Descom.es

Contrato de Encargado del Tratamiento de Datos Personales

El presente Contrato de Encargado del Tratamiento forma parte del contrato que suscriben Desarrollos de Sistemas de Comunicaciones, S.L. (Descom), con domicilio social en C/ Guadalest 21, 03530 La Nucia Alicante, con CIF B80438088, debidamente registrado en el Registro Mercantil de Alicante Tomo 8 Folio 210 Sección 8 Hoja A-42027, y con correo electrónico info@descom.es, y el Cliente en tanto que contratante de los servicios de Descom, y recoge los términos y condiciones aplicables a los servicios prestados por Descom. El presente contrato de Encargado del Tratamiento complementa en materia de Protección de Datos el resto del clausulado del contrato.

1. Objeto del Encargo del Tratamiento

En conformidad con el artículo 28 del RGPD, el Contrato de Encargado del Tratamiento tiene por objeto establecer las condiciones en las que Descom, como Encargado del Tratamiento y como parte de los servicios recogidos en el contrato, tiene derecho a llevar a cabo el tratamiento de Datos Personales en nombre del Cliente, Responsable del Tratamiento, y siguiendo instrucciones de este.

Para la prestación de los servicios contratados, puede darse la circunstancia de que determinados datos personales responsabilidad el Responsable del Tratamiento sean alojados en los servidores del Encargado del Tratamiento.

Descom, en su calidad de Encargado del Tratamiento que actúa siguiendo las instrucciones del Cliente, Responsable del Tratamiento, está autorizada a tratar los Datos Personales del Responsable del Tratamiento en la medida en que sea necesario para prestar los Servicios.

La naturaleza de las operaciones realizadas por Descom en materia de Datos Personales consisitirá en el almacenamiento y/o cualquier otro servicio similar tal y como se describe en el contrato de prestación de servicios.

El Cliente determina y controla, a su total discreción, el tipo de Datos Personales y las categorías de interesados.

2. Identificación de la información afectada

La prestación de los servicios objeto de este contrato, no implica que, como regla general, Descom accede a los datos de carácter personal de los ficheros que Cliente, Responsable del Tratamiento, aloje en los servidores, puesto que dicho acceso no es necesario para la prestación del servicio por parte de Descom.

No obstante lo anterior, a los efectos previstos en el Reglamento (UE) 2016/679 General de Protección de Datos (RGPD), en el desarrollo de las funciones propias del servicio contratado, Descom realiza, según el concepto legal, tratamientos de datos de carácter personal del cliente, en la medida en que el servicio prestado implica el almacenamiento de los datos en los servidores de su titularidad.

A tal efecto, Descom, en su condición de Encargado del Tratamiento, manifiesta que únicamente tratará los datos en la medida en que estos se alojan en sus servidores, al ceder al Responsable de Tratamiento un espacio virtual en el que éste volcará y administrará en exclusiva dichos datos.

El Responsable del Tratamiento, Cliente, determina y controla a su total discreción el tipo de Datos Personales que pone a disposición de Descom, Encargado del Tratamiento.

En caso de que Cliente, Responsable del Tratamiento, estimase oportuno impartir instrucciones distintas de las referidas en el presente documento, las comunicará de forma expresa a Descom, quien, en caso de que impliquen alteración de las condiciones del servicio pactadas, podrá resolver el contrato.

3. Duración

El presente Contrato de Encargado de Tratamiento de Datos Personales tiene la duración prevista en el contrato de prestación de servicios.

4. Obligaciones, responsabilidades del Encargado del Tratamiento

Obligaciones. Descom, Encargado del Tratamiento, se obliga a respetar todas las obligaciones que pudieran corresponderle como Encargado del Tratamiento conforme a lo dispuesto en la normativa vigente y cualquier otra disposición o regulación que le fuera igualmente aplicable.

Descom, Encargado del Tratamiento, y todo su personal se obliga a:

  • Utilizar los Datos Personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto del Encargo. En ningún caso podrá utilizar los datos para fines propios.
  • Tratar los datos de acuerdo con las instrucciones de Cliente, Responsable del Tratamiento.
    Si Descom, Encargado del Tratamiento, considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, informará inmediatamente al Responsable.
  • Garantizar que el personal autorizado para realizar el Tratamiento (i) se haya comprometido, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, (ii) ha recibido la formación necesaria en materia de Protección de Datos Personales para asegurar que no se pondrá en riesgo la Protección de Datos Personales.
  • No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del Responsable del Tratamiento, en los supuestos legalmente admisibles.
    Descom puede comunicar los datos a otros Encargados del Tratamiento del mismo Responsable, de acuerdo con las instrucciones del Responsable del Tratamiento. En este caso, el Responsable identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación.

Derechos de los interesados. Descom asistirá a Cliente, Responsable del Tratamiento, en la respuesta al ejercicio de los derechos de los interesados. Cuando las personas afectadas ejerzan los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas, ante el Encargado del Tratamiento, Descom, éste lo comunicará por correo electrónico a la dirección de correo electrónico que tenga registrada Cliente, Responsable de tratamiento. La comunicación se realizará de forma inmediata y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud , juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud.

Cumplimiento de las obligaciones. Descom pondrá a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones y permitir que se realicen auditorías.
Dicha información está disponible en la documentación estándar del sitio web de Descom.
El cliente podrá recibir información adicional, previa solicitud a Descom.
En caso que dicha información resulte insuficiente para permitir que el Cliente demuestre que cumple con las obligaciones establecidas en el RGPD, Descom y el Cliente podrán acordar condiciones operativas, financieras y de seguridad para una inspección técnica a medida, que podrá conllevar la facturación de gastos adicionales. Las condiciones de esta inspección no deben, bajo ninguna circunstancia, afectar a la seguridad de otros clientes de Descom.

Violaciones de la seguridad de los datos. En caso de que Descom tenga conocimiento de cualquier violación de la seguridad de los Datos Personales a su cargo del Responsable del Tratamiento, Descom notificará a Cliente sin dilación indebida, aportando la información relevante para la documentación y comunicación de la incidencia: (i) descripción de la naturaleza de la violación (ii) datos de punto de contacto en Descom (iii) Descripción de posibles consecuencias de la incidencia (iv) descripción de las medidas adoptadas o propuestas en relación a la incidencia.

Transferencia de datos. Descom no transferirá los Datos Personales almacenados por Cliente a un país que no sea reconocido por la Comisión Europea como garante de un nivel de protección adecuado.
En caso de que Descom, Encargado del Tratamiento, deba transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, informará a Cliente, Responsable del Tratamiento, de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público.

Subcontratación y Subencargados del Tratamiento. Descom podrá subcontratar los servicios auxiliares necesarios para el normal funcionamiento de los servicios como Encargado del Tratamiento.

A tal efecto, el Responsable del Tratamiento autoriza de forma expresa la subcontratación de los servicios de provisión de infraestructura tecnológica y cloud a Amazon Web Services Emea, SARL, con CIF ESW0185696B, inscrita en el Registro Mercantil de Madrid, Tomo 36807, Folio 1, Hoja M659089, con domicilio social en Ramirez de Prado 5, 28045 Madrid.

Puede darse el caso de que un Subencargado del Tratamiento participe únicamente en un servicio específico, en estos casos el subcontratista autorizado a participar en las Actividades de Tratamiento realizadas por Descom bajo las instrucciones de Cliente figurará en las correspondientes condiciones particulares de aplicables.

En caso de cambio o incorporación de Subencargado, Descom comunicará por correo electrónico a Cliente (a la dirección de correo electrónico registrada en la Cuenta del Cliente) la decisión de cambio de Subencargado del Tratamiento o la incorporación de un nuevo Subencargado del Tratamiento, identificando la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el responsable no manifiesta su oposición en el plazo de 15 días naturales.

El subcontratista, que también tiene la condición de Encargado del Tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el Encargado del Tratamiento y las instrucciones que dicte el Responsable. Corresponde al Encargado inicial regular la nueva relación, de forma que el nuevo Encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del Subencargado, el Encargado inicial seguirá siendo plenamente responsable ante el Responsable en lo referente al cumplimiento de las obligaciones.

Descom garantizará que cualquier Subencargado del Tratamiento sea capaz de cumplir las obligaciones relativas al tratamiento de Datos Personales y a tal efecto Descom celebrará un contrato con el Subencargado del Tratamiento.

Medidas de seguridad. Descom se obliga a adoptar todas las medidas de seguridad necesarias para garantizar la seguridad de los Datos Personales en el marco del Servicio, de conformidad con lo establecido en el artículo 32 del RGPD. Descom se compromete a adoptar las siguientes medidas técnicas y organizativas :

  • Securizar los accesos remotos con protocolos seguros
  • Establecer procedimientos de autenticación de los usuarios y administradores, medidas de protección de acceso a la infraestructura tecnológica y definir política de contraseñas.
  • Diligencia en la selección de Subencargado para la provisión de infraestructura tecnológica, exigencia de certificación ISO27001 al Subencargado de esta actividad.
  • Descom se obliga a garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
  • Realización de copias de seguridad diarias para garantizar las capacidad de restaurar la disponibilidad y el acceso a los Datos Personales de forma rápida en caso de incidente.
  • Nombramiento de Delegado de Protección de Datos para verificar, evaluar y valorar regularmente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del Tratamiento.

Evaluación de riesgos. Corresponde al responsable del Tratamiento realizar la evaluación de riesgos para determinar las medidas de seguridad apropiadas para garantizar la seguridad de la información tratada y los derechos de las personas afectadas. Así mismo el encargado también debe evaluar los posibles riesgos derivados del tratamiento, teniendo en cuenta los medios utilizados (tecnologías, recursos etc.) y otras circunstancias que puedan incidir en la seguridad, como por ejemplo que el encargado lleve a cabo otros tratamientos.

Finalización de la prestación de servicio. Una vez finalice la prestación de servicios objeto de este contrato, Descom eliminará todos los datos personales y las copias existentes. No procederá la supresión de datos cuando se requiera su conservación por una obligación legal, en cuyo caso, Descom, Encargado del Tratamiento, procederá a la custodia de los mismos bloqueando los datos y limitando su tratamiento en tanto que pudieran derivarse responsabilidades de su relación con Cliente.

Confidencialidad. Descom se compromete a mantener el deber de secreto respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente encargo. La obligación de confidencialidad tendrá carácter indefinido, manteniéndose en vigor incluso después de que finalice la relación objeto de este contrato.

5. Obligaciones del Responsable del Tratamiento

Cliente, como Responsable del Tratamiento, garantiza que los datos facilitados a Descom se han obtenido lícitamente y que son adecuados, pertinentes y limitados a los fines del tratamiento.

Cliente, Responsable del Tratamiento, pondrá a disposición de Descom cuanta información sea necesaria para ejecutar las prestaciones objeto del Encargo.

Cliente proporcionará a Descom por escrito cualquier instrucción pertinente y cualquier información necesaria para la elaboración de los registros de las Actividades del Tratamiento por parte del Encargado del Tratamiento.

Corresponde a Cliente, Responsable del Tratamiento, (i) realizar una Evaluación de Impacto en la Protección de Datos Personales de las operaciones de tratamiento a realizar por Descom, Encargado del Tratamiento, (ii) realizar las consultas previas que corresponda, (iii) velar, de forma previa y durante todo el Tratamiento, por el cumplimiento del RGPD por parte del Encargado, (iv) supervisar el Tratamiento, incluida la realización de inspecciones y auditorías.

6. Contactar con Descom

Para cualquier pregunta relacionada con Datos Personales, el cliente puede contactar con el Delegado de Protección de Datos de Descom por unos de los siguientes medios:

  • Creación de un ticket desde el sitio web de gestión de cuenta https://panel.descom.es
  • Por correo electrónico a dpd@descom.es
  • Por correo postal a la atención Delegado de Protección de Datos: Descom, c/ Guadalest 21, 03530 La Nucia Alicante.