RGPD

REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS.
CONTRATO DE PRESTACIÓN DE SERVICIOS.

ENCARGADO DE TRATAMIENTO

DE MUTUO ACUERDO

De una parte, D. Representante Dataprius con NIF 00000000-E como representante legal de DATAPRIUS S.L. con CIF B-00000000, y con domicilio en C/Sede Dataprius - 29008, Málaga, en calidad de ENCARGADO DE TRATAMIENTO, en adelante, DATAPRIUS

Y de otra,

[RESPONSABLE-CON-DNI] como representante legal de [EMPRESA-NOMBRE], [CIF] con domicilio en [DOMICILIO], como RESPONSABLE DEL FICHERO, en adelante, [ACRONIMO].

Los representantes, reconociéndose mutuamente capacidad legal necesaria para cumplir las condiciones del presente documento.

MANIFIESTAN

(a) Que para [ACRONIMO], DATAPRIUS realiza una Prestación de Servicios de gestión documental en la Nube, en virtud del cual DATAPRIUS asignará a [ACRONIMO] los recursos informáticos de almacenamiento y gestión en los que podrán incorporar su información, y entre ella Ficheros de Datos de Carácter Personal o confidencial.

(b) DATAPRIUS S.L. como proveedor podrá remitirle informaciones comerciales relativas a mejoras del producto, incidencias de funcionamiento, nuevos productos, ofertas y promociones.

(c) La oferta prospectiva de productos y servicios tiene su base legal en el consentimiento que ha prestado al autorizar dicho tratamiento, sin que en ningún caso la negativa a darnos su autorización condicione la prestación del servicio objeto del contrato. Dichos datos se conservarán de forma indefinida mientras no solicite la baja en la recepción de dichas comunicación mediante el procedimiento habilitado para tal efecto.

(d) El Cliente podrá en cualquier momento ejercer sus derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento y portabilidad de los datos cumplimentando un formulario que le enviaremos tras recibir su comunicación. El correspondiente formulario podrá enviarlo debidamente cumplimentado, junto con el DNI u otro documento acreditativo de su identidad a la dirección de email info@dataprius.com. Una vez recibida dicha documentación, atenderemos el ejercicio de sus derechos en los plazos establecidos legalmente y en caso de no haber obtenido satisfacción en el ejercicio de sus derechos podrá presentar una reclamación a la Autoridad de control, Agencia Española de Protección de Datos: www.agpd.es

(e) Que ambas partes asumen las funciones y obligaciones que el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, estipulan para la protección de datos personales. Declaran y manifiestan que están interesadas en la celebración de este contrato en virtud del cual se regule el régimen y la naturaleza del tratamiento de los Datos de Carácter Personal que realizará DATAPRIUS.

(f) Que, por todo lo anterior, reconociéndose ambas partes mutuamente según actúan la capacidad legal necesaria para contratar y obligarse y, en especial, para celebrar el presente Contrato, lo llevan a efecto con base en las siguientes:

ESTIPULACIONES

1. Objeto del Presente Contrato

1.1 Constituye el objeto del presente contrato, establecer el deber de confidencialidad que debe mantener DATAPRIUS en su calidad de encargado del tratamiento de los Datos de Carácter Personal como consecuencia de la prestación de los Servicios descrita.

1.2 Cualquier tratamiento de los Datos de Carácter Personal al margen de los que expresamente se deriven del cumplimiento de este contrato está, salvo acuerdo en contrario por escrito de las partes, expresamente excluido del objeto del presente contrato.

1.3 A los efectos del presente contrato, se entenderá por Ficheros, aquellos que contengan datos personales o confidenciales y que puedan ser tratados por DATAPRIUS con motivos de la prestación del servicio contratado, los cuales podrán ser, bien de titularidad de [ACRONIMO] por ser éste el Responsable de dichos Ficheros, o bien, de titularidad de terceros a los que [ACRONIMO] se encuentre prestando un determinado servicio tratando sus datos.

1.4 En este último caso, queda fuera del presente contrato la regulación jurídica de la relación existente entre [ACRONIMO] y los terceros titulares de los Ficheros, garantizando [ACRONIMO] a través del presente documento que dicha relación se encuentra jurídicamente regulada con anterioridad a la firma de este contrato, conforme exige la normativa aplicable y la Agencia Española de Protección de Datos.

2. Obligaciones de DATAPRIUS

DATAPRIUS SL. (PROVEEDOR), actúa en calidad de ENCARGADO DE TRATAMIENTO con respecto a los datos que [EMPRESA-NOMBRE] (CLIENTE) aloje en la aplicación Dataprius y por tanto, queda obligado, en virtud de la normativa de protección de datos, al cumplimiento de las obligaciones que se detallan en el presente documento.

No obstante, se advierte que, el CLIENTE es el único responsable del cumplimiento de la normativa de protección de datos que es aplicable al RESPONSABLE DEL TRATAMIENTO (el CLIENTE) en su empresa u organización. El servicio prestado por el PROVEEDOR cumple con los parámetros exigidos por la AEPD pero esto no exime al CLIENTE de ninguna de las obligaciones impuestas al Responsable del tratamiento en el cumplimiento de la normativa aplicable.

Franquicias, agrupaciones, o similares

Se informa al Cliente que, en caso de cesión de los datos alojados en la aplicación Dataprius que respondan a cualquier relación jurídico-mercantil como franquicia, colaboración, o similar, será responsabilidad exclusiva del cliente el cumplimiento de los requisitos legales específicos de las referidas cesiones de datos de carácter personal, y sobre el Cliente recae el cumplimiento de las obligaciones legales aplicables como, entre otros, información previa a los titulares, identificación de los cesionarios, finalidades previstas y la necesidad de recabar el consentimiento del titular de los datos en aquellos casos en que sea una obligación legal.

DATAPRIUS S.L. no será responsable, ni vendrá obligado a realizar actuaciones específicas de disociación de datos sobre cesiones realizadas por el Cliente con otros partners o franquiciados.

2.1 En virtud del presente contrato, y en aquellos casos en que DATAPRIUS pudiera tener acceso a los Datos de Carácter Personal, se obliga:

(a) No aplicar, ni utilizar, ni revelar los Datos de Carácter Personal con fines distintos a los que se derivan de este contrato.

(b) No comunicar ni permitir el acceso a los Datos de Carácter Personal a ningún tercero, a excepción de aquellos empleados y colaboradores que no puedan cumplir sus obligaciones sin tener acceso a los mismos. Dichas personas deberán obligarse a mantener el carácter confidencial. Con excepción única a la prohibición señalada en el párrafo anterior, DATAPRIUS se obliga a no comunicar a terceros los Ficheros, salvo que dicha comunicación se realizase a favor de personas físicas o jurídicas que contribuyesen al cumplimiento del Contrato. En este sentido, [ACRONIMO] reconoce y legitima expresamente con la firma del presente a DATAPRIUS para que pueda subcontratar a las personas físicas o jurídicas que considere necesarias para prestar el servicio al Cliente siempre que tal prestación se autorice expresamente por [ACRONIMO] y se formalice en un contrato que se ajuste a los términos de la legislación vigente.

(c) Destruir o eliminar los Datos de Carácter Personal o cualesquiera soportes o documentos en que estos se incorporen a la finalización del presente Contrato o por requerimiento expreso y por escrito de [ACRONIMO] (según se establece en la estipulación 6). No obstante lo previsto en el párrafo anterior, DATAPRIUS podrá conservar los datos e información tratada, debidamente bloqueados, en el caso que pudieran derivarse responsabilidades de su relación con [ACRONIMO].

3. Medidas de Seguridad

3.1 DATAPRIUS se compromete a adoptar, actualizar y mantener las medidas organizativas y técnicas que estime necesarias para garantizar la seguridad y confidencialidad de los Datos de Carácter Personal, impidiendo cualquier alteración, perdida, tratamiento, procesamiento o acceso no autorizado. Esta obligación se desarrollará de conformidad con el estado de la tecnología, la naturaleza de los Datos y los riesgos a los que estén expuestos, ya provengan de la acción humana o del medio físico o natural.

3.2 [ACRONIMO] reconoce que dichas medidas se ajustan al nivel de seguridad aplicable al tipo de información que sea objeto de tratamiento como consecuencia de la prestación del servicio que DATAPRIUS realiza por cuenta de [ACRONIMO], de conformidad con lo establecido en el Reglamento General de Proteción de Datos o cualquier normativa que, en su caso, sustituya, derogue o modifique el mencionado Reglamento.

4. Deber de Secreto

DATAPRIUS se compromete a mantener el secreto profesional respecto de los Datos de Carácter Personal y al deber de guardarlo, obligación que subsistirá aún después de finalizar la relación contractual con la Compañía. DATAPRIUS hará sus mejores esfuerzos para hacer cumplir el mismo deber de secreto a aquellos de sus empleados que intervengan en cualquier fase del tratamiento automatizado de los Datos de Carácter Personal.

5. Consecuencias de la Terminación

DATAPRIUS está obligado, siempre que [ACRONIMO] lo solicite por requerimiento expreso y por escrito, a borrar o destruir los Datos de [ACRONIMO] que, como consecuencia de los servicios contratados, pudiera tener almacenados a la extinción del presente Contrato. Debido al servicio de copias de seguridad prestado y al periodo de retención estipulado en el mismo, DATAPRIUS garantiza que dicha destrucción o eliminación total de los Datos se llevará a cabo en un plazo no superior un mes, siendo durante ese plazo de tiempo convertidos en inaccesibles.

6. Responsabilidad

Cada parte responderá de las sanciones administrativas y de los daños y perjuicios causados por el incumplimiento de las obligaciones que la legislación en materia de protección de datos establece a cada parte, acordando indemnizar a la otra parte por todas y cada una de las pérdidas y/o responsabilidades que la parte no infractora pueda sufrir como resultado del incumplimiento de la normativa de protección de datos de carácter personal de la parte infractora.

7. Confidencialidad

Los términos de este Contrato, así como aquella información que las partes adquieran en virtud de la celebración del presente Contrato son de naturaleza confidencial. Ninguna de las partes podrá revelar, comunicar, difundir, distribuir, almacenar la Información Confidencial, ni en todo ni en parte, ni transformarla, ni aplicarla a ningún fin distinto de los contemplados en este Contrato, ni por sí ni por tercero alguno, sin el previo consentimiento de la otra.

Las partes serán responsables, de que sus empleados, subcontratistas, proveedores y consultores, y, en general, todas las personas que tengan acceso a la información confidencial, respeten la confidencialidad de la información, así como de los daños y perjuicios causados por el mal uso o revelación de dicha. A la terminación del presente Contrato cada parte destruirá o devolverá a la otra parte la Información Confidencial a requerimiento de la otra parte.

8. Miscelánea

8.1 Para cualquier disputa que surgiese entre las partes relativas a la interpretación o ejecución de este contrato, ambas partes, con renuncia a su propio fuero, se someten a la jurisdicción de los Juzgados y Tribunales de Málaga.

CONTRATO DE ENCARGADO DE TRATAMIENTO

Mediante las presentes cláusulas se habilita a DATAPRIUS S.L., encargada del tratamiento, para tratar por cuenta del CLIENTE, responsable del tratamiento, los datos de carácter personal necesarios para prestar el servicio objeto del presente anexo al contrato.

El tratamiento consistirá en: SERVICIO DE ALOJAMIENTO DE DATOS EN LA APLICACIÓN DATAPRIUS EN LA NUBE Y SERVICIOS DE GESTIÓN DOCUMENTAL.

Recogida
Estructuración
Conservación
Cotejo
Destrucción
Interconexión

[1]. IDENTIFICACIÓN DE LA INFORMACIÓN AFECTADA

Para la ejecución de las prestaciones derivadas del cumplimiento del objeto de este encargo, el responsable del tratamiento podría almacenar en el sistema del encargado del tratamiento cualquier tipo de fichero, siempre que el contenido no sea ilegal o atente a la moral pública.

[2]. DURACIÓN

El presente acuerdo tiene la duración determinada por la contración de los servicios ofrecidos por DATAPRIUS S.L.

Una vez finalice el contrato, el encargado del tratamiento devolverá al responsable o a otro encargado que designe el responsable los datos personales y se suprimirá cualquier copia que esté en su poder.

[3]. OBLIGACIONES DEL ENCARGADO DEL TRATAMIENTO

El encargado del tratamiento y todo su personal se obliga a:

3.1 Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios.

3.2 Tratar los datos de acuerdo con las instrucciones del responsable del tratamiento.

Si el encargado del tratamiento considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, el encargado informará inmediatamente al responsable.

3.3 Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, que contenga:

El nombre y los datos de contacto del encargado y de cada responsable por cuenta del cual actúe el encargado y, en su caso, del representante del responsable o del encargado y del delegado de protección de datos.
Las categorías de tratamientos efectuados por cuenta de cada responsable.
En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49 apartado 1, párrafo segundo del RGPD, la documentación de garantías adecuadas
Una descripción general de las medidas técnicas y organizativas de seguridad relativas a:
- La seudonimización y el cifrado de datos personales (en caso de que sean aplicados).
- La capacidad de garantizar la confidencialidad, integridad y disponibilidad de los sistemas y servicios de tratamiento.
- La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
- El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

3.4 No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles.

El encargado puede comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones del responsable. En este caso, el responsable identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación.

Si el encargado debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, informará al responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público.

3.5 El encargado del tratamiento notificará al responsable del tratamiento, sin dilación indebida, y en cualquier caso antes del plazo máximo de 48 horas desde que se tiene conocimiento, de las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia.

Cuando se produzca este supuesto, el Encargado del tratamiento deberá notificárselo al Responsable del tratamiento y será éste el que decida, en su concepto de Responsable del tratamiento, si dicha quiebra de seguridad deberá notificarla a la AEPD o no, en función de que considere si la misma constituye un riesgo para los derechos y libertades de las personas físicas.

Si se dispone de ella se facilitará, como mínimo, la información siguiente:

Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
El nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.
Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.
Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.

Dar apoyo al responsable del tratamiento en la realización de las evaluaciones de impacto relativas a la protección de datos, cuando proceda.
Dar apoyo al responsable del tratamiento en la realización de las consultas previas a la autoridad de control, cuando proceda.
Poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el responsable u otro auditor autorizado por él.
Implantar las medidas de seguridad siguientes que se detallan en el documento de relación de actividades de tratamientos efectuados por el encargado de tratamiento que se especifican en el apartado 3.3 del presente documento y que se pondrá a disposición del responsable del tratamiento a petición de éste.

3.6 En todo caso, deberá implantar mecanismos para:

Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento.
Seudonimizar y cifrar los datos personales, en su caso.
En su caso, designar un delegado de protección de datos y comunicar su identidad y datos de contacto al responsable.
Destino de los datos. Una vez cumplida la prestación a la que se refiere el presente contrato, el encargado de tratamiento devolverá al responsable del tratamiento o al encargado que éste designe, los datos de carácter personal. El plazo que tendrá el responsable del tratamiento para descargar toda su información una vez finalizada la relación contractual será como máximo un mes.

[4]. SUBCONTRATACIÓN

El encargado tiene subcontratado el servicio de alojamiento con las empresas que se indican en el siguiente enlace:

Provedores Dataprius (https://dataprius.com/dataprius-proveedores)

El subcontratista, que también tiene la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el encargado del tratamiento quedando sujeto a las mismas condiciones y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, el encargado inicial seguirá siendo plenamente responsable ante el responsable en lo referente al cumplimiento de las obligaciones.

Mantener el deber de secreto respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice su objeto.
Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente.
Mantener a disposición del responsable la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior.
Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.
Asistir al responsable del tratamiento en la respuesta al ejercicio de los derechos de:
- Acceso, rectificación, supresión y oposición.
- Limitación del tratamiento.
- Portabilidad de datos.
- Notificación de violaciones de la seguridad de los datos.

[5]. OBLIGACIONES DEL RESPONSABLE DEL TRATAMIENTO

Corresponde al responsable del tratamiento:

Entregar al encargado los datos a los que se refiere de este documento.
Realizar, en caso de que sea necesario, una evaluación del impacto en la protección de datos personales de las operaciones de tratamiento a realizar por el encargado.
Realizar en su caso, las consultas previas que corresponda.
Velar, de forma previa y durante todo el tratamiento, por el cumplimiento del RGPD por parte del encargado.
Supervisar el tratamiento, incluida la realización de inspecciones y auditorías.

Leído y hallado conforme el presente documento, que se extiende por duplicado, quedando un ejemplar idéntico y auténtico en poder de cada uno de los intervinientes, quienes lo firman en prueba de conformidad con todo lo que contienen.

Firmado: [FECHA-FIRMA]

Responsable del tratamiento:	Encargado del tratamiento:
[RESPONSABLE]	D. Representante Dataprius.