Anexo Contrato encargado de tratamiento
1. Privacidad. –
1.1. Normativa aplicable general:
1.1.1. El Reglamento (UE) 2016/769 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE en adelante, Reglamento general de Protección de datos o GDPR.
1.1.2. La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
1.2. Normativas sectoriales aplicables
1.2.1. Ley de Servicios de la Sociedad de la Información
1.3. Ambas normativas obligan a suscribir acuerdos que regulen el tratamiento de datos personales en los casos en que un Tercero presta servicios a otro que implique acceso y/o tratamiento de datos personales que formen parte de los Sistemas del segundo.
1.4. Estas cláusulas dan cumplimiento a dicho mandato legal y seguidamente regulan los diferentes aspectos exigidos por dichas normativas.
2. Roles de privacidad. -
2.1. Las partes intervienen en el tratamiento de datos personales como los sujetos legales que a continuación se indica:
2.1.1. El proveedor actúa como ENCARGADO DEL TRATAMIENTO.
2.1.2. El cliente actúa como RESPONSABLE DEL TRATAMIENTO.
3. Objeto del Contrato. -
3.1. La finalidad del Tratamiento. –
3.1.1. Mediante las presentes cláusulas se habilita al ENCARGADO DEL TRATAMIENTO, para tratar por cuenta del RESPONSABLE DEL TRATAMIENTO, los datos de carácter personal necesarios para prestar el servicio estipulado: alojamiento web y otros complementarios a través de Internet, tales como; webmail; hosting web; streaming de radio o video y otros análogos.
3.2. Identificación de la información afectada
3.2.1. Datos tratados:
3.2.1.1. Datos de cliente
3.2.1.1.1. Identificativos: Nombre y apellidos, correo electrónico, móvil o teléfono, dirección postal, NIF, IP, MAC.
3.2.1.1.2. Metadatos: Navegador usado; Sistema Operativo utilizado; Horas y ubicación de acceso; otros análogos.
3.2.1.1.3. Financieros: Cuenta bancaria.
3.2.1.2. Datos alojados:
3.2.1.2.1. Los almacenados por el cliente cuando este utiliza los servicios de alojamiento web, tales como; webmail; hosting web; streaming de radio o video y otros análogos en la información que el cliente cargue al sistema propia o de terceros.
3.2.2. Categorías de interesados:
3.2.2.1. Datos de clientes: los clientes
3.2.2.2. Datos alojados: tantas categorías como tipos almacenen los clientes.
3.2.3. Operaciones de tratamiento autorizadas:
3.2.3.1. Comunicación
3.2.3.2. Conservación/almacenamiento
3.2.3.3. Copia
3.2.3.4. Cifrado
4. Duración. -
4.1. Por defecto, de carácter indefinida y, en todo caso, la misma que la que tenga la relación contractual principal de la que deriva el presente acuerdo.
5. Lugar. –
5.1. El presente contrato se celebra en Madrid con renuncia a cualquier otro fuero que pueda asistir a alguna de las partes.
5.2. Subsidiariamente, para el caso en que no resulte aplicable lo anterior, el fuero determinado por la Ley.
6. Obligaciones del Responsable. -
6.1. Asegurarse de que los datos que cede al Encargado del Tratamiento han sido recogidos por medios leales y lícitos, según los principios rectores de la normativa de datos personales y se mantienen actualizados y veraces.
6.2. Entregar al Encargado los datos precisos para la prestación de los servicios contratados.
6.3. Realizar una evaluación del impacto en los datos personales de las operaciones de tratamiento a realizar por el encargado, en los casos en que así proceda.
6.4. Realizar las consultas previas que corresponda.
6.5. Velar, de forma previa y durante todo el tratamiento, por el cumplimiento del RGPD por parte del encargado.
6.6. Supervisar el tratamiento, incluida la realización de inspecciones y auditorías.
6.7. Facilitar el derecho de información en el momento de recogida de los datos.
7. Obligaciones del Encargado. -
7.1. El Encargado del Tratamiento asume todas las obligaciones establecidas en el Reglamento (UE) 2016/769 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, Reglamento general de Protección de datos o GDPR), la Ley Orgánica de Protección de Datos de Carácter Personal y demás normativa que resulten aplicables, su normativa de desarrollo; así como las que deriven de las estipulaciones que se regulan en el presente contrato y, en particular, lo hará conforme a las siguientes exigencias:
7.2. Finalidad e instrucciones
7.2.1. El ENCARGADO DEL TRATAMIENTO única y exclusivamente tratará los datos facilitados por el Responsable del Tratamiento con la finalidad de prestarle los servicios que forman parte de la RELACIÓN CONTRACTUAL PRINCIPAL que mantiene con el RESPONSABLE DEL TRATAMIENTO.
7.2.2. La relación de nuevos servicios o la identificación de nuevos usos o finalidades de utilización de los datos exigirá un nuevo acuerdo de las partes y/o una actualización del presente contrato.
7.2.3. En ningún caso podrá utilizar datos para fines propios.
7.2.4. Si el Encargado del Tratamiento considera que alguna de las instrucciones del Responsable del Tratamiento infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, el encargado le informará inmediatamente.
7.3. Registro de Actividad
7.3.1. Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas que contenga:
7.3.1.1. El nombre y los datos de contacto del Encargado o Encargados y de cada Responsable por cuenta del cual actúe el Encargado y del representante del Responsable o del Encargado y del Delegado de Protección de Datos.
7.3.1.2. Las categorías de tratamientos efectuados por cuenta de cada Responsable.
7.3.1.3. En su caso, las transferencias de datos personales a terceros países u organizaciones internacionales, incluidas las identificaciones de dichos terceros países u organizaciones internacionales y, en el caso de las transferencias indicadas en el artículo 40 apartado 1, párrafo segundo del RGPD, la documentación de garantías adecuadas.
7.3.1.4. Una descripción general de las medidas técnicas y organizativas de seguridad adoptadas relativas a:
7.3.1.4.1. La seudonimización y el cifrado de datos personales.
7.3.1.4.2. La confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
7.3.1.4.3. Las directrices para restaurar la disponibilidad a los datos personales de forma rápida, en caso de incidente físico.
7.3.1.4.4. El procedimiento de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
7.4. Cesiones a Terceros
7.4.1. No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del Responsable del Tratamiento, en los supuestos legalmente admisibles.
7.4.2. El Encargado puede comunicar los datos a otros Encargados del Tratamiento del mismo Responsable, de acuerdo con las instrucciones del Responsable. En este caso, el Responsable identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación.
7.4.3. Si el Encargado debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, informará al Responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público.
7.5. Subcontratación
7.5.1. Se autoriza al Encargado a subcontratar los servicios auxiliares necesarios para sostener la estructura general del Encargado del Tratamiento, por ejemplo: servicios de telecomunicaciones, mantenimiento de hardware, externalización de obligaciones tributarias, contables y sociales; limpieza, auditoría financiera y otras análogas. Todo ello, sin perjuicio de que el Encargado del Tratamiento deberá suscribir los correspondientes contratos de Encargado de Tratamiento con tales subcontratas.
7.5.2. En cambio, si para la prestación del servicio que se facilita al Responsable del Tratamiento, el Encargado del Tratamiento precisa subcontratar medios o servicios directamente necesarios con los que son objeto del contrato principal, entonces deberán ser autorizados previamente por el Responsable del Tratamiento de manera expresa y por escrito, ya se trate de personas jurídicas o físicas (autónomos), que deberán quedar identificados por su nombre o razón social, así como el servicio concretamente subcontratado que prestan. Todo ello, previamente a su intervención en la prestación del servicio al Responsable del Tratamiento.
7.5.3. Los proveedores subcontratados que prestan servicios directamente relacionados con el tratamiento de datos del servicio suscrito, que quedan autorizados al suscribir el servicio, se encuentran relacionados en el Anexo I.
7.5.4. En cualquier caso, el subcontratista, que también tiene la condición de Encargado del Tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el Encargado del Tratamiento y las instrucciones que dicte el Responsable. Corresponde al Encargado inicial regular la nueva relación, de forma que el nuevo Encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, el Encargado inicial seguirá siendo plenamente responsable ante el responsable en lo referente al cumplimiento de las obligaciones.
7.6. Secreto
7.6.1. El ENCARGADO DEL TRATAMIENTO tiene la obligación de mantener el deber de secreto respecto a los datos personales a los que tenga acceso, incluso después de que finalice el objeto del presente encargo.
7.6.2. Solamente tratarán los datos de los ficheros aquellos empleados del Encargado de Tratamiento que tengan entre sus funciones el cumplimiento de la prestación prevista en este contrato y no pudieran cumplir sus obligaciones sin tener acceso a los mismos. Dichas personas deberán observar la obligación legal de confidencialidad.
7.6.3. Además, el ENCARGADO DEL TRATAMIENTO deberá:
7.6.3.1. Encargarse de que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente.
7.6.3.2. Mantener a disposición del RESPONSABLE DEL TRATAMIENTO la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior.
7.6.3.3. Encargarse de la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.
7.7. Asistencia al RESPONSABLE DEL TRATAMIENTO en el ejercicio de Derechos por Terceros
7.7.1. El ENCARGADO DE TRATAMIENTO deberá asistir al Responsable del Tratamiento en el ejercicio de los derechos de:
7.7.1.1. Acceso, rectificación, supresión y oposición.
7.7.1.2. Limitación del tratamiento.
7.7.1.3. Portabilidad de datos.
7.7.1.4. A no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles).
7.8. Notificación de violaciones de la seguridad de los datos
7.8.1. El ENCARGADO DEL TRATAMIENTO notificará al RESPONSABLE DEL TRATAMIENTO, sin dilación indebida y, en cualquier caso, antes del plazo máximo de SIETE DÍAS NATURALES a través de correo electrónico, las violaciones de la seguridad de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia.
7.8.2. No será necesaria la notificación cuando sea improbable que dicha violación de seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.
7.8.3. En el caso de tener que notificarse, si se dispone de ella, se facilitará, como mínimo, la siguiente información:
7.8.3.1. Descripción de la naturaleza de la violación de los datos personales, inclusive, cuando sea posible, el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
7.8.3.2. El nombre y los datos de contacto del delegado de datos o de otro punto de contacto en el que pueda obtenerse más información.
7.8.3.3. Descripción de las posibles consecuencias de la vulneración de la seguridad de los datos personales.
7.8.3.4. Descripción de las medidas adoptadas para poner remedio a la violación de la seguridad de los datos, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
7.8.3.5. Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.
7.9. Evaluaciones de impacto
7.9.1. Dar apoyo al Responsable del Tratamiento en la realización de las evaluaciones de impacto relativas a la protección de datos, cuando proceda.
7.10. Control y Auditoría
7.10.1. Poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realice el responsable u otro auditor autorizado por él.
7.11. Medidas de Seguridad
7.11.1. El ENCARGADO DEL TRATAMIENTO queda obligado a implantar y observar, como mínimo, las medidas de seguridad relativas a los aspectos siguientes:
7.11.1.1. La confidencialidad y resiliencias permanentes de los sistemas y servicios de tratamiento.
7.11.1.2. La disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
7.11.1.3. La verificación, evaluación y valoración, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para la seguridad del tratamiento.
7.11.1.4. La seudonimización y cifrado de los datos personales, según los supuestos en que así proceda.
7.11.1.5. Las medidas de seguridad concretas, adoptadas se describen en el Anexo II de Medidas de Seguridad.
7.11.1.6. El RESPONSABLE DEL TRATAMIENTO podrá proponer otras medidas que puedan resultar de la Evaluación de Riesgos, antes de la contratación del servicio.
7.11.1.7. Sin perjuicio de todo ello, el ENCARGADO DEL TRATAMIENTO no puede dar una garantía absoluta y total sobre la inexistencia violaciones de seguridad causadas por terceros.
7.12. Destino de los Datos al finalizar el servicio
7.12.1. Al finalizar el servicio, el ENCARGADO DEL TRATAMIENTO destruirá los datos que consten digital o analógicamente, salvo que el Responsable del Tratamiento disponga su conservación a través de las opciones de configuración de su panel de administración de cliente.
7.12.2. No obstante, incluso en el caso de destrucción, el Encargado del Tratamiento podrá conservar una copia, con los datos debidamente bloqueados, por los plazos legales aplicables por los que no hayan prescrito cualesquiera responsabilidades derivadas de la prestación del servicio.
7.12.3. El Responsable del Tratamiento puede descargarse copias de sus datos de cliente y de la información almacenada en el sistema del servicio mediante las opciones dispuestas a tal efecto en el panel de administración del Responsable del Tratamiento.
8. Protección de datos personales. –
8.1. Ambas partes, en relación con los datos personales contenidos en este contrato, se dan por notificadas de que:
8.1.1. Cada parte actúa como RESPONSABLE DEL TRATAMIENTO respecto a los datos personales de que cada contraparte interviene. Los datos de cada uno figuran en la cabecera de este contrato.
8.1.2. Que la finalidad del tratamiento de los datos es dar cumplimiento a este contrato.
8.1.3. Que la legitimación para el tratamiento de los datos tiene su origen en este contrato.
8.1.4. Que no se cederán datos a terceros salvo amparo legal.
8.1.5. Los titulares de los datos podrán ejercer los siguientes derechos: a) Obtener confirmación sobre si están tratando sus datos o no; b) la rectificación de los datos en los supuestos legales; b) Solicitar la supresión de datos cuando, entre otros motivos, los datos ya no sean necesarios para los fines por los que han sido recogidos; c) Requerir la limitación de su tratamiento en ciertas circunstancias; en cuyo caso, únicamente se conservarán para el ejercicio o defensa de reclamaciones; d) Oponerse a su tratamiento, en determinadas circunstancias o siempre que su tratamiento no esté amparado por motivos legítimos imperiosos del RESPONSABLE DEL TRATAMIENTO o por el ejercicio o la defensa de posibles reclamaciones.
8.1.6. La efectividad de los derechos indicados en el apartado anterior quedará condicionada, en todo caso, a la sujeción de tales derechos a las demás normas jurídicas que puedan resultar concurrentes y aplicables en la situación jurídica afectada por el derecho ejercitado en cada caso. Tales derechos los podrá ejercitar el titular de los datos mediante petición escrita adjuntando copia del Documento Nacional de Identidad, Pasaporte o documento equivalente (en el caso de actuar mediante representante, deberá acreditarse la autorización con que cuenta éste), expresando los datos afectados y el tipo de los derechos indicados que se ejercita, dirigida a las direcciones o medios de contacto del RESPONSABLE DEL TRATAMIENTO que proceda según quién los ejercite y que figuran en la cabecera de este contrato.
8.1.7. Los datos se conservarán por el tiempo necesario para la prestación del servicio y aún después, debidamente bloqueados, mientras no se solicite la supresión por el interesado, así como durante todo el tiempo legal necesario para responder por cualquier reclamación derivada del servicio prestado.
8.1.8. Se observarán las medidas necesarias, cualquiera que sea su naturaleza, para garantizar el cumplimiento de los requisitos legalmente establecidos en materia de seguridad, confidencialidad e integridad en le tratamiento de datos de carácter personal.
9. LEY y FUERO. –
9.1. El presente contrato se regirá e interpretará de conformidad con la legislación española y europea aplicables.
9.2. Ambas partes, con renuncia a cualquier otro fuero que pudiera corresponderles, se someten a la competencia exclusiva de la Jurisdicción de los Juzgados y Tribunales del partido judicial donde esté radicada la localidad que se indica en este contrato para resolver todo conflicto o cuestión que surja o esté relacionado con el mismo.
Anexo I – Subcontratados 2019/05/20
| Proveedor |
Servicio |
| Aspa Cloud, S.L. |
Proveedor europeo de servicios de centros de datos de colocación y operador neutral y en la nube. Centro de datos GlobalSwtich en Madrid. |
| InterXion Holding NV |
Proveedor europeo de servicios de centros de datos de colocación y operador neutral y en la nube. Interxion Centro Datos en Madrid.- |
| PCore Datacenter SL |
Proveedor europeo de servicios de centros de datos de colocación y operador neutral y en la nube. Centro de datos en Madrid. |
| Infusion Software, Inc. |
Plataforma de ventas y marketing por correo electrónico para empresas para administrar y optimizar el ciclo de vida del cliente. |
| Hosting Concepts B.V. |
Distribuidor de registros de dominios. |
| Asesoría Antonio Pérez, S.L. |
Asesoría laboral, fiscal y contable. |
| Cloudflare, Inc. |
Plataforma que gestiona la entrega de contenido, servicios de seguridad de Internet y servicios de servidores de nombres de dominio distribuidos, localizados entre el visitante y el proveedor de alojamiento, y que actúan como proxy inverso para sitios web. Ver DPA. |
| Ucelay Abogados, S.L.P.U. |
Asesoramiento en protección de datos, contratos y derecho corporativo en general. DPD de Profesional Hosting |
| MailJet |
Plataforma de ventas y marketing por correo electrónico para empresas para administrar y optimizar el ciclo de vida del cliente. Puede consultar su politica de privacidad y cumplimiento de la RGPD, dicha entidad esta acojida a "Privacy Shield" en el siguiente enlace: https://es.mailjet.com/seguridad-y-privacidad/ |
| Red.es |
Plataforma de gestión de dominios .es, .com.es .org.es. |
Anexo II - Medidas de Seguridad
1. En relación a los proveedores en la nube que utilizamos:
1. Son homologados legalmente de forma previa para asegurarnos de que cumplen con la normativa de privacidad.
2. Verificamos que cumplen con los estándares de seguridad más exigentes según cada nivel de protección aplicable.
2. Confidencialidad permanente de los sistemas y servicios de tratamiento.
1. Solamente el personal autorizado puede acceder a los datos personales tratados.
2. El personal solamente puede acceder a los datos personales correspondientes a la naturaleza de las funciones desempeñadas.
3. La comunicación de datos entre cliente y servidor se produce mediante protocolos HTPPS o certificados SSL.
4. Protección con Contraseña de Directorios mediante factores de doble autenticación y autenticación mediante llaves físicas.
5. Nos apoyamos en redes VPN para crear conexiones seguras entre nuestros ordenadores remotos.
3. Resiliencia permanente de los sistemas y servicios de tratamiento.
1. Usamos sistemas de detección de intrusiones de red
2. Adoptamos medidas de hardening para minimizar vulnerabilidades en el servidor
3. Los sistemas que tratan la información están protegidos
1. Contra ataques DDOS.
2. Por firewalls
3. Por bloqueadores de IP maliciosas
4. Sistemas antivirus, alertas y sandboxing que se activan ante casos de posible entrada de Malware:
1. En caso de que un atacante infecte el sistema de un cliente, se detectará y aislará para que se extienda.
2. En dicho caso, además, se enviarán los archivos infectados a cuarentena y se avisará al cliente para que los sustituya o revise al efecto de poder remover el código malicioso.
5. Prevención:
1. Sometemos nuestros procesos a auditorías de seguridad periódicas.
2. Sujetamos nuestros sistemas a pruebas de hacking ético. Disponemos de nuestro propio equipo rojo de seguridad.
4. Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
1. Usamos tecnologías para facilitar una rápida y flexible restauración de los sistemas e informaciones respaldados.
2. Utilizamos sistemas de redundancia de nuestra infraestructura (no de los contenidos alojados por nuestros clientes), para permitir una disponibilidad total del servicio prestado.
3. Compromiso SLa para ofrecer una disponibilidad de servicio cercana al 99% en el último ejercicio económico (https://www.profesionalhosting.com/contratos/sla.html).
5. Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para la seguridad del tratamiento.
1. Llevamos a cabo las actualizaciones, correcciones de errores y parches de seguridad de los sistemas.
2. Ejecutamos análisis periódicos de la seguridad de los servidores.
3. Procesos de pruebas previas a la actualización.
4. Los scripts que se ofrecen para su instalación semi automatizada, adoptan medidas de seguridad por defecto manualmente reversibles. En el caso de Wordpress, por ejemplo:
1. Seguridad del directorio wp-includes
2. Seguridad del directorio wp-content/uploads
3. Desactivada concatenación de scripts para el panel del administrador de WordPress
4. Desactivada por defecto la función de pingbacks
5. Protección contra Hotlink
6. Desactivada edición de archivos en el panel de información de WordPress
7. Protección de bots
8. Bloqueado el acceso a archivos potencialmente confidenciales
9. Bloqueado el acceso a .htaccess y .htpasswd
10. Bloqueado análisis author
11. Permisos exigidos para acceder a los archivos y directorios
12. Claves de seguridad adicionales
13. Permisos para la exploración de directorios
14. Seguridad del archivo de configuración
15. Desactivada la ejecución de PHP en directorios de la caché
16. Prefijo de la tabla de la base de datos
17. Bloquear el acceso a archivos confidenciales
18. Nombre de usuario del administrador
6. Seudonimizar y cifrar los datos personales.
1. Las estadísticas y analíticas de los sistemas se recaban y tratan de forma anonimizada.
2. La información salvaguardada en nuestros dispositivos está cifrada con el máximo nivel de protección.