Contrato de Encargado de Tratamiento de Datos

El presente Contrato de Encargado de Tratamiento constituye el Contrato completo entre ServiceTonic SL, sociedad de nacionalidad española, domiciliada en Barcelona, C/Aragón 383, 6º, 08013 y NIF número B-65201964, en adelante ENCARGADO DEL TRATAMIENTO y el CLIENTE, persona física o jurídica que contrata o usa las aplicaciones de ServiceTonic SL, en adelante RESPONSABLE.

Ambas partes se reconocen recíprocamente la capacidad legal necesaria para el suscribir el presente contrato de Encargado de Tratamiento con acceso a datos personales y

MANIFIESTAN

  1. Que el CLIENTE es el Responsable del Tratamiento de los datos personales objeto del presente Acuerdo, de conformidad con el Reglamento (UE) 2016/679, de 27 de abril de 2016 (GDPR / RGPD).
  2. Que el RESPONSABLE ha contratado uno o varios servicios de SERVICETONIC, S.L., prestados a través de la plataforma de software desarrollada por SERVICETONIC, S.L., para la gestión y automatización de servicios organizativos en un entorno cloud.
  3. Que la duración del presente acuerdo de protección de datos estará vinculada al plazo establecido en el correspondiente contrato de prestación de servicios.
  4. Que, para la ejecución de dichos servicios, el ENCARGADO DEL TRATAMIENTO podrá requerir acceso y tratamiento de datos personales de los cuales el RESPONSABLE es titular.
  5. Que, conforme al artículo 28 del GDPR / RGPD, el ENCARGADO DEL TRATAMIENTO ofrece garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos de la normativa aplicable en materia de protección de datos y garantice la protección de los derechos de los interesados.

INSTRUCCIONES PARA EL TRATAMIENTO DE DATOS

  1.  Finalidad, naturaleza y alcance del tratamiento

Las actividades de tratamiento se limitarán exclusivamente a aquellas relacionadas con la finalidad de prestar los servicios conforme al presente Acuerdo de Encargo de Tratamiento.
Las actividades de tratamiento autorizadas quedarán estrictamente limitadas a las necesarias para la prestación de los servicios cubiertos por este Acuerdo.

  1. Tipo de datos personales y categorías de interesados

Los datos personales a los que tendrá acceso el ENCARGADO DEL TRATAMIENTO quedarán estrictamente limitados a los datos facilitados por el RESPONSABLE como necesarios para la prestación de los servicios contratados.

El RESPONSABLE podrá incorporar Datos Personales a los Servicios, cuyas categorías serán determinadas y controladas exclusivamente por el RESPONSABLE y podrán incluir, entre otros, nombres, información de contacto, información demográfica y cualquier otra información facilitada por los Usuarios Finales del RESPONSABLE en datos no estructurados.

Los interesados podrán incluir, entre otros, empleados, clientes, proveedores y otros Usuarios Finales del RESPONSABLE.

  1. Obligaciones y derechos del RESPONSABLE

El RESPONSABLE garantiza que los datos personales facilitados al ENCARGADO DEL TRATAMIENTO han sido obtenidos lícitamente y son adecuados, pertinentes y limitados a lo necesario en relación con las finalidades del tratamiento.

El RESPONSABLE pondrá a disposición del ENCARGADO DEL TRATAMIENTO toda la información necesaria para la ejecución de los servicios objeto de este Acuerdo.

  1. Obligaciones y derechos del ENCARGADO DEL TRATAMIENTO

El ENCARGADO DEL TRATAMIENTO se compromete a cumplir todas las obligaciones que le resulten aplicables como encargado del tratamiento conforme a la legislación vigente y cualquier otra normativa aplicable.

El ENCARGADO DEL TRATAMIENTO tratará los datos personales únicamente con la finalidad de prestar los servicios objeto del presente Acuerdo y exclusivamente siguiendo instrucciones documentadas del RESPONSABLE, salvo que exista una obligación legal aplicable que disponga lo contrario.

El ENCARGADO DEL TRATAMIENTO pondrá a disposición del RESPONSABLE la información necesaria para demostrar el cumplimiento del presente Acuerdo y permitirá las inspecciones y auditorías necesarias para evaluar las actividades de tratamiento, siempre que dichas inspecciones y auditorías se realicen con preaviso razonable, durante el horario laboral habitual y de forma que minimicen la interrupción operativa.

El ENCARGADO DEL TRATAMIENTO asistirá al RESPONSABLE en el cumplimiento de los artículos 32 a 36 del GDPR / RGPD, teniendo en cuenta la naturaleza del tratamiento y la información disponible para el ENCARGADO DEL TRATAMIENTO, incluyendo asistencia respecto a obligaciones de seguridad, notificaciones de violaciones de seguridad de los datos personales, evaluaciones de impacto relativas a la protección de datos y consultas previas con autoridades de control.

  1. Personal autorizado para realizar el tratamiento

El ENCARGADO DEL TRATAMIENTO garantiza que el personal autorizado para realizar el tratamiento se ha comprometido expresamente y por escrito a mantener la confidencialidad de los datos o está sujeto a una obligación legal de confidencialidad.

El ENCARGADO DEL TRATAMIENTO adoptará medidas para garantizar que cualquier persona que actúe bajo su autoridad y tenga acceso a datos personales solo pueda tratarlos conforme a las instrucciones del RESPONSABLE o cuando así lo exija la legislación aplicable.

El ENCARGADO DEL TRATAMIENTO garantiza que el personal autorizado para realizar el tratamiento ha recibido la formación necesaria para garantizar que la protección de los datos personales no se vea comprometida.

  1. Medidas de seguridad

El ENCARGADO DEL TRATAMIENTO declara conocer y cumplir las obligaciones derivadas de la normativa de protección de datos, especialmente en relación con la implantación de medidas de seguridad para las distintas categorías de datos y actividades de tratamiento establecidas en el artículo 32 del GDPR / RGPD.

El ENCARGADO DEL TRATAMIENTO garantiza que dichas medidas de seguridad serán implementadas adecuadamente y cooperará con el RESPONSABLE para garantizar su cumplimiento.

Las medidas técnicas y organizativas implementadas por el ENCARGADO DEL TRATAMIENTO se describen adicionalmente en el Anexo 1 (Medidas Técnicas y Organizativas), que forma parte integrante de este Acuerdo.

El RESPONSABLE realizará un análisis de los riesgos potenciales derivados del tratamiento con el fin de determinar las medidas de seguridad adecuadas para garantizar la seguridad de la información tratada y los derechos de los interesados. En caso de identificarse riesgos, el RESPONSABLE facilitará al ENCARGADO DEL TRATAMIENTO un informe de evaluación de impacto para que puedan implementarse medidas adecuadas destinadas a prevenir o mitigar dichos riesgos.

Por su parte, el ENCARGADO DEL TRATAMIENTO analizará los posibles riesgos y otras circunstancias atribuibles al mismo que puedan afectar a la seguridad e informará de ello al RESPONSABLE, en su caso, a fin de evaluar su impacto.

En todo caso, el ENCARGADO DEL TRATAMIENTO garantiza que, teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, alcance, contexto y finalidades del tratamiento, aplicará medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo asociado al tratamiento, incluyendo, cuando proceda:

  • Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
  • Restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.
  • Procedimientos para verificar, evaluar y valorar regularmente la eficacia de las medidas técnicas y organizativas destinadas a garantizar la seguridad del tratamiento.
  1. Violaciones de seguridad de los datos personales

Cualquier violación de seguridad de los datos personales conocida por el ENCARGADO DEL TRATAMIENTO será notificada al RESPONSABLE sin dilación indebida y en un plazo máximo de 24 horas, para su conocimiento y para la implementación de medidas destinadas a remediar y mitigar los efectos causados. No será necesaria la notificación cuando sea improbable que la violación suponga un riesgo para los derechos y libertades de las personas físicas.

La notificación de una violación de seguridad de los datos personales contendrá, como mínimo, la siguiente información:

  • Descripción de la naturaleza de la violación.
  • Categorías y número aproximado de interesados afectados.
  • Categorías y número aproximado de registros de datos afectados.
  • Posibles consecuencias.
  • Medidas adoptadas o propuestas para remediar o mitigar los efectos.
  • Datos de contacto donde pueda obtenerse información adicional (DPD/DPO, responsable de seguridad, etc.).
  1. Comunicación de datos a terceros

El ENCARGADO DEL TRATAMIENTO no podrá comunicar los datos a otros destinatarios salvo que haya obtenido autorización previa y por escrito del RESPONSABLE; si dicha autorización existiera, se adjuntará al presente acuerdo.

No tendrán la consideración de comunicación de datos las transferencias realizadas a autoridades públicas en el ejercicio de sus funciones públicas; por tanto, no será necesaria autorización del RESPONSABLE cuando dichas transferencias sean necesarias para cumplir la finalidad del encargo.

  1. Transferencias internacionales de datos

Si el RESPONSABLE es una persona física o jurídica situada dentro de la UE, el ENCARGADO DEL TRATAMIENTO se compromete a no transferir datos a terceros países u organizaciones internacionales fuera de la UE salvo que haya obtenido autorización previa y por escrito del RESPONSABLE; si dicha autorización existiera, se adjuntará al presente acuerdo.

Cuando se produzcan transferencias internacionales, el ENCARGADO DEL TRATAMIENTO garantizará la adopción de garantías adecuadas conforme al Capítulo V del GDPR / RGPD, incluidas las Cláusulas Contractuales Tipo cuando resulten aplicables.

  1. Subencargados del tratamiento

El ENCARGADO DEL TRATAMIENTO cuenta con autorización general del RESPONSABLE para contratar a los siguientes subencargados:

SubencargadoFunciónUbicación de los servidores
Microsoft AzureHosting webIrlanda (UE)
HetznerHosting webAlemania (UE)
CloudflareFirewall de aplicaciones webRegla de proximidad al cliente. Preferencias de residencia de datos y geo-routing para priorizar servidores UE/EEE.
WasabiAlmacenamiento de copias de seguridadUE para clientes UE/EE.UU. para clientes no UE
OpenAIServicios de procesamiento de IA basados en la API de OpenAI para funcionalidades opcionales de IA de la plataforma, sin utilización de datos del cliente para entrenamiento de modelos.UE/EE.UU. – Datos del EEE y Suiza transferidos conforme a SCCs y/o decisiones de adecuación aplicables.
Meta / WhatsAppMensajería para clientes que utilicen la funcionalidad opcional de integración con WhatsAppEE.UU
TwilioMensajería para clientes que utilicen la funcionalidad opcional de integración con WhatsAppIrlanda (UE)

El ENCARGADO DEL TRATAMIENTO informará específicamente y por escrito al RESPONSABLE de cualquier incorporación o sustitución de subencargados previstos en dicha lista con al menos quince (15) días de antelación, para que el RESPONSABLE disponga de tiempo suficiente para oponerse a dichos cambios antes de la contratación de los subencargados correspondientes.

El ENCARGADO DEL TRATAMIENTO facilitará al RESPONSABLE la información necesaria para que este decida si ejerce su derecho de oposición.

Con el fin de recibir notificaciones sobre incorporaciones o sustituciones de subencargados mencionadas en el párrafo anterior, el RESPONSABLE podrá consultar en todo momento el listado de subencargados en esta página web.

En caso de que el RESPONSABLE se oponga a la sustitución o contratación de un nuevo subencargado, las partes negociarán de buena fe soluciones alternativas comercialmente razonables.

Cuando el ENCARGADO DEL TRATAMIENTO decida contratar a un subencargado para llevar a cabo actividades de tratamiento por cuenta del RESPONSABLE, lo hará mediante un contrato que imponga al subencargado, en esencia, las mismas obligaciones de protección de datos que las impuestas al ENCARGADO DEL TRATAMIENTO en el presente contrato. El ENCARGADO DEL TRATAMIENTO garantizará que el subencargado cumpla las obligaciones que le resulten aplicables conforme a este contrato y al Reglamento de Protección de Datos.

  1. Derechos de los interesados

El ENCARGADO DEL TRATAMIENTO establecerá, siempre que sea posible y teniendo en cuenta la naturaleza del tratamiento, las condiciones técnicas y organizativas necesarias para asistir al RESPONSABLE en el cumplimiento de su obligación de responder a las solicitudes de los interesados en el ejercicio de sus derechos.

El ENCARGADO DEL TRATAMIENTO pondrá a disposición del RESPONSABLE la dirección de correo electrónico dpo@servicetonic.com para comunicaciones relacionadas con el ejercicio de derechos de los interesados. Si el ENCARGADO DEL TRATAMIENTO recibe directamente una solicitud de un interesado, notificará de inmediato al RESPONSABLE y prestará asistencia razonable para responder a dicha solicitud.

Cuando los datos sean tratados exclusivamente mediante los sistemas del ENCARGADO DEL TRATAMIENTO, este resolverá, en nombre del RESPONSABLE y dentro del plazo legalmente establecido, las solicitudes recibidas para el ejercicio de derechos de los interesados relativos a los datos objeto del encargo, sin perjuicio de informar al RESPONSABLE conforme al párrafo anterior y en particular sobre los derechos de acceso, rectificación, supresión y portabilidad de los datos, así como los derechos de limitación u oposición al tratamiento y, cuando proceda, el derecho a no ser objeto de decisiones individuales automatizadas.

  1. Responsabilidad

De conformidad con el artículo 82 del GDPR / RGPD, el RESPONSABLE responderá de los daños y perjuicios causados por cualquier operación de tratamiento en la que participe, y el ENCARGADO DEL TRATAMIENTO solo responderá de los daños y perjuicios causados por el tratamiento cuando no haya cumplido las obligaciones del GDPR / RGPD dirigidas específicamente a los encargados del tratamiento o cuando haya actuado al margen o en contra de las instrucciones lícitas del RESPONSABLE. Asimismo, el ENCARGADO DEL TRATAMIENTO quedará exento de responsabilidad si demuestra que no es en modo alguno responsable del hecho que dio lugar a los daños.

No obstante lo anterior, en la medida permitida por la legislación aplicable, toda responsabilidad derivada del presente Acuerdo de Encargo de Tratamiento se regirá por las limitaciones de responsabilidad (incluidos los límites cuantitativos de responsabilidad) establecidas en el Contrato de Suscripción y Uso de ServiceTonic Cloud.

  1. Finalización de los servicios

A la finalización de los servicios, el ENCARGADO DEL TRATAMIENTO eliminará o devolverá todos los datos personales, a elección del RESPONSABLE, salvo que exista una obligación legal de conservación.
El ENCARGADO DEL TRATAMIENTO continuará sujeto a las obligaciones de confidencialidad incluso después de la terminación de la relación contractual.

  1. Jurisdicción

El presente Acuerdo de Encargo de Tratamiento se regirá e interpretará conforme a la legislación aplicable, y las partes se someten a la jurisdicción exclusiva de los juzgados y tribunales de Barcelona, España.

Y en prueba de conformidad, las partes firman el presente Acuerdo en el lugar y fecha indicados a continuación.

Anexo 1

 Medidas Técnicas y Organizativas

El ENCARGADO DEL TRATAMIENTO implementará y mantendrá medidas técnicas y organizativas apropiadas destinadas a proteger los Datos Personales contra la destrucción, pérdida, alteración, divulgación o acceso no autorizados, ya sean accidentales o ilícitos, teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, alcance, contexto y finalidades del tratamiento.

Dichas medidas incluirán, cuando proceda:

  1. Control de acceso
  • El acceso a los Datos Personales está restringido al personal autorizado conforme al principio de necesidad de conocimiento.
  • Se implementan mecanismos de autenticación para el acceso a los sistemas que tratan Datos Personales.
  • El acceso administrativo está limitado exclusivamente al personal autorizado.
  • Los derechos de acceso se revisan periódicamente y se revocan tras la finalización de la relación laboral o cambio de funciones.
  1. Confidencialidad
  • El personal autorizado para tratar Datos Personales está sujeto a obligaciones de confidencialidad.
  • El personal recibe formación adecuada en protección de datos y concienciación en seguridad.
  1. Cifrado y transmisión de datos
  • Se utiliza cifrado para los Datos Personales transmitidos a través de redes públicas utilizando protocolos estándar del sector.
  • Se implementa cifrado en reposo de los datos.
  1. Seguridad de los sistemas
  • Los sistemas están protegidos mediante medidas de seguridad apropiadas, incluyendo firewalls, protección de endpoints y procedimientos de gestión de vulnerabilidades.
  • Los parches y actualizaciones de seguridad se aplican conforme a los procedimientos internos de seguridad.
  1. Disponibilidad y resiliencia
  • Se implementan procedimientos de copia de seguridad para garantizar la disponibilidad y recuperación de los Datos Personales.
  • Existen medidas para restaurar la disponibilidad y el acceso a los Datos Personales de forma oportuna en caso de incidente físico o técnico con un RTO de 4 horas y un RPO de 24 horas.
  1. Monitorización y gestión de incidentes
  • Se implementan mecanismos de registro y monitorización, para detectar eventos de seguridad y accesos no autorizados.
  • Los incidentes de seguridad y violaciones de seguridad de los Datos Personales se gestionan conforme a procedimientos documentados de respuesta ante incidentes.
  1. Gestión de proveedores y subencargados
  • Los subencargados contratados por el ENCARGADO DEL TRATAMIENTO están sujetos a obligaciones contractuales adecuadas de protección de datos y confidencialidad.
  • El ENCARGADO DEL TRATAMIENTO mantiene supervisión sobre el cumplimiento de los subencargados respecto de los requisitos aplicables de protección de datos.
  1. Minimización y conservación de datos
  • El tratamiento de Datos Personales se limita a lo necesario para la prestación de los Servicios contratados.
  • Los Datos Personales se conservan únicamente durante el tiempo necesario para cumplir las finalidades del tratamiento o según lo exija la legislación aplicable.
  1. Verificación y evaluación
  • El ENCARGADO DEL TRATAMIENTO revisa y evalúa periódicamente la eficacia de sus medidas técnicas y organizativas de seguridad.
  • El ENCARGADO DEL TRATAMIENTO podrá actualizar o modificar estas medidas periódicamente, siempre que dichas modificaciones no reduzcan de manera sustancial el nivel general de seguridad proporcionado a los Datos Personales.