Acuerdo del procesador

Acuerdo del procesador

Este acuerdo de encargado del tratamiento se aplica a todas las formas de tratamiento de datos personales llevadas a cabo por WP Provider BV, en lo sucesivo «WP Provider», con sede en Bussum, registrada en la Cámara de Comercio con el número 73142689, (en lo sucesivo: Encargado del tratamiento) por cuenta de una contraparte a la que presta servicios (en lo sucesivo: Encargado del tratamiento).

En lo sucesivo denominadas colectivamente «Partes»;

Considerando:

1. Las Partes han suscrito un Acuerdo relativo a los servicios de alojamiento y registro de nombres de dominio, en lo sucesivo denominado el «Acuerdo».

   En la ejecución del Acuerdo, el Procesador procesa Datos Personales en nombre del Controlador; las Partes desean tratar los Datos Personales que son o serán procesados en la ejecución del Acuerdo con el debido cuidado y de acuerdo con la AVG y otras Leyes y Reglamentos Aplicables sobre el Procesamiento de Datos Personales; C. De conformidad con la AVG y otras Leyes y Reglamentos Aplicables sobre el Tratamiento de Datos Personales, las Partes desean establecer por Escrito en el presente Acuerdo de Encargado del Tratamiento sus derechos y obligaciones con respecto al Tratamiento de Datos Personales de los Interesados.
   D. El Procesador determinará exclusivamente los fines y medios del procesamiento de los datos personales y no tendrá ninguna influencia al respecto;

Han acordado lo siguiente:

1. Términos

1.1 Interesado: la persona a la que se refiere un Dato Personal. 1.2 Infracción de Datos: una violación de la seguridad de los Datos Personales que tenga consecuencias adversas graves para la protección de los Datos Personales. 1.3 Personal: las personas que contratarán las Partes para la ejecución de este Acuerdo de Encargado del Tratamiento, que trabajarán bajo su responsabilidad. 1.4 Datos Personales: cualquier dato relativo a una persona física identificada o identificable.
Este término también incluye los datos personales seudonimizados (rastreables).
1.5 Subencargado del tratamiento: tercero contratado por el Encargado del tratamiento para tratar Datos Personales en nombre del Encargado del tratamiento, sin estar sujeto a la autoridad directa del Encargado del tratamiento.
1.6 Responsable del Tratamiento: la persona responsable del Tratamiento en el sentido de la Ley de Protección de Datos Personales (LOPD) y/o los reglamentos y directivas europeos sobre protección de datos personales (AVG).
1.7 Encargado del Tratamiento: la persona que trata Datos Personales por cuenta del Responsable del Tratamiento sin estar sujeta a su autoridad directa.
1.8 Tratamiento: cualquier operación o conjunto de operaciones relativas a Datos Personales, incluyendo en todo caso la recogida, registro, organización, almacenamiento, adaptación, modificación, recuperación, consulta, utilización, puesta a disposición mediante transmisión, difusión o cualquier otra forma de puesta a disposición, reunión, enlace, así como el bloqueo, borrado o destrucción de datos.

2. Asunto

2.1 Si el Encargado del Tratamiento sólo tiene acceso a los Datos Personales, sin obligación de tratarlos, el Encargado del Tratamiento cumplirá tanto las leyes y reglamentos nacionales e internacionales relativos a los datos personales como las disposiciones del presente Acuerdo de Encargado del Tratamiento; siempre y cuando el Encargado del Tratamiento haya notificado oportunamente y con antelación la presencia de Datos Personales y el lugar (ruta) donde se encuentran dichos Datos Personales.
2.2 Si el Procesador se ha comprometido en el Contrato a procesar Datos Personales, lo hará con sumo cuidado y de acuerdo con los fines del procesamiento y, al hacerlo, cumplirá tanto las leyes y normativas nacionales e internacionales relativas a los datos personales como las disposiciones del presente Contrato de Procesador; siempre y cuando el Procesador haya notificado oportunamente y con antelación la presencia de Datos Personales y la ubicación de dichos Datos Personales.

3. Obligaciones del Interventor

3.1 El Encargado del Tratamiento notificará oportunamente, en principio en un plazo de 10 días laborables, los cambios relativos al Tratamiento (si procede) y sus consecuencias. 3.2 El Encargado del Tratamiento garantiza que la instrucción de Tratar los Datos Personales (si procede) no es ilícita y no infringe derechos de terceros.

4. Obligaciones del Procesador

4.1 El Procesador sólo accederá y/o procesará los Datos Personales si y en la medida en que sea necesario para la ejecución del Contrato, y seguirá todas las instrucciones razonables del Procesador. 4.2 El Procesador no almacenará los Datos Personales en un lugar situado fuera del Espacio Económico Europeo.
El registro de dominios puede requerir la transferencia de Datos Personales a países fuera del Espacio Económico Europeo.

En ese caso, se limitará a lo que exija el registro correspondiente. 4.3 El Procesador garantiza que su Personal cumplirá las disposiciones de este Acuerdo de Procesador, si y en la medida en que estén implicados de algún modo en el Procesamiento de Datos Personales.

Los empleados del Procesador están sujetos a un deber de confidencialidad. 4.4 El Procesador ha nombrado a un Responsable de Protección de Datos. 4.5 El Procesador, a la primera solicitud del Procesador, pondrá inmediatamente a disposición del Procesador todas las copias de los Datos Personales originados por el Procesador y/o procesados bajo las instrucciones del Procesador, o los destruirá a petición del Procesador. 4.6 El Procesador aplicará las medidas de seguridad técnicas y organizativas apropiadas para proteger los Datos Personales contra la pérdida y el procesamiento ilegal.
Estas medidas, teniendo en cuenta el estado de la técnica y los costes de su aplicación, garantizan un nivel de seguridad adecuado dados los riesgos que implica el tratamiento y la naturaleza de los datos que deben protegerse.
4.7 El Encargado del Tratamiento llevará un registro de todas las categorías de actividades de tratamiento que haya realizado para el Responsable del Tratamiento.
4.8 El Procesador prestará su plena y oportuna cooperación al Procesador para permitir a los Sujetos de Datos inspeccionar sus datos personales, hacer que sus datos personales sean borrados o corregidos, y/o demostrar que dichos datos personales han sido borrados o corregidos o, si el Procesador disputa la posición del Sujeto de Datos, hacer constar que el Sujeto de Datos considera que sus datos personales son incorrectos.
4.9 El Encargado del Tratamiento adopta medidas de gestión interna adecuadas para cumplir las obligaciones derivadas de este acuerdo y las registra de forma que sea fácil controlar su cumplimiento.

Al tratar Datos Personales, las actividades e incidentes relacionados con los Datos Personales se registran en archivos de registro. 4.10 A petición del Responsable, el Procesador cooperará con el cifrado (codificación) y la seudonimización de los Datos Personales.

Si esto supone mayores costes para el Encargado del tratamiento, éste reembolsará dichos costes. 4.11 El Encargado del tratamiento podrá hacer auditar una vez al año el Tratamiento de Datos Personales para comprobar el correcto cumplimiento del Contrato de Encargado del tratamiento mediante un examen realizado por un Auditor independiente registrado en EDP.
El Auditor estará obligado a mantener la confidencialidad.
El Procesador proporcionará toda la información solicitada por el Auditor.
El Auditor informará al Procesador en términos generales, pero no revelará detalles de las medidas de seguridad adoptadas.

Los costes de la investigación correrán a cargo del Encargado del Tratamiento. 4.12 El contenido y alcance de la instrucción al Encargado del Tratamiento y la tarifa a pagar por ella se ajustarán a lo dispuesto en el Acuerdo al respecto.
El Encargado del Tratamiento cumplirá las instrucciones del Responsable del Tratamiento relativas al tratamiento y/o almacenamiento de los Datos Personales.

5. Subprocesador

5.1 El Procesador podrá subcontratar la totalidad o parte de la ejecución del Acuerdo de Procesamiento a un Subprocesador.

El Procesador seguirá siendo en todo momento el punto de contacto del Responsable del Tratamiento y el responsable del cumplimiento de las disposiciones del presente Acuerdo de Procesador. 5.2 El Procesador impondrá al Subencargado del Tratamiento las mismas obligaciones -y lo establecerá por escrito en un contrato- que se derivan para sí mismo del presente Acuerdo de Procesador y supervisará el cumplimiento de las mismas por parte del Subencargado del Tratamiento.

El Encargado del tratamiento es plenamente responsable ante el Procesador de las consecuencias de subcontratar el trabajo a un Subencargado del tratamiento. 5.3 Una excepción a los Artículos 5.1 y 5.2 es la subcontratación del registro de nombres de dominio.
Dependiendo del dominio de nivel superior, tus datos personales pueden hacerse públicos y/o el Procesador no puede garantizar la seguridad de tus datos personales.

6. Suministro de datos personales

6.1 El Procesador no está autorizado a proporcionar Datos Personales a nadie que no sea el Procesador, excepto en virtud de una obligación legal o a efectos del contrato con el Procesador. 6.2 Si el Procesador está obligado a proporcionar Datos Personales en virtud de una obligación legal, el Procesador deberá:

• verificar el fundamento de la solicitud y la identidad del solicitante y, antes de la divulgación, informar de ello al encargado del tratamiento;
• limitar la prestación a lo que exige la ley;
• Permitir al Encargado del Tratamiento ejercer los derechos del Encargado del Tratamiento y de los Titulares de los Datos y defender los intereses del Encargado del Tratamiento y de los Titulares de los Datos;
• cuando se emitan a un Sujeto de Datos, proporcionar los datos en un formato estructurado, común y legible por máquina.

7. Seguridad

7.1 El Responsable y el Encargado del Tratamiento adoptarán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, con el fin de que el Tratamiento cumpla los requisitos de la AVG y demás Leyes y Reglamentos aplicables en materia de Tratamiento de Datos Personales y se garantice la protección de los derechos de los Interesados.

Las medidas de seguridad adoptadas por el Encargado del tratamiento se exponen en el Apéndice A. 7.2 El Encargado del tratamiento y el Procesador harán todo lo posible para proteger y mantener seguros los Datos personales contra intrusiones y contra calamidades externas, así como contra el tratamiento negligente, la divulgación ilícita o la divulgación no autorizada y contra la pérdida, la destrucción o el daño.

Ambas partes se asegurarán de que sus instalaciones y equipos informáticos estén protegidos físicamente contra el acceso no autorizado y contra daños y fallos de funcionamiento, y tomarán medidas para impedir el acceso no autorizado a los sistemas de información. 7
7.3 El Responsable y el Encargado del tratamiento supervisarán continuamente si los sistemas de tratamiento utilizados cumplen (siguen cumpliendo) los requisitos adecuados de confidencialidad, integridad, disponibilidad y resiliencia (recuperación rápida tras una indisponibilidad temporal). 7.4 Si el Responsable lo solicita por escrito, el Encargado del tratamiento adoptará medidas especiales de seguridad y/o confidencialidad con respecto a las (categorías de) Datos personales designadas en él.
Si ello supone mayores costes para el Encargado del tratamiento, éste reembolsará dichos costes al Responsable del tratamiento.

8. Violación de datos

8.1 Cuando se produzca una Violación de Datos en el Procesador, éste deberá notificarlo inmediatamente, pero en cualquier caso en un plazo de 24 horas, indicando la naturaleza de la Violación de Datos, sus (presuntas) consecuencias y las medidas adoptadas para remediar o mitigar las consecuencias.

9. Secreto

9.1 Todos los datos del Procesador y de sus clientes son confidenciales y serán tratados como tales por el Procesador.

El Procesador está obligado a mantener la confidencialidad de todos los Datos Personales e información que procese, o de los que tenga conocimiento en el contexto del Acuerdo o de este Acuerdo de Procesador. 9.2 La confidencialidad no se aplica a la información:

• Que es de conocimiento público sin que dicha divulgación sea consecuencia de un acto no autorizado;
• cuya divulgación se exija en virtud de cualquier disposición legal u orden judicial, todo ello previa notificación por escrito de la parte divulgadora a la parte cuya información se vea afectada;
• Que desarrolló un Partido de forma independiente;
• Que una Parte ya posee sin obligación de confidencialidad.
• Tras la finalización de este Acuerdo de Procesador, este artículo y el deber de confidencialidad establecido en el mismo seguirán en vigor.

10. Propiedad intelectual

10.1 Todos los Derechos de Propiedad Intelectual, incluidos los derechos de autor, derechos sobre bases de datos y todos los demás derechos de propiedad intelectual, así como derechos similares para proteger la información sobre la recopilación de datos y Datos Personales, copias o ediciones de los mismos, corresponden al Procesador (o a un cliente del Procesador). 10.2 Todos los Derechos de Propiedad Intelectual, incluidos los derechos de autor, derechos sobre bases de datos y todos los demás derechos de propiedad intelectual, así como derechos similares para proteger la información, sobre los productos y servicios del Procesador corresponden al Procesador.

11. Responsabilidad civil y seguros

11.1 El Encargado del tratamiento es responsable de los daños sufridos por el Encargado del tratamiento y de las sanciones ejecutadas por el Encargado del tratamiento como consecuencia del incumplimiento por parte del Encargado del tratamiento de las normas de la Ley de protección de datos personales y/o de los reglamentos y directivas europeos sobre protección de datos personales y/o de otras leyes y reglamentos pertinentes y/o del presente Acuerdo de Encargado del tratamiento, o de la actuación contraria a las mismas. 11.2 La responsabilidad del Encargado del tratamiento por los daños sufridos por el Encargado del tratamiento y/o las sanciones ejecutadas a que se refiere el artículo 11.1 se limita a 50 euros por evento.
Esta limitación de responsabilidad se extinguirá si y en la medida en que los daños sean consecuencia de dolo o negligencia grave (imprudencia consciente) del Procesador.
11.3 El Encargado del Tratamiento indemnizará al Procesador por las reclamaciones de terceros (en particular, de los Sujetos de los Datos) y por los daños y perjuicios resultantes de las mismas, basadas en el incumplimiento de la normativa en virtud de la Ley de Protección de Datos Personales o de conformidad con la misma y/o de los reglamentos y directivas europeos relativos a la protección de datos personales y/o de otras leyes y reglamentos al respecto y/o del presente Acuerdo de Encargado del Tratamiento.
11.4 El Procesador se compromete a cubrir los riesgos mencionados en los Artículos 11.1 a 11.2 mediante un seguro de responsabilidad civil.

12. Duración y finalización

12.1 El Acuerdo de Encargado entrará en vigor el día de su firma por las Partes. 12.2 Las disposiciones sobre duración y rescisión del Acuerdo se aplicarán como disposiciones sobre duración y rescisión del Acuerdo de Encargado.

Si el Acuerdo finaliza por cualquier motivo, el Acuerdo de Procesador también finalizará. 12.3 En caso de finalización del Acuerdo de Procesador, el Procesador transferirá todos los Datos Personales al Procesador o, a petición expresa por escrito del Procesador, destruirá los Datos Personales que obren en su poder. 12.4 Las obligaciones que por su naturaleza estén destinadas a continuar incluso después de la finalización del Acuerdo de Procesador seguirán aplicándose después de la finalización.
Estas obligaciones incluyen, entre otras, disposiciones sobre confidencialidad, transferencia y destrucción, responsabilidad y legislación aplicable.

13. Disolución

13.1 Cualquiera de las Partes podrá rescindir el Acuerdo total o parcialmente si la otra Parte incumple de forma imputable el Acuerdo de Procesamiento y el incumplimiento no se ha subsanado incluso después de la notificación de incumplimiento, sin perjuicio del derecho a indemnización por daños y perjuicios. 13.2 Cualquiera de las Partes podrá rescindir el Acuerdo total o parcialmente con efecto inmediato y sin notificación de incumplimiento si se concede una moratoria a la otra Parte, si se solicita la quiebra de la otra Parte, si se liquida o se pone fin a la actividad empresarial de la otra Parte, salvo con fines de reconstrucción o fusión de empresas.

14. Otros

14.1 Las modificaciones o adiciones al presente Contrato se acordarán por escrito entre el Procesador y el Controlador.

Las modificaciones o complementos se establecerán en un apéndice al presente Contrato y serán vinculantes si dicho apéndice está firmado por ambas Partes. 14.2 Cualquier litigio derivado del presente Contrato se resolverá, después de que haya resultado infructuoso el intento de resolver el litigio de mutuo acuerdo, mediante arbitraje de conformidad con las normas y procedimientos del Instituto de Arbitraje de los Países Bajos, en el que el árbitro o árbitros aplicarán la legislación holandesa.

Anexo A – Medidas de seguridad

Las medidas que cumple como mínimo el Procesador:

1. El procesador mantiene un documento de política que aborda explícitamente las medidas adoptadas por el procesador para asegurar el procesamiento de datos, así como para garantizar la privacidad.
2. Los empleados del Procesador implicados en el tratamiento de datos personales están sujetos a un deber de confidencialidad/código de integridad y, cuando procede, se ha llevado a cabo una selección previa a la contratación.
3. Todos los empleados de la organización y, en su caso, el personal contratado y los usuarios externos reciben formación adecuada y formación continua periódica sobre la política de seguridad de la información de la organización y los procedimientos de seguridad de la información, en la medida en que sean relevantes para su puesto.
   Dentro de la formación y la formación continua, se presta atención explícita al tratamiento de los datos personales.
4. Las instalaciones y equipos informáticos están protegidos físicamente contra el acceso no autorizado, los daños y los fallos.
5. Existen procedimientos para dar a los usuarios autorizados acceso a los sistemas y servicios de información que necesitan para desempeñar sus funciones y para impedir el acceso no autorizado a los sistemas de información.
6. Cuando se transporte información confidencial designada explícitamente como tal por el Responsable del tratamiento a través de las redes, deberá aplicarse siempre un cifrado adecuado.
7. La gestión de certificados y claves asociadas está sujeta a un plan de claves actualizado en el que se garantizan las autorizaciones y la segregación de funciones.
8. Existen procedimientos para la adquisición, desarrollo, mantenimiento y destrucción de datos y sistemas de información.
9. Las actividades realizadas por los usuarios (con datos personales) se registran en archivos de registro.
   Lo mismo se aplica a otros sucesos relevantes, como intentos de acceso no autorizado a datos personales e interrupciones que puedan provocar la mutilación o pérdida de datos personales.
   El registro de datos específicos es posible de forma personalizada mediante un presupuesto.
10. Se incorporan medidas de seguridad en todos los sistemas de aplicación, incluida una gestión adecuada del acceso.
11. La red y los sistemas de información se supervisan y gestionan activamente.
    También existe un procedimiento para hacer frente a cualquier violación de datos.
    Parte de este procedimiento incluye informar al Responsable del Tratamiento.
12. El Encargado del tratamiento instalará oportunamente las soluciones publicadas por los proveedores para los fallos de seguridad.
    Todo ello sólo si y en la medida en que el software pertinente sea suministrado, o utilizado, o mantenido por el Procesador en beneficio del Responsable del Tratamiento.
13. Existen procedimientos para tratar oportuna y eficazmente los incidentes de seguridad de la información y las deficiencias de seguridad una vez que se han notificado.
14. El Responsable del Tratamiento informará de las violaciones de datos que estén sujetas a una obligación legal de notificación al regulador pertinente (normalmente la Autoridad de Datos Personales).