Contrato de encargo del tratamiento

El presente contrato de encargo del tratamiento (“Contrato”) forma parte de las condiciones generales y resulta de aplicación en la medida en que Seviranta — nombre comercial de 1Star BV, Zonnehorst 5, 7207 BT Zutphen, Países Bajos, Cámara de Comercio (KvK) 65195876 (“Encargado”) — trate datos personales por cuenta del Cliente (“Responsable del tratamiento”) en el marco del servicio de pago. Los términos tienen el significado establecido en el Reglamento General de Protección de Datos (“RGPD”).

1. Objeto, naturaleza y duración

El Encargado trata los datos personales únicamente para prestar el servicio acordado: verificar y supervisar de forma continua la(s) web(s) del Cliente en materia de accesibilidad, conservar los Informes/el Dossier asociados y gestionar la cuenta y la facturación. El Contrato dura mientras el Encargado trate datos personales para el Cliente.

2. Tipos de datos personales e interesados

• Datos: datos de cuenta y de contacto (nombre, correo electrónico, nombre de la empresa), datos de facturación (dirección de facturación, número de IVA) y datos de uso/suscripción. Las páginas web escaneadas son públicas y se verifican únicamente a nivel técnico en materia de accesibilidad.
• Interesados: las personas de contacto y los usuarios del Cliente.
• No se tratan categorías especiales de datos personales.

3. Instrucciones

El Encargado trata los datos personales únicamente sobre la base de instrucciones documentadas del Cliente — incluidos el presente Contrato y el uso del servicio — salvo que una obligación legal disponga otra cosa. Si el Encargado considera que una instrucción infringe el RGPD, lo comunicará.

4. Confidencialidad

El Encargado garantiza que las personas que tratan los datos personales están obligadas a confidencialidad.

5. Seguridad

El Encargado adopta medidas técnicas y organizativas apropiadas (RGPD art. 32), entre ellas el cifrado en tránsito (TLS), el almacenamiento cifrado de las contraseñas, el acceso según necesidad (least privilege), el control de acceso a nivel de fila en la base de datos y el tratamiento preferentemente dentro de la UE.

6. Subencargados

El Cliente otorga una autorización general para recurrir a subencargados. El Encargado impone a cada subencargado al menos las mismas obligaciones que las del presente Contrato y selecciona principalmente socios con almacenamiento de datos en la UE. A efectos funcionales, se trata, entre otros, de: un socio de base de datos/autenticación/almacenamiento, infraestructura de escaneo y supervisión, alojamiento web, un proveedor de pagos, un proveedor de correo electrónico transaccional y un socio de infraestructura/seguridad.

El Cliente puede obtener, previa solicitud, una lista actualizada de los subencargados concretos (con nombre, función y ubicación). Ante un cambio previsto de subencargados, el Encargado informa al Cliente con antelación para que este pueda oponerse.

7. Asistencia

El Encargado presta al Cliente, teniendo en cuenta la naturaleza del tratamiento, asistencia razonable para responder a las solicitudes de los interesados (acceso, rectificación, supresión, etc.) y para cumplir las obligaciones de los art. 32 a 36 del RGPD (seguridad, violaciones de datos, evaluación de impacto relativa a la protección de datos).

8. Violaciones de datos

El Encargado informa al Cliente sin dilación indebida tras tener conocimiento de una violación de la seguridad de los datos personales, con la información relevante disponible, para que el Cliente pueda cumplir su obligación de notificación.

9. Devolución y supresión

A la finalización, el Encargado suprime los datos personales o los devuelve, a elección del Cliente, salvo los datos que el Encargado esté legalmente obligado a conservar (como las facturas sujetas a la obligación fiscal de conservación). El Cliente puede exportar él mismo el Dossier antes de la finalización.

10. Auditorías

El Encargado pone a disposición del Cliente la información necesaria para demostrar el cumplimiento del presente Contrato y colabora en auditorías razonables, previa cita y respetando la confidencialidad y la continuidad del servicio.

11. Transferencias fuera del EEE

Si un subencargado trata datos fuera del Espacio Económico Europeo, ello se realiza con las garantías apropiadas que exige el RGPD (por ejemplo, las cláusulas contractuales tipo de la Comisión Europea).

12. Legislación de protección de datos aplicable (regímenes internacionales)

El presente Contrato se ha redactado tomando el RGPD (GDPR) como estándar más elevado. En la medida en que a un tratamiento le resulte aplicable otra legislación de protección de datos, las disposiciones del presente Contrato se aplican mutatis mutandis también bajo dicha legislación — incluyendo el UK GDPR (Reino Unido), la ley suiza (nFADP) y las leyes estatales estadounidenses aplicables (como la CCPA/CPRA). Para las transferencias internacionales se aplican los mecanismos reconocidos correspondientes en la medida en que resulten pertinentes: las cláusulas contractuales tipo de la UE (SCC), el UK International Data Transfer Addendum (IDTA) y el addendum suizo. El Encargado prefiere el almacenamiento de datos en la UE.

13. California (CCPA/CPRA)

En la medida en que el Encargado trate datos personales sujetos a la California Consumer Privacy Act (CCPA), modificada por la CPRA, el Encargado actúa como “service provider”. El Encargado: (a) no vende ni comparte estos datos (no hay “sale” ni “share” en el sentido de la CCPA); (b) los trata únicamente para los fines empresariales descritos en el presente Contrato y no para fines comerciales propios; (c) no los conserva, utiliza ni comunica fuera de la relación comercial directa con el Cliente; y (d) presta al Cliente asistencia razonable con las solicitudes de los interesados conforme a la CCPA.

14. Disposición final

En caso de conflicto entre el presente Contrato y las condiciones generales, prevalece el presente Contrato en lo relativo al tratamiento de datos personales. El presente Contrato se rige por el Derecho neerlandés. ¿Preguntas o un ejemplar firmado? info@seviranta.com.