CONDICIONES GENERALES DE CONTRATACIÓN

Primera – Objeto y ámbito de aplicación contrato

 

Las presentes condiciones generales son de aplicación a las prestaciones de servicios profesionales abajo descritas y tienen carácter adicional a cualquier contrato que se suscriba entre DOBLE A CONSULTORIA, S.L. (en adelante, “PRESTADOR” o “DOBLE A CONSULTING”) y el CLIENTE de uno o varios de los siguientes trabajos o servicios relativos al asesoramiento, adecuación, implantación, realización del informe de evaluación de impacto y/o auditoría en materia de protección de datos, en cumplimiento de su normativa de desarrollo, en particular, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante, “RGPD”), la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, “LOPDGDD”) y  normativas conexas que pudieran ser de aplicación.  

Por ello, y en función de los trabajos o servicios le corresponderán unas especificaciones técnicas distintas. Dichos servicios se entenderán destinados única y exclusivamente al Cliente, no pudiendo ser cedidos por este a terceros ni ser utilizados por otras personas distintas, salvo autorización expresa y escrita de DOBLE  CONSULTING.

 

Delegado de protección de datos

Es objeto del presente servicio la contratación y designación de DOBLE A CONSULTING como Delegado de Protección de Datos (en adelante, “DPO”) y el desarrollo de las funciones y obligaciones competentes de ambas PARTES en el marco de la prestación del servicio, de conformidad con los artículos 37, 38 y 39 del RGPD y artículos 34,35,36 y 37 de la LOPDGDD.

En este sentido, corresponde a DOBLE A CONSULTING:

  1. Comunicar sus datos de contacto como DPO a la Agencia Española de Protección de Datos (en adelante, “AEPD”) en nombre y representación del CLIENTE y llevar a cabo cualquier otra actuación, trámite o gestión que sea necesaria ante la autoridad de control en el marco de la prestación del servicio, de conformidad con el ANEXO AUTORIZACIÓN DE REPRESENTACIÓN, establecido en el Contrato de Prestación de servicios,que debe rellenar y firmar el CLIENTE.
  2.  Informar asesorar al CLIENTE y, en especial, a las personas designadas responsables en materia de protección de datos, a las personas de contacto y a las personas empleadas que se ocupen del tratamiento, sobre las obligaciones del RGPD, la LOPDGDD y demás legislación española aplicable en materia de protección de datos al sector de la de actividad del CLIENTE.
  3. Supervisar de forma continua el cumplimiento de lo dispuesto en la normativa sobre protección de datos, debiendo con carácter enunciativo y no limitativo:

 

    1. Recabar información para la elaboración del Registro de Actividades de tratamiento; analizar y comprobar que las actividades de tratamiento son conformes a la normativa; y recomendar, a la luz de las actividades descritas, las medidas técnicas organizativas apropiadas para cada una de ellas a fin de garantizar y poder demostrar el cumplimiento de la normativa sobre protección de datos.
    2.  Supervisar las políticas de protección de datos del CLIENTE, tanto a nivelorganizativo como a nivel externo con clientes y proveedoreslo que incluye:
      1. La revisión de protocolos internos para garantizar la confidencialidad y seguridad de los datos personales.
      2. Las cláusulas legales donde se informe a los clientes y potenciales sobre el tratamiento de sus datos.
      3. Los contratos de encargado del tratamiento con los prestadores de servicios que puedan acceder y/o tratar los datos de carácter personal por cuenta del CLIENTE.
    3. Supervisar la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, debiendo velar porque las personas responsables en materia de protección de datos dentro de la organización y las personas empleadas que acceden y/o traten datos, tengan unos conocimientos suficientes sobre la normativa de protección de datos en función del puesto y las funciones desempeñadas.
    4. Supervisar las auditorías realizadas en materia de protección de datos.
  1. Ofrecer elasesoramiento que solicite el CLIENTE acerca de la evaluación de impacto relativa a la protección de datos (en adelante, «EIPD») y supervisar su aplicación informándole, entre otras, sobre las siguientes cuestiones:
    • Si debe llevarse a cabo o no una EIPD.
    • Qué metodología debe seguirse al llevar una EIPD.
    • Qué salvaguardias (incluidas medidas técnicas y organizativas) deben aplicarse para mitigar cualquier riesgo para los derechos e intereses de los particulares.
    • Si la EIPD se ha llevado a cabo correctamente o no y si sus conclusiones son conforme al RGPD.
  1. Cooperar con la autoridad de control y actuar como punto decontacto ante cualquier cuestión relativa al tratamiento de los datos personales y, en especial, cuando:
    • La autoridad de control ejerza sus poderes de investigación, correctivos, de autorización y consultivos.
    • Se haya llevado a cabo una EIPD, y se concluya que el CLIENTE no puede adoptar medidas técnicas y organizativas para reducir el riesgo hasta un nivel considerado aceptable.
    • El CLIENTE desee consultar a la autoridad de control sobre cualquier asunto.
  1. Actuar como intermediario entre los interesados y el CLIENTE, sobre todo, enlos casos de reclamación. En este sentido, los interesados podrán ponerse en contacto con DOBLE A CONSULTING para plantearle cualquier cuestión relativa al tratamiento de sus datos personales, dirigirle las solicitudes de ejercicio de derechos o acudir a él con carácter previo a la presentación de una reclamación ante la autoridad de control. Respecto a este último caso, si el interesado decidiese acudir a DOBLE A CONSULTING como DPO antes de presentar una reclamación ante la AEPD o las autoridades autonómicas de protección de datos, deberá comunicar al afectado la decisión que se hubiera adoptado en el plazo máximo de dos (2) meses a contar desde la recepción de la reclamación. Si, por el contrario, el interesado presentara directamente la reclamación ante la AEPD o las autoridades de control autonómicas, éstas podrán remitir la reclamación a DOBLE A CONSULTING a fin de que responda en el plazo de un (1) mes.

 

  1. Desempeñar sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y los fines del tratamiento (enfoque basado en el riesgo). Ello no implica que DOBLE A CONSULTING deba desatender la supervisión de la observancia de las normas en las operaciones de tratamiento que tengan comparativamente menor riesgo, sino que debe centrarse principalmente en los ámbitos de mayor riesgo.

Así, a título de ejemplo, este enfoque selectivo y pragmático permitirá asesorar al CLIENTE sobre:

    • Qué metodología usar si se realiza una EIPD.
    • Cuándo y cómo debe realizarse una auditoría de protección de datos.
    • Qué actividades de formación internas proporcionar al personal o a los directivos encargados de las actividades de protección de datos.
    • A qué operación de tratamiento dedicar más tiempo y recursos.
  1. Guiar al CLIENTE sobre cómo actuar ante una violación de seguridad, y asesorarle sobre si debe notificarse a la AEPD en el plazo de setenta y dos (72) horas (en cuyo caso lo haría DOBLE A CONSULTING en su representación) y, si además, debe comunicarse a los afectados.

 

  1. Programar reuniones presenciales, videoconferencias o llamadas telefónicas con el CLIENTE,según sus necesidades, a efectos de que DOBLE A CONSULTING pueda, mediante check list, verificar la realidad de los tratamientos, y ejercer sus labores de asesoramiento y supervisión. Tras los check list, se emitirá un informe de seguimiento por DOBLE A CONSULTING.

Por otro lado, y con el fin de garantizar el desarrollo adecuado de las funciones de DOBLE A CONSULTING como DPO, el CLIENTE deberá:

  1. Publicar los datos de contacto del DPO y comunicarlo internamente. Tras la designación de DOBLE A CONSULTING como DPO, es menester del cliente:
    1. Publicar sus datos de contacto en las políticas de privacidad expuestas a los interesados.
    2. Comunicar su designación a las personas empleadas.

Los datos de contacto incluirán información que permita a las personas interesadas y personas empleadas comunicarse con el DPO de forma fácil, por ejemplo, mediante una dirección postal, un número de teléfono específico o una dirección de correo específica.

  1. Permitir su participación en todas las cuestiones relativas a la protección de datos personales, de forma que el DPO sea considerado como un interlocutor dentro de la organización y forma parte de los correspondientes grupos de trabajo que se ocupen de las actividades del tratamiento.

 

En consecuencia, la organización deberá garantizar que:

  • Se invita al DPO a participar con regularidad en las reuniones con los cuadros directivos altos y medios.
  • Está presente cuando se toman decisiones con implicaciones para la protección de datos.
  • Se tiene debidamente en cuenta la opinión del DPO de forma que, en caso de desacuerdo, el CLIENTE debe documentar los motivos por los que no se sigue el consejo del DPO.
  • Se consulta con prontitud una vez que se haya producido una violación de seguridad de los datos o cualquier otro incidente (no más de veinticuatro (24) horas desde su conocimiento).
  1. Garantizar su independencia. El CLIENTE debe ser capaz de velar en todo momento por que el DPO desempeña sus funciones y cometidos de forma autónoma e independiente. Por tanto, DOBLE A CONSULTING no podrá recibir ninguna instrucción relativa al ejercicio de sus tareas a fin de garantizar el debido cumplimiento de la normativa por la organización. Así, no podrá recibir instrucciones sobre el modo de ocuparse de un asunto como: el resultado que debe alcanzarse, la forma de resolver una queja o sobre si debe consultarse a la autoridad competente.

 

  1. No destituirloni sancionarlo. EL CLIENTE tampoco podrá destituirlo o sancionarlo si está en desacuerdo con la valoración o los consejos del DPO en tanto ello supondría quebrantar su autonomía, independencia e imparcialidad en el desarrollo de sus funciones.

 

  1. Proporcionarlerecursos necesarios. El CLIENTE debe respaldar al DPO proporcionándole los recursos necesarios para que lleve a cabo sus tareas y acceda a los datos personales y operaciones de tratamiento.

 

Siendo esto así, el CLIENTE deberá garantizar especialmente los siguientes aspectos:

 

  • Facilitar a DOBLE A CONSULTING el acceso a los servicios y departamentos de toda la empresa (departamento de recursos humanos, departamento TIC, etc) a efectos de tener un mayor conocimiento sobre el tratamiento de los datos que realiza cada departamento y poder, de este modo, desempeñar sus funciones de forma más eficaz. Igualmente, la alta dirección debe estar fácilmente accesible y mostrar su apoyo activo a la labor del DPO de forma que DOBLE A CONSULTINGA pueda recabar información relevante para la resolución de cualquier cuestión en materia de protección de datos.

 

  • Conceder tiempo suficiente a DOBLE A CONSULTING para desempeñar sus funciones y resolver las consultas planteadas. DOBLE A CONSULTING se compromete a contestar en un plazo máximo de veinticuatro (24) horas. Ahora bien, el desarrollo de sus funciones y el tiempo de resolución efectivo de las consultas planteadas, dependerá de cuán compleja sea la cuestión, de la información facilitada por el CLIENTE y de la necesidad de acudir a otras fuentes de información que pueden no estar fácilmente accesibles o disponibles.

 

  1. Reportar cualquier iniciativa de cambio o modificación en el tratamiento de los datos, así como cualquier tipo de cuestión o duda que le haya surgido al CLIENTE. Esta información podrá facilitarse:

 

  • Mediante consultas vía mail o llamada telefónica.

 

  • A través de las reuniones presenciales o videoconferencias, que tendrán lugar entre el equipo de trabajo de DOBLE A CONSULTING y las personas de la organización implicadas en el tratamiento.
  1. No conflicto de intereses: de conformidad con la normativa sobre protección de datos, nada obsta a que el CLIENTE pueda nombrar como DPO a una persona jurídica, siempre y cuando no exista un conflicto de intereses entre las personas del equipo de trabajo.

A tales efectos:

  • Aunque la constitución del DPO en equipo de trabajo, permite combinar las destrezas y puntos fuertes individuales de varios profesionales especializados en materia de protección de datos DOBLE A CONSULTING, con la finalidad de entablar comunicaciones entre el CLIENTE y DOBLE A CONSULTING como DPO, designará a una persona física de contacto.

 

  • DOBLE A CONSULTING cuenta con una política interna que evita que el equipo de trabajo que desempeña las funciones de DPO para el CLIENTE, sea el mismo que realice las auditorías y/o evaluaciones de impacto, a fin de evitar poner en riesgo las labores de supervisión e imparcialidad.

 

Los profesionales o personas empleadas asignadas al CLIENTE en el servicio que se trate podrán ser modificados o sustituidos por DOBLE A CONSULTING cuando así lo considere oportuno o sea necesario en atención a las necesidades del cliente o del asunto a tratar.

Adecuación a la normativa y asesoramiento en materia de protección de datos (primer y sucesivos años).

Es objeto del presente servicio la contratación de DOBLE A CONSULTING en materia de adaptación  y seguimiento de protección de datos. En este sentido, se realizarán diferentes hitos en función del servicio:

  1. Primer año. Los servicios que DOBLE A CONSULTING prestará al CLIENTE se dividirán en las siguientes fases o hitos:
      • Recogida de toda la documentación e información necesaria para la prestación del servicio (levantamiento de evidencias o toma de datos).
      • Elaboración de la documentación necesaria para cumplir con la normativa de protección de datos. Entre dicha documentación se encontrarán:
    1. Guía de implantación.
    2. Informes de necesidad (EIPD / DPO).
    3. Elaboración del Registro de Actividades del Tratamiento (RAT), indicando en cumplimiento del artículo 30 del RGPD:
      1. Identificación de las actividades del tratamiento.
      2. Relación de las medidas técnico – organizativas de seguridad adoptadas por la organización.
    4. Entrega de textos y clausulados legales:
      1. Comunicaciones internas: documentación para empleados y protocolos de actuación.
      2. Comunicaciones externas: documentación para clientes y proveedores.
    5. Documentación página web (LSSICE)
      1. Aviso legal
      2. Política de cookies
      3. Política de privacidad.
    6. Declaración de adecuación, una vez completada la misma.
    7. Seguimiento, control y soporte de la implantación mediante correo electrónico y teléfono.
    8. Análisis de violaciones de seguridad: necesidad de comunicar a la AEPD y/o a los afectados.

 

  1. Segundo año: Los servicios que DOBLE A CONSULTING prestará al CLIENTE se dividirán en las siguientes fases o hitos:
      1. Seguimiento, control y soporte vía telefónica o correo electrónico.
      2. Actualización de toda la documentación generada en el año anterior.
      3. Declaración de adecuación, una vez completada la misma.
      4. Análisis de violaciones de seguridad: necesidad de comunicar a la AEPD y/o a los afectados.
Comercio electrónico

Es objeto del presente servicio la adecuación de la página web indicada por el CLIENTE que disponga de comercio electrónico, de conformidad con el RGPD, la LOPDGDD, la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (en adelante, “LSSICE”) así como Real Decreto Legislativo 1/2007, de 16 de noviembre, por el que se aprueba el texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias (en adelante, “Ley General de Consumidores y Usuarios”).

Por ello, DOBLE A CONSULTING realizará las siguientes actuaciones:

  1. Levantamiento de evidencias para conocer la metodología de recogida de datos de carácter personal, los productos / servicios ofertados, así como el funcionamiento íntegro de la página web. Esta actuación podrá desarrollarse a través de una reunión telemática / presencial como a través del envío de un cuestionario para su cumplimentación.
  2. Elaboración de la documentación precisa para cumplir con las normativas indicadas anteriormente. En este sentido se entregará:
    • Términos y condiciones del uso del sitio web.
    • Condiciones generales de venta.
    • Política de privacidad (primera y segunda capa).
    • Política de cookies (primera y segunda capa).
Auditoría

Es objeto del presente servicio la realización de una auditoría en materia de protección de datos. En este sentido, el alcance de los servicios prestados conlleva:

  1. Valoración del nivel de cumplimiento normativo en materia de protección de datos, sin estar supeditado a un tipo de actividad de tratamiento, categoría de interesados o categoría de datos determinadas.
  2. Valoración del nivel de cumplimiento normativo en materia de sociedad de la información, estando supeditado a la valoración de la correcta gestión de las cookies en la web, así como a las condiciones de uso que regula las mismas.
  3. Revisión de la captación de clientes potenciales, leads y/o clientes, en cumplimiento de la normativa de protección de datos (RGPD y LOPDGDD) así como de la Ley 11/2022, de 28 de junio, General de Telecomunicaciones.

 

Con la realización de la auditoría se pretende evidenciar que EL CLIENTE cumple con un nivel adecuado que garantice el correcto cumplimiento de la normativa de protección de datos, teniendo en cuenta el principio de accountability o responsabilidad proactiva, a través de un sistema de cumplimiento que lo avale. Para ello se analizará:

  1. Tratamiento de datos: se analizará si el CLIENTE cumple con el debido análisis sobre el conjunto de tratamiento que lleva a cabo, garantizando la existencia de los siguientes documentos, información o procesos:
    1. Registro de actividades del tratamiento que recoja todos los tratamientos que lleva a cabo EL CLIENTE, así como su debida actualización.
    2. Procedimiento que permita garantizar la privacidad sobre los tratamientos que se están llevando a cabo, como los nuevos tratamientos que se puedan producir en un futuro.
    3. La existencia de procesos que evalúen la idoneidad del tratamiento de datos y los riesgos inherentes al mismo.
    4. Análisis que garanticen la licitud de los tratamientos (artículo 6 del RGPD).
    5. Debida identificación de aquellos tratamientos que operen con categorías especiales de datos (artículo 9 del RGPD).
    6. Debida identificación de los criterios aplicados y la irreversibilidad de los tratamientos que no requieren identificación por recabarse anónimamente o por emplear técnicas de anonimizado (artículo 11 del RGPD).
    7. Decisiones individuales automatizadas, incluida la posible elaboración de perfiles (artículo 22 del RGPD).
    8. Proceso de formación y concienciación de los empleados en materia de protección de datos.

 

  1. Principios relativo al tratamiento: análisis de cumplimiento de los principios relativos al tratamiento (artículo 5 del RGPD).
  2. Ejercicios de derechos: análisis con el fin de garantizar la existencia de procedimientos definidos que determinen la forma en la que se procede ante el ejercicio de derechos por parte de las personas interesadas (artículos 12 y del 15 al 22 del RGPD).
  3. Medidas de seguridad y brechas de seguridad: revisión sobre si las medidas de seguridad técnicas y organizativas son acordes a la apreciación del riesgo, garantizando la seguridad de los datos personales y sus tratamientos.
  4. Relaciones con terceros: estudio exhaustivo sobre la regulación que EL CLIENTE mantiene con terceros. Para ello, se deberá garantizar:

e.     Existencia de relaciones de corresponsabilidad del tratamiento (artículo 26 del RGPD).

    • Existencia de un proceso de verificación de la idoneidad de los encargados del tratamiento (artículo 28 del RGPD).
    • La existencia de una correcta regulación, a título contractual de las relaciones que mantiene con los encargados del tratamiento (artículo 28 del RGPD).
    • La existencia de una correcta gestión de responsabilidades en la comunicación de datos de carácter personal, así como el proceso que se sigue en dicha comunicación.
    • Control y regulación de las transferencias internacionales de datos (artículo 49 del RGPD).
    • Existencia de un procedimiento de archivo de la documentación que avale estas decisiones.

 

f)      Análisis de riesgos y evaluaciones de impacto: análisis de las evaluaciones del riesgo en función de los tratamientos llevados a cabo, con el enfoque de su impacto a los derechos y libertades de las personas físicas (artículo 35 del RGPD).

g)     Correcta gestión de las condiciones de la página web: se llevará a cabo un control sobre la correcta gestión de la/s distinta/s página/s web/s que pudiera tener EL CLIENTE así como las condiciones que regulan las mismas (gestión de cookies, revisión aviso legal y condiciones de uso de la página web y política de privacidad).

Por todo lo anterior, DOBLE A CONSULTING se compromete a la realización de las siguientes fases:

a)     Levantamiento de evidencias: se realizará una/s reunión/es, bien presenciales bien de forma telemática con los interlocutores asignados con el fin de conocer la organización, así como los tratamientos que lleva a cabo el CLIENTE.

b)     Elaboración del informe de auditoría. En este documento se incluirán la totalidad de los puntos indicados anteriormente.  El informe establecerá la conformidad, disconformidad u observaciones de cada uno de los controles indicados anteriormente, estableciendo medidas recomendadas o correctoras.

Asimismo, se entregará sellado en el tiempo con el fin de dotarle de máxima transparencia y rigor.  

Evaluación de impacto (EIPD)

Es objeto del presente contrato la realización de una Evaluación de Impacto relativa a la Protección de Datos (en adelante, “Evaluación de Impacto” o “EIPD”) sobre el tratamiento indicado y establecido en el Contrato de Prestación de servicios.

De conformidad con el artículo 35.7) del RGPD, la estructura de las diferentes etapas a seguir en la ejecución de la EIPD, serán la siguientes:

  • Descripción sistemática de la actividad de tratamiento.
  • Evaluación de la necesidad y proporcionalidad del tratamiento respecto a su finalidad.
  • Evaluación de los riesgos.
  • Análisis de las medidas previstas para afrontar los riesgos, incluidas las garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales

 

Teniendo en cuenta el contenido mínimo exigido en la normativa de protección de datos, DOBLE A CONSULTING llevará a cabo la EIPD sobre el tratamiento objeto del contrato, siguiendo la siguiente metodología, etapas y/o fases de ejecución:

1.       Contexto:

  •  Descripción del ciclo de vida de los datos. Se llevará a cabo una descripción detallada del ciclo de vida y del flujo de datos con ayuda de material gráfico, identificando:
    • La tipología y clasificación de los datos objeto del tratamiento
    • Las vías de entrada o formas de captura de los datos
    • La base de legitimación para el tratamiento de los datos
    • Los intervinientes en el tratamiento, con especial incidencia en los departamentos que participan activamente del procesado de los datos, encargados de tratamiento, etc.
    • Las tecnologías, sistemas, aplicaciones, dispositivos y técnicas empleadas para el procesamiento de los datos
    • Posibles terceros a los que se puedan comunicar o ceder los datos que no participen en el procesado de los datos
    • Plazos, criterios y formas de destrucción de los datos

 

  • Análisis de la necesidad y proporcionalidad del tratamiento. En esta segunda fase, se analizará el ciclo de vida de los datos desde la perspectiva del principio de minimización de los datos y el juicio de proporcionalidad.

Ello supone considerar si el tratamiento, tal y como está definido, es necesario y  proporcional a la finalidad prevista. Es decir, evaluar si la finalidad es adecuada y pertinente y si se puede conseguir por otros medios; por ejemplo, con carácter enunciativo y no limitativo: utilizando otros datos, reduciendo el número de personas afectadas (de manera cuantitativa y cualitativa), haciendo uso de otras tecnologías menos invasivas o bien aplicando otros procedimientos o medios de tratamiento.

2.     Gestión de riesgos

  • Identificación del origen de los riesgos. Se identificarán los potenciales escenarios de riesgo que pueden afectar negativamente a los derechos y libertades de las personas derivados de un inadecuado tratamiento de sus datos.

Las amenazas o potenciales escenarios de riesgos se categorizarán en 3 tipos, en base a la tipología del daño que pueden producir en los datos:

    • Acceso ilegítimo a los datos (hacking, malware, robo, fuga de información, acceso intencionado por parte de personal no autorizado, ausencia de base de legitimación para el tratamiento, etc) →  Confidencialidad
    • Modificación no autorizada (errores en los procesos de recopilación y captura de la información, ataque para la suplantación de identidad, etc) → Integridad.
    • Eliminación de los datos (causas naturales como fuego, agua o cualquier otro desastre ambiental; corte en el suministro electrónico o fallos en servicios de comunicaciones; error humano o ataque intencionado que provoque borrado o pérdida de los datos, etc) → Disponibilidad.
  • Evaluación de los riesgos. Consiste en valorar y estimar la probabilidad y el impacto de que el riesgo se materialice. Es decir, supone calcular la probabilidad de que las anteriores amenazas se produzcan por el daño que puede ocasionar en los derechos y libertades de los interesados si esta amenaza efectivamente se materializa.

A título enunciativo y no limitativo, los posibles daños que pueden ocasionar en el interesado son:

  • Daño físico. Conjunto de acciones que pueden provocar un daño en la integridad física del interesado.
  • Daño material. Conjunto de acciones que pueden provocar pérdidas económicas, de patrimonio, de empleo, etc.
  • Daño moral. Conjunto de acciones que pueden provocar un daño moral o mental en el interesado, como una depresión, fobias, acoso, etc.

 

Para calcular el riesgo (probabilidad x impacto) se empleará la metodología de valoración basada en los cuatro niveles de la ISO/IEC 29134: 2017. Siguiendo esta metodología, se asignarán los valores “1. Despreciable”, “2. Limitado”, “3. Significativo” y “4. Máximo” tanto a la probabilidad como al impacto de forma que se enfrenten y concluyan que el riesgo es “Bajo”, “Medio”, “Alto” o “Muy alto”.

No existen parámetros tasados en la normativa que permitan asignar de forma eminentemente objetiva los anteriores valores, por lo que tal asignación se realizará en función del contexto de los tratamientos y de la experiencia profesional y conocimientos de DOBLE A CONSULTING.

  • Gestión de los riesgos. Esta última consiste en articular las medidas técnicas, organizativas y legales necesarias para tratar el riesgo y conducirlo hasta un nivel considerado aceptable para garantizar los derechos y libertades de los interesados.

Para ello, se establecerán medidas de control que reduzcan los niveles de probabilidad y/o impacto y, por tanto, el resultado “Medio”, “Alto” o “Muy Alto” del riesgo. En caso de que el resultado del riesgo sea “Bajo”, esto es, que el nivel de riesgo inherente sea inferior al considerado aceptable, no existirá la necesidad de implementar controles o medidas adicionales.

3.     Conclusión y plan de acción: El resultado de la EIPD se materializará en un informe que documentará:

  • Las fases anteriores
  • El resultado final obtenido del análisis de las fases anteriores
  • El plan de acción que incluya las medidas de control a implantar para gestionar los riesgos identificados y poder garantizar los derechos y libertades de las personas físicas
  • Si procede, el resultado de la consulta previa a la autoridad de control (en el caso español, la AEPD) prevista en el art.36 del Reglamento General de Protección de Datos. Esta consulta se realizará si aun implementando las medidas de control que se establezcan en la subfase anterior, el riesgo residual sigue siendo alto o muy alto, o no se considera aceptable dentro de unos límites razonables. En tal caso, debe suspenderse el tratamiento hasta que la AEPD se pronuncie, quien podrá establecer condiciones y medidas para autorizar el tratamiento o indicar que en ningún caso podrá llevarse a cabo el tratamiento.

 

4.     Supervisión y revisión. Es fundamental una adecuada supervisión y posterior revisión de la implantación de las medidas definidas en la EIPD para verificar en la práctica que efectivamente el nivel de riesgo residual se encuentra por debajo del nivel de riesgo aceptable.

A tal efecto, es recomendable que si el CLIENTE ha designado a un Delegado de Protección de Datos, éste se encargue de supervisar y garantizar la implantación de las medidas técnicas y organizativas resultantes de la EIPD, según las funciones que le asisten en virtud del art.37 del Reglamento General de Protección de Datos.

Finalmente, siempre y cuando exista una variación relevante en el contexto de las actividades de tratamiento que pueda suponer un incremento de riesgo asociado al mismo, deberá realizarse una actualización de la EIPD.

Segunda – Modificaciones o ampliaciones del objeto

Si durante la vigencia del contrato el CLIENTE y/o el PRESTADOR consideran oportuno modificar y/o ampliar el objeto del mismo, ambas partes deberán negociar el alcance de dichas modificaciones o ampliaciones e incorporarlas como anexos. Si no se pusieran de acuerdo sobre dichas modificaciones o ampliaciones, cualquiera de las partes podrá resolver el contrato.

Segunda – Precio y forma de pago

El precio y la forma de pago vendrán definidos en el contrato de prestación de servicio principal, firmado entre el CLIENTE y DOBLE A CONSULTING.

Así mismo, cualquier actuación adicional por parte de DOBLE A CONSULTING, una vez superada la realización de cuantas acciones se establezcan en las condiciones del contrato de prestación de servicios, o se superen las horas de consultoría establecidas en el mismo, conllevarán la contratación de una bolsa de horas, que se podrá contratar en packs de cinco (5), diez (10), veinticinco (25) o cincuenta (50) horas, que conllevarán los siguientes importes:

  • Cinco (5) horas: cuatrocientos (400) euros + IVA.
  • Diez (10) horas: setecientos cincuenta (750) euros + IVA.
  • Veinticinco (25) horas: mil setecientos cincuenta (1750) euros + IVA.
  • Cincuenta (50) horas: tres mil doscientos cincuenta (3250) euros + IVA.

Para la contratación de estas bolsas de horas, bastará con que el CLIENTE y DOBLE A CONSULTING, acuerden mediante correo electrónico el paquete de horas, definiéndose en las tarifas anteriormente señaladas, siendo abonadas, en todo caso, con carácter previo a la extensión del servicio. Estas bolsas de horas no tendrán caducidad y podrán utilizarse en cualquier momento, mientras el contrato principal continue en vigor. Así mismo, el abono de dichas cantidades deberá efectuarse de manera anticipada por el Cliente para que se active dicha extensión del servicio.

Salvo indicación, en contrario, a los importes de honorarios estimados o presupuestados se les deberá añadir el Impuesto sobre el Valor Añadido y cualesquiera otros impuestos indirectos que resulten de aplicación y que se incluirán en la factura como conceptos separados.

En el caso de que se produzca modificación de los tipos impositivos, la cantidad a repercutir en concepto de IVA será modificada en la que resulte de aplicar los tipos vigentes en la fecha de devengo.

El pago de dichas cuantías, más IVA, se efectuará mediante pago único de la totalidad del servicio, a través de domiciliación bancaria, a la firma del contrato de prestación de servicios.

Los gastos extraordinarios que, en su caso, pudieran ocasionarse, tales como viajes, dietas, desplazamientos, ni cualquier otro razonable en la que pudiera incurrir la prestación del servicio, serán facturados de forma independiente, previa liquidación de gastos y previo acuerdo entre las partes.

Asimismo, también se procederá a la facturación independiente de los servicios de traducción que pudieren ser requeridos por el CLIENTE.

El CLIENTE se compromete a abonar el importe de cada una de las cuantías en el plazo acordado.

En el caso de que, excepcionalmente, se acordase el pago mediante transferencia bancaria, el CLIENTE deberá abonar al inicio el cincuenta (50) por ciento (%) del importe a la recepción de la factura como requisito indispensable para dar comienzo a los servicios contratados; siendo abonado el cincuenta (50) por ciento (%) restante a la recepción de la segunda factura emitida a partir de los treinta (30) días a contar desde el inicio de las actuaciones por parte de DOBLE A CONSULTING. En los supuestos de contratación de segundos años y sucesivos (seguimiento o mantenimiento del servicio), se abonará el cien (100) por ciento (%) del importe en el mes de renovación del contrato.

En todo caso, y con independencia de la modalidad de pago establecida entre las partes, si no se pudiera completar en el plazo de noventa (90) días desde la firma del contrato, el servicio de auditoría y/o evaluación de impacto por causas imputables al CLIENTE se facturará, igualmente, el cincuenta (50) por ciento (%) restante. Asimismo, se facturará la formación cuando no haya iniciado y superado el plazo de noventa (90) días desde la firma del contrato por causas imputables al cliente. Aunque dispondrá del plazo de un año desde la firma del contrato para la realización de esta.

En el caso de que el CLIENTE no abonara las cuantías en el plazo estipulado, el PRESTADOR reclamará extrajudicialmente el importe a través de correo electrónico y/o mediante la realización de llamadas a los teléfonos que el CLIENTE hubiera puesto a su disposición en el momento de la contratación. En este sentido, ante la falta de pago de una factura, DOBLE A CONSULTING podrá, previo aviso por escrito suspender toda prestación de servicios al Cliente, sin que por parte de éste pueda plantearse ninguna reclamación o queja.

Si en el plazo de diez (10) días, desde la reclamación extrajudicial, el CLIENTE incumple o cumple defectuosa o parcialmente, las obligaciones derivadas del Contrato suscrito con el PRESTADOR, se procederá a introducir sus datos en sistemas comunes de información crediticia relativos al incumplimiento de obligaciones dinerarias, financieras o de crédito, salvo que la cuantía del principal sea inferior a cincuenta (50) euros (€), de acuerdo con lo establecido en el artículo 20 y en la Disposición Adicional Sexta de la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales.

El CLIENTE incurrirá en mora a partir del día siguiente al de las fechas estipuladas para cualquiera de los pagos acordados.

Cuarta – Duración de contrato

La duración del contrato vendrá determinada en el contrato de prestación de servicio principal, firmado entre el cliente y la compañía. No obstante, la duración del contrato variará en función del servicio contrato:

  1. Servicio de Delegado de Protección de Datos (DPO): DOBLE A CONSULTING realizará los Servicios como Delegado de Protección de Datos durante el periodo de doce (12) meses desde la firma del presente Contrato, renovándose automáticamente, salvo que cualquiera de las PARTES, de forma expresa, hiciese constar lo contrario con aviso de treinta (30) días de antelación a la fecha de renovación. Asimismo, el contrato será renovado de manera tácita por períodos de doce (12) meses, con el incremento del IPC, salvo que alguna de las partes, de acuerdo con lo dispuesto en la cláusula cuarta de las Condiciones Generales de Contratación, proceda a la resolución del mismo.

 

  1. Servicio de adaptación y servicios de protección de datos: La duración del contrato tendrá validez de un año desde la fecha de firma del mismo respecto a los servicios legales, y será prorrogado automáticamente por periodos anuales con el incremento del IPC, salvo que medie denuncia por cualquiera de las partes, quien deberá notificar fehacientemente y por escrito su propósito a la otra, con una antelación mínima de treinta (30) días respecto a la fecha de finalización del periodo inicial o del de cualquiera de las prórrogas sucesivas.

 

  1. La formación, auditoría, evaluación de impacto y comercio electrónico son servicios conclusivos por sí mismos, por lo que no tienen duración más allá de su propia realización.

Quinta – Obligaciones de las partes respecto al cumplimiento del contrato

5.1. Obligaciones de DOBLE A CONSULTING: Sin perjuicio de las obligaciones específicas descritas anteriormente para el servicio contratado, DOBLE A CONSULTING se compromete a:

  1. Realizar la prestación de los servicios contratados de manera diligente, conforme con sus conocimientos y experiencia profesionales, así como los usos y costumbres del sector de actividad, de manera puntual y/o en los plazos específicos establecidos y aceptados por el cliente, en su caso;

 

  1. Actuar con la más absoluta confidencialidad, y con pleno respeto al secreto profesional que le rija. Se excluye expresamente toda información que haya de ser revelada de acuerdo con las leyes o con una resolución judicial o acto de la autoridad competente;

 

  1. Utilizar las informaciones, datos o documentos del cliente que éste le entregue o a la que tenga acceso por cualquier motivo, directa o indirectamente, para la prestación de servicios contratados y para los fines explicitados en las presentes condiciones de contratación.

5.2. Obligaciones del CLIENTE:

  1. Sin perjuicio de las obligaciones específicas para el servicio contratado, el CLIENTE se compromete a colaborar con DOBLE A CONSULTING para el pacífico desarrollo de la prestación de los servicios contratados y en concreto a facilitar a DOBLE A CONSULTING toda la información solicitada que sea útil, necesaria y/o relevante para la adecuada ejecución de los servicios contratados, asegurando su actualidad, veracidad, corrección e integridad. Por ello, DOBLE A CONSULTING no será responsable en ningún caso de las consecuencias que puedan derivarse para el Cliente por el hecho de haber remitido éste información o documentación no veraz, inexacta o incompleta.

 

  1. Realizar los pagos en los términos expuestos en el presente contrato.

Sexta – Relación mercantil

La relación entre las PARTES tiene exclusivamente carácter mercantil, sin que exista una relación de carácter laboral entre el DOBLE A CONSULTING y el CLIENTE, o entre el personal trabajador o subcontratado de DOBLE A CONSULTING y el CLIENTE.

En ningún caso el personal trabajador de DOBLE A CONSULTING podrá considerarse, de hecho o de derecho, como un empleado del CLIENTE como consecuencia de la celebración o cumplimiento del presente contrato, y por ello dependerá a todos los efectos oportunos única y exclusivamente de DOBLE A CONSULTING, incluyendo los aspectos laborales, de prevención de riesgos laborales y de Seguridad Social.

Séptima – Confidencialidad

Cualquier información revelada de forma oral o por escrito de los propósitos del presente acuerdo y en concreto con el fin de negociar, otorgar o ejecutar el mismo, será considerada por las PARTES como Información Confidencial, salvo que se indique lo contrario por aquella parte que haya proporcionado esa información, sin que ninguna de esas informaciones pueda ser revelada a terceras PARTES sin el previo consentimiento por escrito.

La Información proporcionada, no será utilizada, sin el previo consentimiento de la parte que facilita dicha información, para otro fin que no sea el previsto en el presente contrato.

Las PARTES proporcionarán acceso a la Información recibida sólo a los empleados, filiales, socios, personas físicas o jurídicas que hayan sido empleados o contratados directamente por ellas, cuando sea necesario para llevar a cabo los propósitos en común de ambas PARTES.

Las PARTES se comprometen desde este momento a que todos aquellos a los que proporcione Información, de los descritos anteriormente, cumplirán con los términos de la presente cláusula, aceptando la responsabilidad por incumplimiento de cualquiera de los pactos aquí recogidos.

Cualquiera de las PARTES informará inmediatamente a la otra si se produce una revelación de Información prohibida o no autorizada. Si esto llegara a ocurrir, la parte perjudicada tomará las medidas oportunas para prevenir cualquier revelación de Información posterior.

Las obligaciones antedichas no serán de aplicación a aquella Información que:

  1. sea de dominio público en el momento de la revelación, en él bien entendido que no sea por un incumplimiento de las PARTES.
  2. deba ser revelada como consecuencia de una exigencia legal o por un requerimiento de una Autoridad Administrativa o Tribunal.

En ningún caso, nada de lo previsto en el presente documento podrá ser interpretado como una cesión o atribución de facultades a la parte receptora de la información, ni de forma expresa ni implícita, ni como una licencia de un derecho de propiedad intelectual o industrial, ni cualquier otro derecho concerniente con la Información.

La parte receptora de Información asume ante la parte reveladora de Información una responsabilidad directa por causa de cualquier pérdida o daños irrogados a esta última como resultado de una revelación o una utilización impropia de la Información proporcionada por ella misma o por cualquiera de sus empleados, socios, filiales, etc.

Las PARTES se comprometen a mantener vigente el compromiso recogido en la presente cláusula de confidencialidad aún después de haber terminado sus relaciones y el objeto para el cual se suscribe. Salvo expresa indicación en contrario del CLIENTE, éste autoriza a DOBLE A CONSULTING a dar publicidad a su intervención en la prestación de los servicios al Cliente, siempre que no se desvele información confidencial.

Octava – Protección de datos

8.1. Datos personales de los representantes legales y personas de contacto. De conformidad con el RGPD y la LOPDGDD, las PARTES se informan recíprocamente que los datos de los representantes legales arriba firmantes y, en su caso, de las personas de contacto (nombre y apellidos, DNI, correo electrónico, funciones desempeñadas, etc) pasarán a formar parte de una actividad de tratamiento de la otra parte con la finalidad de gestionar la relación contractual y favorecer la comunicación entre las PARTES.

Los datos serán conservados como mínimo hasta la finalización del contrato y, más allá de su extinción, durante los plazos de prescripción de las acciones legales.

La base de legitimación para el tratamiento de los datos es la ejecución del contrato (artículo 6.1.b) del RGPD).

Las PARTES se informan que no cederán los datos de los representantes legales ni de las personas de contacto a terceras PARTES, salvo que medie consentimiento expreso o en cumplimiento de una obligación legal.

En cualquier momento, las PARTES podrán ejercer los derechos reconocidos en los artículos 15 a 22 del RGPD de acceso, rectificación, supresión, portabilidad de los datos, limitación u oposición a su tratamiento, así como a no ser objeto de decisiones automatizadas, cuando procedan, a la dirección postal del encabezamiento o a un correo electrónico que se hayan facilitado de común acuerdo. En este sentido, por parte de DOBLE A CONSULTING podrán realizarse a través del correo electrónico legal@dobleaconsulting.es

Si alguna de las PARTES, considera que los datos no son tratados correctamente por la otra parte o que las solicitudes de ejercicio de derechos no han sido atendidas de forma satisfactoria, tienen el derecho a presentar una reclamación a la autoridad de protección de datos que corresponda, siendo la Agencia Española de Protección de Datos la indicada en el territorio nacional, www.aepd.es .

8.2. Datos personales de los que es Responsable del Tratamiento el CLIENTE: Para el correcto desempeño de las funciones como DPO, en ocasiones, es necesario que DOBLE A CONSULTING acceda o trate los datos de carácter personal de los que el CLIENTE es Responsable del Tratamiento, como lo son los datos identificativos (DNI, nombre y apellidos, correo electrónico, etc) de sus clientes, proveedores, potenciales clientes y/o proveedores, empleados, incluso, de terceros.

En estos casos, DOBLE A CONSULTING actuará como Encargado de Tratamiento de conformidad con el artículo 28 RGPD y artículo 33 LOPDGDD, en virtud de lo dispuesto en el ANEXO. CONTRATO DE ENCARGADO DE TRATAMIENTO.

Novena – Ineficacia parcial

En el caso de que por cambios legislativos devenga ineficaz una parte del presente contrato, el resto seguirá en vigor, salvo que la ineficacia afectara a una parte sustancial del mismo. Las PARTES negociarán de buena fe la redacción de una cláusula que sustituya a la parte afectada por la ineficacia, cuyo espíritu sea lo más parecido posible al sentido original, pero que su interpretación sea legalmente aceptable.

Décima – Cómputo de plazos

Salvo cuando expresamente se establezca lo contrario en el contrato o en cualquiera de sus anexos: (i) los plazos expresados en “días” se refieren a días naturales, contados a partir del día natural inmediatamente siguiente al del inicio del cómputo, inclusive, hasta el último día natural del plazo, inclusive; (ii) los plazos expresados en “días hábiles” se refieren a días hábiles en la localidad donde se deba cumplir con la obligación que lleve aparejada el plazo; y, (iii) los plazos expresados en meses o años se contarán de fecha a fecha desde el día de inicio del cómputo hasta el mismo día del último del plazo (ambos incluidos), salvo que en el último mes o año del plazo no existiese tal fecha, en cuyo caso el plazo terminará el día inmediatamente anterior.

Décimo primera – Responsabilidad

DOBLE A CONSULTING, en función de los servicios prestados es quien supervisa y asesora en materia de protección de datos, pero es el CLIENTE el Responsable del Tratamiento y, por tanto, el encargado de cumplir con dicha normativa.

Por ello, DOBLE A CONSULTING nunca responderá de las sanciones que pudieran imponerse al CLIENTE por la Agencia Española de Protección de Datos, autoridades de control autonómicas o cualquier tribunal a causa del incumplimiento de la normativa sobre protección de datos y tan sólo se le podrá exigir responsabilidad por la mala praxis en el asesoramiento.

Al respecto, DOBLE A CONSULTING cuenta con un seguro de Responsabilidad Civil de 1.000.000 € para la salvaguarda de sus clientes en actuaciones derivadas de la posible deficiencia en el servicio de asesoramiento y consultoría para el cumplimiento de la normativa sobre protección de datos.

Décimo segunda – Terminación

El CLIENTE podrá dar por terminada la prestación del servicio en cualquier momento, sin necesidad de aducir motivo alguno para ello, comunicándolo por escrito. En todo caso EL CLIENTE tendrá obligación de abonar los honorarios y gastos de DOBLE A CONSULTING devengados hasta la terminación de la prestación del servicio. Una vez terminada la prestación del servicio, DOBLE A CONSULTING no estará obligado a prestar ningún servicio adicional, ni facilitar actualizaciones ni resolver consultas derivadas de cambios normativos.

Asimismo, el contrato quedará resuelto, además de por las causas previstas legalmente, por incumplimiento de las obligaciones pactadas en este contrato.

Si el contrato se resolviera por incumplimiento imputable al CLIENTE, DOBLE A CONSULTING retendrá las cantidades entregadas a cuenta, sin perjuicio del derecho a la reclamación por daños y perjuicios que en su caso pudiera corresponderle.

Décimo tercera – Responsabilidad

Incurrirá en responsabilidad cualquiera de las partes que actúe de forma negligente o culposa en el cumplimiento de las obligaciones establecidas en el contrato y, con ello, ocasionar un daño o perjuicio a la otra parte.

La parte que tenga que afrontar cualquier tipo de daño o perjuicio derivado de la actuación de la contraparte podrá reclamar la indemnización por dichos daños y perjuicios.

Las partes se obligan por medio del contrato, no solo a lo expresamente pactado, sino a todo aquello que se derive de la buena fe y de los usos del Derecho en la consecución de los objetivos propios del contrato.

Décimo cuarta – Responsabilidad profesional especial

La realización del objeto del contrato, en el sentido recogido en la cláusula PRIMERA, se lleva a cabo a partir de una lectura razonable de los requerimientos establecidos en la normativa vigente que resulta de aplicación, sin que ello suponga garantizar la imposibilidad absoluta de que el CLIENTE pueda incurrir en infracciones o ilícitos penales, administrativos, laborales o de otra índole.

Las actuaciones recogidas en el contrato no tendrán la consideración ni el alcance de una auditoría (a excepción del servicio propio de auditoría en protección de datos) y, asimismo, se llevarán a cabo en atención a la información y documentación facilitada por el CLIENTE.

El PRESTADOR no se hace responsable de las consecuencias derivadas de la aportación de información incorrecta por parte del CLIENTE.

La documentación se elaborará en atención al estado actual de la información facilitada al PRESTADOR por parte del CLIENTE, por lo que cualquier cambio o modificación con carácter relevante que se pueda producir con posterioridad, en relación con su organización, estructura, actividad, procesos productivos, etc., podría conllevar una revisión o actualización de la documentación, para lo cual el CLIENTE deberá notificar dicho cambio al PRESTADOR.

En ningún caso podrán ser objeto de reclamación los daños o perjuicios indirectos, lucro cesante, daño emergente o costes de oportunidad. La responsabilidad de DOBLE A CONSULTING se limitará a daños directos, excluyendo el lucro cesante, daño reputacional o pérdida de negocio causados al Cliente.

Cualquier reclamación derivada o relacionada con los servicios contemplados en el marco del contrato deberá presentarse en el plazo máximo de un año, a contar desde la fecha en la que se haya concluido la prestación del servicio.

Décimo quinta – Modificación o resolución del contrato

Las partes podrán modificar en cualquier momento el contrato, siempre que exista pleno y mutuo acuerdo.

El contrato, así como los trabajos o servicios objeto del mismo, podrá ser objeto de resolución por las siguientes causas:

  1. Por voluntad de cualquiera de las partes, mediando preaviso por escrito con una antelación mínima de treinta (30) días.
  2. Por voluntad de cualquiera de las partes, cuando medie incumplimiento grave de las obligaciones pactadas por la contraparte, especialmente cuando se produzca un incumplimiento de pago en el plazo previsto, respondiendo la parte incumplidora de la diferencia de precio y de los daños y perjuicios ocasionados a la otra parte. En cualquier caso y, como requisito previo a la resolución del contrato por cualquiera de las partes, se deberá notificar el incumplimiento a la parte incumplidora y conceder un plazo de un mes desde la notificación para que subsane dicho incumplimiento. Transcurrido dicho plazo, se podrá resolver el contrato. En su caso, el incumplimiento de cualquiera de las obligaciones supondrá el nacimiento de un derecho de indemnización por los daños y perjuicios producidos.
  3. Por extinción de la personalidad jurídica de cualquiera de las partes.
  4. Por la declaración de concurso de cualquiera de las partes.

Décimo sexta – Propiedad intelectual

Los derechos de propiedad intelectual sobre la documentación generada por DOBLE A CONSULTING en la prestación del servicio corresponden a DOBLE A CONSULTING. El Cliente podrá utilizarla para su uso pero no puede distribuirla o facilitarla a otras personas.

Décimo séptima – Legislación aplicable y jurisdicción

Las partes tratarán de solventar de mutuo acuerdo o extrajudicialmente las divergencias que pudieran plantearse respecto al cumplimiento o interpretación del contrato.  

La relación entre Cliente y DOBLE A CONSULTING se somete expresamente a la legislación española.

En caso de traducción del mismo a otro idioma, prevalecerá la versión e interpretación del Contrato en idioma español.

Para conocer de las discrepancias o reclamaciones entre las partes, de la interpretación o ejecución de la relación jurídica entre ellos las PARTES actuarán con arreglo a la legislación vigente. Los posibles litigios se resolverán sometiéndose a los Tribunales de la ciudad de Madrid. Renunciando de forma expresa a cualquier otro foro que pudiera ser competente o resultase de aplicación.

En cualquier momento, EL CLIENTE puede descargar las presentes condiciones generales de contratación en formato pdf, aquí.

 

Control de versiones

Versión

Fecha

Descripción

1.0

25/09/2023

Realización presentes condiciones

Anexo- Contrato de encargado del tratamiento

De una parte, EL CLIENTE, (en adelante, «RESPONSABLE DEL TRATAMIENTO» o «RESPONSABLE»).

De otra parte, DOBLE A CONSULTORIA, S.L. con domicilio en C/ Julián Camarillo nº 26, 4ª izquierda, 28037, Madrid, España y NIF B86260247 (en adelante, «ENCARGADO DEL TRATAMIENTO» o «ENCARGADO»).

MANIFIESTAN

  1. Que ambas PARTES se encuentran vinculadas por una relación contractual de carácter mercantil para la prestación de los servicios en materia de protección de datos (en adelante, el «SERVICIO»), en virtud del contrato de prestación de servicios firmado entre las partes.
  2. Que, en cumplimiento del artículo 28 del Reglamento (UE) 2016/679 General de Protección de Datos (en adelante, «RGPD») y artículo 33 de la Ley 3/2018, de 5 de diciembre, de Protección de Datos personales y garantía de los derechos digitales (en adelante, «LOPDGDD»), las PARTES de forma libre y espontánea voluntad acuerdan regular el tratamiento de los datos de carácter personal de conformidad con las siguientes:

CLÁUSULAS

  1. OBJETO DEL ENCARGO DEL TRATAMIENTO

Mediante las presentes cláusulas se habilita al ENCARGADO DE TRATAMIENTO, por cuenta del RESPONSABLE DEL TRATAMIENTO, el tratamiento de los datos de carácter personal necesarios para prestar el SERVICIO.

El ENCARGADO únicamente realizará los tratamientos estrictamente necesarios para la prestación del referido servicio, no pudiendo llevar a cabo acciones no permitidas por el RESPONSABLE.

  1. IDENTIFICACIÓN DE LOS DATOS PERSONALES E INTERESADOS

Para la ejecución de las prestaciones derivadas del cumplimiento del referido contrato de prestación de servicios, el RESPONSABLE DEL TRATAMIENTO pone a disposición del ENCARGADO DEL TRATAMIENTO, la información que se describe a continuación:

2.1. Categoría de interesados y datos personales objeto de tratamiento:

Clientes

Nombre, apellidos, DNI, correo electrónico, dirección postal, puesto/cargo, datos relativos a posibles denuncias efectuadas por clientes.

Proveedores

Nombre, apellidos, DNI, correo electrónico, dirección postal, puesto/cargo, datos relativos a posibles denuncias efectuadas por proveedores.

 Personas empleadas

Nombre, apellidos, DNI, teléfono, correo electrónico, puesto/cargo, datos relativos a posibles denuncias efectuadas por empleados, contra empleados, número de la seguridad social, fecha de nacimiento, categoría profesional, nivel de estudios, grupo de cotización,

Terceros

Nombre, apellidos, DNI, correo electrónico, dirección postal, puesto/cargo, datos relativos a posibles denuncias efectuadas por clientes.

 

2.2. Naturaleza del tratamiento:

Lectura

Para una correcta prestación del servicio como Delegado de Protección de Datos, GRUPO ADAPTALIA visualizará determinados datos de carácter personal.

Análisis

Asimismo, en determinadas ocasiones será necesario efectuar un análisis de dichos datos, en orden a comprobar el correcto cumplimiento de la normativa y resolver las consultas remitidas por el CLIENTE.

Conservación

En determinadas ocasiones será necesario efectuar la conservación de dichos datos, en orden a comprobar el correcto cumplimiento de la normativa y a realizar cualquier gestión referente al cumplimiento de la misma.

Comunicación

Además, será necesario efectuar una comunicación de dichos datos en la gestión de tramites, resolución de consultas, etc.

  1. DURACIÓN

La duración del presente contrato quedará supeditada a la continuidad del servicio principal contratado, siendo renovado automáticamente salvo decisión en contra por alguna de las PARTES.

  1. OBLIGACIONES DEL ENCARGADO DEL TRATAMIENTO

El ENCARGADO DEL TRATAMIENTO y todo su personal se obliga a:

    1. Utilizar los datos personales objeto de tratamiento, o los que recoja para su tratamiento, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios o diferentes a los establecidos por el RESPONSABLE.
    2. Tratar los datos de acuerdo con las instrucciones documentadas del RESPONSABLE que, en todo caso, implicará la prohibición de efectuar como consecuencia de la prestación del servicio transferencias internacionales que requieran de solicitud de autorización a la autoridad de control por tratarse de países y/u organizaciones que no cumplan con un nivel adecuado de protección o no se cuente con las garantías necesarias para llevar a cabo la exportación de los datos personales. Si el ENCARGADO considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, informará inmediatamente al RESPONSABLE.
    3. Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad, el secreto profesional y a cumplir las medidas de seguridad correspondientes, de las que hay que sensibilizar, formar e informar convenientemente. El deber de secreto y confidencialidad respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente encargo perdurará indefinidamente.
    4. No subcontratar ninguna de las prestaciones que formen parte del objeto de este contrato que comporten el tratamiento de datos personales, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios del ENCARGADO. Si fuera necesario subcontratar algún tratamiento, este subcontratista o SUBENCARGADO, que también tiene la condición de encargado de tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el ENCARGADO y las instrucciones que dicte el RESPONSABLE. Corresponde al ENCARGADO inicial regular la nueva relación de forma que el SUBENCARGADO quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte de Subencargado, el Encargado inicial seguirá siendo plenamente responsable ante el responsable en lo referente al cumplimiento de las obligaciones.
    5. Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del RESPONSABLE, que contenga al menos:- El nombre y los datos de contacto del RESPONSABLE por cuenta del cual actúa como ENCARGADO y, en su caso, del representante del RESPONSABLE o del ENCARGADO y del delegado de protección de datos, si lo tuviera.- Las categorías de tratamientos efectuados por cuenta del RESPONSABLE.-En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, cuando sean necesarias, la documentación de garantías adecuadas adoptadas.- Cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad que incluyan, con carácter enunciativo y no limitativo:
  1. La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
  2. La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.

iii. El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

  1. La pseudonimización y el cifrado de datos personales, en su caso.

Este Registro deberá estar a disposición y se facilitará al Responsable y a la autoridad de control, si así lo solicitara, no sin antes consensuarlo con el Responsable.

    1. No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del RESPONSABLE del tratamiento, o en los supuestos legalmente admisibles. El ENCARGADO comunicará los datos a otros ENCARGADOS del tratamiento del mismo RESPONSABLE, de acuerdo con las instrucciones del RESPONSABLE. En este caso, el RESPONSABLE identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos comprometidos y las medidas de seguridad a aplicar para proceder a la comunicación. El ENCARGADO mantendrá a disposición del RESPONSABLE la documentación acreditativa del cumplimiento de las obligaciones de comunicación a terceros y/o transferencias.
    2. Asistir al RESPONSABLE del tratamiento, teniendo en cuenta la naturaleza del mismo y a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que éste pueda dar cumplimiento en la respuesta al ejercicio de los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos personales y a no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles).Cuando los interesados ejerzan los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas ante el ENCARGADO del tratamiento, éste debe comunicarlo al correo electrónico facilitado por el RESPONSABLE. La comunicación debe hacerse de forma inmediata y en ningún caso más allá del tercer (3) día laborable siguiente al de la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud
    3. El ENCARGADO del tratamiento notificará al RESPONSABLE del tratamiento, sin dilación indebida, y en cualquier caso antes del plazo máximo de cuarenta y ocho (48) horas, teniendo en cuenta que la norma establece un plazo máximo de setenta y dos (72) horas, desde que se tenga constancia, y a través del correo electrónico facilitado por el RESPONSABLE, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia. No será necesaria la notificación al RESPONSABLE, cuando sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.
    4. Dar apoyo al RESPONSABLE de la realización de las evaluaciones de impacto relativas a la protección de datos y de las consultas previas a la autoridad de control, en su caso y cuando proceda, conforme a la normativa de protección de datos que resulte de aplicación y/o a las instrucciones que emita la autoridad de control nacional.
    5. Poner a disposición del RESPONSABLE toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en la normativa de protección de datos, así como permitir la realización de auditorías, incluidas inspecciones, que pudiera realizar el RESPONSABLE u otro auditor designado por éste. Para este tipo de acciones, se establece un aviso previo por escrito de un (1) mes.
    6. Implantar las medidas de seguridad técnicas y organizativas necesarias para garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.A efectos de determinar las medidas de seguridad objeto de implantación, habrá que atender al análisis de riesgos, y evaluación de impacto, si procediera, en la que se determinará las medidas más adecuadas para garantizar la seguridad del tratamiento, las cuales deberán ser adoptadas, documentando todo lo actuado. En cualquier caso, podrán acordarse aquellas que se establezcan en códigos de conducta, sellos, certificaciones o cualquier norma o estándar internacional actualizado de cumplimiento de protección de datos y seguridad de la información.
    7. Designar un delegado de protección de datos y comunicar su identidad y datos de contacto al RESPONSABLE, si es que procede y en su caso.
  1. OBLIGACIONES DEL RESPONSABLE DEL TRATAMIENTO

Por su parte, las obligaciones del RESPONSABLE son las siguientes:

    1. Entregar al ENCARGADO los datos a los que se refiere la cláusula 2 de este contrato.
    2. Dar las instrucciones que correspondan para llevar a cabo el tratamiento. Realizar análisis de riesgos y una evaluación del impacto en la protección de datos personales de las operaciones de tratamiento a realizar por el ENCARGADO, cuando proceda.
    3. Realizar las consultas previas que correspondan.
    4. Velar, de forma previa y durante todo el tratamiento, por el cumplimiento del RGPD por parte del ENCARGADO.
    5. Supervisar el tratamiento, incluida la realización de inspecciones y auditorías.
  1. DESTINO DE LOS DATOS

Una vez finalizada la prestación del servicio, el ENCARGADO deberá conforme a las instrucciones del RESPONSABLE:

Devolverle los datos de carácter personal y, si procede, los soportes donde consten; destruirlos; o entregárselos a un nuevo ENCARGADO que designe por escrito el RESPONSABLE.

En caso de que se opte por la devolución, ésta debe comportar el borrado total de los datos existentes en los equipos informáticos utilizados por el ENCARGADO, también en las copias de seguridad. No obstante, el ENCARGADO puede conservar una copia, con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación o tenga obligación legal para ello.

  1. EXONERACIÓN DE RESPONSABILIDAD

Conforme el artículo 82 del RGPD, el RESPONSABLE responderá de los daños y perjuicios causados en cualquier operación de tratamiento en que participe y no cumpla lo dispuesto en el RGPD, y el ENCARGADO únicamente responderá de los daños y perjuicios causados por el tratamiento cuando no haya cumplido con las obligaciones del RGPD dirigidas específicamente al ENCARGADO o haya actuado al margen o en contra de las instrucciones legales del RESPONSABLE. Del mismo modo el ENCARGADO estará exento de responsabilidad si demuestra que no es en modo alguno responsable del hecho que haya causado los daños y perjuicios.

 

  1. LEGISLACIÓN Y JURISDICCIÓN

El presente contrato contempla las exigencias de la legislación española y europea vigente en materia de protección de datos personales, particularmente por lo establecido en el RGPD y LOPDGDD.

Las PARTES con expresa renuncia de su fuero, someten todas las interpretaciones y/o conflictos que pudieran surgir derivados de este contrato a los Juzgados y Tribunales del Madrid.