Contrato de encargado del tratamiento

Este Contrato de Encargado del Tratamiento (este «Contrato«) entrará en vigor en el momento de su aceptación por el “Responsable”, usuario de CIRCULAR PLACE:

 

DE UNA PARTE, la Entidad usuaria de CIRCULAR PLACE debidamente constituida de conformidad con las leyes españolas, actuando en calidad de «Responsable».

DE OTRA PARTE, D. Juan Carlos Enrique Moreno, mayor de edad, de nacionalidad española, con DNI con número 22711060-D en nombre y representación de AMBI WASTE SERVICES, SL (“AMBI WASTE”), con NIF B10700300 y domicilio social en la Avenida de Burgos, 17, 9º derecha, Madrid, CP 28036, en su calidad de director general de AMBI WASTE, como se desprende de la escritura de fecha 18 de mayo de 2022, con número 770 del protocolo del Notario de Madrid D. Antonio Huerta Trolez. (el «Encargado»).

En lo sucesivo, el Responsable y el Encargado se denominarán conjuntamente las «Partes» y cada uno de ellos, individualmente, como una «Parte».

 

EXPONEN

  1. Que las Partes celebraron un Acuerdo de Participación en el Marketplace social “Circular Place” mediante el cual el Encargado presta un servicio de alojamiento de datos y mantenimiento de la plataforma al Responsable (en lo sucesivo, el «Servicio«).
  2. Que el Responsable es el único titular de los datos personales de los datos de los productores adheridos que acceden a “Circular Place”, así como de cualesquiera terceros (empleados, colaboradores, consultores externos y proveedores, productores de AEE adheridos al Responsable y usuarios del Marketplace beneficiarios de las donaciones de AEE realizadas en el mismo, etc.) que pueden haber sido legítimamente recabados por él en dicha condición.
  3. En el desarrollo de las actividades previstas para la prestación del Servicio, el Encargado aún ostentado este rol de conformidad con la normativa de aplicación, no tendrá acceso a los citados datos ni efectuará ningún tratamiento de los mismos toda vez que el hospedaje del software o plataforma IT soporte del Marketplace social “CIRCULAR PLACE”, la conservación y custodia de la información obrante en el mismo y la gestión material de todos los datos personales existentes en el mismo será tarea exclusiva del tercero proveedor de servicios que actuará como Sub encargado de Tratamiento.
  4. Que el Sub encargado de Tratamiento será el único que accederá al hardware y software donde tal información esté almacenada, impidiendo cualquier acceso a cualquier otro tercero distinto de éste.
  5. Que las Partes se comprometen a cumplir plenamente las obligaciones establecidas en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (“RGPD”), la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos de Personales y garantía de los derechos digitales («LOPDGDD«). En particular, las Partes deberán llevar a cabo las medidas de seguridad requeridas por el RGPD y la LOPDGDD, siendo personalmente responsables por cualquier sanción, multa o daño que pueda ser impuesto a cualquier parte como consecuencia de un incumplimiento de las obligaciones provistas en la legislación sobre protección de datos.
  6. Que, al objeto de dar cumplimiento a lo dispuesto en el artículo 28 del RGPD y 33 de la LOPDGDD, el Responsable y el Encargado han acordado los términos y condiciones de este Contrato, a fin de establecer salvaguardias adecuadas con respecto a la protección de la privacidad y los derechos y libertades fundamentales de las personas, sobre la base de las siguientes

 

 

ESTIPULACIONES

  1. TRATAMIENTO DE DATOS

    1.1 El Encargado deberá cumplir con las exigencias y obligaciones recogidas en los artículos 28 del RGPD y 33 de la LOPDGDD, para prestar el Servicio. Esto se entiende sin perjuicio de las disposiciones incluidas en el Acuerdo de Participación suscrito por las Partes en relación con los datos personales.

    1.2 A los efectos del presente Contrato, los Ficheros de Datos pueden ser actualizados y modificados unilateralmente, si es necesario, por el Responsable.

  2. OBLIGACIONES DEL ENGARGADO

    2.1 De acuerdo con las obligaciones establecidas en el Artículo 28.3 del RGPD, el Encargado deberá cumplir con las obligaciones y medidas de seguridad para garantizar el cumplimiento de las normas en materia de protección de datos. En particular, el Encargado se obliga a:

    (i) Tratar los datos personales únicamente siguiendo las instrucciones documentadas del Responsable. Si el Encargado considera que las instrucciones recibidas por parte del Responsable infringen las reglas establecidas por el RGPD, la LOPDGDD o cualquier otra normativa aplicable, el Encargado deberá informar inmediatamente al Responsable.

    (ii) Abstenerse de aplicar o utilizar los datos personales para cualquier fin que no sea el cumplimiento de este Contrato y la prestación del Servicio.

    (iii) Abstenerse de divulgar, ceder, transferir o comunicar los datos de cualquier forma a terceros, ya sea oralmente o por escrito, a través de medios electrónicos, escritos o acceso mediante medios telemáticos sin la autorización expresa del Responsable.

    Para comunicar datos personales a otro Encargado que actúe en nombre del Responsable, el Encargado debe seguir las instrucciones del Responsable debiendo identificar previamente, por escrito, el destino, las categorías de datos y las medidas de seguridad requeridas para llevar a cabo la comunicación.

    (iv) El Encargado únicamente permitirá el acceso a los datos a sus empleados cuando sea estrictamente necesario para la prestación del Servicio y siempre que los empleados estén sujetos a las mismas obligaciones de confidencialidad y protección de datos personales que las establecidas en este Contrato.

    (v) Si el Encargado necesita subcontratar la prestación de servicios para el cumplimiento de las obligaciones del Contrato, deberá informar al Responsable en el plazo de quince (15) días de dicha necesidad de subcontratación y de los datos de la empresa subcontratada y necesitará de la autorización del Responsable para la realización de un encargo del tratamiento por parte de la empresa subcontratada.

    El Encargado deberá imponer al subencargado las mismas obligaciones de protección de datos que las establecidas en este Contrato, en particular, deberá proporcionar garantías suficientes para implementar medidas técnicas y organizativas apropiadas de tal manera que el tratamiento cumpla con los requisitos establecidos en el RGPD y la LOPDGDD. Cuando el subencargado no cumpla con sus obligaciones de protección de datos, el Encargado seguirá siendo totalmente responsable ante el Responsable del cumplimiento de las obligaciones del subencargado.

    Por medio del presente Acuerdo, el Responsable autoriza al Encargado a la subcontratación de los servicios de gestión técnica de la plataforma a la siguiente entidad:

    GRUPO CONSULTOR DE INFRAESTRUCURAS, S.A.
    Avenida de Alfonso XIII n° 151
    28016 Madrid

    (vi) El Encargado deberá mantener, por escrito, un registro de las actividades de tratamiento llevadas a cabo en nombre del Responsable. Dicho registro deberá contener la siguiente información:

    1. El nombre y datos de contacto del Encargado y del Responsable en cuyo nombre actúa, así como los datos de sus representantes, si los hubiera, y los del delegado de protección de datos;
    2. La finalidad del tratamiento y las categorías de interesados y el tipo de datos personales tratados en nombre del Responsable.
    3. Las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;
    4. Una descripción general de las medidas de seguridad técnicas y organizativas.

(vi) El Encargado garantiza al Responsable el pleno cumplimiento de las medidas de seguridad en relación con el tipo de datos obtenidos. En particular, las medidas de seguridad incluidas en el Anexo I.

(vii) Asistir al Responsable mediante medidas técnicas y organizativas apropiadas para cumplir con la obligación del Responsable de responder a las solicitudes de ejercicio de los derechos del interesado, como el derecho de acceso, rectificación, supresión, limitación del tratamiento, portabilidad de datos y derecho de oposición y decisiones individuales automatizadas.

Cuando las personas afectadas ejerzan los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones automatizadas individualizadas, éste deberá comunicarlo al Responsable inmediatamente incluyendo cualquier información relevante para resolver la solicitud.

(ix) El Encargado garantizará una formación adecuada sobre protección de datos para los empleados que tienen acceso permanente o regular a datos personales, que participan en el desarrollo de herramientas utilizadas para tratar datos personales o que participan en la recopilación o el tratamiento de datos personales.

(x) Asistir al Responsable en la implementación de una evaluación de impacto de protección de datos.

(xi) Asistir al Responsable en las consultas con la autoridad de control.

(xii) Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas por la legislación de protección de datos y permitir y contribuir a las auditorías, incluidas las inspecciones realizadas por el Responsable u otro auditor ordenado por el Responsable.

(xiii) El Encargado deberá designar un delegado de protección de datos en las situaciones establecidas en el artículo 37 del RGPD, y comunicar su información de contacto al Responsable.

(xiv) A la terminación de este contrato, el Encargado devolverá los datos al Responsable o los destruirá, a menos que exista una disposición legal que exija su conservación, así como cualquier copia o soporte en el que dichos datos estén contenidos y deberá certificar debidamente tal devolución o destrucción por escrito al Responsable.

 

  1. NIVEL DE SEGURIDAD DE LOS DATOS

    3.1 De conformidad con el artículo 32 del RGPD, el Encargado implementará aquellas medidas técnicas y organizativas necesarias para garantizar (i) la pseudonimización y el cifrado de datos personales;(ii) la capacidad de asegurar la confidencialidad, integridad, disponibilidad y resilencia permanentes de los sistemas y servicios de tratamiento; (iii) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico y (iv) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

    3.2 El Encargado garantiza la adopción de las medidas de seguridad requeridas de acuerdo con el RGPD y la LOPDGDD, siendo personalmente responsable por cualquier sanción, multa o daño que pueda ser impuesto por el incumplimiento de las obligaciones asumidas en este Contrato o por aquellas establecidas en adelante por la ley aplicable sobre protección de datos. En particular, el Encargado será responsable de las sanciones, multas o daños que puedan derivarse del uso de los datos personales para fines diferentes a los autorizados por el Responsable, la transferencia de datos a terceros no autorizados o el uso irregular de datos personales, así como si no adopta las medidas de seguridad correspondientes para almacenar, mantener, procesar y custodiar los datos.

    3.3 En concreto, El Encargado se compromete a implantar las medidas de seguridad establecidas en el Anexo I.

 

  1. NOTIFICACIÓN DE VIOLACIONES DE SEGURIDAD

    4.1 El Encargado notificará al Responsable, sin dilación indebida, y en cualquier caso antes del plazo máximo de 48 horas y a través del correo electrónico designado a efectos de notificaciones, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento juntamente con toda la información relevante para la documentación y comunicación de la incidencia.

    No será necesaria la notificación cuando sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y libertades de las personas físicas.

    Si se dispone de ella, se facilitará, como mínimo, la siguiente información:

    (i) Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.

    (ii) El nombre y los datos de contacto del delegado de protección de datos o del responsable de privacidad, o del contacto en el que pueda obtenerse más información.

    (iii) Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.

    (iv) Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

    Si no es posible facilitar información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.

 

  1. OBLIGACIONES DEL RESPONSABLE

    5.1 El Responsable se asegurará de que el Encargado garantice la implementación efectiva del RGPD y la LOPDGDD.

    5.2 El Responsable deberá implementar una evaluación de impacto de protección de datos con respecto a las actividades de tratamiento llevadas a cabo por el Encargado.

    5.3 Corresponde al Responsable facilitar el derecho de información en el momento de la recogida de datos.

    5.4 Consultar a la autoridad de control antes del tratamiento cuando sea necesario.

    5.5 Por consiguiente, el Responsable tendrá derecho a llevar a cabo controles de supervisión y auditoría para verificar que el Encargado cumple con sus obligaciones.

    5.6 En este sentido, el Encargado, si se solicita, deberá proporcionar la documentación o información al Responsable para que el Responsable pueda verificar dicho cumplimiento. El Responsable puede, por lo tanto, solicitar al Encargado, con antelación suficiente para su preparación (que debe ser con al menos siete días), un certificado de cumplimiento de protección de datos, una copia del último informe de auditoría o la implementación de cualquier acción que pueda requerirse para demostrar que el Encargado cumple totalmente con las leyes aplicables sobre protección de datos.

 

  1. TRATAMIENTO DE DATOS PERSONALES DE REPRESENTANTES, PERSONAS DE CONTACTO Y OTROS EMPLEADOS DE LAS PARTES

    Las Partes declaran conocer:

    (i) Que sus Datos Personales que figuran en este Contrato y todos aquellos que durante la prestación del Servicio pudieran recabarse, se tratarán bajo la responsabilidad de cada Parte para la celebración, ejecución y control de este Contrato y el cumplimiento de sus respectivas obligaciones legales.

    (ii) Que podrán ejercitar, en cualquier momento, sus derechos de acceso, rectificación, supresión, oposición, portabilidad y de limitación del tratamiento (o cualesquiera otros reconocidos por ley) mediante notificación escrita a la parte correspondiente, a las direcciones indicadas en este Contrato y a la atención del delegado de protección de datos o responsable de privacidad.

    (iii)Que los delegados de protección de datos o el responsable de privacidad es la figura encargada de hacer efectivo el cumplimiento de la normativa de protección de datos.

    (iv)Que los Datos Personales serán tratados durante la vigencia del Contrato y, tras ello, permanecerán bloqueados por el periodo de prescripción de cualesquiera acciones legales o contractuales que resulten de aplicación.

    (v) Que pueden presentar cualquier reclamación o solicitud relacionada con la protección de Datos Personales ante la Agencia Española de Protección de Datos.

    De igual modo, las Partes se obligan a informar a las personas de contacto u otros empleados cuyos Datos Personales se recojan en el marco del presente contrato del tratamiento de todas las cuestiones referidas en los puntos anteriores.

 

  1. CONFIDENCIALIDAD

    7.1 El Encargado se compromete a mantener el deber de confidencialidad con respecto a todos los datos personales contenidos en los Ficheros de Datos a los cuales el Encargado pueda acceder a través de cualquier medio electrónico, documentos y / o medios visuales como resultado de este Contrato y del Acuerdo de Participación.

    7.2 El Encargado deberá exigir a sus empleados y a los empleados de sus contratistas el deber de confidencialidad como en la medida en que se indica en el presente Contrato y deberá facilitar al Responsable cualquier documento que confirme el cumplimiento de la obligación de confidencialidad mencionada.

    7.3 Las obligaciones de confidencialidad anteriores seguirán vigentes después de la terminación del vencimiento de este Contrato o del Acuerdo de Participación por cualquier causa. No obstante, dichas obligaciones no afectarán a la información que (i) haya sido desarrollada independientemente por el Encargado sin acceso o uso de la información confidencial; (ii) se ponga a disposición del público sin que el Encargado lo haga por defecto o (iii) se requiere que se divulgue por ley.

 

  1. RESPONSABILIDAD

    8.1 Las Partes acuerdan que, pese a cualquier investigación realizada por o en nombre del Responsable o cualquier conocimiento adquirido por el Responsable en cualquier momento, ya sea antes o después de la ejecución y finalización de este Contrato o en la fecha del mismo, el Encargado será responsable e indemnizará y eximirá de responsabilidad al Responsable por las sanciones, multas y daños que surjan directa o indirectamente o en conexión con cualquier incumplimiento, falsedad, inexactitud, falta de integridad, error u omisión de cualquiera de sus obligaciones legales como encargado del tratamiento o incluidos en este Contrato o en el Acuerdo de Participación, ya sea voluntariamente o no, atribuible a negligencia o fraude ordinario o culposo («culpa, negligencia o dolo») (los «Daños«).

    8.2 El importe de los Daños se calculará aplicando el principio de indemnización plena y total de todos los Daños. En el caso de que la indemnización a pagar por el Encargado tenga un coste fiscal para el Responsable, el Encargado asumirá el coste fiscal correspondiente y, en consecuencia, se incrementará el importe de la indemnización que se pagará al Responsable en la cuantía necesaria para neutralizar dicho coste fiscal.

 

  1. PLAZO Y TERMINACIÓN DEL CONTRATO

    9.1 El plazo de este Contrato está sujeto al término del Acuerdo de Participación. En consecuencia, una vez que el Acuerdo de Participación finalice o expire, el presente Contrato finalizará automáticamente.

 

  1. LEY APLICABLE Y JURISDICCIÓN

    10.1 El presente Contrato se regirá e interpretará de conformidad con la legislación española.

    10.2 Cualquier disputa que surja de este Contrato, o con respecto a la validez, interpretación y / o cumplimiento de este Contrato, será remitida a los Tribunales de la ciudad de Madrid, cuya adjudicación será vinculante para ambas Partes, como final y concluyente.

EN PRUEBA DE CONFORMIDAD las Partes han ejecutado el presente Contrato a partir de la fecha anteriormente mencionada

 

ANEXO I.

DATOS PERSONALES

 

A) Datos Personales

Los Datos Personales a los cuales el Encargado del tratamiento puede tener acceso para el cumplimiento del Servicio previstos en el Contrato se detallan a continuación, incluyendo las categorías de interesados y las actividades de tratamiento:

 

OBJETO

Identificación en el Contrato

TRATAMIENTO A REALIZAR

☐ Recogida

☒ Registro

☒ Estructuración

☐ Modificación/Adaptación

☒ Organización

☐ Extracción

☐ Consulta

☐ Comunicación por transmisión

☐ Difusión

☐ Interconexión

☐ Cotejo

☐ Limitación

☐ Supresión

☐ Destrucción

☒ Conservación

☐ Comunicación

☐ Otros: ……………………………………

FINALIDAD DEL TRATAMIENTO

 

☒ Gestión de clientes, contable, fiscal y administrativa

☐ Gestión de nóminas

☐ Servicios económico-financieros y de seguros

☐ Publicidad y prospección comercial

☐ Guías/repertorios de servicios de comunicaciones electrónicas

☐ Prestación de servicios de certificación electrónica

☐ Educación

☐ Seguridad privada

☐ Videovigilancia

☐ Recursos humanos

☐ Prevención de riesgos laborales

☐ Cumplimiento/incumplimiento de obligaciones dinerarias

☐ Análisis de perfiles

☐ Prestación de servicios de comunicaciones electrónicas

☐ Formación

☐ Gestión de Filiales o miembros de partidos políticos, sindicatos, iglesias

☐ Gestión de asistencia social

☐ Seguridad y control de acceso a edificios

☐ Fines estadísticos, históricos o científicos

☒ Otros: Alojamiento de datos (servicio de hosting)

TIPO DE DATOS

 

☒ Datos de carácter identificativo

☐ Características personales

☐ Académicos y profesionales

☐ Información comercial

☐ Circunstancias sociales

☐ Detalles del empleo

☐ Económicos, financieros o de seguros información comercial

☐ Datos retributivos, evaluaciones de empleados

☐ Transacciones de bienes o servicios

☐ Datos contraseñas/tarjetas

☐ Categorías especiales de datos (origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos, datos de salud, datos relativos a la vida sexual, orientación sexual de una persona, condenas e infracciones penales)

☐ Datos infraestructura (videovigilancia)

☒ Otros: Datos de representantes de personas jurídicas

CATEGORÍAS DE INTERESADOS

 

☐ Empleados

☐ Clientes y usuarios

☒ Proveedores

☐ Asociados

☐ Propietarios o arrendatarios

☐ Estudiantes

☐ Personas de contacto

☐ Padres o tutores

☒ Representante legal

☐ Solicitantes

☐ Beneficiarios

☐ Cargos públicos

☐ Otros: ……………………………………

 

B) Medidas de Seguridad

El Encargado de Tratamiento, con respecto a los Datos Personales a los que tenga acceso durante la prestación del servicio objeto de este Contrato, cumplirá con las medidas de seguridad, de carácter organizativo, técnico, físico y administrativo, que resulten apropiadas para garantizar un nivel de seguridad adecuado al riesgo que pudiera derivarse del tratamiento.

Además, las medidas deberán garantizar la seguridad, integridad, disponibilidad de los Datos Personales y evitar su alteración, pérdida, destrucción accidental o ilícita, tratamiento, revelación o acceso no autorizado en todo momento, habida cuenta el estado de la tecnología, los costes de aplicación, la naturaleza de los datos almacenados, el alcance del tratamiento, así como los riesgos a que estén expuestos y el impacto que esto pudiera tener sobre los derechos y libertades de las personas físicas.

La planificación de las medidas de seguridad deberá incluir la implantación de aquellos mecanismos que permitan restaurar la disponibilidad y el acceso a los Datos Personales de forma rápida en caso de incidente físico o técnico.

El Encargado de Tratamiento deberá adoptar como mínimo las siguientes medidas de seguridad técnicas y organizativas:

  • Nombramiento de un responsable en materia de protección de datos, ya sea un delegado de protección de datos o un responsable de privacidad designado, quien deberá asegurar el cumplimiento de la normativa aplicable.
  • Establecimiento de funciones y responsabilidades del personal que trate Datos Personales.
  • Comunicación entre el personal de las funciones y responsabilidades definidas asociadas al cumplimiento de la normativa en materia de protección de datos.
  • Definición de roles y perfiles para los usuarios de las aplicaciones y sistemas donde se traten dichos datos de acuerdo a las funciones y responsabilidades establecidas, de forma que se evite el acceso a datos o recursos distintos de los autorizados. Este sistema de control de acceso deberá garantizar adecuados mecanismos de identificación y autenticación de los usuarios, como por ejemplo a través del uso de contraseñas que han de ser renovadas de forma periódica, uso de datos biométricos, bloqueo automático de usuario ante intentos sucesivos fallidos de acceso, etc. 
  • Medidas automatizadas que limiten de acceso a información para usuarios no autorizados o fuera del plazo de conservación determinado, como por ejemplo mediante técnicas de borrado o de pseudonimización de datos.
  • Procedimientos que limiten el acceso físico a las instalaciones donde se encuentren ubicados los sistemas de información o los soportes físicos.
  • Registros de control y acceso sobre soportes que contengan Datos Personales, que además deberán contar con mecanismos de acceso limitado.
  • Procedimientos de recuperación de Datos Personales ante su posible destrucción, pérdida o alteración, bajo la supervisión y aprobación del responsable en materia de protección de datos.
  • Procedimientos de detección, evaluación y notificación de incidentes de seguridad que puedan afectar a los derechos y libertades de personas físicas.
  • Ejecución de revisiones periódicas de cumplimiento y de definición y ejecución de los planes de acción para la mitigación de los riesgos detectados.

Si los Datos Personales son especialmente protegidos, el Encargado de Tratamiento desarrollará las siguientes medidas adicionales:

  • Proveer de un log de acceso a datos especialmente sensibles en el que se pueda identificar al usuario y fecha de acceso.
  • Encriptación, cifrado de datos o similares sobre los soportes físicos y dispositivos portátiles que contengan datos especialmente sensibles y que se envíen o usen fuera de las instalaciones de la compañía.
  • Encriptación o cifrado en la transmisión de datos especialmente sensibles a través de redes electrónicas.
  • Medidas que impidan el acceso a datos especialmente sensibles en soporte físico (por ejemplo, documentación) durante el traslado de la misma desde las instalaciones de la compañía hasta su lugar de almacenamiento, que a su vez deberá contar con medidas de control de acceso adecuadas.