Acuerdo de Encargado del Tratamiento de Datos

1. Objeto del tratamiento

Este Acuerdo de Encargado del Tratamiento de Datos es la base de la relación entre Internet People S.L con domicilio en España, Calle Maria Panés 6, 28003 Madrid, inscrita en el Registro Mercantil de Madrid y con CIF B95232989 ( en adelante “Alojared” o “Encargado de tratamiento”) y el Cliente (“Cliente” o “Responsable de tratamiento”), denominados conjuntamente como “las Partes”. Este Acuerdo forma parte integrante del Contrato de Servicio, la Política de Privacidad y otras políticas relevantes disponibles aquí. Al aceptar estos términos, el Cliente suscribe íntegramente este Acuerdo en su propio nombre y derecho, cuando se requiera conforme al Reglamento General de Protección de Datos.

Para la prestación de los servicios contratados, puede darse la circunstancia de que determinados datos personales responsabilidad del Responsable de tratamiento sean alojados en los servidores del Encargado de tratamiento.

Con la contratación de los servicios de Alojared, se habilita al Encargado de tratamiento para el tratamiento por cuenta del Responsable de tratamiento de los datos personales que haya recabado, conforme a lo previsto en las presentes cláusulas u consistente únicamente en el almacenamiento, que en su caso realice, de los mismos en los servidores de Alojared.

2. Obligaciones del Encargado

En lo referente al tratamiento al que se hace referencia en el artículo 1, el Encargado deberá velar por el cumplimiento de las condiciones impuestas sobre el tratamiento de datos personales con arreglo al GDPR.

Las obligaciones del Encargado en virtud de este Contrato de Tratamiento se harán extensivas a aquellas personas que traten datos personales por orden del Encargado, como pueden ser sus empleados, por ejemplo.

El Encargado no destinará, aplicará o utilizará los datos a los que tenga acceso para un fin distinto al encargo o que suponga el incumplimiento de este contrato.

3. División de responsabilidad

El tratamiento autorizado se producirá en un entorno automatizado o semiautomatizado bajo control del Encargado.

El Encargado es únicamente responsable del tratamiento de los datos personales con arreglo al presente Contrato de Tratamiento, siguiendo las instrucciones del Responsable y bajo la responsabilidad definitiva expresa del Responsable. El Encargado, expresamente, no es responsable de cualquier otro tratamiento de datos personales, como puede ser la obtención de datos personales por parte del Responsable, el tratamiento para otros fines que el Responsable no haya comunicado al Encargado o el tratamiento por terceros y/o para otros fines.

El Responsable garantiza que el contenido, uso e instrucciones para el tratamiento de los
datos personales con arreglo a este Contrato de Tratamiento no son ilícitos ni contravienen derechos
de terceros, y exonera al Encargado de cualquier reclamación en este sentido.

4. Transferencia de datos personales

El Encargado no podrá realizar transferencias de datos a terceros países u organizaciones internacionales no establecidos en la UE, salvo que hubiera obtenido una autorización previa u por escrito del Responsable.
La transmisión de datos a Autoridades públicas en el ejercicio de sus funciones públicas no son consideradas comunicaciones de datos, por lo que no se precisará de la autorización del Responsable si dichas transmisiones son necesarias para alcanzar la finalidad del encargo.

5. Contratación de terceros o subcontratistas

Por la presente, el Responsable da su consentimiento al Encargado para que contrate a terceras partes (subencargados) para el tratamiento de datos personales en virtud de este Contrato de Tratamiento, observando la legislación aplicable en materia de privacidad.

Si el Responsable así lo requiere, el Encargado le facilitará una relación con los nombres de las terceras partes contratadas. A partir de ella, el Responsable puede poner objeciones a la
contratación de dichas terceras partes si tiene un motivo fundado. De producirse este caso, las Partes deberán negociar para alcanzar una solución viable.

El Encargado se deberá ocupar de que estos terceros asuman las mismas obligaciones por escrito que las acordadas entre el Responsable y el Encargado con respecto al tratamiento de datos personales.

6. Medidas de seguridad

El Encargado adoptará las medidas técnicas y organizativas oportunas sobre el tratamiento de los datos personales para evitar la pérdida o cualquier forma de tratamiento ilícito como el
acceso no autorizado, interferencia, modificación o revelación de los datos personales). No obstante, la seguridad empleada dependerá en parte de los servicios contratados por el Responsable, según se
describen en el Contrato. Si así lo solicita el Responsable, el Encargado le presentará un informe de las medidas adoptadas, en tanto en cuanto sean razonables y relevantes para la prestación de
servicios y/o la obtención de información por parte del Responsable.

En concreto el Encargado dispone de los siguientes elementos de seguridad:

- Centro de datos de alta seguridad. El perímetro del centro de datos está cercado, monitorizado por vídeo y cuenta con personal de vigilancia las 24 horas al día. Solamente el personal autorizado puede acceder al centro y los equipos del Encargado. El Centro de datos está diseñado de forma redundante en todas sus configuraciones con el fin de garantizar la máxima disponibilidad del servicio.

- Nuestros servicios de hosting están protegidos por nuestro conjunto de herramientas llamado Defensaweb, incluyendo firewall, protección de ataques de fuerza bruta, análisis de malware etc.

- En función del servicio contratado varía la política de backups, los detalles se encuentran en nuestra web en cada página de producto. No obstante, la responsabilidad de la integridad de datos recae sobre el Responsable, es decir, El cliente.

7. Obligación de informar

En caso de filtración de datos se entiende que incluye cualquier fallo de seguridad que pueda llevar a la destrucción accidental o ilícita, pérdida, modificación o revelación o acceso ilícitos a datos transmitidos, almacenados o tratados de otro modo), el Encargado deberá poner este hecho en conocimiento del Responsable de inmediato, a más tardar durante las veinticuatro 24) horas siguientes, quien, a partir de la información facilitada, decidirá si informar a los órganos de control y/o a los interesados. El Responsable es y será responsable de todos los requerimientos legales en este sentido. El Encargado hará todo lo posible para que la información facilitada sea completa, correcta y precisa. La obligación de informar es aplicable independientemente de la trascendencia de la filtración de datos.

La notificación de una violación de seguridad deberá contener, como mínimo, la siguiente información:

- Descripción de la naturaleza de la violación.

- Categorías u número aproximado de interesados afectados.

- Categorías u número aproximado de registros de datos afectados.

- Posibles consecuencias.

- Medidas adoptadas o propuestas para remediar o mitigar los efectos.

- Datos de contacto donde pueda obtenerse más información (DPO, responsable de seguridad, etc.).

Cuando la violación de seguridad se haya producido bajo la responsabilidad del Encargado, el Responsable podrá obligarle a notificarla a la Autoridad de control y, si fuera necesario, a comunicarla a los interesados afectados.

8. Tramitación de solicitudes de interesados

En caso de que una persona interesada remita al Encargado una solicitud para ejercer sus derechos legales, éste transmitirá la solicitud al Responsable, quien se ocupará de dar curso a la solicitud. El Encargado puede informar de ello al interesado.

En caso de que una persona interesada remita al Responsable una solicitud para ejercer alguno de sus derechos legales, el Encargado deberá colaborar en lo posible y en tanto en cuanto sea razonable, si así lo solicita el Responsable. El Encargado podrá repercutir al Responsable los costes razonables asociados.

9. Secreto y confidencialidad

Todos los datos personales que reciba el Encargado del Responsable o que él mismo recabe en el contexto de este Contrato de Tratamiento están sujetos al deber de confidencialidad hacia terceros. El Encargado no empleará esta información para otros fines distintos a aquellos para los que se le ha facilitado.

Esta obligación de confidencialidad no es aplicable en la medida en que el Responsable haya autorizado expresamente que se proporcione la información a terceros, si dicha transmisión de información a terceras partes es necesaria a la vista de las instrucciones dadas o del presente Contrato de Tratamiento, o si existe la obligación legal de transmitir la información a una tercera parte.

10. Auditoría

El Responsable tiene potestad para encargar auditorías a un auditor oficial independiente del tratamiento electrónico de datos, sujeto al deber de confidencialidad, para verificar el cumplimiento de los acuerdos de este Contrato de Tratamiento.

Esta auditoría se realizará una vez al año como máximo y si existen motivos específicos y fundados para sospechar del uso abusivo de los datos personales por parte del Encargado, y solamente cuando el Responsable haya solicitado y evaluado los informes similares de que disponga el Encargado y si el Responsable aporta argumentos razonables que justifiquen el hecho de iniciar una auditoría. La auditoría estará justificada en caso de que los informes similares de que disponga el Encargado no ofrezcan una respuesta suficiente o concluyente sobre el cumplimiento de este Contrato de Tratamiento por parte del Encargado.

La auditoría se realizará a las dos semanas de que el Responsable la haya notificado, sin utilizar ni revisar información confidencial del Encargado ni perturbar innecesariamente el proceso de trabajo del Encargado.

El Encargado deberá cooperar en la auditoría y pondrá a disposición la información y los empleados que puedan resultar relevantes para la misma, incluyendo información complementaria, como registros de sistema, a la mayor brevedad.

Las Partes valorarán conjuntamente las conclusiones de la auditoría realizada y, a partir de ahí, determinarán si dichas conclusiones deben ser aplicadas por una de las Partes o por ambas.

Los costes de la auditoría correrán por cuenta del Responsable.

11. Responsabilidad

Se declara que el régimen de responsabilidad convenido en los Términos y condiciones generales es aplicable a la responsabilidad de las Partes por daños o pérdidas derivados de una negligencia imputable al incumplimiento del Contrato de Tratamiento, a un hecho ilícito u otros.

12. Fin de la prestación del servicio

Una vez finalice la prestación de servicios objeto de este contrato el Encargado certificará, a elección del Responsable, la supresión o devolución de todos los datos personales u las copias existentes.
No procederá la supresión de datos cuando se requiera su conservación por una obligación legal, en cuyo caso el Encargado procederá a la custodia de los mismos bloqueando los datos u limitando su tratamiento en tanto que pudieran derivarse responsabilidades de su relación con el Responsable.
El Encargado mantendrá el deber de secreto u confidencialidad de los datos incluso después de finalizar la relación objeto de este contrato.

Documento revisado el 22 de marzo de 2020