↩ Volver al sitio web
Acuerdo de Encargo de Tratamiento de Datos Personales
Encargo de tratamiento
El CLIENTE es en todo caso el Responsable del Tratamiento de los datos alojados en sus Servicios. En aquellos casos en que WEBMONSTER precise acceder a datos personales incorporados a ficheros responsabilidad del cliente del CLIENTE (RESPONSABLE DEL FICHERO), asumirá las obligaciones propias del ENCARGADO DE TRATAMIENTO, conforme al artículo 28 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos, RGPD) y que se contemplan a continuación.
Finalidad del tratamiento
Mediante las presentes cláusulas se habilita al encargado del tratamiento, para tratar por cuenta del responsable del tratamiento, los datos de carácter personal necesarios para prestar el servicio estipulado: alojamiento web de los sistemas y otros complementarios a través de Internet, tales como; webmail; hosting web y otros análogos.
Identificación de la información afectada
Datos tratados:
- Datos del cliente
- Identificativos: Nombre y apellidos, correo electrónico, teléfono, dirección postal, NIF, IP, MAC.
- Metadatos: Navegador usado; Sistema Operativo utilizado; Horas y ubicación de acceso; otros análogos.
- Financieros.
- Datos alojados. Los almacenados por el cliente cuando este utiliza los servicios de alojamiento web, tales como; webmail; hosting web y otros análogos en la información que el cliente cargue al sistema propia o de terceros.
- Categorías de interesados
- Datos de clientes: los clientes.
- Datos alojados: tantas categorías como tipos almacenan los clientes.
- Operaciones de tratamiento autorizadas
- Comunicación
- Conservación/almacenamiento.
- Copia.
- Cifrado.
Duración
El servicio tendrá la duración inicial definida por el CLIENTE en el momento de la activación y solicitud de servicio.
Obligaciones del Encargado del tratamiento
El ENCARGADO DEL TRATAMIENTO y todo su personal se obliga a lo siguiente:
- El Encargado del Tratamiento asume todas las obligaciones establecidas en el Reglamento (UE) 2016/769 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD), la Ley Orgánica de Protección de Datos de Carácter Personal y demás normativa que resulten aplicables, su normativa de desarrollo; así como las que deriven de las estipulaciones que se regulan en el presente contrato.
- El encargado del tratamiento única y exclusivamente tratará los datos facilitados por el responsable del Tratamiento con la finalidad de prestarle los servicios que forman parte de la relación contractual que mantiene con el responsable del tratamiento.
- La relación de nuevos servicios o la identificación de nuevos usos o finalidades de utilización de los datos exigirá un nuevo acuerdo de las partes y/o una actualización del presente contrato.
- En ningún caso el encargado del tratamiento podrá utilizar datos para fines propios.
- Si el Encargado del Tratamiento considera que alguna de las instrucciones del Responsable del Tratamiento infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, el encargado le informará inmediatamente.
- El encargado del tratamiento se compromete a llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, que contenga:
- El nombre y los datos de contacto del Encargado y de cada Responsable por cuenta del cual actúe el Encargado y del representante del Responsable o del Encargado y del Delegado de Protección de Datos.
- Las categorías de tratamientos efectuados por cuenta de cada Responsable.
- En su caso, las transferencias de datos personales a terceros países u organizaciones internacionales, incluidas las identificaciones de dichos terceros países u organizaciones internacionales y la documentación de garantías adecuadas.
- Una descripción general de las medidas técnicas y organizativas de seguridad relativas a:
- La seudonimización y el cifrado de datos personales.
- La confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
- Las directrices para restaurar la disponibilidad a los datos personales de forma rápida, en caso de incidente físico.
- El procedimiento de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
- El encargado del tratamiento se compromete a no comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del Responsable del Tratamiento, en los supuestos legalmente admisibles. El Encargado puede comunicar los datos a otros Encargados del Tratamiento del mismo Responsable, de acuerdo con las instrucciones del Responsable. En este caso, el Responsable identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación.
- Si el Encargado debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, informará al Responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público.
- Se autoriza al Encargado a subcontratar los servicios auxiliares necesarios para sostener la estructura general del Encargado del Tratamiento, por ejemplo: servicios de telecomunicaciones, mantenimiento de hardware, externalización de obligaciones tributarias, contables y sociales; limpieza, auditoría financiera y otras análogas. Todo ello, sin perjuicio de que el Encargado del Tratamiento deberá suscribir los correspondientes contratos de Encargado de Tratamiento con tales subcontratas.
- Si para la prestación del servicio que se facilita al Responsable del Tratamiento, el Encargado del Tratamiento precisa subcontratar medios o servicios directamente necesarios con los que son objeto del contrato principal, entonces deberán ser autorizados previamente por el Responsable del Tratamiento de manera expresa y por escrito, que deberán quedar identificados por su nombre o razón social, así como el servicio concretamente subcontratado que prestan. Todo ello, previamente a su intervención en la prestación del servicio al Responsable del Tratamiento.
- Los proveedores subcontratados que prestan servicios directamente relacionados con el tratamiento de datos del servicio suscrito, que quedan autorizados al suscribir el servicio.
- En cualquier caso, el subcontratista, que también tiene la condición de Encargado del Tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el Encargado del Tratamiento y las instrucciones que dicte el Responsable. Corresponde al Encargado inicial regular la nueva relación, de forma que el nuevo Encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, el Encargado inicial seguirá siendo plenamente responsable ante el responsable en lo referente al cumplimiento de las obligaciones.
- El encargado del tratamiento tiene la obligación de mantener el deber de secreto respecto a los datos personales a los que tenga acceso, incluso después de que finalice el objeto del presente encargo.
- Solamente tratarán los datos de los ficheros aquellos empleados del Encargado de Tratamiento que tengan entre sus funciones el cumplimiento de la prestación prevista en este contrato y no pudieran cumplir sus obligaciones sin tener acceso a los mismos. Dichas personas deberán observar la obligación legal de confidencialidad.
- Además, el encargado del tratamiento deberá:
- Encargarse de que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente.
- Mantener a disposición del responsable del tratamiento la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior.
- Encargarse de la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.
- Asistencia al responsable del tratamiento en el ejercicio de Derechos por Terceros.
- El encargado de tratamiento deberá asistir al Responsable del Tratamiento en el ejercicio de los derechos de:
- Acceso, rectificación, supresión y oposición.
- Limitación del tratamiento.
- Portabilidad de datos.
Derecho al olvido. - A no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles).
Cuando las personas afectadas ejerzan los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas, ante el ENCARGADO DEL TRATAMIENTO, éste debe comunicarlo por correo electrónico a la dirección hola@webmonster.io
La comunicación debe hacerse de forma inmediata y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud.
Corresponde al responsable facilitar el derecho de información en el momento de la recogida de los datos.
El ENCARGADO DEL TRATAMIENTO notificará al RESPONSABLE DEL TRATAMIENTO, sin dilación indebida, y en cualquier caso antes del plazo máximo de 72 horas y, a través de correo electrónico, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia.
No será necesaria la notificación cuando sea improbable que dicha violación de seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.
En el caso de tener que notificarse, se facilitará, como mínimo, la siguiente información:
- Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
- El nombre y los datos de contacto del delegado de datos o de otro punto de contacto en el que pueda obtenerse más información.
- Descripción de las posibles consecuencias de la vulneración de la seguridad de los datos personales.
- Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos. Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.
Notificación de violaciones de la seguridad de los datos
Corresponde al ENCARGADO DEL TRATAMIENTO comunicar en el menor tiempo posible las violaciones de la seguridad de los datos a la Autoridad de Control de Protección de Datos y a los interesados, cuando sea probable que la violación suponga un alto riesgo para los derechos y las libertades de las personas físicas. La comunicación debe realizarse en un lenguaje claro y sencillo y deberá, como mínimo:
- Explicar la naturaleza de la violación de datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
- Indicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.
- Describir las posibles consecuencias de la violación de la seguridad de los datos personales.
- Describir las medidas adoptadas o propuestas por el RESPONSABLE DEL TRATAMIENTO para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos. Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.
- Poner a disposición del RESPONSABLE toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el RESPONSABLE u otro auditor autorizado por él.
- Implantar las medidas de seguridad técnicas y organizativas necesarias para: Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
- Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
- Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento.
- Seudonimizar y cifrar los datos personales, en su caso.
- Si se designa un delegado de protección de datos se comunicará su identidad y datos de contacto al RESPONSABLE.
- Destruir o devolver al RESPONSABLE DEL TRATAMIENTO los datos de carácter personal y, si procede, los soportes donde consten, una vez cumplida la prestación. La devolución debe comportar el borrado total de los datos existentes en los equipos informáticos utilizados por el encargado. No obstante, el ENCARGADO puede conservar una copia, con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación.
Evaluaciones de impacto
El encargado del tratamiento dará apoyo al Responsable del Tratamiento en la realización de las evaluaciones de impacto relativas a la protección de datos, cuando proceda.
Control y Auditoría
El encargado del tratamiento pone a disposición del responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realice el responsable u otro auditor autorizado por él.
Medidas de Seguridad
El encargado del tratamiento queda obligado a implantar y observar, como mínimo, las medidas de seguridad siguientes:
- La confidencialidad y resiliencias permanentes de los sistemas y servicios de tratamiento.
- La disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente de físico o técnico.
- La verificación, evaluación y valoración, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para la seguridad del tratamiento.
- La seudonimización y cifrado de los datos personales, según los supuestos en que así proceda.
- El responsable del tratamiento podrá proponer otras medidas que puedan resultar de la Evaluación de Riesgos, antes de la contratación del servicio.
Sin perjuicio de todo ello, el ENCARGADO DEL TRATAMIENTO no puede dar una garantía absoluta y total sobre la inexistencia de violaciones de seguridad causadas por terceros.
Destino de los Datos al finalizar el servicio
Al finalizar el servicio, el encargado del tratamiento destruirá los datos que consten digital o analógicamente, salvo que el Responsable del Tratamiento disponga su conservación a través de las opciones de configuración de su panel de administración de cliente.
No obstante, incluso en el caso de destrucción, el Encargado del Tratamiento podrá conservar una copia, con los datos debidamente bloqueados, por los plazos legales aplicables por los que no hayan prescrito cualesquiera responsabilidades derivadas de la prestación del servicio.
El Responsable del Tratamiento puede descargarse copias de sus datos de cliente y de la información almacenada en el sistema del servicio mediante las opciones dispuestas a tal efecto en el panel de administración.
REV:24.01