Estos términos se aplican para aquellos casos en los que Aphaia Ltd (de ahora en adelante, ENCARGADO) o cualquier otra compañía del grupo se considere encargado de tratamiento del RESPONSIBLE conforme al Reglamento General de Protección de Datos (RGPD). Las siguientes cláusulas forman parte del contrato de externalización de los servicios de Delegado de Protección de Datos (DPD) prestados por parte del ENCARGADO al RESPONSABLE (de ahora en adelante, CONTRATO). El presente acuerdo forma parte de las instrucciones documentadas del RESPONSABLE al ENCARGADO, y aplicará igualmente mutatis mutandis cuando proceda, para cualquier tratamiento de datos donde el RESPONSABLE actúe como encargado para otros responsables. En estos casos, el RESPONSABLE deberá demostrar que está legitimado para tartar los datos de los otros responsables.

Definiciones

A los efectos de este acuerdo, los siguientes términos tendrán el mismo significado que aquél establecido en el RGPD: datos personales, responsable de tratamiento, encargado de tratamiento, tratamiento y autoridad de control.

Objeto y naturaleza del tratamiento

Estos términos se aplican a los servicios prestados por el ENCARGADO conforme al CONTRATO que puedan implicar el tratamiento de datos personales por parte del ENCARGADO por cuenta del RESPONSABLE. El ENCARGADO prestará al RESPONSIBLE los siguientes servicios: funciones de DPD conforme al RGPD, que pueden incluir, pero no están limitadas a: seguimiento, apoyo, formación y comunicaciones con los interesados y las autoridades de control.

Finalidad del tratamiento

La finalidad del tratamiento es permitir y habilitar al ENCARGADO para prestar los servicios acordados conforme al CONTRATO.

Tipos de datos

Los datos tratados serán todos aquellos necesarios para la prestación de los servicios por parte del ENCARGADO conforme al CONTRATO y estos términos.

Categorías de interesados

Las categorías de interesados cuyos datos se tratarán incluirá todas aquellas cuya información sea cedida al ENCARGADO por parte del RESPONSABLE o los interesados cuya información sea tratada por el RESPONSABLE, y que puede incluir, pero no está necesariamente limitado a ello, las siguientes categorías:

– Actuales y potenciales clientes, socios y proveedores del RESPONSABLE (sólo aplicable a personas naturales).

– Empleados o personas de contacto de actuales y potenciales clientes, socios y proveedores del RESPONSIBLE (sólo aplicable a personas naturales).

– Empleados, agentes y freelancers del RESPONSABLE (solo aplicable a personas naturales).

Duración y finalización del tratamiento

El tratamiento de los datos tendrá lugar hasta el vencimiento del CONTRATO, que puede estar sujeto a renovación por mutuo a acuerdo. Al término del contrato el ENCARGADO deberá, a elección del RESPONSIBLE, suprimir o devolver todos los datos personales una vez finalice la prestación de los servicios de tratamiento, y suprimirá las copias existentes a menos que se requiera la conservación de los datos personales en virtud del Derecho de la Unión o de los Estados miembros.

Confidencialidad

El ENCARGADO garantizará que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria. El ENCARGADO estará sujeto en todo momento a los principios de confidencialidad y minimización de los datos cuando acceda o trate los datos de los interesados por cuenta del RESPONSABLE.

Obligaciones adicionales del ENCARGADO

El ENCARGADO deberá:

– llevar a cabo el tratamiento (incluidas las transferencias internacionales de datos) únicamente en el extremo necesario para prestar los servicios del CONTRATO y únicamente conforme a:

– el presente acuerdo y el CONTRATO;

– instrucciones por escrito que el RESPONSABLE documente eventualmente;

– cuando sea requerido por ley.

En los casos en que el ENCARGADO esté obligado al tratamiento en virtud del Derecho de la Unión o de los Estados miembro, el ENCARGADO notificará de este hecho al RESPONSABLE antes de llevar a cabo el tratamiento correspondiente (excepto que la ley exima al ENCARGADO de ello en virtud del interés público);

– tomar todas las medidas necesarias de conformidad con el artículo 32 RGPD;

– asistir al RESPONSABLE, teniendo cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que éste pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados establecidos en el capítulo III RGPD;

– ayudar al RESPONSABLE a garantizar el cumplimiento de las obligaciones establecidas en los artículos 32 a 36 RGPD, teniendo en cuenta la naturaleza del tratamiento y la información a disposición del ENCARGADO.

Subencargados de tratamiento

El RESPONSABLE autoriza al ENCARGADO a recurrir a otros encargados para almacenar, comunicar y analizar información con el objetivo de prestar los servicios conforme al CONTRATO. Estos subencargados incluirán normalmente herramientas de almacenamiento en la nube.

El ENCARGADO informará al RESPONSABLE de cualquier cambio previsto en la incorporación o sustitución de otros encargados, dando así al responsable la oportunidad de oponerse a dichos cambios.

Cuando se vaya a realizar un tratamiento por cuenta de un responsable del tratamiento, este elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiados, de manera que el tratamiento sea conforme con los requisitos del RGPD y garantice la protección de los derechos del interesado.

Inspecciones y auditorías

El ENCARGADO pondrá a disposición del RESPONSABLE toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el Artículo 28 RGPD, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del RESPONSABLE o de otro auditor autorizado por dicho responsable.

Transferencia de datos fuera del EEE a terceras partes

El RESPONSABLE autoriza al ENCARGADO a transferir datos personales fuera de España/UE/EEE sujeto al cumplimiento por parte de los subencargados de los términos recogidos en el RGPD y las garantías aquí establecidas, para lo que normalmente se procederá mediante una decisión de adecuación o EU-US Privacy Shield.

Efectos de estos Términos

Sin perjuicio de lo establecido en este acuerdo, en caso de conflicto entre estos términos y el CONTRATO, prevalecerá el CONTRATO.

Cambio en los Términos

Estos términos podrán cambiar en cualquier momento, de lo cual se informará a través de una publicación en la página web de Aphaia.