Contrato de Tratamiento de Datos

El presente Contrato de Tratamiento de Datos (en lo sucesivo, “Contrato” o “CTD”) se celebra entre usted, en su calidad de

• Responsable del tratamiento

e

iubenda s.r.l.
Via San Raffaele, 1
20121 Milán
Italia

representante legal, Andrea Giannangelo

• Encargado del tratamiento

---

1. Objeto, contrato principal y plazo

El objeto del Acuerdo se deriva del contrato principal suscrito por las partes para la prestación del servicio de iubenda (“Contrato principal”). El Encargado del tratamiento llevará a cabo las actividades de tratamiento descritas en el presente Contrato

• en relación con las siguientes categorías de Datos Personales:

  • datos de contacto y comunicación;
  • datos relativos al pago con fines de facturación;
  • datos proporcionados por el usuario cuando emplea el generador, incluyendo datos sobre la sociedad y datos personales de directivos y empleados clave;
  • datos proporcionados a los efectos del producto de Registro de las Actividades de Tratamiento;
  • datos referidos al uso de la página web de iubenda, como los datos relativos al soporte técnico, estadísticas, etc.;
  • datos referidos a los usuarios del cliente, incluyendo información sobre sus interacciones con las herramientas de iubenda en la página web del cliente e información de seguimiento de consentimientos recogida a través de los productos Privacy Controls and Cookie Solution, Consent Database, Newsletter Opt-in Booster, GDPR Legal Cookie by iubenda, Data Subject Rights Management Tool, Accessibility Solution o el Registro de las Actividades de Tratamiento.

• relativos a las siguientes categorías de Interesados:

  • clientes;
  • directivos y empleados clave de los clientes;
  • terceros que actúan por cuenta de los clientes (como agencias web);
  • clientes de los clientes.

Sin perjuicio de la ubicación en la que se encuentre el Responsable del tratamiento, salvo que se establezca lo contrario en el presente Contrato - en particular por lo que respecta a los subencargados del tratamiento con arreglo a la cláusula 7 más abajo - todas las actividades de tratamiento de datos realizadas por el Encargado del tratamiento se llevarán a cabo dentro del territorio de la Unión Europea / Espacio Económico Europeo (UE/EEE).

2. Definiciones

En el presente Contrato, salvo que el contexto exija lo contrario, los siguientes términos tendrán los siguientes significados:

1. “Contrato” hace referencia al presente Contrato de Tratamiento de Datos y a todos sus Anexos correspondientes, y a cualesquiera modificaciones de estos.

2. “Normativa Aplicable en materia de Protección de Datos” hace referencia, según corresponda, a cualquier ley o reglamento de privacidad y protección de datos, como, por ejemplo: (i) Reglamento General de Protección de datos de la UE (Reglamento 2016/679) (“RGPD”); (ii) Ley Federal sobre Protección de Datos de Suiza (“FADP”); (iii) Lei Geral de Proteção de Dados de Brasil n.º 13,709/2018 (“LGPD”); (iv) Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data (Reglamento General de Protección de datos de RU) (“RGPD de RU”).

3. “Responsable del tratamiento” significa la entidad que, de forma individual o conjuntamente con otros, determina las finalidades y los medios del Tratamiento de Datos Personales.

4. “Interesado” significa la persona física a la que se refieren los Datos Personales.

5. “Certificación ISO 27001” se refiere a un estándar internacional ampliamente reconocido para los sistemas de gestión de la seguridad de la información. Especifica los requisitos para el establecimiento, la implementación, el mantenimiento y la mejora continua de los sistemas de gestión de la seguridad de la información (SGSI) de una organización. La certificación ISO 27001 demuestra que el Encargado del tratamiento ha implementado un exhaustivo conjunto de controles y medidas de seguridad para proteger la confidencialidad, integridad y disponibilidad de los activos de información y que se ha sometido a una evaluación y auditoría independientes por parte de un organismo de certificación para comprobar el cumplimiento del estándar ISO 27001.

6. “Datos Personales” significa toda información sobre una persona física identificada o identificable; se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.

7. “Tratamiento” significa cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a Datos Personales o conjuntos de Datos Personales, como la recogida, registro, organización, estructuración, conservación, elaboración o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso a los mismos, cotejo o interconexión, así como su restricción, supresión o destrucción.

8. “Encargado del tratamiento” significa la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que trate Datos Personales por cuenta del Responsable.

9. “Subencargado del tratamiento” significa cualquier Encargado del tratamiento contratado por el Encargado del tratamiento que acuerde recibir del Encargado del tratamiento Datos Personales exclusivamente con el fin de realizar actividades de Tratamiento por cuenta del Responsable después de que este último haya autorizado dicha subcontratación.

10. “Medidas Técnicas y Organizativas” significa las medidas dirigidas a proteger los Datos Personales de la destrucción accidental o ilícita o la pérdida accidental, la alteración, la revelación o el acceso no autorizados y frente a cualquier otra forma de Tratamiento ilícito.

Todos los términos en mayúsculas que no se hayan definido en el presente Contrato tendrán el significado que les asignen el RGPD, la FADP, la LGPD, el RGPD de RU y cualquier otra Normativa Aplicable en materia de Protección de Datos.

3. Tratamiento según las instrucciones recibidas

El Encargado del tratamiento acuerda que tratará los Datos Personales únicamente según las instrucciones documentadas del Responsable del tratamiento, inclusive en relación con las transferencias de Datos Personales a terceros países o a una organización internacional, salvo que se lo exija la Normativa Aplicable en materia de Protección de Datos a la que esté sujeto el Encargado del tratamiento.

4. Medidas técnicas y organizativas

El Encargado del tratamiento se compromete a aplicar las medidas técnicas y organizativas adecuadas que proporcionen un nivel de seguridad apropiado al riesgo que suponen el Tratamiento y la naturaleza de los Datos Personales a proteger. Estas medidas, entre otros, protegerán los Datos Personales frente a la destrucción accidental o ilícita, la pérdida, la alteración, la revelación o el acceso no autorizados a los Datos Personales transmitidos, almacenados o tratados de cualquier otro modo.
Los detalles concretos de estas medidas se especifican en el Anexo I.

5. Ejercicio de derechos

El Encargado del tratamiento se compromete a asistir al Responsable para garantizar el respeto de los derechos de los Interesados con arreglo a la Normativa Aplicable en materia de Protección de Datos.

Los derechos conferidos al Responsable del tratamiento en virtud del presente Contrato, incluyendo, de forma enunciativa y no limitativa, el derecho a la rectificación, restricción y supresión o devolución de datos, podrán ejercitarse a través del sistema de soporte técnico contactando con el Encargado del tratamiento en la dirección de correo electrónico info@iubenda.com.

6. Control de calidad y otras obligaciones del Encargado del tratamiento

El Encargado del tratamiento garantizará la calidad de sus actividades de tratamiento de datos y cumplirá con sus obligaciones en virtud de la Normativa Aplicable en materia de Protección de Datos. El Encargado del tratamiento se compromete a lo siguiente:

1. Documentación e implementación de procedimientos: El Encargado del tratamiento mantendrá un registro de todas las categorías de actividades de tratamiento realizadas por cuenta del Responsable del tratamiento, que contendrá la información exigida por la Normativa Aplicable en materia de Protección de Datos.

2. Minimización de los Datos: El Encargado del tratamiento garantizará que los Datos Personales sean adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que sean tratados.

3. Exactitud de los Datos: El Encargado del tratamiento tomará todas las medidas razonables para garantizar que los Datos Personales que sean inexactos, en atención a los fines para los son tratados, sean suprimidos o rectificados sin demora.

4. Disponibilidad, Integridad y Confidencialidad de los Datos: El Encargado del tratamiento tratará los Datos Personales de forma que se garantice la adecuada seguridad de los Datos Personales, incluida la protección frente al tratamiento no autorizado o ilícito y frente a la pérdida accidental, la destrucción, el daño o la interrupción, empleando las medidas técnicas u organizativas adecuadas.

5. Cooperación con el Responsable: El Encargado del tratamiento asistirá al Responsable del tratamiento para garantizar el cumplimiento de las obligaciones relativas a la seguridad del tratamiento, la notificación de las violaciones de la seguridad de los Datos Personales a la autoridad de control, la comunicación de las violaciones de la seguridad de los Datos Personales a los Interesados, la evaluación de impacto relativa a la protección de datos y la consulta previa en relación con los tratamientos de alto riesgo.

6. Confidencialidad de los empleados: El Encargado del tratamiento se asegurará de que sus empleados que estén involucrados en el Tratamiento de Datos Personales estén informados de la naturaleza confidencial de los Datos Personales, hayan recibido una formación adecuada sobre sus responsabilidades y estén sujetos a obligaciones de confidencialidad y empleen restricciones respecto de los Datos Personales.

7. Respuestas a los Interesados: Si el Encargado del tratamiento recibe una solicitud de un Interesado con arreglo a cualquier Normativa Aplicable en materia de Protección de Datos en relación con los Datos Personales, el Encargado del tratamiento informará al Interesado de que debe presentar su solicitud al Responsable del tratamiento y el Encargado del tratamiento notificará al Responsable del tratamiento sobre la solicitud tan pronto como sea posible.

8. Evaluación de Impacto relativa a la Protección de Datos (EIPD): A solicitud del Responsable del tratamiento, el Encargado del tratamiento facilitará al Responsable del tratamiento la información necesaria para llevar a cabo una EIPD según lo exigido por la Normativa Aplicable en materia de Protección de Datos.

7. Subencargados del tratamiento

El Responsable del tratamiento reconoce y acepta que el Encargado del tratamiento podrá contratar a Subencargados del tratamiento para realizar actividades de tratamiento en virtud del presente Contrato. Por la presente, los Subencargados del tratamiento contratados actualmente se consideran aceptados por el Responsable del tratamiento.

Se podrá solicitar una lista de los Subencargados del tratamiento a través del sistema de soporte técnico o de la dirección de correo electrónico info@iubenda.com.

El Encargado del tratamiento se compromete a notificar al Responsable del tratamiento por adelantado sobre cualquier cambio de Subencargados del tratamiento que esté previsto y a obtener la aprobación del Responsable del tratamiento antes de proceder con tal cambio. En cualquier caso, el Encargado del tratamiento impondrá a los Subencargados del tratamiento las mismas obligaciones de protección de datos establecidas en el presente Contrato.

8. Auditorías

El Encargado del tratamiento pondrá a disposición del Responsable del tratamiento, a su solicitud, toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente Contrato y permitirá y contribuirá a las auditorías, incluidas las inspecciones, que lleven a cabo el Responsable del tratamiento u otro auditor contratado por el Responsable del tratamiento.

Las inspecciones y auditorías se acordarán previamente con el Encargado del tratamiento y se llevarán a cabo sin obstaculizar las actividades empresariales ordinarias del Encargado del tratamiento. El Encargado del tratamiento podrá trasladar el coste de tales auditorías o inspecciones al Responsable del tratamiento.

9. Violaciones de la seguridad de los datos personales

El Encargado del tratamiento mantendrá procedimientos y tecnologías sólidos para detectar, prevenir y responder a las violaciones de la seguridad de los datos personales.

En caso de que se produzca una violación de la seguridad de los Datos Personales, el Encargado del tratamiento notificará rápidamente y sin demoras indebidas al Responsable del tratamiento en cuanto tenga conocimiento de esta. Esta notificación contendrá:

• una descripción de la naturaleza de la violación de la seguridad, incluyendo, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados;
• el nombre y los datos de contacto del delegado de protección de datos del Encargado del tratamiento o de otro punto de contacto en el que pueda obtenerse más información;
• una descripción de las posibles consecuencias de la violación de la seguridad;
• una descripción de las medidas adoptadas o propuestas por el Encargado del tratamiento para poner remedio a la violación de la seguridad, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

El Encargado del tratamiento documentará cualquier violación de la seguridad de los Datos Personales, incluidos los hechos relacionados con esta, sus efectos y las medidas correctivas adoptadas. El Encargado del tratamiento también asistirá al Responsable del tratamiento para garantizar el cumplimiento de las obligaciones del Responsable del tratamiento con arreglo a la Normativa Aplicable en materia de Protección de Datos relativas a las notificaciones de las violaciones de la seguridad a las autoridades y a las personas físicas afectadas.

El Encargado del tratamiento no comunicará la violación de la seguridad de los Datos Personales a ningún tercero ni al Interesado afectado sin el consentimiento previo y por escrito del Responsable del tratamiento, salvo que dicha comunicación sea exigida por la Normativa Aplicable en materia de Protección de Datos.
El Encargado del tratamiento entiende y acepta que cualquier falta de asistencia al Responsable del tratamiento según lo establecido en la presente Cláusula podrá dar lugar a penalizaciones y multas, de las que se considerará responsable al Encargado del tratamiento.

La presente Cláusula se establece sin perjuicio de cualesquiera derechos y recursos de que disponga el Responsable del tratamiento con arreglo al presente Contrato o a la Normativa Aplicable en materia de Protección de Datos.

10. Resolución, supresión y devolución de datos personales

Una vez finalizada la prestación de los servicios, o antes si así lo solicita el Responsable del tratamiento, el Encargado del tratamiento, a la elección del Responsable del tratamiento, destruirá o devolverá todos los datos personales recogidos y tratados con arreglo al presente Contrato, salvo que el Encargado del tratamiento deba conservar dichos datos personales de conformidad con cualquier disposición legal aplicable.

Salvo que el Responsable del tratamiento le indique lo contrario, el Encargado del tratamiento conservará los datos personales durante un plazo de seis meses desde la resolución del contrato y la finalización de la prestación de los servicios únicamente con el fin de permitir al Responsable del tratamiento exportarlos. Tras la expiración del plazo de conservación de seis meses, el Encargado del tratamiento borrará todos los datos personales.

Sin perjuicio de lo anterior, el Encargado del tratamiento tendrá derecho a conservar, incluso tras la finalización de la prestación de servicios y la resolución del contrato, toda la información necesaria para demostrar que el tratamiento ha sido adecuado y ha cumplido con la normativa, de conformidad con los plazos de conservación establecidos por ley.

Anexo I

ANEXO I - MEDIDAS TÉCNICAS Y ORGANIZATIVAS

De conformidad con la certificación UNI CEI EN ISO/IEC ISO 27001:2017 del Encargado del tratamiento, se implementarán los siguientes elementos clave como medidas técnicas y organizativas:

1. Políticas de Seguridad de la Información: El Encargado del tratamiento ha establecido y revisa regularmente una política de seguridad de la información que proporciona instrucciones y apoyo para la seguridad de la información, de conformidad con las exigencias del negocio y las leyes y reglamentos relevantes.

2. Organización de la Seguridad de la Información: El Encargado del tratamiento asignará las responsabilidades respecto de tareas específicas para garantizar una gestión efectiva de la seguridad de la información.

3. Seguridad en materia de Recursos Humanos: El Encargado del tratamiento ha implementado prácticas de seguridad para los empleados y contratistas durante todo su período de empleo y su prestación de servicios.

4. Gestión de Activos: El Encargado del tratamiento mantiene un inventario de los activos y ha definido unas responsabilidades de protección adecuadas.

5. Control de Acceso: El Encargado del tratamiento garantiza que los empleados y contratistas solo tendrán acceso a la información y los activos asociados con sus funciones.

6. Criptografía: El Encargado del tratamiento utiliza el encriptado y la gestión de claves para la protección de la información.

7. Seguridad Física y del Entorno: El Encargado del tratamiento asegurará las oficinas, espacios e instalaciones para evitar todo acceso físico no autorizado, así como los daños y las interferencias en las instalaciones y la información del Encargado del tratamiento.

8. Seguridad Operativa: El Encargado del tratamiento garantizará el funcionamiento correcto y seguro de las instalaciones de tratamiento de información.

9. Seguridad de las Comunicaciones: El Encargado del tratamiento implementará las redes y las transferencias de información de forma segura.

10. Adquisición, Desarrollo y Mantenimiento de los Sistemas: El Encargado del tratamiento garantiza que la seguridad de la información forma parte integral de los sistemas durante todo su ciclo de uso.

11. Relaciones con Proveedores: El Encargado del tratamiento protegerá los activos del Encargado del tratamiento a los que tengan acceso los proveedores.

12. Gestión de Incidencias: El Encargado del tratamiento gestionará las incidencias y mejoras en la seguridad de la información.

13. Gestión de la Continuidad del Negocio: El Encargado del tratamiento garantizará la continuidad de la gestión de la seguridad de la información en caso de interrupciones del negocio.

14. Cumplimiento normativo: El Encargado del tratamiento cumple todas las exigencias legales, establecidas por leyes o reglamentos, así como las contractuales, y las políticas y procedimientos del Encargado del tratamiento.

15. Seguridad en la Nube: El Encargado del tratamiento ha implementado medidas adicionales de seguridad en la nube para proteger la integridad, accesibilidad y confidencialidad de los datos. Estas medidas incluyen, de forma enunciativa y no limitativa, las transferencias de datos seguras, las interfaces de software segura, el almacenamiento de datos seguro, la gestión de la identidad de los usuarios y de los accesos y la seguridad de la infraestructura. El Encargado del tratamiento también llevará a cabo regularmente auditorías de seguridad de su entorno en nube para identificar y corregir posibles vulnerabilidades.

Si desea obtener datos adicionales sobre la certificación ISO 27001 del Encargado del tratamiento, incluida una copia del propio certificado, podrá solicitarlos a través del sistema de soporte técnico del Encargado del tratamiento o mediante correo electrónico.