Contrato de Acceso a Datos de Carácter Personal
Contrato de Acceso a Datos de Carácter Personal
1. Introducción.
1.1. Mediante este documento, “CLIENTIFY, SL”, con domicilio social en Almería (España), calle Padre Xxxxx, número 1, 1-Izquierda, 04001; con dirección de correo electrónico de contacto a los efectos de este contrato en xxxx@xxxxxxxxx.xxx y con CIF X-00000000 como titular de los Sitio Web xxxxxxxxx.xxx y xxxxxxxxx.xxx y de la aplicación denominada “CLIENTIFY®” (en adelante, la “APLICACIÓN”) pone en conocimiento de todas las personas interesadas en obtener una Licencia de Uso de la APLICACIÓN las condiciones de Acceso a Datos de Carácter Personal derivadas del uso de la misma cuya aceptación simultánea, íntegra y expresa es imprescindible para obtener la licencia de uso y para la posterior utilización de la APLICACIÓN.
1.2. A efectos de este documento, se considera RESPONSABLE DE LOS DATOS DE CARÁCTER PERSONAL (en adelante, el RESPONSABLE), a la persona física o jurídica titular de una Licencia de Uso de la APLICACIÓN cuya efectiva utilización pueda implicar el tratamiento de datos de carácter personal de los que es titular del RESPONSABLE.
1.3. A efectos de este documento, se considera ENCARGADO DEL TRATAMIENTO DE LOS DATOS DE CARÁCTER PERSONAL (en adelante, el ENCARGADO), a la entidad “CLIENTIFY, SL”, la cual concede al RESPONSABLE una Licencia de Uso de la APLICACIÓN.
1.4. El contrato de Licencia de Uso de la APLICACIÓN que se formaliza en este acto entre las partes conlleva una prestación de servicios por parte del ENCARGADO, consistente en la gestión de determinados aspectos de gestión interna del RESPONSABLE para la mejora de los cauces de información y gestión comercial de su actividad, la cual se regula por las Condiciones Generales de Contratación de CLIENTIFY® a las que el RESPONSABLE declara haber accedido en la página web xxxxx://xxxxxxxxx.xxx/xxxxxxxxxxx-xxxxxxxxx-xx-xxxxxxxxxxxx; y que puede implicar el tratamiento de datos de carácter personal de los que es titular del RESPONSABLE.
1.5. Al objeto de dar cumplimiento a lo dispuesto en el artículo 28 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 xx xxxxx de 2016, (en lo sucesivo, RGPD), y a la LOPD-GDD 3/2018, de 5 de diciembre, mediante el presente documento, cuya aceptación por parte del RESPONSABLE le confiere naturaleza contractual y forma parte integrante del Contrato de Licencia de Uso de la APLICACIÓN que se formaliza en documento aparte, se regula el acceso, por parte del ENCARGADO, a datos de carácter personal de los que es titular el RESPONSABLE, con sujeción a las siguientes,
E S T I P U L A C I O N E S
2. Objeto del encargo del tratamiento. Mediante este contrato el RESPONSABLE habilita al ENCARGADO, para tratar los datos de carácter personal de los que aquél es titular, los cuales son necesarios para prestar el servicio objeto del contrato de Licencia de Uso de la APLICACIÓN que se formaliza en documento aparte.
Concreción de los tratamientos a realizar:
X Recogida | X Comunicación | X Cifrado |
X Estructuración X Extracción | X Destrucción | X Conservación |
3. Identificación de la información afectada. Para la ejecución de las prestaciones de servicios derivadas del cumplimiento del objeto de este contrato, el RESPONSABLE pone a disposición del ENCARGADO la información que se describe a continuación:
Los almacenados/volcados por el RESPONSABLE cuando utiliza la APLICACIÓN, tales como; datos de usuarios, empleados, proveedores, clientes, comunicaciones, avisos y citas, gestión de email, agenda de contactos, y otros análogos en la información que el RESPONSABLE cargue en el sistema, propia o de terceros. Datos de carácter identificativo [Nombre y Apellidos, DNI, Nº SS, Dirección, Teléfono, Firma/Huella, Imagen/Voz] Características personales Estado civil; Edad; Datos familia; Sexo; Fecha y lugar de nacimiento; Nacionalidad; Idioma] Datos económico-financieros y de seguros [Ingresos, rentas; contratos; Datos bancarios, Datos económicos de nómina; Tarjetas crédito]
Categoría de interesados: Datos de clientes: los clientes, proveedores, colaboradores, otros, y Datos alojados en la APLICACIÓN: tantas categorías como tipos de tratamientos almacene el RESPONSABLE.
4. Duración. Este contrato permanecerá vigente mientras el ENCARGADO preste al RESPONSABLE los servicios regulados en el Contrato de Licencia de Uso de la APLICACIÓN. Una vez finalizado el referido contrato, el ENCARGADO debe suprimir los datos de carácter personal y suprimir cualquier copia que esté en su poder.
5. Obligaciones del ENCARGADO.
5.1. Con carácter general, observar cuantas disposiciones, medidas organizativas y técnicas fuesen necesarias y ejecutar todos aquellos actos exigibles o simplemente recomendables para dar un cumplimiento estricto a las obligaciones que le correspondan, de acuerdo con la legislación vigente y con las buenas prácticas del sector, como ENCARGADO de datos de carácter personal titularidad del RESPONSABLE.
5.2. Acceder a los datos de carácter personal titularidad del RESPONSABLE y utilizar los datos de carácter personal objeto de tratamiento, o los que recoja para su inclusión, únicamente para la finalidad objeto de este encargo, siempre de acuerdo con las instrucciones que facilite el RESPONSABLE. En ningún caso, podrá utilizar los datos para fines propios.
5.3. No ceder ni comunicar, en ningún caso, a terceras personas, los datos de carácter personal titularidad del RESPONSABLE a los que tenga acceso, ni tan siquiera a efectos de su conservación, así como tampoco permitir ningún tipo de acceso a los mismos por parte de terceros.
5.4. Llevar, por escrito un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del RESPONSABLE, con el contenido mínimo establecido en el artículo 30 del RGPD.
5.5. No comunicar los datos de carácter personal a terceras personas, salvo que cuente con la autorización expresa del RESPONSABLE, en los supuestos legalmente admisibles. Si el ENCARGADO debe transferir datos de carácter personal a un tercer país o a una organización internacional, en virtud del Derecho de la UE o de los Estados miembros que le sea aplicable, informará al RESPONSABLE de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones de interés público.
5.6. Mantener el deber xx xxxxxxx respecto a los datos de carácter personal a los que haya tenido acceso en virtud de este contrato, incluso después de que finalice su objeto.
5.7. Garantizar que los datos de carácter personal sean tratados, únicamente, por aquellos empleados o, en su caso, colaboradores y subcontratistas, cuya intervención sea precisa para la finalidad contractual, que deberán haber recibido la formación necesaria en materia de protección de datos, garantizando la confidencialidad de los datos, así como que las personas de su empresa o, en su caso, colaboradores y subcontratistas, que accedan a ellos también hayan asumido dicha obligación de forma expresa y por escrito, junto con el compromiso de cumplimiento de las medidas de seguridad correspondientes.
5.8. Mantener a disposición del RESPONSABLE la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior.
5.9. Asistir al RESPONSABLE en la respuesta al ejercicio de los derechos de:
● Acceso, rectificación, supresión y oposición,
● Limitación del tratamiento,
● Portabilidad,
● a no ser objeto de decisiones individualizadas automatizadas -incluida la elaboración de perfiles-.
Cuando las personas afectadas ejerzan los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas, ante el ENCARGADO, éste debe comunicarlo por correo electrónico. La comunicación debe hacerse de forma inmediata y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud.
5.10. Derecho de información. Corresponde al RESPONSABLE facilitar el derecho de información en el momento de la recogida de los datos.
5.11. Notificación de Violaciones de Seguridad. El ENCARGADO notificará al RESPONSABLE, sin dilación indebida, y en cualquier caso antes del plazo máximo de veinticuatro (24) horas, y a través de correo electrónico, las violaciones de la seguridad de los datos de carácter personal a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia. No será necesaria la notificación cuando sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si se dispone de ella se facilitará, como mínimo, la información siguiente:
● Descripción de la naturaleza de la violación de la seguridad de los datos de carácter personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos de carácter personal afectados;
● El nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información;
● Descripción de las posibles consecuencias de la violación de la seguridad de los datos de carácter personal; y
● Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos de carácter personal, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.
Corresponde al ENCARGADO comunicar en el menor tiempo posible las violaciones de la seguridad de los datos a los interesados, cuando sea probable que la violación suponga un alto riesgo para los derechos y las libertades de las personas físicas. La comunicación debe realizarse en un lenguaje claro y sencillo y deberá, como mínimo:
● Explicar la naturaleza de la violación de datos;
● Indicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información;
● Describir las posibles consecuencias de la violación de la seguridad de los datos de carácter personal;
● Describir las medidas adoptadas o propuestas por el RESPONSABLE para poner remedio a la violación de la seguridad de los datos de carácter personal, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
5.12. Dar apoyo al RESPONSABLE en la realización de:
● Las evaluaciones de impacto relativas a la protección de datos, cuando proceda y
● de las consultas previas a la autoridad de control, cuando proceda.
5.13. Poner disposición del RESPONSABLE toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el RESPONSABLE u otro auditor autorizado por él.
5.14. Implantar las siguientes medidas de seguridad. En todo caso, el ENCARGADO deberá implantar mecanismos para:
● Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
● Restaurar la disponibilidad y el acceso a los datos de carácter personal de forma rápida, en caso de incidente físico o técnico;
● Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento;
● Seudonimizar y cifrar los datos de carácter personal, en su caso.
5.15. Designar un delegado de protección de datos, si procede, y comunicar al RESPONSABLE su identidad y datos de contacto, en este sentido, el contacto con el DPO designado de forma oficial ante la AEPD es: Email: xxx@xxxxxxxxx.xxx Dirección: X/ Xxxxx Xxxxx, Xx 0, 0x-Xxxxxxxxx; 00000 – Almería.
5.16. Subcontratación. Si fuera necesario subcontratar algún tratamiento, este hecho se deberá comunicar previamente y por escrito al RESPONSABLE, con una antelación mínima de cinco (5) días, indicando los tratamientos que se pretende subcontratar e identificando, de forma clara e inequívoca, la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el RESPONSABLE no manifiesta su oposición en el plazo establecido.
Una vez evaluada su idoneidad y seguridad RGPD, se autoriza al ENCARGADO a subcontratar con las empresas las prestaciones que comporten los tratamientos siguientes:
● Amazon Web Services: (xxxxx://xxx.xxxxxx.xxx/xx/xxxxxxxxxxxxxx/xxxxxxxxx-xxxxxx/xxxx-xxxxxxxxxx/)
● Digital Ocean: alojamiento de los Servidores (xxxxx://xxx.xxxxxxxxxxxx.xxx/xxxxx/xxxxxxxxxxxxxx/)
● PayPal + Stripe: pasarela pagos. xxxxx://xxx.xxxxxx.xxx/xx/xxxxxxx/xxx/xx/xxxxxxx-xxxx?xxxxxx.xxxx_XX
● Intercom App: CRM Interno de gestión xxxxx://xxx.xxxxxxxx.xxx/xxxxxxxx
● Google Analytics: analítica web de la empresa Google xxxxx://xxx.xxxxxxxxx.xxx/xx/xxxxxx-xxxxxxxxx-xxxx/
● G-Suite (Google): paquete de aplicaciones Google xxxxx://xxxxx.xxxxxx.xxx/xxxxxxxx/xxxx?xxxxx
● Fullcontact: enriquecimiento de contactos y empresas: xxxxx://xxx.xxxxxxxxxxx.xxx/xxxxxxx/xxxx-xxxx/
● Elasticemail: servidores de envío de correo xxxxx://xxxxxxxxxxxx.xxx/xxxx/xxxxxxx/xxxx-xxxxxxxxx-xxxxx
● Sendgrid: servidores de envío correo. xxxxx://xxxxxxxx.xxx/xxxxxxxx/xxxxxxx-xxxx-xxxxxxxxxx-xxxxxxxxxx-0/
● ACV Asesores: servicios fiscales, financieros y contables. xxxxx://xxx.xxxxxxxxxxx.xxx/xxxxx-xxxxx/#xxxx
● Masalbe Servicios Globales, S.L.: DPO Externo designado. xxxxx://xxxxxxx.xxx/xxxxxxxxxx
● Trideco Asesores, SLP: Servicios de asesoramiento legal. xxxx@xxxxxxx.xxx
● Quaderno: herramienta de facturación. xxxxx://xxxxxxxx.xx/xx/xxxxx/xxxxxxxxxx/
● Gocardless: App domiciliaciones. xxxxx://xxxxxxx.xxxxxxxxxx.xxx/xx/xx/xxxxxxxx/000000000000-XxXxxxxxxx-x-xx-XXXX#0.0
Para subcontratar con otras empresas, el ENCARGADO debe comunicarlo por escrito al RESPONSABLE, identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el RESPONSABLE no manifiesta su oposición en el plazo xx XXXX (10) días.
El subcontratista, que también tendrá la condición de ENCARGADO, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el ENCARGADO y las instrucciones que dicte el RESPONSABLE. Corresponde al ENCARGADO inicial regular la nueva relación de forma que el nuevo ENCARGADO quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos de carácter personal y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, el ENCARGADO inicial seguirá siendo plenamente responsable ante el RESPONSABLE en lo referente al cumplimiento de las obligaciones.
5.17. Destino de los datos. El ENCARGADO se compromete, tras la extinción del contrato de Licencia de Uso de la APLICACIÓN, por la causa que fuese, a destruir los datos, una vez cumplida la prestación. Una vez destruidos, el ENCARGADO debe certificar su destrucción por escrito y debe entregar el certificado al RESPONSABLE.
No obstante, el ENCARGADO puede conservar una copia, con los datos debidamente boqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación.
6. Obligaciones del RESPONSABLE.
6.1. Entregar al ENCARGADO los datos a los que se refiere la Estipulación 3. de este contrato.
6.2. Realizar una evaluación del impacto en la protección de datos de carácter personal de las operaciones de tratamiento a realizar por el ENCARGADO, si procede.
6.3. Realizar las consultas previas que corresponda.
6.4. Velar, de forma previa y durante todo el tratamiento, por el cumplimiento del RGPD por parte del ENCARGADO.
6.5. Supervisar el tratamiento, incluida la realización de inspecciones y auditorías.
7. Responsabilidad del ENCARGADO.
7.1. El ENCARGADO será considerado RESPONSABLE en el caso de que destine los datos a otra finalidad, los comunique o los utilice, incumpliendo este contrato. En estos casos, el ENCARGADO responderá de las infracciones en que hubiera incurrido personalmente.
7.2. El ENCARGADO indemnizará al RESPONSABLE por los daños y perjuicios que pudieran resultar del incumplimiento de las obligaciones contraídas en virtud del presente contrato. La responsabilidad del ENCARGADO incluirá, además del importe de cualquier sanción administrativa y/o resolución judicial condenatoria que pudiera resultar contra el RESPONSABLE como resultado del incumplimiento por parte del ENCARGADO de la normativa vigente en materia de protección de datos y de las obligaciones exigidas en este contrato.
8. Datos de Carácter Personal de los Signatarios del Contrato: Los datos de carácter personal del RESPONSABLE y del ENCARGADO serán incorporados a los respectivos Registros de Actividades de Tratamiento (RAT) de cada uno de ellos, con la finalidad del mantenimiento de la relación contractual establecida en este contrato. Los afectados, cuyos datos de carácter personal se integren en los referidos RAT podrán ejercitar sus derechos de acceso, rectificación, supresión, limitación, olvido y oposición, dirigiéndose por escrito, junto con copia de documento que acredite su identidad al correspondiente responsable, designándose por el ENCARGADO como domicilio a tales efectos la dirección de correo electrónico indicada en el contrato de Licencia de Uso. Los signatarios se comprometen y obligan a comunicar de forma inmediata cualquier modificación de sus datos de carácter personal a fin de que la información contenida en los tratamientos de cada parte esté, en todo momento, actualizada y no contenga errores. El RESPONSABLE podrá mantener sus datos de carácter personal con posterioridad a la terminación de la relación mercantil y hasta el plazo de prescripción legalmente establecido. La finalidad de la recogida de los datos de carácter personal de los signatarios del contrato es la de desarrollar, cumplir y controlar la relación jurídica de carácter mercantil que se formaliza entre el RESPONSABLE y el ENCARGADO en este contrato. En particular, a los efectos de lo previsto en el RGPD, el ENCARGADO consiente expresamente en que sus datos puedan ser comunicados por el RESPONSABLE a empresas colaboradoras y a la administración pública con la finalidad del mantenimiento de esta relación contractual.
9. Ley aplicable y jurisdicción. El RESPONSABLE y el ENCARGADO, con renuncia expresa a cualquier otro fuero que pudiera corresponderles, se someten, para dirimir cuantas cuestiones o controversias se pudieran suscitar en relación con la interpretación, ejecución o cumplimiento del presente contrato, a la legislación española y a la competencia y Jurisdicción de los Juzgados y Tribunales de la ciudad de Almería (España).
0
17.4. Contacto: En caso de necesitar alguna aclaración sobre la presente Política de Privacidad, desee formular alguna cuestión o reclamación, o ejercicio de derechos, por favor diríjase por escrito a nuestro Responsable de seguridad interno, o a nuestro DPO a través de la siguiente dirección de correo electrónico: xxx@xxxxxxxxx.xxx indicando en el asunto: “Protección de Datos”.
Redacción de Política de Privacidad actualizada y revisada a 12 xx xxxx de 2022.