Contrato de Tratamiento de Datos Personales

Versión con fecha 25 de mayo de 2018

El presente Contrato de Encargo de Tratamiento, en adelante el DPA, forma parte del contrato de alojamiento de páginas web, en adelante el contrato, que subscriben Don Marco Antonio Mateos Sánchez, en adelante, el Castris, con el contratante de un servicio de alojamiento de páginas web, servidor dedicado o VPS (manejado y no manejado) en adelante el Cliente.

El presente DPA, celebrado entre el encargado y el responsable, es de conformidad con el artículo 28 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (“Reglamento General de Protección De Datos” o “RGPD”), tiene por objeto establecer las condiciones en las que Castris, como Encargado del Tratamiento y como parte de los Servicios recogidos en el Contrato, tiene derecho a tratar, siguiendo instrucciones del Cliente, datos personales tal y como se definen en el RGPD (“Datos Personales”). El tratamiento de Datos Personales por parte de Castris como Responsable del Tratamiento queda fuera del ámbito de aplicación de este DPA.

A efectos del presente DPA, CASTRIS actúa como “Encargado del Tratamiento” y se entiende que el Cliente actúa como “Responsable del Tratamiento” siempre que las funciones de “Encargado del Tratamiento” y “Responsable del Tratamiento” tengan el significado que les otorga el RGPD.

En caso de que el Cliente actúe como encargado del tratamiento por cuenta de un responsable del tratamiento tercero, las Partes acuerdan expresamente las siguientes condiciones:

  1. El Cliente garantizará (i) que el Responsable del Tratamiento haya concedido todas las autorizaciones necesarias para celebrar este DPA, incluido el nombramiento de CASTRIS como Subencargado del Tratamiento por parte del Cliente; (ii) que, de conformidad con el artículo 28 del RGPD, se haya celebrado un contrato con el Responsable del Tratamiento que se ajuste plenamente a los términos y condiciones del Contrato, incluyendo este DPA; (iii) que cualquier instrucción que CASTRIS reciba por parte del Cliente en aplicación del Contrato y de este DPA se ajuste plenamente a las instrucciones del Responsable del Tratamiento; y (iv) que toda la información que CASTRIS comunique o facilite de conformidad con este DPA sea debidamente comunicada al Responsable del Tratamiento cuando sea necesario.
  2. CASTRIS (i) solamente tratará Datos Personales siguiendo instrucciones del Cliente y (ii) no recibirá ninguna instrucción directamente del Responsable del Tratamiento, excepto en aquellos casos en los que el Cliente haya desaparecido de facto o haya dejado de existir jurídicamente sin que ninguna entidad sucesora haya asumido los derechos y obligaciones del Cliente.
  3. El Cliente, que es plenamente responsable ante CASTRIS de la correcta ejecución de sus obligaciones como Responsable del Tratamiento según lo dispuesto en este DPA, deberá indemnizar y eximir a CASTRIS de toda responsabilidad en caso de (i) incumplimiento por parte del Responsable del Tratamiento de la legislación aplicable o de (ii) cualquier acción, requerimiento o reclamación por parte del Responsable del Tratamiento en relación con las disposiciones del Contrato (incluido este DPA) o con cualquier instrucción que CASTRIS haya recibido del Cliente.

Ámbito de aplicación

CASTRIS, en su calidad de Encargado del Tratamiento que actúa siguiendo las instrucciones del Cliente, está autorizada a tratar los Datos Personales del Responsable del Tratamiento en la medida en que sea necesario para prestar los Servicios.

La naturaleza de las operaciones realizadas por CASTRIS en materia de Datos Personales puede enmarcarse en el ámbito de la informática, el almacenamiento y/o cualquier otro Servicio similar tal y como se describe en el Contrato.

El Cliente determina y controla, a su total discreción, el tipo de Datos Personales y las categorías de interesados.

CASTRIS realiza las actividades de tratamiento durante el período previsto en el Contrato.

Selección de los Servicios

El Cliente, que es el único responsable de la selección de los Servicios, deberá asegurarse de que los Serviciosseleccionados posean las características y condiciones necesarias con relación a las actividades y los fines del tratamiento del Responsable del Tratamiento, así como al tipo de Datos Personales tratados en el marco de los Servicios, especialmente cuando los Servicios sean utilizados para tratar Datos Personales sujetos a reglamentación o normas específicas (por ejemplo, datos de salud o bancarios en determinados países). El Cliente es conocedor de que CASTRIS ofrece determinados Servicios que disponen de medidas organizativas y de seguridad específicamente diseñadas para el tratamiento de datos de salud o bancarios. El Cliente debería conocer, por ejemplo, que un alojamiento compartido, no cumple los requisitos mínimos para el tratamiento de datos de este tipo, o de aquello enmarcados como nivel medio y máximo de seguridad.

En caso de que el tratamiento del Responsable del Tratamiento pueda entrañar un alto riesgo para los derechos y libertades de las personas físicas, el Cliente deberá seleccionar cuidadosamente sus Servicios. A la hora de evaluar el riesgo, se deben tener en cuenta principalmente, pero no exclusivamente, los siguientes criterios: evaluación o calificación de los interesados; decisiones automatizada con efectos jurídicos o similares significativos; monitorización sistemática de los interesados; tratamiento de datos sensibles o datos de carácter personal especialmente protegidos; tratamiento a gran escala; comparación o combinación de conjuntos de datos; tratamiento de datos referentes a interesados vulnerables; uso de nuevas tecnologías innovadoras desconocidas por el público para el tratamiento.

CASTRIS deberá proporcionar al Cliente información, en las condiciones establecidas en la cláusula “Auditoría” sobre las medidas de seguridad implementadas en el marco de los Servicios, en la medida en que sea necesario para evaluar la conformidad de dichas medidas con respecto a las actividades de tratamiento del Responsable del Tratamiento.

Conformidad con la Regulación Aplicable

Las Partes deberán respetar las disposiciones reglamentarias aplicables en materia de protección de datos, incluyendo el Reglamento General de Protección De Datos desde su entrada en aplicación en la Unión Europea.

Obligaciones de CASTRIS

CASTRIS se compromete a:

  1. tratar los Datos Personales cargados, almacenados y utilizados por el Cliente en el marco de los Servicios solo cuando sea necesario para prestar los Servicios con arreglo al Contrato;
  2. no acceder ni utilizar los Datos Personales con fines distintos a los necesarios para la correcta ejecución de los Servicios (en particular, en relación con la gestión de Incidencias);
  3. implementar las medidas técnicas y organizativas descritas en el Contrato para garantizar la seguridad de los Datos Personales en el marco del Servicio;
  4. garantizar que los trabajadores de CASTRIS autorizados a tratar Datos Personales en el marco del Contrato estén sujetos a obligaciones de confidencialidad y reciban la formación adecuada en materia de protección de Datos Personales;
  5. informar al Cliente si, en su opinión y basándose en la información de la que disponga, una instrucción del Cliente infringe el RGPD u otras disposiciones en materia de protección de datos de la Unión Europea o de los Estados Miembros de la Unión Europea; y
  6. en caso de recibir una solicitud relativa a los Datos Personales tratados proveniente de una autoridad competente, informar al Cliente (salvo que existan disposiciones legales o mandamientos de la autoridad competente que lo impidan) y limitar la comunicación de datos a lo expresamente requerido por dicha autoridad.

A petición escrita del Cliente, CASTRIS proporcionará al Cliente la asistencia razonable sobre la realización de evaluaciones de impacto relativas a la protección de datos y sobre consultas a la autoridad de control competente, en caso de que así se lo exija al Cliente la legislación aplicable en materia de protección de datos, y solo en la medida en que dicha asistencia sea necesaria y se refiera al tratamiento de Datos Personales por parte de CASTRIS. Dicha asistencia consistirá en ofrecer información sobre las medidas de seguridad adoptadas por CASTRIS en sus Servicios.

CASTRIS se compromete a adoptar las siguientes medidas de seguridad técnicas y organizativas:

  1. medidas de seguridad física destinadas a impedir el acceso de personas no autorizadas a la Infraestructura desde la que se accede a los datos del Cliente;
  2. controles de identidad y de acceso mediante un sistema de autenticación, así como una política de contraseñas;
  3. un sistema de gestión de acceso que permita limitar el acceso a las datos exclusivamente a las personas que necesiten acceder a ellas en el marco de sus funciones y de su ámbito de responsabilidad;
  4. un sistema de aislamiento físico y lógico de los Clientes entre sí;
  5. procedimientos de autenticación de los usuarios y administradores, así como medidas de protección del acceso a las funciones de administración;
  6. un sistema de gestión de acceso para las operaciones de soporte y mantenimiento donde apliquen los principios de mínimo privilegio y necesidad de conocimiento;
  7. procesos y medidas que permitan rastrear todas las acciones realizadas en su sistema de información.

Violaciones de la Seguridad de los Datos Personales

En caso de que CASTRIS tuviese conocimiento de cualquier incidencia que pudiera afectar a los Datos Personales del Responsable del Tratamiento (tales como el acceso, la pérdida, la comunicación o la alteración de datos sin autorización), CASTRIS deberá informar al Cliente sin dilación indebida.

Dicha notificación deberá (i) describir la naturaleza de la incidencia, (ii) describir las posibles consecuencias de la incidencia, (iii) especificar las medidas adoptadas o propuestas por CASTRIS en respuesta a la incidencia y (iv) indicar una persona de contacto en CASTRIS.

Localización y Transferencia de Datos Personales

La localización de los Centros de Datos de CASTRIS están situadas en la Unión Europea garantiza un nivel de protección suficiente de los Datos Personales (“Decisión de Adecuación”).

Subencargados del Tratamiento

De conformidad con lo dispuesto en la cláusula “Localización y transferencia de Datos Personales” del presente Contrato, CASTRIS podría recurrir a otro encargado del tratamiento para tratar Datos Personales en el marco de la ejecución de los Servicios (“Subencargado del Tratamiento”).

CASTRIS está expresamente autorizada a recurrir a proveedores terceros (tales como proveedores de energía, proveedores de red, gestores de puntos de conexión de red o de centros de datos en la modalidad de housing, proveedores de hardware y software, transportistas, proveedores de servicios técnicos, vigilancia, etc.), sin tener que informar al Responsable del Tratamiento o solicitar su consentimiento previo, siempre que dichos proveedores terceros no accedan a Datos Personales.

Obligaciones del Cliente y del Responsable del Tratamiento

Para el tratamiento de Datos Personales según lo dispuesto en el Contrato, el Cliente deberá proporcionar a CASTRIS por escrito (a) cualquier instrucción pertinente y (b) cualquier información necesaria para la elaboración de los registros de las actividades de tratamiento por parte del Encargado del Tratamiento. El Cliente es el único responsable de dicho tratamiento de información y de las instrucciones proporcionadas a CASTRIS.

El Responsable del Tratamiento es responsable de garantizar:

  1. que el tratamiento de los Datos Personales del Responsable del Tratamiento en el marco de ejecución del Servicio tenga una base jurídica adecuada (p. ej., consentimiento del Interesado, consentimiento del Responsable del Tratamiento, intereses legítimos, autorización por parte de la autoridad de control pertinente, etc.);
  2. que se hayan realizado todos los procedimientos y trámites necesarios (como evaluaciones de impacto referentes a la protección de datos, notificaciones y solicitudes de autorización a la autoridad competente en materia de protección de datos o a cualquier otro organismo competente, en caso necesario);
  3. que los interesados estén informados del tratamiento de sus Datos Personales de forma concisa, transparente, comprensible y de fácil acceso, con un lenguaje claro y sencillo según lo dispuesto en el RGPD, y
  4. que los interesados sean informados de sus derechos en materia de protección de datos y tengan en todo momento la posibilidad de ejercer dichos derechos según lo dispuesto en el RGPD de forma directa con el Cliente o con el Responsable del Tratamiento.

El Cliente es responsable de aplicar medidas técnicas y organizativas apropiadas para garantizar la seguridad de los recursos, sistemas, aplicaciones y operaciones que no entren dentro del ámbito de responsabilidad de CASTRIS, tal y como se define en el Contrato (en particular, cualquier sistema o software desplegado o ejecutado por el Cliente o los Usuarios en el marco de los Servicios).

Derechos del Interesado

El Responsable del Tratamiento es plenamente responsable de informar a los interesados de sus derechos,así como de respetar dichos derechos, incluidos los derechos de acceso, rectificación, supresión, limitación, portabilidad u oposición.

CASTRIS deberá proporcionar la asistencia y la cooperación necesarias que se le puedan exigir razonablementepara responder a las solicitudes del interesado. Dichas asistencia y cooperación consistirán en (a) informar al Cliente de cualquier solicitud que reciba directamente por parte del interesado y (b) permitir que el Responsable del Tratamiento diseñe y despliegue las medidas técnicas y organizativas necesarias para responder a las solicitudes del interesado. El Responsable del Tratamiento será el único responsable de responder a dichas solicitudes.

El Cliente reconoce y acepta que, en caso de que dicha asistencia y cooperación obliguen al Encargado del Tratamiento a aportar cuantiosos recursos, dicho gasto podrá ser facturado, tras previo aviso y acuerdo con el Cliente.

Supresión y Devolución de los Datos Personales

En caso de expiración de un Servicio (en particular, en caso de rescisión o no renovación), CASTRIS secompromete a suprimir, en las condiciones previstas en el Contrato, todo el Contenido (incluidosinformación, datos, archivos, sistemas, aplicaciones, sitios web y otros elementos) reproducido, almacenado,alojado o utilizado de cualquier otra forma por el Cliente en el marco de los Servicios, a menos que unrequerimiento emitido por una autoridad legal o judicial competente o la legislación aplicable de la UniónEuropea o de un Estado Miembro de la Unión Europea dispongan lo contrario.

Las copias de seguridad de los sitios compartidos, seguirán disponibles por un periodo máximo de 12 meses, salvo petición expresa del Cliente de ejercitar su derecho a la eliminación inmediata.

El Cliente es el único responsable de garantizar que se realizan las operaciones necesarias (copia de seguridad, transferencia a una solución de terceros, capturas de pantalla, etc.) para la conservación de los Datos Personales, en particular antes de la rescisión o la expiración de los Servicios, y antes de proceder a realizar cualquier operación de supresión, actualización o reinstalación de los Servicios.

A este respecto, se informa al Cliente de que la rescisión y la expiración de un Servicio por cualquier motivo (incluida, sin carácter exhaustivo, la no renovación), así como la realización de determinadas operaciones para actualizar o reinstalar los Servicios, podrían implicar automáticamente la supresión irreversible de todo el Contenido (incluidos información, datos, archivos, sistemas, aplicaciones, sitios web y otros elementos) reproducido, almacenado, alojado o utilizado de cualquier otra forma por el Cliente en el marco de los Servicios, incluida cualquier posible copia de seguridad.

Responsabilidad

CASTRIS solo será responsable de los daños provocados por el tratamiento en aquellos casos en los que (i) no haya cumplido con las obligaciones del RGPD relativas específicamente a los Encargados del Tratamiento o (ii) haya actuado de forma contraria a las instrucciones lícitas por escrito del Cliente. En tales casos, se aplicará la disposición sobre responsabilidad del Contrato.

En caso de que CASTRIS y el Cliente participen, según lo dispuesto en este Contrato, en un proceso de tratamiento que pudiera provocar daños al interesado, el Cliente deberá, en un primer momento, asumir la indemnización íntegra (o cualquier otra compensación) debida al interesado y, a continuación, reclamar a CASTRIS la parte proporcional de la compensación correspondiente a la parte de responsabilidad de CASTRIS por dichas pérdidas, sin embargo aplicándose cualquier limitación de responsabilidad según lo dispuesto en el Contrato.

Auditorías

CASTRIS deberá proporcionar al Cliente toda la información necesaria para (i) acreditar el cumplimiento de las obligaciones establecidas en el RGPD y (ii) permitir que se realicen auditorías.

Dicha información está disponible en la documentación estándar del sitio web de CASTRIS. El Cliente podrá recibir información adicional, previa solicitud al Soporte de CASTRIS.

Si un Servicio cuenta con una certificación, cumple con un código de conducta o está sujeto a procedimientos de auditoría específicos, CASTRIS pondrá a disposición del Cliente, previa solicitud por escrito, los correspondientes certificados e informes de auditoría.

En caso de que dicha información, incluyendo los mencionados certificados e informes de auditoría, resulte insuficiente para permitir que el Cliente demuestre que cumple con las obligaciones establecidas en el RGPD, CASTRIS y el Cliente deberán acordar las condiciones operativas, financieras y de seguridad para una inspección técnica in situ. Las condiciones de esta inspección no deben, bajo ninguna circunstancia, afectar a la seguridad de otros Clientes de CASTRIS.

Dicha inspección in situ, así como la comunicación de certificados e informes de auditoría, podría conllevar la facturación de gastos adicionales considerables.

Cualquier información que se le proporcione al Cliente en aplicación de esta cláusula y que no esté disponible en el sitio web de CASTRIS será considerada como información confidencial de CASTRIS, según lo dispuesto en el Contrato. Antes de comunicar dicha información, CASTRIS podrá exigir la celebración de un contrato de confidencialidad específico.

Con independencia de lo anterior, el Cliente está autorizado a responder a las solicitudes por parte de la autoridad de control pertinente, a condición de que la información facilitada se limite estrictamente a la solicitada por la autoridad de control. En tal caso, y salvo que la legislación aplicable lo prohíba específicamente, el Cliente deberá consultar previamente a CASTRIS la comunicación de cualquier información solicitada.

Marco Antonio Mateos Sánchez
NIF: 50704972T
Melgar II, 17 · 19100 Pastrana (España)