Anexo I Contrato de Encargado de Tratamiento de Hosting Compartido

El presente Anexo forma parte integrante del Contrato suscrito entre el Cliente y HADOQ IT, S.L.  (en adelante, el “Contrato”) y resultará de aplicación en todos aquellos supuestos en los que la prestación de los servicios implique el tratamiento por parte de HADOQ IT, S.L. (en adelante, HIT SOLUCIONES) de datos personales de los que sea Responsable el Cliente. En esos casos, las Partes se obligan a cumplir con las obligaciones previstas en la normativa aplicable y, especialmente, con las siguientes:

1.- DEFINICIONES

“Autoridad de Protección de Datos”: la/s autoridad/es pública/s independiente/s establecida/s por un Estado miembro del Unión Europea que tenga competencias en materia de protección de Datos Personales.

“Datos Personales”: toda información sobre una persona física identificada o identificable; se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.

“Interesados”: personas físicas a las que se refieran los datos personales objeto de tratamiento.

“Tratamiento”: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

“Responsable/s del Tratamiento”: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento. A los efectos del presente Anexo, el Cliente ocupa la posición de Responsable del Tratamiento.

“Encargado”: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del Responsable del tratamiento. A los efectos del presente Anexo, HIT SOLUCIONES ocupa la posición de Encargado.

“Normativa Aplicable”: el Reglamento (UE) 2016/679, del Parlamento Europeo y de Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (“RGPD”), o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros.

“Violación de la Seguridad”: toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de Datos Personales transmitidos, conservados u objeto de cualquier otra forma de Tratamiento, o la comunicación o acceso no autorizados a dichos datos.

“Servicios”: son los servicios objeto del Contrato conforme éstos se describan en el mismo.

 

2.- OBJETO DEL ENCARGO

Con el fin exclusivo de prestar los Servicios objeto del Contrato, se habilita a HIT SOLUCIONES para tratar por cuenta del Cliente, Responsable del tratamiento, los Datos Personales que se describen en la Adenda I del presente Contrato.

 

3.- DURACIÓN

El presente Anexo tendrá la misma duración que la determinada para el Contrato.

 

4.- OBLIGACIONES DE HIT SOLUCIONES

HIT SOLUCIONES, en relación con los Datos Personales que sean objeto de Tratamiento con motivo de la prestación de los Servicios, se obliga como Encargado a lo siguiente:

a) Utilizar los Datos Personales objeto de Tratamiento exclusivamente para la finalidad de prestar los Servicios, quedando expresamente prohibida su utilización con cualquier otra finalidad.

b) Tratar los Datos Personales de acuerdo a las instrucciones documentadas que le sean transmitidas por el Cliente. Si HIT SOLUCIONES considera que alguna de las instrucciones infringe la Normativa Aplicable, HIT SOLUCIONES informará al Cliente.

c) No comunicar los Datos Personales a terceras personas, salvo que cuente con la autorización expresa del Cliente, en los supuestos legalmente admisibl

HIT SOLUCIONES puede comunicar los Datos Personales a otros Encargados del mismo Responsable del Tratamiento, de acuerdo con las instrucciones del Cliente. En este caso, el Cliente identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los Datos Personales, los Datos Personales a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación.

Si HIT SOLUCIONES debe transferir Datos Personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, informará al Cliente de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público.

d) Sin perjuicio de cualquier disposición contraria en el Contrato, HIT SOLUCIONES no subcontratará a otro Encargado sin la previa autorización, específica y por escrito, del Cliente.

A continuación se enumeran todos los subcontratistas utilizados por HIT SOLUCIONES que, a la fecha de vigencia de este Contrato, han sido autorizados por el Cliente:

Subencargado: OVH HISPANO S.L.U (NIF B83834747)

C/ Alcalá 21, 5.ª planta. 28014 Madrid, España.

902 106 113 – soporte@ovh.es

Servicio / Descripción: Espacio web (hosting)
Tipo de datos: Datos de carácter identificativo

Para subcontratar con otras empresas, HIT SOLUCIONES deberá comunicar este hecho previamente por escrito al Cliente, identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el  no manifiesta su oposición en el plazo de 30 días.

El subcontratista, que también tendrá la condición de Encargado, está obligado igualmente a cumplir las obligaciones establecidas en este Anexo para HIT SOLUCIONES y las instrucciones documentadas que dicte el Cliente. Corresponde a HIT SOLUCIONES regular la nueva relación de forma que el nuevo Encargado (“subencargado”) quede sujeto a las mismas condiciones y con los mismos requisitos formales que HIT SOLUCIONES asume en virtud del presente Anexo.  En el caso de incumplimiento por parte del subencargado de cualquier de sus obligaciones, HIT SOLUCIONES seguirá siendo plenamente responsable ante el Cliente.

e) HIT SOLUCIONES garantizará que las personas autorizadas para tratar Datos Personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria.

f) HIT SOLUCIONES asistirá al Cliente siempre que sea posible en la respuesta al ejercicio de los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles).

Cuando las personas afectadas ejerzan los mencionados derechos ante HIT SOLUCIONES, éste deberá comunicarlo al Cliente.

g) HIT SOLUCIONES notificará al Cliente las Violaciones de la Seguridad de los Datos Personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia.

Si se dispone de ella, se facilitará la información siguiente:

  1. Descripción de la naturaleza de la Violación de la Seguridad de los Datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de Interesados afectados, y las categorías y el número aproximado de registros de Datos Personales afectados.
  2. El nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.
  3. Descripción de las posibles consecuencias de la Violación de la Seguridad de los Datos Personal
  4. Descripción de las medidas adoptadas o propuestas para poner remedio a la Violación de la Seguridad de los Datos Personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativ
  5. Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual.

 

h) Dar apoyo al Cliente en la realización de las evaluaciones de impacto relativas a la protección de datos, cuando proced

i) Dar apoyo al Cliente en la realización de las consultas previas a la Autoridad de Protección de Datos, cuando proceda.

j) Poner a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el Responsable u otro auditor autorizado por é

k) Cuando proceda de conformidad con la Normativa Aplicable, designar un delegado de protección de datos, así como comunicar su identidad y datos de contacto al Cliente.

l) Cuando proceda de conformidad con la Normativa Aplicable Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del Cliente, que contenga:

  • El nombre y los datos de contacto del Encargado o Encargados y de cada Responsable del Tratamiento por cuenta del cual actúe el Encargado y, en su caso, del representante del Responsable o del Encargado y del delegado de protección de datos.
  • Las categorías de tratamientos efectuados por cuenta de cada Responsable del Tratamiento.
  • En su caso, las transferencias de Datos Personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el Artículo 49, apartado 1, párrafo segundo, del RGPD, la documentación de garantías adecuadas.
  • Una descripción general de las medidas técnicas y organizativas de seguridad adoptadas en virtud de la Cláusula 5 del presente Anexo.

m) Una vez cumplida la prestación contractual y, en todo caso, a la terminación del Contrato, HIT SOLUCIONES se obliga destruir los Datos Personales.

No obstante lo anterior, HIT SOLUCIONES puede conservar una copia, con los Datos Personales debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación.

 

5.- MEDIDAS DE SEGURIDAD

HIT SOLUCIONES se compromete a adoptar las medidas de seguridad técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, teniendo en cuenta el estado de la técnica, los costes de aplicación, así como la naturaleza, alcance, contexto, y finalidades del tratamiento, así como los riesgos -de probabilidad y gravedad variables- para los derechos y las libertades de las personas físicas, que según corresponda incluya, entre otras:

  • La seudonimización y el cifrado de datos personales
  • La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
  • La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.
  • Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

Para evaluar el nivel de seguridad adecuado se tendrán en cuenta los riesgos que puedan derivarse del tratamiento, en especial, la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, así como la comunicación o acceso no autorizados a dichos datos.

 

6.- OBLIGACIONES DEL CLIENTE

Corresponde al Cliente:

  • Entregar a HIT SOLUCIONES o habilitar el acceso a los Datos Personales a los que se refiere la Adenda I de este Contrato.
  • Cuando proceda según la Normativa Aplicable, realizar una evaluación del impacto en la protección de Datos Personales de las operaciones de Tratamiento a realizar por HIT SOLUCIONES.
  • En su caso, realizar las consultas previas que correspondan según la Normativa Aplicable.
  • Velar, de forma previa y durante todo el tratamiento, por el cumplimiento de la Normativa Aplicable por parte de HIT SOLUCIONES.
  • Supervisar el tratamiento, incluida la realización de inspecciones y auditorías.

 

ADENDA I

1.1.- El Tratamiento consistirá en la prestación de los Servicios, conforme éstos se describen en el Contrato.

1.2.- Concreción de los tratamientos a realizar:

X Consulta
X Comunicación
X Conservación

 

X Destrucción
X Limitación

 

X Modificación
X Registro
X Supresión

 

1.3.- Identificación de la información afectada:

 a) Colectivos y categorías de interesados:

En función de la información contenida en los archivos subida y alojada por el Cliente en el servicio contratado, esta puede afectar a varios colectivos y/o categorías de interesados (p.ej. a empleados, personas de contacto, proveedores, clientes y/o usuarios, etc.)

b) Tipo de datos:

En función de la información contenida en los archivos subida y alojada por el Cliente en el servicio contratado:

  • Datos de carácter identificativo (incluye, por ejemplo: nombre y apellidos, NIF/DNI, teléfono, dirección, firma, imagen/voz, etc.)
  • Características personales (incluye por ejemplo: fecha o lugar de nacimiento, edad, sexo, datos de estado civil, nacionalidad, etc.)
  • Datos económicos, financieros y de seguro (incluye por ejemplo: datos bancarios)
  • Circunstancias sociales (incluye por ejemplo: Características de alojamiento, vivienda, situación familiar, propiedades, posesiones, aficiones y estilos de vida, pertenencia a clubes y asociaciones, licencias, permisos y autorizaciones)
  • Datos académicos y profesionales (incluye por ejemplo: formación, titulaciones, historial del estudiante, experiencia profesional, pertenencia a colegios o asociaciones profesionales)
  • Detalles de empleo (incluye por ejemplo: profesión, puestos de trabajo, datos no económicos de nomina, historial del trabajador)
  • Datos que aportan información comercial (incluye por ejemplo: actividades y negocios, licencias comerciales, subscripciones a publicaciones o medios de comunicación, creaciones artísticas, literarias, científicas o técnicas)

Datos relativos a transacciones de bienes y servicios (incluye por ejemplo: bienes y servicios suministrados por el afectado, bienes y servicios recibidos por el afectado, transacciones financieras, compensaciones, indemnizaciones)