TRATAMIENTOS REALIZADOS POR DECLARANDO ENCARGADO DEL TRATAMIENTO DE DATOS DE CLIENTES

Por la prestación de sus servicios, Declarando podrá tener acceso a ciertos datos para prestarte el servicio como cliente o usuario. A este respecto, el cliente o usuario de Declarando, será denominado en adelante, el “Autónomo”, el “Responsable del Tratamiento” o el “Responsable”

Declarando, será denominado en adelante, como el “Proveedor”, el “Encargado del Tratamiento” o el “Encargado”.

En lo sucesivo el Autónomo y el Proveedor serán denominados conjuntamente como las “Partes” e individual e indistintamente como la “Parte”.

Las Partes se reconocen recíprocamente capacidad legal suficiente para suscribir la presente Adenda sobre tratamiento de datos de carácter personal y a tal efecto,

MANIFIESTAN

  1. Que las Partes han formalizado un contrato prestación de servicios de de gestoría y asesoría laboral, fiscal y contable online (en adelante, el “Contrato”) en virtud del cual el Encargado de Tratamiento prestan determinados servicios que comportan el acceso a datos personales responsabilidad del Responsable del Tratamiento (en adelante, los “Servicios”).
  2. Que, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, el “RGPD”) impone nuevas obligaciones a las Partes, siendo necesario modificar las obligaciones asumidas por las Partes en el Contrato, en materia de protección de datos.
  3. Que, a partir de la fecha de firma de esta Adenda, la regulación de protección de datos del Contrato pasará a ser la incluida en la presente Adenda, sustituyendo la regulación de protección de datos que hubiera sido incluida en el Contrato con anterioridad a la presente Adenda.
  4. Que, conforme a lo expuesto, las Partes acuerdan la celebración y firma de la presente Adenda, que se regirá según lo establecido en el artículo 28 del RGPD, y por las siguientes:

CLÁUSULAS

1. Objeto.
Para ejecutar las prestaciones derivadas del Contrato, y prestar los Servicios de forma efectiva, el Encargado del Tratamiento, podrá tener acceso a datos de carácter personal responsabilidad de la Autónomo, en particular, datos identificativos de clientes del Autónomo, datos económicos de clientes del autónomo, etc.

El Encargado del Tratamiento, para la prestación del servicio, deberá realizar los siguientes tratamientos, a modo enunciativo pero no limitativo: recogida, registro, estructuración, adaptación o modificación, conservación, extracción, consulta, comunicación por transmisión, difusión o forma de habilitación de acceso, interconexión, cotejo, limitación, supresión, destrucción, conservación, comunicación y [otros tratamientos que se realicen.

2. Duración.
La presente Adenda entrará en vigor el día de la firma de la Adenda.

3. Obligaciones del Responsable del Tratamiento.
Corresponde al Responsable del Tratamiento, además del cumplimiento de cuantas obligaciones se le imputen a lo largo de la presente Adenda, la realización de las siguientes tareas:

  1. Cumplir con todas las medidas técnicas y organizativas necesarias para garantizar la seguridad del tratamiento, los locales, equipos, sistemas, programas y las personas que intervengan en la actividad del tratamiento de los datos de carácter personal referidos, que se estipulen en la normativa vigente y de aplicación en cada momento.
  2. Entregar al Encargado los datos a que se refiere la cláusula 1 de este documento, así como las instrucciones necesarias para llevar a cabo el tratamiento de los datos en los términos establecidos por el Responsable.
  3. Responder a los derechos de los individuos afectados por el tratamiento, como son los derechos de acceso, rectificación, supresión y oposición, limitación al tratamiento, portabilidad de los datos y a no ser objeto de decisiones individuales automatizadas, en colaboración con el Encargado.
  4. Realizar, en su caso, una evaluación del impacto en la protección de datos personales de las operaciones de tratamiento a realizar por el Encargado.
  5. Velar, de forma previa y durante el tratamiento, por el cumplimiento de la normativa aplicable en materia de protección de datos por parte del Encargado.
  6. Supervisar el tratamiento, incluida la realización de inspecciones y auditorías.
  7. Comunicar al Encargado cualquier variación que se produzca de los datos personales facilitados, para que se proceda a su actualización.

 

Asimismo, el Autónomo garantiza que los datos que se someten a tratamiento como consecuencia de la prestación de los Servicios han sido recogidos y tratados por el Responsable de acuerdo con las obligaciones estipuladas por el RGPD, teniendo en cuenta particularmente la necesidad de una base legal que legitime el tratamiento, según lo indicado en el artículo 6 del RGPD.

4. Obligaciones del Encargado del Tratamiento.
El Encargado del Tratamiento, declara y garantiza frente al Responsable del Tratamiento las siguientes estipulaciones:

  1. El Encargado del Tratamiento dispone de suficiente capacidad técnica para el cumplimiento de las obligaciones derivadas del Contrato.
  2. El Encargado del Tratamiento, se compromete, en relación a los Servicios prestados, al cumplimiento de las exigencias del RGPD y del resto de la normativa en materia de protección de datos de carácter personal que sea aplicable.
  3. El Encargado del Tratamiento mantendrá confidencialidad y secreto sobre los datos de carácter personal a los que tenga acceso.
  4. El Encargado del Tratamiento tratará y utilizará los datos de carácter personal a los que tenga acceso, únicamente según las instrucciones del Responsable del Tratamiento, y de conformidad a las finalidades reguladas en el Contrato. El Encargado será considerado responsable del tratamiento en el caso de que destine los datos a otras finalidades, los comunique o los utilice incumpliendo las estipulaciones de la presente Adenda, respondiendo de las infracciones en que hubiera incurrido personalmente.
  5. El Encargado del Tratamiento no comunicará a terceros los datos a los que tenga acceso en virtud de los Servicios prestados, sin perjuicio de lo indicado en la cláusula 4.16.
  6. El Encargado del Tratamiento facilitará al Autónomo la información necesaria para evidenciar el cumplimiento de sus obligaciones establecidas en el presente Contrato.
  7. El Encargado del Tratamiento prestará la asistencia que sea requerida por el Responsable para la realización de auditorías o inspecciones, realizadas por el Responsable del Tratamiento o por otro auditor autorizado por el Responsable. Las auditorías podrán realizarse de forma periódica, de forma planificada o “ad hoc”, previa notificación al Encargado con un plazo de preaviso razonable, en el horario laboral habitual del Encargado.
  8. El Encargado del Tratamiento garantiza que las personas autorizadas para tratar datos personales se han comprometido, de forma expresa y por escrito, a cumplir las medidas de seguridad establecidas, y a respetar la confidencialidad de los datos. El cumplimiento de esta obligación deberá quedar documentado por el Encargado y a disposición del Responsable del Tratamiento.
  9. El Encargado del Tratamiento garantiza que las personas autorizadas para tratar datos personales bajo su cargo disponen de la formación necesaria en materia de protección de datos.
  10. El Encargado del Tratamiento colaborará en el cumplimiento de obligaciones del Responsable, y ofrecerá apoyo al mismo, cuando proceda, en la realización de (i) evaluaciones de impacto relativas a los datos de carácter personal que tenga acceso; (ii) consultas previas a la autoridad de control.
  11. En caso de que el Encargado del Tratamiento considere que el cumplimiento de una determinada instrucción del Responsable pudiese suponer un incumplimiento de la normativa sobre protección de datos, lo comunicará inmediatamente al Responsable. El Encargado en esta comunicación solicitará al Responsable que enmiende, retire o confirme la instrucción facilitada y podrá suspender su cumplimiento a la espera de una decisión por el Responsable.
  12. Al finalizar la prestación de los Servicios, el Encargado del Tratamiento suprimirá o devolverá los datos personales a los que haya tenido acceso y cualquier copia existente, según le indique el Responsable del Tratamiento. En caso de que el Responsable del Tratamiento solicite la supresión de los datos de un modo específico no habitual dentro de la actividad normal del Encargado, los costes derivados de la supresión de los datos del modo indicado por el Autónomo serán asumidos por el Responsable del Tratamiento.

    El Encargado estará obligado a suprimir o devolver: a) datos incluidos en ficheros responsabilidad del Responsable, a disposición del Encargado como consecuencia de la prestación de los Servicios; b) datos generados por parte del Encargado durante el tratamiento de datos responsabilidad del Autónomo; c) soportes en los que consten estos datos.

    El Encargado del Tratamiento podrá conservar una copia con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación de los Servicios.

  13. El Encargado del Tratamiento notificará al Responsable, sin dilación indebida, y en cualquier caso antes del plazo máximo de 24 horas, a través de [email protected] cualquier incidente, sospechado o confirmado, relativo a la protección de datos, dentro de su área de responsabilidad. Entre otros, deberá comunicar al Responsable cualquier tratamiento que pueda considerarse ilícito o no autorizado, cualquier pérdida, destrucción o daño en los datos y cualquier incidente considerado una vulneración de seguridad de los datos. La notificación deberá ir acompañada de toda la información relevante para la documentación y comunicación de la incidencia a autoridades pertinentes o interesados afectados. En este sentido, facilitará al Autónomo, como mínimo, la siguiente información:
    1. Descripción de la naturaleza de la violación de la seguridad de los datos, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados;
    2. Nombre y datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información;
    3. Descripción de las posibles consecuencias de la violación de la seguridad de los datos;
    4. Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

    El Encargado de Tratamiento iniciará además una investigación de las circunstancias del incidente, debiendo presentar al Responsable del tratamiento un informe con observaciones sobre dicho incidente. El Proveedor colaborará plenamente con la investigación que realice el Responsable, por su parte, prestando la asistencia requerida por éste para la investigación del incidente.

    El Encargado del Tratamiento, adicionalmente, prestará asistencia al Responsable en relación a las obligaciones de notificación de acuerdo con el RGPD (en particular, arts. 33 y 34 del RGPD) y a cualquier otra norma aplicable, presente o futura, que modifique o complemente dichas obligaciones.

  14. El Encargado del Tratamiento facilitará la información y/o documentación que el Responsable le solicite para dar respuesta a las solicitudes de ejercicio de derechos que pudiera recibir al Autónomo de los interesados cuyos datos se tratan.
  15. Cuando las personas afectadas ejerzan los derechos de acceso, rectificación, supresión y oposición, limitación al tratamiento, portabilidad de los datos y a no ser objeto de decisiones individuales automatizadas, ante el Encargado del Tratamiento, éste deberá comunicarlo por correo electrónico a la dirección [email protected] La comunicación deberá realizarse de manera que pueda atenderse dentro de los plazos legales establecidos.
  16. El Encargado del Tratamiento podrá subcontratar los Servicios, siempre informando al Responsable del Tratamiento de los tratamientos que se pretenden subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto.

    El subcontratista (o “Subencargado”), que también tendrá la condición de encargado del tratamiento, estará obligado igualmente a cumplir las obligaciones impuestas al Encargado del Tratamiento y las instrucciones que dicte el Responsable, según lo dictado en el Contrato y la Adenda. Corresponde al Encargado del Tratamiento regular la nueva relación en un contrato firmado por Encargado y Subencargado, de forma que el Subencargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que el Proveedor, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas.

  17. El Encargado del Tratamiento mantendrá por escrito un registro de las categorías de actividades de tratamiento efectuadas, según esta Adenda, especificando:
    1. El nombre y los datos de contacto del Encargado y de cada Responsable por cuenta del cual actúe el Encargado y, en su caso, del representante del Responsable o del Encargado y del delegado de protección de datos;
    2. Las categorías de tratamientos efectuados por cuenta de cada responsable del tratamiento;
    3. En su caso, las transferencias de datos personales a un tercer país u organización internacional la identificación de dicho tercer país u organización internacional y la documentación de garantías adecuadas;
    4. Una descripción general de las medidas técnicas y organizativas de seguridad relativas a:
      1.  La seudonimización y el cifrado de datos personales;
      2. La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
      3. La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico;
      4. El proceso de verificación, evaluación, y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
  18. El Encargado del Tratamiento únicamente podrá realizar transferencias internacionales de datos de carácter personal a los que tenga acceso, responsabilidad del Responsable del Tratamiento, en caso de que dichas transferencias se encuentren debidamente regularizadas según lo contenido en los artículo 45, 46 o 47 del RGPD.
  19. En relación a las medidas técnicas y organizativas de seguridad, el Encargado del Tratamiento, deberá implementar todas las que resulten aplicables de conformidad al RGPD (en particular y con carácter no limitativo, las previstas en el artículo 32 del RGPD) y en cualesquiera otras normas aplicables, que lo modifiquen, complementen o sustituyan.

    En todo caso, el Encargado deberá implantar mecanismos para:

    1. Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
    2. Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
    3. Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento.
    4. Seudonimizar y cifrar los datos personales, en su caso.

    En particular, las Partes han convenido una relación de medidas que el Proveedor debe implementar, indicadas en el Anexo I a esta Adenda.

    Si el Responsable, con posterioridad a la formalización del Contrato, exige al Encargado adoptar o mantener medidas de seguridad distintas a las pactadas en este Anexo I, o bien fueran obligatorias por cualquier norma futura, y esto afectase de forma significativa a los costes de prestación de los Servicios, el Proveedor y el Autónomo acordarán las medidas contractuales oportunas para afrontar el efecto que tales modificaciones puedan tener en el precio de los Servicios.

5. Responsabilidad.
El Encargado del Tratamiento reembolsará al Responsable del Tratamiento el importe de las sanciones que pudiera imponerle la Agencia Española de Protección de Datos (“AEPD”) o cualquier otra instancia competente por el incumplimiento de la normativa de protección de datos, si estas son consecuencia del incumplimiento doloso y gravemente negligente de las obligaciones del Encargado en materia de protección de datos. El Responsable deberá comunicar al Encargado inmediatamente de los procedimientos sancionadores eventualmente iniciados por la AEPD o cualquier otra autoridad contra el Autónomo por tales incumplimientos, para que el Encargado pueda asumir a su cargo la defensa legal de forma coordinada con el Responsable.

6. Datos de representantes de las Partes.
Las Partes tratarán los datos de carácter personal referentes a los firmantes de esta Adenda, sobre la base legal del interés legítimo, con objeto de mantener y ejecutar la relación contractual existente entre el Autónomo y Proveedor y durante el periodo de duración de la misma. Los interesados podrán ejercitar en cualquier momento sus derechos de acceso, rectificación, supresión, limitación y oposición al tratamiento, según lo establecido en la normativa sobre protección de datos, dirigiéndose a la Parte que trata sus datos en la dirección incluida en el encabezamiento de la Adenda.

7. Entrada en vigor.
La presente Adenda entrará en vigor en el momento en que procedas al registro como usuario o cliente de Declarando.


ANEXO I

Medidas de seguridad a implementar por el Encargado del Tratamiento respecto de los datos tratados en virtud de la presente Adenda.

  1. El Encargado del Tratamiento aplica, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, tales como las incluidas en este documento y mencionadas en el cuerpo del contrato, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento.
  2. Al integrarse en la plantilla del Encargado del Tratamiento, todos sus empleados han firmado un documento de confidencialidad, en el que se comprometen a mantener en secreto todos los datos tratados con motivos del desempeño de su puesto de trabajo, quedando cubiertos los que tratan con causa en este contrato.
  3. El Encargado del Tratamiento dispone de un procedimiento de notificación, gestión y respuesta frente a cualquier brecha de seguridad de los datos personales, según lo indicado en los artículos 33 y siguientes del RGPD.
  4. El Encargado del Tratamiento ha establecido un sistema que permite la identificación y autenticación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado. El sistema de identificación y autenticación de los usuarios que deseen acceder al sistema se encuentra descrito en un documento que estará a disposición del Responsable del Tratamiento cuando éste lo solicite.
  5. Los usuarios de los sistemas del Encargado del Tratamiento tendrán acceso autorizado únicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones. El sistema utilizado para limitar el acceso de acuerdo con los privilegios de cada usuario se encuentra descrito en un documento que estará a disposición del Responsable del Tratamiento cuando éste lo solicite.
  6. Los sistemas operativos y las aplicaciones utilizadas en el tratamiento objeto del presente contrato disponen de mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados.
  7. El Encargado de Tratamiento cuenta con medidas de control del acceso físico a sus instalaciones y a sus centros de tratamiento de datos de manera que únicamente se permite el acceso a los datos que trata en virtud de este contrato a personal autorizado.
  8. El Encargado de Tratamiento cuenta con una política de gestión de soportes y documentos en la cual se asegura que todas las aplicaciones, sistemas y subcontratistas que utiliza, han sido previamente estudiados y autorizados a tratar datos de sus clientes, por cumplir con la normativa y el RGPD. En dicha política también se regula la salida y entrada de documentos de las instalaciones y sistemas del Encargado del Tratamiento, permitiéndose el tratamiento de datos personales objeto de este contrato únicamente en dispositivos cifrados y/o anonimizados autorizados por el Encargado del Tratamiento.
  9. El acceso a sistemas de información del Encargado del Tratamiento que alberguen datos personales objeto de este contrato únicamente se podrá llevar a cabo cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros. La seguridad en dichos accesos debe estar garantizada por los protocolos de seguridad de las aplicaciones que intervienen en la transmisión.
  10. El Encargado de Tratamiento cuenta con una política de copias de seguridad y respaldo, y de recuperación de datos de manera que se garantiza en todo momento su reconstrucción en el estado en que se encontraban al tiempo de producirse una pérdida o destrucción.
  11. En caso de trabajos con ficheros temporales que los empleados del Encargado del Tratamiento necesiten para prestar el servicio al Responsable del Tratamiento, se aplicarán a dichos ficheros temporales las mismas medidas de seguridad que a los demás datos personales y serán borrados o destruidos una vez que haya dejado de ser necesarios para los fines que motivaron su creación.
  12. Los dispositivos de almacenamiento de documentos que contengan datos de carácter personal deberán disponer de mecanismos que obstaculicen su apertura.
  13. De forma continuada y con una frecuencia mínima de una vez al año, se llevarán a cabo los controles periódicos que se deben realizar para verificar la idoneidad y operatividad de las medidas de seguridad implementadas y el cumplimiento de lo dispuesto en este anexo.