Acuerdo de tratamiento de datos

Esta versión es una traducción de la versión en inglés solo para fines informativos. En caso de discrepancias, prevalece la versión en inglés.

Controlador de datos: Cliente ubicado dentro de la UE (el “Controlador de datos”) y 

(el “Procesador de datos“)
(denominados por separado como una “Parte” y colectivamente las “Partes”) 

han concluido lo siguiente:

Acuerdo de tratamiento de datos

(en lo sucesivo, el «Acuerdo»)

relativo al tratamiento de datos personales por parte del Encargado del Tratamiento en nombre del Responsable del Tratamiento.

1. Los datos personales procesados 

1.1 El presente contrato (el “Acuerdo”) se ha celebrado en relación con el uso por parte del Controlador de datos de los servicios del Encargado del tratamiento como parte de la suscripción y los servicios adicionales descritos en las condiciones generales de One.com (el “Acuerdo Principal”).

1.2 El Procesador de datos procesa los tipos de datos personales en nombre del Controlador de datos en relación con los sujetos de datos relevantes según lo especificado en Anexo 1. Los datos personales se refieren a los sujetos de datos enumerados en Anexo 1.

1.3 El Procesador de datos puede iniciar el procesamiento de datos personales en nombre del Controlador de datos después de que el Acuerdo Principal entre en vigor. Al finalizar el Acuerdo Principal, el procesamiento cesará y los datos personales se eliminarán de acuerdo con las instrucciones en Anexo 1 del Acuerdo.

1.4 El Acuerdo y el Acuerdo Principal son interdependientes y no pueden rescindirse por separado. No obstante, el Acuerdo puede sustituirse por otro acuerdo de tratamiento de datos válido sin rescindir el Acuerdo Principal.

2. Fin

2.1 El Encargado del Tratamiento solo debe tratar los datos personales para los fines que sean necesarios para cumplir con las obligaciones del Encargado del Tratamiento y, en esto, para prestar los servicios establecidos en el Acuerdo Principal.

3. Obligaciones del Responsable del Tratamiento

3.1 El Responsable del Tratamiento garantiza que los datos personales se tratan con fines legítimos y objetivos, y que el Encargado del Tratamiento no trata más datos personales de los necesarios para cumplir con dichos fines.

3.2 El Responsable del Tratamiento es responsable de asegurar que existe una base jurídica válida para el tratamiento en el momento de transferir los datos personales al Encargado del Tratamiento. A petición del Encargado del Tratamiento, el Responsable del Tratamiento se 2 compromete, por escrito, a rendir cuentas y/o a proporcionar documentación sobre la base del tratamiento.

3.3 Además, el Responsable del Tratamiento garantiza que los interesados a los que pertenecen los datos personales han recibido información suficiente sobre el tratamiento de sus datos personales.

4. Obligaciones del Encargado del Tratamiento

4.1 Todo el tratamiento por parte del Encargado del Tratamiento de los datos personales proporcionados por el Responsable del Tratamiento debe ser de conformidad con las instrucciones preparadas por el Responsable del Tratamiento, y el Encargado del Tratamiento está obligado, además, a cumplir con toda la legislación en materia de protección de datos vigente en dicho momento. Si el Derecho de la Unión o de un Estado miembro de la UE a la que esté sujeto el Encargado del Tratamiento estipula que este debe tratar los datos personales enumerados en el Anexo 1, el Encargado del Tratamiento deberá informar al Responsable del Tratamiento de ese requisito legal antes de proceder al tratamiento. No obstante, esto no se aplica si esta legislación prohíbe dicha información por razones importantes de interés público. El Encargado del Tratamiento debe informar inmediatamente al Responsable del Tratamiento si, en su opinión, una instrucción infringe el Reglamento General de Protección de Datos u otras disposiciones en materia de protección de datos de la Unión o de los Estados miembros.

4.2 El Encargado del Tratamiento deberá adoptar todas las medidas de seguridad técnicas y organizativas necesarias, incluida cualquier medida adicional, para garantizar que los datos personales no se destruyan, pierdan o deterioren de manera accidental o ilegal, ni se pongan en conocimiento de terceros no autorizados, ni se utilicen de manera abusiva o de cualquier otra forma que sea contraria a la legislación en materia de protección de datos vigente en dicho momento. Estas medidas se describen con más detalle en el Anexo 2.

4.3 El Encargado del Tratamiento deberá garantizar que los empleados autorizados para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria;

4.4 Si así lo solicita el Responsable del Tratamiento, el Encargado del Tratamiento debe declarar y/o documentar que cumple con los requisitos de la legislación aplicable en materia de protección de datos, incluida la documentación relativa a los flujos de datos del Encargado del Tratamiento, así como con los procedimientos/políticas de tratamiento de datos personales.

4.5 Teniendo cuenta la naturaleza del tratamiento, el Encargado del Tratamiento asistirá al Responsable, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados establecidos en el capítulo III del Reglamento General de Protección de Datos.

4.6 El Encargado del Tratamiento u otro encargado del tratamiento (en lo sucesivo, el «subencargado del tratamiento») debe enviar las solicitudes y objeciones de los interesados al Responsable del Tratamiento, para el tratamiento posterior del Responsable del Tratamiento, a menos que el Encargado del Tratamiento tenga derecho a tramitar dicha solicitud por sí mismo. Si el Responsable del Tratamiento lo solicita, el Encargado del Tratamiento deberá ayudar al Responsable del Tratamiento a responder a dichas solicitudes y/u objeciones.

4.7 Si el Encargado del Tratamiento trata datos personales en otro estado miembro de la UE, el Encargado del Tratamiento debe cumplir con la legislación relativa a las medidas de seguridad en dicho Estado miembro.

4.8 El Procesador de datos debe notificar al Controlador de datos donde haya una interrupción en la operación, una sospecha de que se han violado las normas de protección de datos u otras irregularidades en relación con el procesamiento de los datos personales. El plazo del Procesador de datos para notificar al Controlador de datos sobre una violación de seguridad es de 48 horas desde el momento en que el Procesador de datos se entera de la violación de seguridad. Si lo solicita el Controlador de datos, el Procesador de datos debe ayudar al Controlador de datos en relación con la clarificación del alcance de la violación de seguridad, incluyendo la preparación de cualquier notificación a la Agencia de Protección de Datos correspondiente y/o a los sujetos de datos. 

4.9 El Procesador de datos debe poner a disposición del Controlador de datos toda la información necesaria para demostrar el cumplimiento del artículo 28 del Reglamento General de Protección de Datos y del Acuerdo. En este sentido, el Procesador de datos permite y contribuye a auditorías, incluidas inspecciones, realizadas por el Controlador de datos o por otro auditor designado por el Controlador de datos. El Controlador de datos asume el costo de cualquier auditoría o inspección.

4.10 Además de lo anterior, el Encargado del Tratamiento debe asistir al Responsable del Tratamiento a la hora de garantizar el cumplimiento de las obligaciones del Responsable del Tratamiento en virtud de los arts. 32-36 del Reglamento General de Protección de Datos. Esta asistencia tendrá en cuenta la naturaleza del tratamiento y la información disponible para el Encargado del Tratamiento.

5. Transferencia de datos a subencargados o terceros

5.1 El Encargado del Tratamiento debe cumplir con las condiciones establecidas en el artículo 28, apartado 2 y 4 del Reglamento General de Protección de Datos para recurrir a otro encargado del tratamiento (subencargado del tratamiento). Esto implica que el Encargado del Tratamiento no recurrirá a otro Encargado del Tratamiento (subencargado del tratamiento) para la ejecución del Acuerdo sin la aprobación previa específica o general y por escrito del Responsable del Tratamiento.

5.2 El Responsable del Tratamiento otorga por la presente al Encargado del Tratamiento un poder general para celebrar acuerdos con subencargados del tratamiento. El Encargado del Tratamiento debe notificar al Responsable del Tratamiento cualquier cambio relativo a la adición o sustitución de subencargados del tratamiento a más tardar 30 días antes de que un nuevo subencargado comience a tratar los datos personales. El Responsable del Tratamiento puede objetar de manera razonable y pertinente contra dichos cambios en un plazo de 14 días a partir de la recepción de la notificación. Si el Encargado del Tratamiento sigue deseando recurrir a un subencargado del tratamiento al que el Controlador de Datos ha objetado, las Partes tienen derecho a rescindir el Acuerdo (véase el art. 7).

5.3 Cuando el Responsable del Tratamiento haya aprobado que el Encargado del Tratamiento puede recurrir a un subencargado del tratamiento, este deberá imponer al subencargado las mismas obligaciones que se establecen en el Acuerdo. Esto se ejecuta a través de un contrato u otro acto jurídico en virtud de la legislación europea o de un Estado miembro. Debe asegurarse, por ejemplo, que el subencargado del tratamiento de datos ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiadas de manera que el tratamiento cumpla con los requisitos del Reglamento General de Protección de Datos (términos «back-to-back»).

5.4 Si el subencargado del tratamiento incumple sus obligaciones en materia de protección de datos, el Encargado del Tratamiento seguirá siendo plenamente responsable ante el Responsable del Tratamiento por el cumplimiento de las obligaciones del subencargado.

5.5 La divulgación y la transferencia a terceros países u organizaciones internacionales de los datos personales del Responsable del Tratamiento y el uso interno por parte de estos solo puede tener lugar de conformidad con las instrucciones documentadas del Responsable del Tratamiento, a menos que lo estipule la legislación de la UE o de un Estado miembro al que esté sujeto el Responsable del Tratamiento. En este caso, el Encargado del Tratamiento debe 4 notificar al Responsable del Tratamiento de este requisito legal antes del tratamiento, a menos que la ley prohíba dicha notificación por razones importantes de interés público.

5.6 Si los datos personales estipulados en el Anexo 1 se transfieren a subencargados fuera de la UE/del EEE, deberá indicarse en dicho acuerdo que la legislación en materia de protección de datos aplicable en el país del Responsable del Tratamiento se aplica a los subencargados. Además, si el subencargado del tratamiento receptor está establecido dentro de la UE/del EEE, debe indicarse en dicho acuerdo de tratamiento de los datos que deben cumplirse los requisitos legales específicos del país receptor de la UE relativos a los encargados del tratamiento, por ejemplo, en lo que respecta a las exigencias de notificación a las autoridades nacionales.

5.7 El Procesador de datos está obligado a celebrar acuerdos de procesamiento de datos por escrito con subencargados del tratamiento dentro de la UE/EEE. En cuanto a los subencargados del tratamiento fuera de la UE/EEE, el Procesador de datos debe garantizar las salvaguardias adecuadas, por ejemplo, la última versión de las Cláusulas Contractuales Estándar de la Comisión de la UE y celebrar un acuerdo de procesamiento de datos.

5.8 En el momento de la firma de este Acuerdo, el Encargado del Tratamiento recurre a los subencargados enumerados en el Anexo 3.

6. Responsabilidad

6.1 La responsabilidad de las Partes se rige por el Acuerdo Principal.

6.2 La responsabilidad de las Partes en caso de daños y perjuicios según este Acuerdo se rige por el Acuerdo Principal.

7. Fecha de entrada en vigor y terminación

7.1 Este Acuerdo entra en vigor al mismo tiempo que el Acuerdo Principal. En caso de terminación del Acuerdo Principal, este Acuerdo también terminará. No obstante, el Encargado del Tratamiento seguirá estando sujeto a las obligaciones estipuladas en este Acuerdo, siempre y cuando el Encargado del Tratamiento trate datos personales en nombre del Responsable del Tratamiento.

7.2 Una vez finalizados los servicios de tratamiento, el Encargado del Tratamiento está obligado, a petición del Responsable del Tratamiento, a eliminar o devolver todos los datos personales al Responsable del Tratamiento, así como a eliminar las copias existentes, a menos que la retención de los datos personales esté prescrita por la legislación nacional o de la UE.

8. Legislación aplicable y jurisdicción

8.1 Cualquier reclamación o disputa que surja de o en relación con este Acuerdo debe resolverse por un juzgado competente de primera instancia en la misma jurisdicción y con la misma elección de la legislación que se establece en el Acuerdo Principal.

9. Firmas

Anexo 1

Categorías de sujetos de datos, Tipos de datos personales e Instrucciones

1. Categorías de sujetos de datos:

• El Procesador de datos procesará la información de contacto de los visitantes del sitio web del Controlador de datos y de clientes actuales, potenciales o anteriores y/o miembros, empleados, proveedores, socios comerciales y de colaboración y afiliados. 
• El Procesador de datos pone su sistema a disposición del Controlador de datos como un servicio alojado, y no es posible para el Procesador de datos determinar todas las categorías de sujetos de datos. Si el Controlador de datos aloja datos sobre más categorías de sujetos de datos con el Procesador de datos, es obligación del Controlador de datos registrar esta información. 

2. Tipos de datos personales:

En general, todos los datos personales procesados a través del espacio web del Controlador de datos son procesados por el Procesador de datos. La lista no exhaustiva a continuación incluye los tipos más comunes de datos personales procesados a través de espacios web. El Controlador de datos decide qué datos personales elige procesar a través de la infraestructura del Procesador de datos. Esto puede incluir categorías especiales de datos personales enumeradas en el Artículo 9 del GDPR.

• Información de contacto e identificación, incluyendo correo electrónico
• Direcciones IP
• Nombres de dominio
• Nombres de usuario
• Información de membresía
• Datos de análisis y uso
• Historial de pedidos e información
• Contratos
• Comunicación
• Ayuda
• Imágenes
• Estado del consentimiento de marketing
• Datos personales incluidos en correos electrónicos
• Pueden ocurrir tipos adicionales de datos personales 

3. Instrucciones

Servicio

El Procesador de datos puede procesar datos personales de los interesados con el propósito de entregar, desarrollar, gestionar, administrar y manejar los servicios del Acuerdo Principal, incluyendo asegurar la estabilidad y el tiempo de actividad de nuestros servidores y cumplir con los requisitos legales. 

Plazo de conservación

Los datos personales almacenados/hosteados en nuestros sistemas se eliminan o anonimizan dentro de un tiempo razonable después de que el Controlador de datos haya terminado completamente el Acuerdo Principal.

Ubicación del procesamiento

El procesamiento de datos personales cubiertos por el Acuerdo no debe realizarse sin el consentimiento previo por escrito del Controlador de datos en ubicaciones distintas al centro de datos del Procesador de datos en Copenhague y la ubicación de los subencargados del tratamiento como se indica en el Anexo 3. 

Anexo n.° 2

Medidas de seguridad

Dominio	Prácticas
Organización de la seguridad de la información	Propiedad de la seguridad. One.com ha designado a un responsable de seguridad encargado de coordinar y supervisar las normas y procedimientos de seguridad. Una gobernanza formada por personas de nivel C asiste y guía al responsable de seguridad. Papeles de seguridad y responsabilidades. El personal de One.com con acceso a los datos de los clientes está sujeto a obligaciones de confidencialidad, lo que se enfatiza en el momento de la contratación y se recuerda continuamente. Gestión de riesgos. One.com realiza continuamente evaluaciones de riesgos, que forman parte de la gestión de riesgos, antes de tratar los datos de los clientes o de lanzar los servicios. La pista de la gestión de riesgos sí permite centrarse en amenazas relevantes, priorizando, estructurando y mitigando los riesgos por encima de lo aceptado. Se implementa la copia de seguridad. El Encargado del Tratamiento conserva sus documentos de seguridad según sus requisitos de retención después de que hayan dejado de estar en vigor.
Gestión de activos	Inventario de activos. El Encargado del Tratamiento mantiene un inventario de todos los soportes en los que se almacenan los datos de los clientes. El acceso a los inventarios de dichos soportes está restringido al personal del Encargado del Tratamiento autorizado por escrito a tener dicho acceso. Manejo de activos – One.com clasifica los datos de los clientes para ayudar a identificarlos y permitir que el acceso a los mismos esté debidamente restringido. – El personal del Encargado del Tratamiento debe obtener la autorización del Encargado del Tratamiento antes de almacenar los datos de los clientes en dispositivos portátiles, acceder de manera remota a los datos de los clientes o tratar los datos de los clientes fuera de las instalaciones del Encargado del Tratamiento.
Seguridad de los Recursos Humanos	Formación en seguridad. One.com informa a su personal sobre los procedimientos de seguridad pertinentes y sus respectivas funciones, así como aborda las nuevas amenazas, etc., en las que los empleados desempeñan un papel vital.
Seguridad física y medioambiental	Acceso físico a las instalaciones. One.com limita el acceso a las instalaciones donde se encuentran los sistemas de información que tratan los datos de los clientes a las personas autorizadas identificadas. Acceso físico a los componentes. One.com garantiza restricciones suficientes de los soportes que contienen datos de los clientes. Protección contra las interrupciones. One.com utiliza una serie de sistemas estándar de la industria para protegerse contra la pérdida de datos debida a un fallo en el suministro eléctrico, una inundación, un incendio o una interferencia en la línea. Eliminación de componentes. One.com utiliza procesos estándar de la industria para eliminar los datos de los clientes cuando ya no son necesarios.
Gestión de comunicaciones y operaciones	Política operativa. One.com mantiene documentos de seguridad que describen sus medidas de seguridad y los procedimientos y responsabilidades pertinentes de su personal que tiene acceso a los datos de los clientes. Procedimientos de recuperación de datos – One.com almacena copias de los datos de los clientes y procedimientos de recuperación de los datos en un lugar diferente del que se encuentra el equipo informático principal que trata los datos de los clientes. – One.com cuenta con procedimientos específicos implementados que regulan el acceso a las copias de los datos de los clientes. Programas malignos. One.com cuenta con controles antiprogramas malignos para ayudar a evitar que programas malignos obtengan acceso no autorizado a los datos de los clientes, incluidos aquellos procedentes de redes públicas. También se ha implementado un antivirus. Registro de eventos. One.com registra, o permite que el cliente registre, el acceso y el uso de los sistemas de información que contienen datos del cliente, registrando el identificador de acceso, la hora, la autorización concedida o denegada y la actividad relevante. Encriptación. Las comunicaciones por Internet entre los sistemas que manejan datos personales están encriptadas.
Control de acceso	Política de acceso. One.com mantiene un registro de los privilegios de seguridad de las personas que tienen acceso a los datos de los clientes. Autorización de acceso – One.com desactiva las credenciales de autentificación que no se han utilizado durante un periodo de tiempo que no excede los seis meses. – One.com identifica al personal que puede conceder, modificar o cancelar el acceso autorizado a los datos y recursos. – One.com se asegura de que, cuando más de una persona tenga acceso a los sistemas que contienen datos de los clientes, las personas tendrán identificadores/credenciales separados. Principio de mínimo privilegio – One.com restringe el acceso a los datos de los clientes solo a aquellas personas que requieren dicho acceso para realizar su labor. Integridad y confidencialidad – One.com instruye a su personal para que desactive las sesiones administrativas cuando abandone las instalaciones o deje desatendidos los ordenadores. – One.com almacena las contraseñas de manera que sean ininteligibles mientras estén vigentes. Autenticación – One.com utiliza prácticas estándar de la industria para identificar y autenticar a los usuarios que intentan acceder a los sistemas de información. – Cuando los mecanismos de autenticación se basan en contraseñas, el Encargado del Tratamiento requiere que las contraseñas se renueven regularmente. – One.com garantiza que los identificadores desactivados o caducados no se concedan a otras personas. – One.com monitoriza, o permite al cliente monitorizar, los intentos repetidos de acceder al sistema de información utilizando una contraseña no válida. – One.com mantiene procedimientos estándar de la industria para desactivar las contraseñas corrompidas o reveladas inadvertidamente. – One.com utiliza prácticas de protección de contraseñas estándar de la industria, incluyendo prácticas diseñadas para mantener la confidencialidad e integridad de las contraseñas, cuando se asignan y distribuyen, y durante su almacenamiento. Diseño de la red. One.com dispone de controles para evitar que las personas asuman derechos de acceso que no se les han asignado para acceder a datos de clientes a los que no están autorizados a acceder.
Gestión de incidentes de seguridad de la información	Proceso de respuesta a incidentes – One.com mantiene un registro de las violaciones de la seguridad con una descripción de la violación, el período de tiempo, las consecuencias de la violación, el nombre del informante y a quién se informó de la violación, y el procedimiento para recuperar los datos. – Para cada violación de la seguridad que constituya un incidente de seguridad, la notificación por parte de One.com se realizará sin demora indebida y, en cualquier caso, en un plazo de 72 horas. – One.com hace un seguimiento, o permite al cliente hacer un seguimiento, de las divulgaciones de datos de los clientes, incluyendo qué datos se han divulgado, a quién y en qué momento.
Gestión de continuidad del negocio	– One.com mantiene planes de emergencia y de contingencia para las instalaciones en las que se encuentran los sistemas de información del Encargado del Tratamiento que tratan datos de clientes. – El almacenamiento redundante de One.com y sus procedimientos de recuperación de los datos están diseñados para intentar reconstruir los datos de los clientes en su estado original o replicado por última vez antes del momento en que se perdieron o destruyeron.

Anexo n.° 3

Lista de subencargados

Producto de alojamiento masivo

Proveedor	Ubicación	Función
Global Connect A/S	DK	Centro de datos
Digital Realty Trust Inc.	DK	Datacenter (respaldo)
One.com A/S*	DK	Monitoreo de sistemas
One.com India pvt. Ltd.*	IN	Monitoreo de sistemas

VPS no gestionado

Proveedor	Ubicación	Función
Envia TEL GmbH	DE	Centro de datos
Dogado GmbH*	DE	Monitoreo de sistemas

VPS administrado

Proveedor	Ubicación	Función
Global Connect A/S	DK	Centro de datos
Digital Realty Trust Inc.	DK	Datacenter (copia de seguridad)
WebPros International GmbH (Plesk)	CH (Suiza)	Proveedor de panel de control
One.com A/S*	DK	Monitoreo de sistemas
One.com India pvt. Ltd.*	IN	Monitoreo de sistemas
Acronis International GmbH	CH (Suiza)	Proveedor de copia de seguridad

Editor web

Proveedor	Ubicación	Función
Global Connect A/S	DK	Centro de datos
Digital Realty Trust Inc	DK	Datacenter (copia de seguridad)
Amazon Web Services Inc.	US/DE	Funciones de prueba del Website Builder  (clúster DE)
SiteWit corp. (Kliken)	US	Website analytics
Termly Inc.*	US	Gestión de consentimientos
Shore GmbH*	DE	Reservas
Google Inc.	US	Captcha
One.com A/S*	DK	Monitoreo de sistemas
One.com India pvt. Ltd.*	IN	Monitoreo de sistemas

Premium Care

Proveedor	Ubicación	Función
Liven Studio Ltd. (WP Umbrella)	US	Software de monitoreo para WordPress

WP.one

Proveedor	Ubicación	Función
Google Inc.	US/NL	Google Cloud (clúster NL)

*Las entidades marcadas con * son parte de Group.one