Última actualización el 30 enero 2025
Descargar

Anexo C – Acuerdo de Tratamiento de Datos o Data Processing Agreement (DPA)

A los efectos del presente Acuerdo de Tratamiento de Datos (en adelante, el “ DPA ”), los términos que comiencen con mayúscula inicial tendrán el significado que se les atribuye en el Contrato o en el presente Acuerdo.

1. Contexto y finalidad

El Cliente, en su condición de responsable del tratamiento (en adelante, el “ Responsable del Tratamiento ”), ha suscrito uno o varios Servicios de Partoo, de conformidad con los Términos y Condiciones Generales de Partoo (en adelante, los “ T&C ”) o con un contrato específico (denominados conjuntamente, en adelante, el “ Contrato ”, ya se trate de los T&C o de un contrato específico).

El Responsable del Tratamiento pone a disposición de Partoo los datos personales necesarios para la ejecución del Contrato (en adelante, conjuntamente, “ Datos Personales ”). A este respecto, Partoo ostenta la condición de encargado del tratamiento (en adelante, el “ Encargado del Tratamiento ”), de conformidad con los criterios y orientaciones de las autoridades de control competentes. En consecuencia, la finalidad de las presentes cláusulas es determinar las condiciones en las que el Encargado del Tratamiento se compromete a llevar a cabo, por cuenta del Responsable del Tratamiento, las operaciones de tratamiento de Datos Personales que se definen a continuación.

2. Normativa aplicable

En el marco de su relación contractual, las partes se comprometen a cumplir la normativa vigente derivada de la legislación aplicable al Contrato en materia de tratamiento de Datos Personales (en adelante, la “ Normativa de Protección de Datos ”) y, en particular, cuando resulte de aplicación, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, del 27 de abril de 2016, aplicable desde el 25 de mayo de 2018 (en adelante, el “ RGPD ”).

3. Descripción del tratamiento

3.1. Natureza y objeto del tratamiento

La naturaleza de las operaciones de tratamiento consiste, por una parte, en la identificación de las personas que acceden a la plataforma y, por otra, en el alojamiento y la transmisión de los datos cargados por los Usuarios y por terceros, incluidos los clientes del Responsable del Tratamiento, que interactúan con los Servicios.

La finalidad del tratamiento es la realización por parte del Encargado del Tratamiento, por cuenta del Cliente, de operaciones de recopilación, registro, conservación y demás operaciones de tratamiento necesarias, en el marco del Contrato y cuando resulten necesarias para la correcta ejecución de los Servicios.

Se recuerda que, en el marco de su relación comercial con el Responsable del Tratamiento, el Encargado del Tratamiento se limita principalmente a proporcionar acceso a las Aplicaciones y a los Servicios de Partoo. Salvo en el caso de los Usuarios cuyos Datos Personales sean tratados con la finalidad de prestar los Servicios, el Encargado del Tratamiento no está sujeto a ninguna obligación general de supervisión del contenido alojado en las Aplicaciones de Partoo.

En consecuencia, el Encargado del Tratamiento no tiene conocimiento de si el Cliente aloja Datos Personales en el marco de los Servicios. A este respecto, se especifica expresamente que, en relación con el uso del producto Messages, el Responsable del Tratamiento seguirá siendo el único responsable de proporcionar la información exigida a los interesados, de seleccionar la base jurídica adecuada para el tratamiento y de recabar, en su caso, los consentimientos necesarios. El Encargado del Tratamiento actúa exclusivamente como proveedor de servicios técnicos, garantizando la transmisión y el alojamiento temporal de los mensajes.

3.2. Finalidad del tratamiento

El Encargado del Tratamiento queda autorizado a tratar los Datos Personales de los Usuarios con el fin de prestar los Servicios suscritos por el Responsable del Tratamiento y, en particular, para:

  • Proporcionar acceso a los Usuarios;
  • Alojar y transmitir, por cuenta del Responsable del Tratamiento, los Datos Personales que este decida cargar en el marco de los Servicios:
  • Gestionar el alojamiento de la aplicación en modo SaaS
  • Gestionar las copias de seguridad y las actualizaciones de las Aplicaciones de Partoo
  • Garantizar la resolución de incidencias en las Aplicaciones de Partoo:
  • Prestar servicios de soporte sobre las aplicaciones de Partoo
  • Responder a las solicitudes realizadas a través del chat en línea
  • Acceder a las cuentas en línea de los Usuarios con fines de resolución de incidencias
  • Tener en cuenta las opiniones de los Usuarios
  • Resolver los tickets de incidencias
  • Conservar los registros (logs) necesarios para la trazabilidad de las incidencias
  • Asegurar el desarrollo continuo de las Aplicaciones de Partoo

Al margen del tratamiento de los Datos Personales de los empleados con el fin de prestar los Servicios, tal y como se define anteriormente, el Encargado del Tratamiento se limita a alojar y transmitir los datos que puedan ser comunicados por el Responsable del Tratamiento o, en su caso, su persona de contacto, en las Aplicaciones de Partoo.

3.3. Categorías de Datos Personales

Las categorías de Datos Personales objeto de tratamiento son las siguientes:

  • Datos identificativos de los Usuarios: apellidos, nombre;
  • Datos profesionales: cargo desempeñado, correo electrónico profesional;
  • Datos de acceso: registros (información de marca temporal, información de acceso como la dirección IP y el navegador), datos de navegación en las Aplicaciones de Partoo.

3.4. Categorías de personas interesadas

Las categorías de personas interesadas son las siguientes:

  • Usuarios (empleados del Responsable del Tratamiento);
  • Personas que interactúan con el Responsable del Tratamiento a través de un Sitio del Editor.

4. Duración

El presente DPA entrará en vigor en la fecha de firma del Contrato por las Partes y permanecerá vigente durante toda la duración del Contrato. En consecuencia, los Datos Personales serán objeto de tratamiento durante la vigencia del Contrato y, una vez finalizado este, serán archivados durante un periodo de noventa (90) días a contar desde la fecha de terminación del Contrato.

5. Obligaciones del Encargado del Tratamiento frente al Responsable del Tratamiento

El Encargado del Tratamiento se compromete a:

  1. Tratar los datos únicamente para los fines de la subcontratación, tal y como se definen anteriormente.
  2. Tratar los datos de conformidad con los Servicios suscritos por el Cliente. En caso de que el Encargado del Tratamiento considere que una instrucción constituye una infracción del RGPD o de cualquier otra disposición de la Normativa de Protección de Datos, informará inmediatamente al Responsable del Tratamiento. Asimismo, cuando el Encargado del Tratamiento esté obligado a transferir datos a un tercer país o a una organización internacional, informará previamente al Responsable del Tratamiento de dicha obligación legal, salvo que la legislación aplicable prohíba dicha información por razones importantes de interés público.
  3. Garantizar la confidencialidad de los Datos Personales tratados en el marco del presente Contrato, en la medida en que el Responsable del Tratamiento no haga accesible su alojamiento a terceros no autorizados y adopte las medidas de seguridad necesarias para preservar dicha confidencialidad, teniendo en cuenta que el Responsable del Tratamiento dispone de acceso pleno a los Datos Personales alojados por el Encargado del Tratamiento.
  4. Garantizar que las personas autorizadas para tratar los Datos Personales en virtud del presente Contrato:
  5. Se comprometan a respetar la confidencialidad o estén sujetas a una obligación legal adecuada de confidencialidade.
  6. Reciban la formación necesaria en materia de protección de Datos Personales.
  7. Tener en cuenta, en relación con sus herramientas, productos, aplicaciones o servicios, los principios de protección de datos desde el diseño y por defecto.

6. Actividades de subencargo

6.1. Uso de subencargados del tratamiento

El Encargado del Tratamiento ha designado subencargados del tratamiento (en adelante, el “ Subencargado ”) para llevar a cabo determinadas actividades de tratamiento en el marco de la prestación de sus Servicios, lo cual el Responsable del Tratamiento autoriza por la presente. La lista de Subencargados aprobados por el Responsable del Tratamiento en la fecha de formalización del presente DPA se encuentra disponible en la página web específica del Encargado del Tratamiento. El Encargado del Tratamiento se compromete a actualizar periódicamente dicha lista y a comunicar, a simple solicitud del Responsable del Tratamiento, una versión actualizada extraída de la lista completa de sus Subencargados.

En caso de cualquier modificación de la lista de Subencargados, el Encargado del Tratamiento informará al Responsable del Tratamiento. Dicha información deberá indicar de forma clara las actividades de tratamiento subcontratadas, así como la identidad y la información de contacto del Subencargado del Tratamiento.

El Responsable del Tratamiento dispondrá de un plazo máximo de quince (15) días a contar desde la fecha de recepción de dicha información para formular cualquier objeción, la cual deberá basarse, en todo caso, en motivos razonables relacionados con la protección de datos. En caso de que el Responsable del Tratamiento formule una objeción a un nuevo Subencargado, el Encargado del Tratamiento podrá, a su entera discreción: (i) prestar los Servicios sin recurrir al Subencargado objeto de la objeción; (ii) designar a un Subencargado alternativo; o (iii) resolver el Servicio o la funcionalidad específica afectada por dicha objeción. El derecho de resolución constituirá el único y exclusivo recurso del Responsable del Tratamiento en caso de oposición a un nuevo Subencargado.

6.2. Garantías aportadas por el Subencargado

El Subencargado del Tratamiento deberá cumplir con las obligaciones establecidas en el presente DPA por cuenta del Responsable del Tratamiento y de conformidad con sus instrucciones. Corresponde al Encargado del Tratamiento garantizar que el Subencargado ofrezca garantías suficientes en cuanto a la aplicación de medidas técnicas y organizativas apropiadas, de modo que el tratamiento cumpla los requisitos del RGPD y de cualquier otra normativa aplicable al Contrato.

En caso de que el Subencargado incumpla sus obligaciones en materia de protección de datos, el Encargado del Tratamiento seguirá siendo plenamente responsable frente al Responsable del Tratamiento del cumplimiento de dichas obligaciones por parte del Subencargado.

7. Derecho de información de los interesados

Corresponde al Responsable del Tratamiento proporcionar a los interesados información relativa a las operaciones de tratamiento en el momento de la recopilación de los datos. A este respecto, no podrá exigirse responsabilidad alguna al Encargado del Tratamiento.

8. Ejercicio de los derechos de los interesados

En la medida de lo posible, el Encargado del Tratamiento asistirá al Responsable del Tratamiento en el cumplimiento de su obligación de responder a las solicitudes relativas al ejercicio de los derechos de los interesados, a saber: derecho de acceso, rectificación, supresión y oposición, derecho a la limitación del tratamiento, derecho a la portabilidad de los datos y derecho a no ser objeto de una decisión individual automatizada (incluida la elaboración de perfiles).

Cuando los interesados dirijan solicitudes de ejercicio de derechos al Encargado del Tratamiento, este deberá remitir estas solicitudes, tan pronto como las reciba, por correo electrónico a la dirección facilitada por el Cliente en el momento de la suscripción de los Servicios.

9. Notificación de violaciones de seguridad de los Datos Personales

El Encargado del Tratamiento notificará al Responsable del Tratamiento, sin dilación indebida, cualquier violación de la seguridad de los Datos Personales de la que tenga conocimiento, mediante correo electrónico a la dirección facilitada por el Responsable del Tratamiento en el momento de la subscripción de los Servicios.

Dicha notificación deberá ir acompañada de toda la documentación pertinente que consenta al Responsable del Tratamiento, en su caso, comunicar dicha violación a la autoridad de control competente.

La notificación deberá contener, como mínimo:

  • La descripción de la naturaleza de la violación de la seguridad de los Datos Personales, incluida, cuando sea posible, la categoría y el número aproximado de interesados afectados por la violación, así como las categorías y el número aproximado de registros de Datos Personales afectados;
  • El nombre y la información de contacto del Delegado de Protección de Datos (DPO) o de cualquier otra persona de contacto que pueda proporcionar información adicional;
  • La descripción de las posibles consecuencias de la violación de la seguridad de los Datos Personales;
  • La descripción de las medidas adoptadas o propuestas por el Responsable del Tratamiento para subsanar la violación de la seguridad de los Datos Personales, incluidas, en su caso, las medidas destinadas a mitigar los posibles efectos negativos.

Si, y en la medida en que no sea posible facilitar toda esta información de una sola vez, dicha información podrá comunicarse de forma escalonada, sin dilación indebida.

Corresponde al Responsable del Tratamiento gestionar la comunicación con los interesados afectados por la violación de la seguridad de los Datos Personales. Se recuerda que el Encargado del Tratamiento no tiene visibilidad sobre la naturaleza de los datos alojados por cuenta del Responsable del Tratamiento y, por lo tanto, no se encuentra en condiciones de evaluar el nivel de riesgo para los derechos y libertades de las personas físicas en caso de una violación de la seguridad de los Datos Personales.

10. Asistencia del Encargado del Tratamiento al Responsable del Tratamiento para el cumplimiento de sus obligaciones

El Encargado del Tratamiento proporcionará al Responsable del Tratamiento la documentación pertinente con el fin de permitirle llevar a cabo evaluaciones de impacto relativas a la protección de datos, únicamente en lo que respecta a los aspectos de los que el Encargado del Tratamiento sea responsable, esto es, en particular, el alojamiento de los datos.

El Encargado del Tratamiento asistirá, en la medida de lo posible y razonable, al Responsable del Tratamiento en el marco de la consulta previa con la autoridad de control, mediante la aportación de la documentación requerida.

Se entiende expresamente que cualquier intervención del Encargado del Tratamiento por cuenta del Responsable del Tratamiento en el ámbito del presente DPA y, en particular, la asistencia en la realización de análisis de impacto, será facturada al Responsable del Tratamiento conforme a la tarifa aplicable, previa aceptación del Responsable del Tratamiento, cuando dicha intervención exceda de un (1) día.

11. Medidas de seguridad

El Encargado del Tratamiento llevará a cabo las operaciones del tratamiento aplicando medidas técnicas y organizativas apropiadas que garanticen un nivel de seguridad adecuado al riesgo del tratamiento, de conformidad con lo dispuesto en el Artículo 32 del RGPD.

Dichas medidas incluyen, entre otras, el cifrado de los datos, controles de acceso robustos, auditorías de seguridad periódicas y cualquier otra medida necesaria para garantizar la confidencialidad, integridad y disponibilidad de los datos. El Encargado del Tratamiento se reserva el derecho de actualizar y mejorar dichas medidas de seguridad en función de los requisitos normativos y de las buenas prácticas del sector.

Para determinar el nivel de seguridad adecuado, el Encargado del Tratamiento tendrá en cuenta el estado de la técnica, los costes de aplicación, así como la naturaleza, el alcance, el contexto y las finalidades del tratamiento, junto con los riesgos para los interesados.

En particular, el Encargado del Tratamiento dispone de procesos y políticas de seguridad documentados por escrito que cumplen, como mínimo, los requisitos impuestos por la Normativa de Protección de Datos y que se ajustan a las prácticas consolidadas en el sector. Durante la vigencia del Contrato, el Encargado del Tratamiento facilitará al Responsable del Tratamiento la documentación relativa a la seguridad a su primera solicitud.

12. Reversibilidad de los datos al término del Contrato

La reversibilidad de los datos al finalizar la relación contractual entre el Encargado del Tratamiento y el Cliente se rige por lo dispuesto en el Contrato.

13. Delegado de Protección de Datos (DPO)

Los datos de contacto de la Delegada de Protección de Datos (DPO) del Encargado del Tratamiento son los siguientes:

Solène Langumier – personaldata@partoo.fr

14. Registro de las categorías de actividades del tratamiento

El Encargado del Tratamiento declara mantener un registro escrito de todas las categorías de actividades de tratamiento realizadas por cuenta del Responsable del Tratamiento, incluido:

  • El nombre y los datos de contacto del Responsable del Tratamiento por cuenta del cual actúa, de los Subencargados y, en su caso, del Delegado de Protección de Datos;
  • Las categorías de tratamientos efectuados por cuenta del Responsable del Tratamiento;
  • En su caso, las transferencias de Datos Personales a un tercer país o a una organización internacional, incluida la identificación de dicho tercer país o de dicha organización internacional y, en el supuesto de las transferencias a que se refiere el segundo párrafo del artículo 49(1) del RGPD, la documentación que acredite la existencia de garantías adecuadas.

15. Transferencias de Datos Personales fuera de la Unión Europea

El Encargado del Tratamiento podrá realizar, de forma indirecta y a través de los Subencargados mencionados en el artículo 6 del presente DPA, transferencias de Datos Personales fuera de la Unión Europea. En tal caso, el Encargado del Tratamiento se compromete a obtener previamente el consentimiento expreso y por escrito del Responsable del Tratamiento.

Cualquier transferencia de Datos Personales fuera de la Unión Europea se llevará a cabo en estricto cumplimiento de lo dispuesto en el Capítulo 5 del RGPD, y en particular sobre la base de una decisión de adecuación o mediante la aplicación de garantías adecuadas. En consecuencia, cuando se realice dicha transferencia, el Encargado del Tratamiento se compromete a garantizar que esta está amparada por:

  • Cláusulas contractuales tipo adoptadas por la Comisión Europea o por una Autoridad de Control, de conformidad con lo dispuesto en el Artículo 46 del RGPD; e/o
  • Normas corporativas vinculantes (Binding Corporate Rules – BCR) aprobadas por una Autoridad de Control competente, de conformidad con el Artículo 47 del RGPD; e/o
  • Un código de conducta aprobado, de conformidad con el Artículo 46 del RGPD; e/o
  • Un mecanismo de certificación aprobado, de conformidad con el Artículo 46 del RGPD; e/o
  • Una decisión de adecuación adoptada por la Comisión Europea, de conformidad con el Artículo 45 del RGPD.

En cualquier caso, el Encargado del Tratamiento informará al Responsable del Tratamiento, con una antelación razonable, de cualquier transferencia prevista y le facilitará simultáneamente toda la información pertinente que le permita cumplir con sus obligaciones en caso de transferencia de Datos Personales.

16. Evaluación de impacto relativa a la Protección de Datos

Corresponde al Responsable del Tratamiento determinar si las operaciones de tratamiento realizadas a través de los Servicios pueden entrañar un alto riesgo para los derechos y libertades de las personas físicas, de conformidad con lo dispuesto en el Artículo 35 del RGPD. Cuando se identifique dicho riesgo, el Responsable del Tratamiento llevará a cabo, con carácter previo al tratamiento, una Evaluación de Impacto relativa a la Protección de Datos (en adelante, “ EIPD ”).

El Encargado del Tratamiento prestará al Responsable del Tratamiento, previa solicitud, toda la asistencia razonable necesaria para permitir la realización de la EIPD, en particular mediante la puesta a disposición de la documentación relativa a las medidas técnicas y organizativas de seguridad implementadas, así como de cualquier otra información pertinente relativa a las operaciones de tratamiento efectuadas por cuenta del Responsable del Tratamiento.

17. Auditorías

17.1. Marco aplicable

El Encargado del Tratamiento pondrá a disposición del Responsable del Tratamiento la información necesaria para demostrar el cumplimiento de todas sus obligaciones y para permitir la realización de auditorías, incluidas inspecciones, por parte del Responsable del Tratamiento o de otro auditor designado por este, y colaborará en dichas auditorías.

Las auditorías previstas en el presente artículo únicamente podrán llevarse a cabo bajo las siguientes condiciones:

  1. La auditoría deberá solicitarse mediante una carta certificada con acuse de recibo, con al menos treinta (30) días naturales de antelación a la fecha prevista para su realización, e indicar los motivos que justifican dicha auditoría. Cuando la auditoría pueda realizarse mediante la aportación de documentos, las Partes priorizarán una auditoria basada en la presentación de documentos;
  2. Solo podrá realizarse una (1) auditoría por año;
  3. La auditoría no podrá tener una duración superior a un (1) día. En caso de superarse dicho plazo, el Encargado del Tratamiento podrá facturar el tiempo dedicado por sus equipos en la auditoría conforme a las tarifas que se comunicarán al Cliente en el momento de la solicitud de la auditoría o en cualquier momento a petición del Cliente.

17.2. Finalidad

La auditoría no debe perturbar las actividades del Encargado del Tratamiento más de lo estrictamente necesario y, por lo tanto, únicamente podrá centrarse en el cumplimiento por parte del Encargado del Tratamiento de las disposiciones del presente DPA.

Si el Cliente decide encomendar la auditoría a un tercero, este deberá (i) no ser un competidor directo o indirecto del Encargado del Tratamiento; (ii) estar estrictamente sujeto a una obligación de confidencialidad profesional que será presentada por el Encargado del Tratamiento antes de que se realice la auditoría; (iii) en cualquier caso, el Encargado del Tratamiento podrá oponerse a la elección del auditor, siempre que se aporte una justificación razonable; y (iv) cumplir con todos los procedimientos internos del Encargado del Tratamiento. El Cliente seguirá siendo, en todo caso, plenamente responsable del auditor, sin que pueda invocar ninguna limitación de responsabilidad frente al Encargado del Tratamiento en caso de incumplimiento por parte de dicho auditor.

17.3. Resultados

Las Partes acuerdan que los resultados de la auditoría no podrán hacerse públicos y permanecerán bajo estricta confidencialidad. El Encargado del Tratamiento podrá presentar sus observaciones antes de la versión definitiva del informe de la auditoría y dispondrá de treinta (30) días para ello, a menos que este plazo se considere insuficiente, en cuyo caso podrá solicitar treinta (30) días adicionales mediante notificación por correo electrónico.

18. Obligaciones del Responsable del Tratamiento frente al Encargado del Tratamiento

El Responsable del Tratamiento se compromete a:

  1. Documentar por escrito todas las instrucciones relativas al tratamiento de datos por parte del Encargado del Tratamiento.
  2. Garantizar, con carácter previo y durante toda la duración del tratamiento, el cumplimiento por parte del Encargado del Tratamiento de las obligaciones establecidas en la legislación aplicable.
  3. Supervisar el tratamiento llevado a cabo por el Encargado del Tratamiento de conformidad con el Contrato.

19. Alcance de las disposiciones generales en materia de intercambio de datos

El presente DPA constituye un documento único junto con el Contrato. A este respecto, todas las disposiciones del Contrato que no hayan sido modificadas o que no resulten contradictorias con los términos de este DPA seguirán siendo plenamente aplicables entre las Partes. En concreto, la cláusula de limitación de responsabilidad prevista en el Contrato (y especialmente en el artículo 10 de los T&C, cuando proceda) será plenamente aplicable en caso de incumplimiento del presente DPA. En caso de conflicto entre las disposiciones del Contrato y las del presente DPA, prevalecerán las del DPA.

Si alguna disposición de este DPA fuera declarada nula o sin efecto en virtud de una norma legal aplicable o de una decisión judicial firme, se considerará no escrita, sin que ello afecte a la validez del resto del DPA ni altere la vigencia de sus demás disposiciones.