Modelo de Contrato de Encargado de Tratamiento

 

De una parte, el cliente que contrate nuestros servicios de CRM será considerado en adelante RESPONSABLE DEL TRATAMIENTO o RESPONSABLE.

 

De otra parte, VITRIO VIRTUAL REALITY S.L. con domicilio en Calle Antonio, 31, 28029 (Madrid) y NIF B87437570, en adelante ENCARGADO DEL TRATAMIENTO o ENCARGADO.

 

Ambas partes, reconociéndose mutuamente capacidad legal suficiente para obligarse mediante este documento, y manifestando tener vigentes sus poderes y ser suficientes para obligar a sus representadas,

 

MANIFIESTAN

 

  1. Que ambas partes se encuentran vinculadas por una relación contractual de carácter mercantil para la prestación de servicios de Customer Relationship Management (CRM) (en adelante SERVICIO).

 

  1. Que, en cumplimiento de la normativa de protección de datos, ambas partes de forma libre y espontánea voluntad acuerdan regular el tratamiento de los datos de carácter personal de conformidad con las siguientes,

 

CLÁUSULAS

 

  1. OBJETO DEL ENCARGO DEL TRATAMIENTO

 

Mediante las presentes cláusulas se habilita al ENCARGADO DE TRATAMIENTO, por cuenta del RESPONSABLE DEL TRATAMIENTO, el tratamiento de los datos de carácter personal señalados en la cláusula 2 del presente contrato, necesarios para prestar el SERVICIO.

 

El Encargado de tratamiento no podrá llevar a cabo acciones no permitidas por el Responsable del Tratamiento, debiendo realizar únicamente aquellos tratamientos estrictamente necesarios para la prestación del referido servicio, pudiendo concretarse en los siguientes:

 

  • Estructuración.
  • Conservación.
  • Análisis.
  • Comunicación.

 

 

  1. IDENTIFICACIÓN DE LOS DATOS PERSONALES E INTERESADOS

 

Para la ejecución de las prestaciones derivadas del cumplimiento del referido contrato de prestación de servicios, el RESPONSABLE DEL TRATAMIENTO pone a disposición del ENCARGADO DEL TRATAMIENTO, los siguientes:

 

 

  • Nombre y apellidos.
  • Dirección postal.
  • Correo electrónico.
  • Teléfono.
  • Información comercial.
  • Datos económicos.

 

 

Los datos de carácter personal señalados en la anterior tabla son titularidad de la siguiente:

 

  1. DURACIÓN

 

La duración del presente contrato quedará supeditada a la continuidad del servicio principal contratado.

 

  1. OBLIGACIONES DEL ENCARGADO DEL TRATAMIENTO

 

VITRIO VIRTUAL REALITY S.L. y todo su personal se obliga a:

 

  1. Utilizar los datos personales objeto de tratamiento, o los que recoja para su tratamiento, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios o diferentes a los establecidos por el Responsable.

 

  1. Tratar los datos de acuerdo con las instrucciones documentadas del RESPONSABLE del tratamiento que en todos los casos implicará la prohibición de efectuar como consecuencia de la prestación del servicio transferencias internacionales que requieran de solicitud de autorización a la autoridad de control por tratarse de países y/u organizaciones que no cumplan con un nivel adecuado de protección o no se cuente con las garantías necesarias para llevar a cabo la exportación de los datos personales.

 

  1. Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad, el secreto profesional y a cumplir las medidas de seguridad correspondientes, de las que hay que sensibilizar, formar e informar convenientemente. El deber de secreto y confidencialidad respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente encargo perdurará indefinidamente.

 

  1. No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del RESPONSABLE del tratamiento, o en los supuestos legalmente admisibles.

 

  1. Asistir al RESPONSABLE del tratamiento, teniendo en cuenta la naturaleza del mismo y a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que éste pueda dar cumplimiento en la respuesta al ejercicio de los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos personales y a no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles).

 

Cuando los interesados ejerzan los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas ante VITRIO VIRTUAL REALITY S.L. comunicará dicha solicitud por correo electrónico, en ningún caso más allá de los 5 días naturales desde la recepción de la solicitud.

 

  1. VITRIO VIRTUAL REALITY S.L. notificará al RESPONSABLE del tratamiento, sin dilación indebida, y en cualquier caso antes del plazo máximo de 48 horas, teniendo en cuenta que la norma establece un plazo máximo de 72 hrs. desde que se tenga constancia, y a través correo electrónico, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia.

 

  1. Dar apoyo al RESPONSABLE del tratamiento en la realización de las evaluaciones de impacto relativas a la protección de datos y en la realización de consultas previas a la autoridad de control, en su caso y cuando proceda conforme a la normativa de protección de datos que resulte de aplicación y/o a las instrucciones que emita la autoridad de control nacional.

 

  1. Poner a disposición del RESPONSABLE toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en la normativa de protección de datos, así como permitir la realización de auditorías, incluidas inspecciones, que pudiera realizar el RESPONSABLE u otro auditor designado por éste. Para este tipo de acciones, se establece un aviso previo de ­­SIETE (7) días.

 

  1. Medidas de seguridad

 

Implantar las medidas de seguridad técnicas y organizativas necesarias para garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.

 

A efectos de determinar las medidas de seguridad objeto de implantación, habrá que atender al análisis de riesgos, y evaluación de impacto, si procediera,  en la que se determinará las medidas más adecuadas para garantizar la seguridad del tratamiento, las cuales deberán ser adoptadas, documentando todo lo actuado. En cualquier caso podrán acordarse aquellas que se establezcan en códigos de conducta, sellos, certificaciones o cualquier norma o  estándar internacional actualizado de cumplimiento de protección de datos y seguridad de la información.

 

  1. Designar un delegado de protección de datos y comunicar su identidad y datos de contacto al RESPONSABLE, si es que procede y en su caso.

 

  1. OBLIGACIONES DEL RESPONSABLE DEL TRATAMIENTO

 

  1. Entregar al ENCARGADO los datos a los que se refiere la cláusula 2 de este contrato.

 

  1. Dar las instrucciones que correspondan para llevar a cabo el tratamiento

 

  1. Realizar análisis de riesgos y una evaluación del impacto en la protección de datos personales de las operaciones de tratamiento a realizar por el ENCARGADO, cuando proceda.

 

  1. Realizar las consultas previas que correspondan.

 

  1. Velar, de forma previa y durante todo el tratamiento, por el cumplimiento del RGPD por parte del ENCARGADO.

 

  1. Supervisar el tratamiento, incluida la realización de inspecciones y auditorías.

 

  1. DESTINO DE LOS DATOS

 

Una vez finalizada la prestación del servicio, el ENCARGADO deberá devolver al Responsable de tratamiento los datos de carácter personal, destruyendo, posteriormente, toda la información.

 

No procederá la destrucción de los datos cuando exista una previsión legal que obligue a su conservación, en cuyo caso deberán ser devueltos al RESPONSABLE DEL TRATAMIENTO, que garantizará su conservación mientras tal obligación persista.

 

  1. EXONERACIÓN DE RESPONSABILIDAD

 

El ENCARGADO DEL TRATAMIENTO queda exonerado de cualquier responsabilidad que se pudiera generar por el incumplimiento por parte del RESPONSABLE DEL TRATAMIENTO de las estipulaciones del presente contrato, así como de lo previsto en el RGPD.

 

Si el ENCARGADO DEL TRATAMIENTO efectuara subcontratación, dando lugar a un Subencargado de tratamiento, incumpliendo éste último sus obligaciones de protección de datos, el Encargado seguirá siendo plenamente responsable ante el RESPONSABLE DEL TRATAMIENTO por lo que respecta al cumplimiento de las obligaciones del subencargado.  Esto se mantendrá independientemente del número de subencargados sucesivos que haya.

 

  1. CONFIDENCIALIDAD Y PROTECCIÓN DE DATOS

 

Las Partes se obligan a guardar absoluta confidencialidad sobre la información y documentación que se faciliten o tengan acceso durante la prestación del Servicio, a no revelar, ni utilizar directa o indirectamente la información derivada de la presente relación contractual.

 

Ambas partes informan que los datos personales de los firmantes del presente contrato pueden ser incluidos en sus respectivos tratamientos para satisfacer la finalidad de gestión y mantenimiento de la relación contractual conservándose durante no más tiempo del necesario para cumplir con la misma. En cualquier momento, podrán ejercitar sus derechos de acceso, rectificación, cancelación, supresión, limitación, portabilidad y derecho a no ser objeto de decisiones automatizadas, así como aquellos reconocidos por la normativa que resulte de aplicación, acompañando de una fotocopia del DNI o cualquier otro documento identificativo equivalente, a la dirección arriba indicada.

 

Las partes informan a los representantes legales de la otra parte respectivamente que sus datos personales serán objeto de tratamiento con la finalidad de llevar a cabo la gestión contractual y que podrán ejercitar los derechos que les asisten en la dirección arriba indicada. Asimismo facilitan la política de privacidad colgada en sus respectivas páginas web para mayor información ofreciendo la disponibilidad de adjuntarla en papel o enviarla por correo si no se tuviera página web.

 

  1. LEGISLACIÓN Y JURISDICCIÓN

 

El presente contrato contempla las exigencias de la legislación española y europea vigente en materia de protección de datos personales, particularmente por lo establecido en el Reglamento General de Protección de Datos UE 2016/679.

 

Las partes, con expresa renuncia de su fuero, someten todas las interpretaciones y/o conflictos que pudieran surgir derivados de este contrato a los Juzgados y Tribunales del domicilio social del Encargado del Tratamiento.