por 'Medidas Técnicas y Organizativas Adecuadas' se entenderán los procesos y procedimientos que, teniendo en cuenta el estado del desarrollo tecnológico y el coste de su aplicación, así como la naturaleza de los datos personales de los Responsables del tratamiento, aseguren un nivel de seguridad adecuado para los daños que puedan derivarse del tratamiento no autorizado o ilícito de los datos personales de los Responsables del tratamiento, así como de su pérdida, destrucción o deterioro accidentales. Dichas medidas incluirán, como mínimo, las medidas establecidas en el apartado de Seguridad de la Información que figura a continuación y cualquier otra medida adicional que el Encargado del tratamiento notifique periódicamente por escrito al Responsable del tratamiento y que haya sido acordada racionalmente por las Partes.
'Responsable del tratamiento' (usted el Agente Miembro) y el 'Encargado del tratamiento' (ReSales Andalucia SL) tendrán el significado que se le da en la normativa de protección de datos personales.
'Normativa de protección de datos' refiere al Reglamento general de protección de datos (Reglamento (UE) 2016/679) y a; la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de Derechos Digitales.
'El Interesado' se refiere a la persona cuyos Datos Personales están siendo procesados a través de o en relación con los Servicios.
'Infracción de Datos Personales' significa la adquisición, acceso, uso o divulgación no autorizados de Datos Personales.
'Datos Personales' tendrán el mismo significado que en la Ley de Protección de Datos.
'País No Adecuado' significa un país que se considera que no proporciona un nivel adecuado de protección de Datos Personales en el sentido de las Leyes de Protección de Datos.
'Servicios' se entenderán como los servicios prestados por el Encargado del Tratamiento en relación con el procesamiento de los datos del Responsable del Tratamiento.
3. Obligaciones generales del Responsable del tratamiento y del
Encargado del Tratamiento
ENCARGADO DEL TRATAMIENTO y todo su personal se obliga a:
Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión con posterioridad, con la única finalidad de dar cumplimiento al objeto del Contrato principal. En ningún caso podrá el ENCARGADO DEL TRATAMIENTO tratar los datos personales para fines propios o en beneficio propio o de un tercero.
Tratar los datos personales de acuerdo con las instrucciones del RESPONSABLE DEL TRATAMIENTO, en su caso. Si el ENCARGADO DEL TRATAMIENTO considera que alguna de las instrucciones infringe la LOPDGDD, el RGPD o cualquier otra disposición vigente en materia de protección de datos personales de la Unión o de los Estados miembros, informará inmediatamente al RESPONSABLE DEL TRATAMIENTO.
Llevar por escrito un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del RESPONSABLE DEL TRATAMIENTO
No comunicar los datos personales a terceras personas, salvo que cuente con la autorización expresa del RESPONSABLE DEL TRATAMIENTO, salvo en los supuestos legalmente admisibles, como la comunicación de los datos personales a aquellos empleados que, para el cumplimiento del objeto del Contrato principal, necesiten acceder a los mismos, o a aquellos estamentos administrativo, judiciales o policiales necesarios para el mismo fin. El ENCARGADO DEL TRATAMIENTO podrá comunicar los datos personales a otros encargados del tratamiento del RESPONSABLE DEL TRATAMIENTO, siempre de acuerdo con las instrucciones del RESPONSABLE DEL TRATAMIENTO. En este caso, el RESPONSABLE DEL TRATAMIENTO identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación. Si el ENCARGADO DEL TRATAMIENTO debiese transferir los datos personales de los interesados a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, informará al RESPONSABLE DEL TRATAMIENTO de esa exigencia legal de manera previa y por escrito, salvo que tal Derecho lo prohíba por razones importantes de interés público.
Mantener el deber de secreto y confidencialidad respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente contrato, incluso después de que finalice el objeto del Contrato principal.
Garantizar que las personas autorizadas para tratar los datos personales se comprometan, de forma expresa y por escrito, a respetar el deber de secreto y confidencialidad establecidos en el presente contrato, y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente.
Mantener a disposición del RESPONSABLE DEL TRATAMIENTO la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior.
Asistir al RESPONSABLE DEL TRATAMIENTO en la respuesta al ejercicio de los derechos de acceso, rectificación, supresión, limitación, portabilidad y oposición de los interesados.
Dar apoyo al RESPONSABLE DEL TRATAMIENTO en la realización de las consultas previas a la autoridad de control y de las evaluaciones de impacto relativas a la protección de datos, cuando proceda.
Corresponde al RESPONSABLE DEL TRATAMIENTO:
Entregar al ENCARGADO DEL TRATAMIENTO los datos personales a los que se refiere la Cláusula 2 de este contrato.
Realizar una evaluación del impacto en la protección de datos personales de las operaciones de tratamiento a realizar por el encargado, en su caso.
Realizar las consultas previas que corresponda, en su caso.
Velar, de forma previa y durante todo el tratamiento de los datos personales, por el cumplimiento de la LOPDGDD y del RGPD por parte del ENCARGADO DEL TRATAMIENTO.
Supervisar el tratamiento de los datos personales que llevará a cabo el ENCARGADO DEL TRATAMIENTO, incluida la realización de inspecciones y auditorías.
Informar previamente a los interesados sobre la posibilidad de acceso de sus datos personales por el ENCARGADO DEL TRATAMIENTO, respondiendo al deber de información en materia de protección de datos incluidos en la normativa aplicable.
4. Cambio de circunstancias y de normativa
Si el Encargado del Tratamiento:
determina que es incapaz por cualquier razón de cumplir con sus obligaciones bajo este contrato y el Encargado del Tratamiento no puede subsanar esta incapacidad;
o tiene conocimiento de cualquier circunstancia o cambio en la Ley de Protección de Datos que pueda tener un efecto adverso sustancial en la capacidad del Encargado del Tratamiento de Datos para cumplir con sus obligaciones bajo este contrato;
el Encargado del Tratamiento informará de ello sin demora al Responsable del tratamiento, en cuyo caso éste tendrá derecho a suspender temporalmente el tratamiento hasta que el tratamiento se ajuste de forma que se subsane el incumplimiento. En la medida en que tal ajuste no sea posible, el Responsable del Tratamiento tendrá derecho a poner fin a la parte pertinente del tratamiento por parte del Encargado del Tratamiento.
5. Sub-procesadores
Los sub-procesadores listados a continuación están aprobados para el procesamiento de Datos Personales bajo las circunstancias especificadas en este contrato. El Responsable del tratamiento acepta que esta lista pueda cambiar en función de las necesidades del Encargado del tratamiento para la prestación del servicio. Se comprueba el cumplimiento de la protección de datos de todos los sub-procesadores antes de contratar sus servicios:
6. Acceso a los Datos Personales del Responsable del tratamiento
El encargado del tratamiento se asegurará de que el acceso a los datos personales tratados por él en virtud del presente Contrato se limite a:
los funcionarios, empleados, agentes y contratistas debidamente autorizados ('el Personal del Encargado del Tratamiento') que necesiten tener acceso a los Datos Personales para cumplir con las obligaciones del Encargado del Tratamiento en virtud del Contrato; y
la parte o partes de los Datos Personales que sean estrictamente necesarias para el desempeño de las funciones pertinentes del Personal del Encargado del Tratamiento.
El Encargado del Tratamiento se asegurará de que todo el Personal del Encargado del Tratamiento:
estén informados del carácter confidencial de los Datos Personales;
han recibido formación sobre el cuidado, protección y tratamiento de los datos personales; y
son conscientes tanto de los deberes del Encargado del Tratamiento como de sus deberes y obligaciones personales en virtud de la normativa de protección de datos y del presente contrato.
El Encargado del Tratamiento tomará las medidas posibles para asegurar la fiabilidad de su Personal y de la de los sub-procesadores que tengan acceso a los Datos Personales.
7. Integratión cuenta correo electónico del Responsable
Re-sales online cuenta con una función que permite al Responsable disfrutar de ciertas facilidades en el envío de correos electrónicos a través de la propia herramienta. Si elige esta funcionalidad opcional, ha de aportar cierta información consistente en:
Dirección de correo electrónico, identificadores únicos, como el nombre de usuario/a o la contraseña (la contraseña se procesa mediante técnicas de cifrado y no se tiene acceso a ella).
8. Pagos con tarjeta en línea
Nuestro servicio de pago con tarjeta en línea utiliza los servicios de pasarela de Santander Redsys. Cuando usted introduce los datos de su tarjeta en nuestro software, estos son encriptados antes de que los enviemos a Santander Redsys. Los datos de tu tarjeta se almacenan en los servidores de Santander Redsys. En ningún momento los datos completos de su tarjeta se almacenan en nuestros servidores o son accesibles para el Encargado del Tratamiento. Puede consultar su política de privacidad en el siguiente enlace.
9. Transmisión de datos personales
El Encargado del Tratamiento no transferirá Datos Personales a ningún País No Autorizado fuera del Espacio Económico Europeo ni hará accesibles dichos Datos Personales desde ningún País No Autorizado sin la aprobación previa por escrito del Responsable del Tratamiento.
Cualquier transmisión o facilitación de acceso a datos personales fuera de la EEA a un tercero (incluidas las filiales del Encargado del Tratamiento) que se encuentre en un país no adecuado se regirá por los términos de un acuerdo de transferencia de datos entre el Encargado del Tratamiento y el Responsable del Tratamiento, que contendrá cláusulas contractuales estándar sobre el responsable del tratamiento y el Responsable del Tratamiento, tal como se publican en la Decisión de la Comisión Europea de 5 de febrero de 2010 (Decisión 2010/87/CE) o cualquier otra cláusula contractual similar que pueda adoptar la Comisión Europea en su momento ('Cláusulas Modelo de la UE'). Si esto es aplicable, las Partes acuerdan introducir y firmar por separado las cláusulas tipo de la UE.
10. Notificaciones, incidentes e infracciones de la seguridad de los datos
El ENCARGADO DEL TRATAMIENTO notificará al RESPONSABLE DEL TRATAMIENTO las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia.
No será necesaria la notificación cuando sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.
11. Derechos de los interesados
El ENCARGADO creará, siempre que sea posible y teniendo cuenta la naturaleza del tratamiento, las condiciones técnicas y organizativas necesarias para asistir al RESPONSABLE en su obligación de responder a las solicitudes de los derechos del interesado. En caso de que el ENCARGADO reciba una solicitud para el ejercicio de dichos derechos, deberá comunicarlo al RESPONSABLE sin dilación indebida y en un máximo de 7 días desde la recepción de la solicitud, juntamente con otras informaciones que puedan ser relevantes para resolver la solicitud.
Cuando los datos sean tratados exclusivamente con los sistemas del ENCARGADO, deberá resolver, por cuenta del RESPONSABLE, y dentro del plazo establecido, las solicitudes recibidas para el ejercicio de los derechos del interesado en relación con los datos objeto del encargo, sin menoscabo de comunicarlo al RESPONSABLE de acuerdo con lo establecido en el párrafo anterior; a saber, los derechos de acceso, rectificación, supresión y portabilidad de datos y los de limitación u oposición al tratamiento, y si fuera el caso, a no ser objeto de decisiones individualizadas automatizadas.
12. Obligación del Encargado del Tratamiento de asistir al Responsable del Tratamiento
Cuando sea necesario, el Encargado del Tratamiento asistirá al Responsable del Tratamiento en el cumplimiento de dicha solicitud y/o consulta, investigación o evaluación del tratamiento iniciada por el empleado, cliente, tercero o autoridad pública competente del Responsable del Tratamiento.
En particular, el Encargado del Tratamiento deberá:
ayudar al Responsable del Tratamiento en el cumplimiento de sus obligaciones impuestas por los artículos 32-36 del GDPR y cualquier otro requisito equivalente de otras leyes de protección de datos (por ejemplo asegurar la aplicación de las medidas técnicas y organizativas adecuadas para asegurar un alto nivel de seguridad de los datos personales tratados, notificara la autoridad supervisora en caso de violación de datos personales, comunicar una violación de datos personales a los interesados, llevar a cabo una evaluación de impacto de la protección de datos y llevar a cabo una consulta previa con la autoridad supervisora, según proceda), y, con este fin, el Encargado del Tratamiento de Datos prestará dicha asistencia con rapidez y de manera que se asegure el cumplimiento de los plazos de respuesta establecidos en la legislación sobre protección de datos; y
en caso de infracción de Datos Personales, el Encargado del Tratamiento tomará las medidas correctivas adecuadas lo antes posible, incluyendo pero no limitándose a investigar e informar al Responsable del Tratamiento sobre la causa de la infracción, para desarrollar, proponer y ejecutar un plan de respuesta para abordar la infracción de Datos Personales. El Encargado del Tratamiento notificará al Responsable del Tratamiento antes de efectuar cualquier notificación a cualquier organismo regulador en relación con cualquier infracción de los Datos Personales y dará al Responsable del Tratamiento una oportunidad para revisar y responder a dicha notificación. El Responsable del Tratamiento y el Encargado del Tratamiento harán todo lo posible para mitigar los efectos de cualquier Infracción de Datos Personales.
13. Vigencia y terminación
Cuando el Responsable del Tratamiento lo solicite con carácter previo, el Encargado del Tratamiento devolverá todos los datos que contengan Datos Personales al Responsable del Tratamiento (o a otra persona de acuerdo con las instrucciones del Responsable del Tratamiento) o, si el Responsable del Tratamiento así lo solicita, se destruirán todos los Datos Personales y certificará al Responsable del Tratamiento que así se ha hecho. En el caso de que esto no sea técnicamente posible o en el caso de que la normative de Protección de datos se lo impida, al Encargado del Tratamiento le asegurará que los Datos Personales permanecerán confidenciales y no serán procesados de otra forma que no sea su almacenamiento o, alternativamente, los anonimizará de forma que resulte imposible su recreación.
14. Misceláneo
El presente Contrato de Encargado de Tratamiento constituye el acuerdo íntegro entre las Partes en relación con el objeto del mismo. Cualquier cambio en el contrato por parte del Encargado del Tratamiento será comunicado al Responsable del Tratamiento. En caso de discrepancias entre el presente contrato y cualquier acuerdo anterior, prevalecerá el presente contrato.
En caso de que alguna de las estipulaciones de este Acuerdo sea o llegue a ser inválida, la validez legal de las estipulaciones restantes no se verán afectadas. En lugar de la disposición inválida, se considerará que se ha acordado una disposición válida que se aproxime lo más posible a las intenciones de las Partes.
Este contrato se aplica y cubre cualquier cambio, adición o enmienda al Acuerdo a menos que se establezca un nuevo contrato. Si se rescinde el Acuerdo y se establece un nuevo contrato con un alcance y propósito similares a los del Acuerdo, pero sin un nuevo contrato de encargado de tratamiento, este se aplicará al nuevo contrato. Esto también se aplica si se hace una referencia explícita a esta contrato de encargado en un contrato entre el Responsable del tratamiento y el Encargado del tratamiento.
El Encargado del Tratamiento no tiene derecho a ninguna compensación por el tratamiento de los Datos Personales en virtud del presente acuerdo (además de la compensación establecida en el Contrato principal).
15. Seguridad de la información
Requisitos generales
El Encargado del Tratamiento no llevará a cabo ningún acto u omisión que tenga o pueda razonablemente esperarse que tenga un impacto adverso en los sistemas del Responsable del Tratamiento o en los Datos Personales.
El Encargado del Tratamiento se asegurará de que se implementen las medidas técnicas y organizativas adecuadas para asegurar un nivel de seguridad adecuado al riesgo del Tratamiento.
En particular, el Encargado del Tratamiento deberá:
proteger los Datos Personales de forma que se prevenga su destrucción, alteración, bloqueo, divulgación o acceso no autorizado, copia, distribución o cualquier otro tipo de Tratamiento no autorizado;
asegurar que los Datos Personales y los archivos de datos que contienen Datos Personales sólo puedan ser accedidos por personal autorizado que necesite los datos para desempeñar sus funciones con el fin de satisfacer las obligaciones del Encargado del Tratamiento en virtud del Contrato Principal y del Acuerdo y de conformidad con las instrucciones de los Responsables del Tratamiento ('Personal Autorizado');
asegurarse de que el Personal Autorizado está sujeto a un compromiso de confidencialidad o a una obligación legal de confidencialidad adecuada que sigue siendo válida una vez finalizado su empleo o el servicio en relación con el tratamiento de Datos Personales;
asegurarse de que el Personal Autorizado cumpla con los términos y condiciones de la APD y las instrucciones proporcionadas por el Responsable del Tratamiento, y de que dicho personal esté informado de las disposiciones del RGPD;
asegurarse de que exista en todo momento una protección antivirus adecuada y actualizada con respecto a los ficheros de datos que contengan Datos Personales y que se realicen copias de seguridad de dichos ficheros.
Administración de acceso
Si el Encargado del Tratamiento presta servicios conectados directamente a los sistemas del Responsable del Tratamiento, el Encargado del Tratamiento deberá validar la identidad de todo el personal del Responsable del Tratamiento con acceso a los sistemas del Responsable del Tratamiento. El Encargado del Tratamiento deberá comunicar al Responsable del Tratamiento, bajo petición, los nombres del personal del Encargado del Tratamiento, así como los niveles de acceso necesarios y reales a la información del Responsable del Tratamiento.
Seguridad física
El Encargado del Tratamiento es responsable de la protección de los Datos Personales de los Responsables del Tratamiento frente a perjuicios por acceso físico no autorizado y/o daños. Esto incluye controles de acceso físico, como la protección de los edificios contra el acceso no autorizado (por ejemplo, mediante el uso de cerraduras, cerrojos o medidas equivalentes en puertas y ventanas vulnerables), la restricción del acceso físico a las zonas críticas sólo al personal autorizado, la supervisión de las partes externas cuando se les concede acceso y la protección de los vínculos de comunicación y los medios de almacenamiento de datos.
16. Responsabilidad
Ambas Partes responderán de todas las acciones y/o reclamaciones que contra la otra Parte se dirijan, si son consecuencia del incumplimiento por parte de alguna de las Partes de las obligaciones que le corresponden en virtud del presente contrato.
17. Ley aplicable y disputas
Este contrato se aplicará e interpretará de conformidad con la legislación establecida en el Contrato Principal. No obstante, el Encargado del Tratamiento deberá tratar en todo momento los Datos Personales de acuerdo con la normativa de protección de datos aplicable.