Acuerdo de encargo del tratamiento de datos

Acuerdo de encargo del tratamiento

SALESCALING, en su condición de Encargado del Tratamiento (en adelante el “ENCARGADO”) tratará los datos personales que reciba del CLIENTE, como Responsable del Tratamiento (en adelante el “RESPONSABLE”) en relación con la ejecución del Contrato para la prestación de los Servicios siguiendo las instrucciones y finalidades determinadas por el RESPONSABLE.

A los efectos de este Acuerdo, “CLIENTE” se refiere a cualquier persona física o jurídica o entidad afiliada del Cliente que haya celebrado un contrato de prestación de servicios con SALESCALING y trate datos personales de los que este es responsable para garantizar la prestación de los servicios en virtud del contrato entre ambos.

Ambas partes, en el ejercicio de sus respectivas facultades, acuerdan suscribir el presente Acuerdo de Encargo del Tratamiento de Datos Personales (en adelante, el “Acuerdo”), en cumplimiento de lo establecido en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 (Reglamento General de Protección de Datos, en adelante “RGPD”) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (“LOPDGDD”), de conformidad con las siguientes,

Estipulaciones

Objeto

El ENCARGADO, en el marco del presente Acuerdo, tratará datos personales por cuenta del RESPONSABLE conforme a los términos y condiciones establecidos en el presente documento.

La finalidad del tratamiento es la prestación de los Servicios especificados en el contrato de prestación de servicios que ampara el presente Acuerdo.

La duración del encargo tendrá lugar mientras se mantenga la relación contractual entre las partes y hasta la eliminación de los datos personales conforme a lo establecido en este Acuerdo.

En relación con el Acuerdo, el RESPONSABLE es la persona que determina los fines y los medios para los cuales se procesan los Datos del RESPONSABLE por el encargad (como se define a continuación).

Los datos personales facilitados por el RESPONSABLE al ENCARGADO se refieren a las categorías de datos y de interesados indicados en el Apéndice I.

Obligaciones del Encargado del Tratamiento

El ENCARGADO y todo su personal se compromete a las siguientes obligaciones:

• Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios.

• Tratar los datos de acuerdo a las instrucciones documentadas del RESPONSABLE.

• Informar al RESPONSABLE si considera que alguna instrucción infringe la normativa.

• No comunicar datos a terceros sin autorización expresa del RESPONSABLE, salvo en los supuestos legalmente establecidos.

• Realizar transferencias internacionales sólo bajo instrucciones documentadas del RESPONSABLE o en virtud de obligación legal, informando previamente.

• Devolver o destruir los datos una vez finalizada la prestación de los servicios, salvo que el RESPONSABLE indique lo contrario.

Subcontratación

• El ENCARGADO podrá subcontratar actividades de tratamiento necesarias para la prestación del servicio.

• Deberá comunicarlo al RESPONSABLE identificando claramente la empresa y servicios subcontratados.

• El RESPONSABLE podrá oponerse en un plazo de 5 días.

• El subcontratista deberá cumplir con las mismas obligaciones que el ENCARGADO.

• El ENCARGADO seguirá siendo responsable en caso de incumplimiento por parte del subencargado.

• El ENCARGADO podrá compartir datos personales con terceros, como servicios de IA, por instrucción del RESPONSABLE, sin necesidad de notificación adicional.

Deber de secreto y formación

• Mantener el deber de secreto incluso después de la finalización del contrato.

• Garantizar que el personal autorizado ha firmado compromisos de confidencialidad y ha recibido formación en protección de datos.

• Mantener documentación que acredite dicha formación y compromisos.

Asistencia al Responsable

• Asistir al RESPONSABLE en la atención de derechos de los interesados.

• Notificar cualquier solicitud recibida en un plazo de 3 días hábiles.

• Facilitar al RESPONSABLE la información necesaria para cumplir sus obligaciones.

Notificación de violaciones de seguridad

• Notificar al RESPONSABLE sin dilación indebida (máx. 36 horas) cualquier violación de seguridad.

• La notificación incluirá:

  • Naturaleza de la violación

  • Datos de contacto

  • Posibles consecuencias

  • Medidas adoptadas o propuestas

Apoyo en evaluaciones e inspecciones

• Apoyar al RESPONSABLE en evaluaciones de impacto y consultas previas, cuando proceda.

• Permitir auditorías por parte del RESPONSABLE o auditores autorizados.

Medidas de seguridad

• Aplicar medidas técnicas y organizativas apropiadas para proteger los datos personales.

• Ver Apéndice I para medidas específicas.

Destino de los datos

• Destruir los datos una vez cumplida la prestación.

• Podrá conservarlos bloqueados si existen posibles responsabilidades.

Obligaciones del Responsable del tratamiento

El RESPONSABLE se compromete a:

• Responder de los datos personales objeto de tratamiento.

• Realizar evaluaciones de impacto cuando proceda.

• Informar a los interesados conforme a los arts. 13 y 14 del RGPD.

• Realizar consultas previas si aplica.

• Velar por el cumplimiento normativo del ENCARGADO.

• Comunicar cambios estructurales que afecten medidas de seguridad.

• Facilitar sólo los datos adecuados, pertinentes y no excesivos.

• Garantizar la adopción de medidas de seguridad conforme al art. 24 del RGPD.

• Comunicar a los interesados las violaciones de seguridad cuando proceda.

La comunicación al interesado deberá:

• Explicar la naturaleza de la violación.

• Incluir datos de contacto del DPO o punto de contacto.

• Describir consecuencias y medidas adoptadas.

El RESPONSABLE será responsable de que los terceros o proveedores a los que se comuniquen datos cumplan con la normativa.

Apéndice I al Acuerdo de encargo del tratamiento

Tipología de datos personales

• Datos identificativos (Ej.: nombre y apellidos, correo electrónico, teléfono).

• Datos profesionales y de empresa (Ej.: cargo, empresa, sector de actividad, identificador de usuario).

• Datos de acceso y uso de sistemas (Ej.: IPs, cookies, logs).

• Datos técnicos y operacionales.

• Grabaciones de audio y video de las llamadas.

Categorías de interesados

• Empleados del RESPONSABLE.

• Clientes, potenciales clientes, contactos o usuarios finales del RESPONSABLE.

Tipología de tratamiento realizado

• Almacenamiento y conservación de datos.

• Acceso y consulta de información.

• Análisis y procesamiento de datos.

• Integración con plataformas de IA o terceros.

• Anonimización o seudonimización.

• Eliminación o destrucción.

Medidas de seguridad

Categoría | Medida de seguridad implementada

Medidas organizativas

• Evaluaciones periódicas de seguridad.

• Procesos seguros y automatizados (CI/CD).

Medidas técnicas

• Cifrado de datos en reposo y tránsito.

• Tokens de sesión.

• Escaneo antivirus.

• Protección contra ataques (inyección, XSS, SSRF).

Medidas de control de acceso

• Autenticación por proveedores confiables y OTP.

• Autorización por roles (OpenFGA).

• 2FA en interfaces administrativas.

Medidas de continuidad y recuperación

• Despliegues automatizados con recuperación <10 min.

• Monitorización y verificación de configuraciones.

Subencargados del tratamiento autorizados