REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS RGPD
ENCARGADO DE TRATAMIENTO

De una parte Dataprius S.L. en calidad de ENCARGADO DE TRATAMIENTO, en adelante, DATAPRIUS

Y de otra,

EL USUARIO como RESPONSABLE DEL FICHERO

MANIFIESTAN

(a) Que para EL USUARIO, DATAPRIUS realiza una Prestación de Servicios de gestión documental en la Nube, en virtud del cual DATAPRIUS asignará a EL USUARIO los recursos informáticos de almacenamiento y gestión en los que podrán incorporar su información, y entre ella Ficheros de Datos de Carácter Personal o confidencial.

(b) La base legal para el tratamiento de dichos datos es el cumplimiento de las obligaciones contractuales asumidas con la aceptación del contrato. Los datos personales se conservarán mientras se mantenga nuestra relación contractual y posteriormente, se mantendrán debidamente bloqueados durante el plazo de 5 años para atender posibles reclamaciones únicamente a disposición de Administración Pública, Juzgados y Tribunales.

(c) DATAPRIUS S.L. como proveedor podrá remitirle informaciones comerciales relativas a mejoras del producto, incidencias de funcionamiento, nuevos productos, ofertas y promociones.

(d) La oferta prospectiva de productos y servicios tiene su base legal en el consentimiento que ha prestado al autorizar dicho tratamiento, sin que en ningún caso la negativa a darnos su autorización condicione la prestación del servicio objeto del contrato. Dichos datos se conservarán de forma indefinida mientras no solicite la baja en la recepción de dichas comunicación mediante el procedimiento habilitado para tal efecto.

(e) El Cliente podrá en cualquier momento ejercer sus derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento y portabilidad de los datos cumplimentando un formulario que le enviaremos tras recibir su comunicación. El correspondiente formulario podrá enviarlo debidamente cumplimentado, junto con el DNI u otro documento acreditativo de su identidad a la dirección de email info@dataprius.com. Una vez recibida dicha documentación, atenderemos el ejercicio de sus derechos en los plazos establecidos legalmente y en caso de no haber obtenido satisfacción en el ejercicio de sus derechos podrá presentar una reclamación a la Autoridad de control, Agencia Española de Protección de Datos: www.agpd.es

(f) Que ambas partes asumen las funciones y obligaciones que el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, estipulan para la protección de datos personales. Declaran y manifiestan que están interesadas en la celebración de este contrato en virtud del cual se regule el régimen y la naturaleza del tratamiento de los Datos de Carácter Personal que realizará DATAPRIUS.

(g) Que, por todo lo anterior, reconociéndose ambas partes mutuamente según actúan la capacidad legal necesaria para contratar y obligarse y, en especial, para celebrar el presente Contrato, lo llevan a efecto con base en las siguientes:

ESTIPULACIONES

1. Objeto del Presente Contrato

1.1 Constituye el objeto del presente contrato, establecer el deber de confidencialidad que debe mantener DATAPRIUS en su calidad de encargado del tratamiento de los Datos de Carácter Personal como consecuencia de la prestación de los Servicios descrita.

1.2 Cualquier tratamiento de los Datos de Carácter Personal al margen de los que expresamente se deriven del cumplimiento de este contrato está, salvo acuerdo en contrario por escrito de las partes, expresamente excluido del objeto del presente contrato.

1.3 A los efectos del presente contrato, se entenderá por Ficheros, aquellos que contengan datos personales o confidenciales y que puedan ser tratados por DATAPRIUS con motivos de la prestación del servicio contratado, los cuales podrán ser, bien de titularidad de EL USUARIO por ser éste el Responsable de dichos Ficheros, o bien, de titularidad de terceros a los que EL USUARIO se encuentre prestando un determinado servicio tratando sus datos.

1.4 En este último caso, queda fuera del presente contrato la regulación jurídica de la relación existente entre EL USUARIO y los terceros titulares de los Ficheros, garantizando EL USUARIO a través del presente documento que dicha relación se encuentra jurídicamente regulada con anterioridad a la firma de este contrato, conforme exige la normativa aplicable y la Agencia Española de Protección de Datos.

2. Obligaciones de DATAPRIUS

DATAPRIUS SL. (PROVEEDOR), actúa en calidad de ENCARGADO DE TRATAMIENTO con respecto a los datos que EL USUARIO aloje en la aplicación Dataprius y por tanto, queda obligado, en virtud de la normativa de protección de datos, al cumplimiento de las obligaciones que se detallan en el presente documento.

No obstante, se advierte que, EL USUARIO es el único responsable del cumplimiento de la normativa de protección de datos que es aplicable al RESPONSABLE DEL TRATAMIENTO (EL USUARIO) en su empresa u organización. El servicio prestado por el PROVEEDOR cumple con los parámetros exigidos por la AEPD pero esto no exime al CLIENTE de ninguna de las obligaciones impuestas al Responsable del tratamiento en el cumplimiento de la normativa aplicable.

Franquicias, agrupaciones, o similares

Se informa al Cliente que, en caso de cesión de los datos alojados en la aplicación Dataprius que respondan a cualquier relación jurídico-mercantil como franquicia, colaboración, o similar, será responsabilidad exclusiva del cliente el cumplimiento de los requisitos legales específicos de las referidas cesiones de datos de carácter personal, y sobre el Cliente recae el cumplimiento de las obligaciones legales aplicables como, entre otros, información previa a los titulares, identificación de los cesionarios, finalidades previstas y la necesidad de recabar el consentimiento del titular de los datos en aquellos casos en que sea una obligación legal.

DATAPRIUS S.L. no será responsable, ni vendrá obligado a realizar actuaciones específicas de disociación de datos sobre cesiones realizadas por el Cliente con otros partners o franquiciados.

2.1 En virtud del presente contrato, y en aquellos casos en que DATAPRIUS pudiera tener acceso a los Datos de Carácter Personal, se obliga:

(a) No aplicar, ni utilizar, ni revelar los Datos de Carácter Personal con fines distintos a los que se derivan de este contrato.

(b) No comunicar ni permitir el acceso a los Datos de Carácter Personal a ningún tercero, a excepción de aquellos empleados y colaboradores que no puedan cumplir sus obligaciones sin tener acceso a los mismos. Dichas personas deberán obligarse a mantener el carácter confidencial. Con excepción única a la prohibición señalada en el párrafo anterior, DATAPRIUS se obliga a no comunicar a terceros los Ficheros, salvo que dicha comunicación se realizase a favor de personas físicas o jurídicas que contribuyesen al cumplimiento del Contrato. En este sentido, EL USUARIO reconoce y legitima expresamente con la firma del presente a DATAPRIUS para que pueda subcontratar a las personas físicas o jurídicas que considere necesarias para prestar el servicio al Cliente siempre que tal prestación se autorice expresamente por EL USUARIO y se formalice en un contrato que se ajuste a los términos de la legislación vigente.

(c) Destruir o eliminar los Datos de Carácter Personal o cualesquiera soportes o documentos en que estos se incorporen a la finalización del presente Contrato o por requerimiento expreso y por escrito de EL USUARIO (según se establece en la estipulación 6). No obstante lo previsto en el párrafo anterior, DATAPRIUS podrá conservar los datos e información tratada, debidamente bloqueados, en el caso que pudieran derivarse responsabilidades de su relación con EL USUARIO.

3. Medidas de Seguridad

3.1 DATAPRIUS se compromete a adoptar, actualizar y mantener las medidas organizativas y técnicas que estime necesarias para garantizar la seguridad y confidencialidad de los Datos de Carácter Personal, impidiendo cualquier alteración, perdida, tratamiento, procesamiento o acceso no autorizado. Esta obligación se desarrollará de conformidad con el estado de la tecnología, la naturaleza de los Datos y los riesgos a los que estén expuestos, ya provengan de la acción humana o del medio físico o natural.

3.2 EL USUARIO reconoce que dichas medidas se ajustan al nivel de seguridad aplicable al tipo de información que sea objeto de tratamiento como consecuencia de la prestación del servicio que DATAPRIUS realiza por cuenta de EL USUARIO, de conformidad con lo establecido en el Reglamento General de Proteción de Datos o cualquier normativa que, en su caso, sustituya, derogue o modifique el mencionado Reglamento.

4. Deber de Secreto

DATAPRIUS se compromete a mantener el secreto profesional respecto de los Datos de Carácter Personal y al deber de guardarlo, obligación que subsistirá aún después de finalizar la relación contractual con la Compañía. DATAPRIUS hará sus mejores esfuerzos para hacer cumplir el mismo deber de secreto a aquellos de sus empleados que intervengan en cualquier fase del tratamiento automatizado de los Datos de Carácter Personal.

5. Consecuencias de la Terminación

DATAPRIUS está obligado, siempre que EL USUARIO lo solicite por requerimiento expreso y por escrito, a borrar o destruir los Datos de EL USUARIO que, como consecuencia de los servicios contratados, pudiera tener almacenados a la extinción del presente Contrato. Debido al servicio de copias de seguridad prestado y al periodo de retención estipulado en el mismo, DATAPRIUS garantiza que dicha destrucción o eliminación total de los Datos se llevará a cabo en un plazo no superior a seis meses, siendo durante ese plazo de tiempo convertidos en inaccesibles.

6. Responsabilidad

Cada parte responderá de las sanciones administrativas y de los daños y perjuicios causados por el incumplimiento de las obligaciones que la legislación en materia de protección de datos establece a cada parte, acordando indemnizar a la otra parte por todas y cada una de las pérdidas y/o responsabilidades que la parte no infractora pueda sufrir como resultado del incumplimiento de la normativa de protección de datos de carácter personal de la parte infractora.

7. Confidencialidad

Los términos de este Contrato, así como aquella información que las partes adquieran en virtud de la celebración del presente Contrato son de naturaleza confidencial. Ninguna de las partes podrá revelar, comunicar, difundir, distribuir, almacenar la Información Confidencial, ni en todo ni en parte, ni transformarla, ni aplicarla a ningún fin distinto de los contemplados en este Contrato, ni por sí ni por tercero alguno, sin el previo consentimiento de la otra.

Las partes serán responsables, de que sus empleados, subcontratistas, proveedores y consultores, y, en general, todas las personas que tengan acceso a la información confidencial, respeten la confidencialidad de la información, así como de los daños y perjuicios causados por el mal uso o revelación de dicha. A la terminación del presente Contrato cada parte destruirá o devolverá a la otra parte la Información Confidencial a requerimiento de la otra parte.

8. Miscelánea

8.1 Para cualquier disputa que surgiese entre las partes relativas a la interpretación o ejecución de este contrato, ambas partes, con renuncia a su propio fuero, se someten a la jurisdicción de los Juzgados y Tribunales de Málaga.


CONTRATO DE ENCARGADO DE TRATAMIENTO

Mediante las presentes cláusulas se habilita a DATAPRIUS S.L., encargada del tratamiento, para tratar por cuenta del CLIENTE, responsable del tratamiento, los datos de carácter personal necesarios para prestar el servicio objeto del presente anexo al contrato.

El tratamiento consistirá en: SERVICIO DE ALOJAMIENTO DE DATOS EN LA APLICACIÓN DATAPRIUS EN LA NUBE Y SERVICIOS DE GESTIÓN DOCUMENTAL.

[1]. IDENTIFICACIÓN DE LA INFORMACIÓN AFECTADA

Para la ejecución de las prestaciones derivadas del cumplimiento del objeto de este encargo, el responsable del tratamiento podría almacenar en el sistema del encargado del tratamiento, la información que se describe a continuación:

[2]. DURACIÓN

El presente acuerdo tiene la duración determinada por la contración de los servicios ofrecidos por DATAPRIUS S.L.

Una vez finalice el  contrato, el encargado del tratamiento devolverá al responsable o a otro encargado que designe el responsable los datos personales y pasado el plazo de un mes se suprimirá cualquier copia que esté en su poder.

[3]. OBLIGACIONES DEL ENCARGADO DEL TRATAMIENTO

El encargado del tratamiento y todo su personal se obliga a:

3.1 Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios.

3.2 Tratar los datos de acuerdo con las instrucciones del responsable del tratamiento.

Si el encargado del tratamiento considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, el encargado informará inmediatamente al responsable.

3.3 Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, que contenga:

  1. El nombre y los datos de contacto del encargado y de cada responsable por cuenta del cual actúe el encargado y, en su caso, del representante del responsable o del encargado y del delegado de protección de datos.
  2. Las categorías de tratamientos efectuados por cuenta de cada responsable.
  3. En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49 apartado 1, párrafo segundo del RGPD, la documentación de garantías adecuadas
  4. Una descripción general de las medidas técnicas y organizativas de seguridad relativas a:
    • La seudonimización y el cifrado de datos personales (en caso de que sean aplicados).
    • La capacidad de garantizar la confidencialidad, integridad y disponibilidad de los sistemas y servicios de tratamiento.
    • La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
    • El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

3.4 No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles.

El encargado puede comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones del responsable. En este caso, el responsable identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación.

Si el encargado debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, informará al responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público.

3.5 El encargado del tratamiento notificará al responsable del tratamiento, sin dilación indebida, y en cualquier caso antes del plazo máximo de 48 horas desde que se tiene conocimiento, de las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia.

No será necesaria la notificación cuando sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.

Si se dispone de ella se facilitará, como mínimo, la información siguiente:

  1. Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
  2. El nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.
  3. Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.
  4. Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.

3.6 En todo caso, deberá implantar mecanismos para:

  1. Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
  2. Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
  3. Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento.
  4. Seudonimizar y cifrar los datos personales, en su caso.
  5. En su caso, designar un delegado de protección de datos y comunicar su identidad y datos de contacto al responsable.
  6. Destino de los datos. Una vez cumplida la prestación a la que se refiere el presente contrato, el encargado de tratamiento devolverá al responsable del tratamiento o al encargado que éste designe, los datos de carácter personal y, si procede, los soportes donde consten, una vez cumplida la prestación. La devolución comportará el borrado total de los datos existentes en los equipos informáticos utilizados por el encargado en el plazo de un mes desde la notificación de la resolución del servicio por parte del responsable o por incumplimiento de la obligación de pago de este, desde la fecha en que el encargado notifique la resolución del contrato por este motivo. No obstante, el encargado puede conservar una copia, con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación.

[4]. SUBCONTRATACIÓN

El encargado tiene subcontratado el servicio de alojamiento con las empresas que se indican en el siguiente enlace:

El subcontratista, que también tiene la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el encargado del tratamiento quedando sujeto a las mismas condiciones y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, el encargado inicial seguirá siendo plenamente responsable ante el responsable en lo referente al cumplimiento de las obligaciones.

[5]. OBLIGACIONES DEL RESPONSABLE DEL TRATAMIENTO

Corresponde al responsable del tratamiento: