Anexo de encargo de tratamiento

Documento integrante de las condiciones del servicio PudoManager, conforme al artículo 28 del Reglamento (UE) 2016/679 (RGPD) y a la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD).

1. Partes

El presente anexo regula la relación de encargo de tratamiento entre:

• Responsable del tratamiento: el cliente contratante del servicio PudoManager, identificado en la oferta y/o factura correspondiente (en adelante, "el Cliente").
• Encargado del tratamiento: Oscar Sarda, NIF 46234636J, con domicilio profesional en Balmes 34, 08172 Sant Cugat del Vallès (Barcelona), titular de la marca PudoManager (en adelante, "el Prestador").

2. Objeto del encargo

El Cliente encarga al Prestador el tratamiento de los datos personales necesarios para la correcta prestación del servicio PudoManager, en los términos previstos en este anexo y en las condiciones del servicio.

El presente anexo se considera aceptado por el Cliente con la contratación del servicio y forma parte integrante del contrato.

3. Naturaleza, finalidad y duración del tratamiento

Naturaleza: almacenamiento, conservación, copia de seguridad, restauración y soporte técnico de los datos operativos del Cliente alojados en los sistemas del servicio PudoManager.

Finalidad: permitir al Cliente disponer de copias de seguridad en la nube de su base de datos operativa, recuperarla en caso de incidencia, recibir soporte técnico y mantenimiento, y restaurar el servicio cuando proceda.

Duración: mientras esté vigente la relación contractual entre el Cliente y el Prestador, más los plazos técnicos razonables necesarios para finalizar correctamente el servicio. A la finalización del contrato se aplicará lo previsto en el apartado de devolución/supresión.

4. Tipos de datos personales tratados

El Prestador podrá tratar, por cuenta del Cliente, las siguientes categorías de datos contenidos en la base de datos operativa del Cliente:

• Nombre de los destinatarios de paquetes registrados por el Cliente.
• Observaciones que el Cliente añada a los paquetes (texto libre que puede contener datos personales si el Cliente así los introduce).
• Datos identificativos de operadores del Cliente (nombre, identificadores internos).
• Configuración operativa del Cliente, tarifas, registros de actividad y demás datos operativos generados por el Cliente.

El Prestador no trata categorías especiales de datos (artículo 9 RGPD) por cuenta del Cliente como parte normal del servicio. Si el Cliente introdujera tales datos en campos de texto libre, lo haría bajo su exclusiva responsabilidad.

5. Categorías de interesados

Los datos tratados pueden referirse a:

• Destinatarios finales de paquetes gestionados por el Cliente.
• Operadores y personal del Cliente con acceso al sistema.

6. Obligaciones del Prestador como encargado del tratamiento

El Prestador, en su condición de encargado del tratamiento, se compromete a:

1. Tratar los datos personales únicamente conforme a las instrucciones documentadas del Cliente, incluyendo las contenidas en el presente anexo y en las condiciones del servicio.
2. No utilizar los datos personales para finalidades propias distintas de las necesarias para prestar el servicio contratado.
3. Garantizar que las personas autorizadas para tratar los datos personales se han comprometido a respetar la confidencialidad o están sujetas a una obligación legal de confidencialidad.
4. Adoptar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo, en su caso, el cifrado de datos en tránsito y en reposo, control de accesos, registro de actividad y procedimientos de prueba y restauración.
5. Notificar al Cliente sin dilación indebida cualquier violación de la seguridad de los datos personales de la que tenga conocimiento, facilitando la información necesaria para que el Cliente pueda cumplir sus obligaciones de notificación a la AEPD y, en su caso, a los interesados.
6. Asistir al Cliente, en la medida de lo posible y con costes razonables si procede, en la atención de solicitudes de ejercicio de derechos por parte de los interesados.
7. Poner a disposición del Cliente la información razonable que le permita demostrar el cumplimiento de las obligaciones derivadas del artículo 28 RGPD.

7. Subencargados

El Cliente autoriza expresamente al Prestador a recurrir a los siguientes subencargados del tratamiento:

• Proveedor de alojamiento del servidor central (VPS): alojamiento de los servicios centrales y copias de seguridad activas del Cliente.
• Backblaze Inc. u otros proveedores equivalentes de almacenamiento en la nube: realización de copias de seguridad adicionales cifradas de la base de datos del Cliente.
• Proveedores de correo electrónico utilizados para la comunicación con el Cliente.

El Prestador garantiza que los subencargados están sujetos a obligaciones contractuales equivalentes en lo relativo a la protección de datos. El Prestador informará al Cliente con antelación razonable de cualquier cambio o incorporación de nuevos subencargados, pudiendo el Cliente oponerse por motivos razonables.

8. Transferencias internacionales

Algunos subencargados, en particular Backblaze Inc. u otros proveedores tecnológicos utilizados para alojamiento, almacenamiento o copias de seguridad, pueden tratar datos en países situados fuera del Espacio Económico Europeo, incluidos los Estados Unidos.

Estas transferencias se realizan amparadas en mecanismos legalmente válidos: EU-US Data Privacy Framework, cláusulas contractuales tipo aprobadas por la Comisión Europea u otras garantías equivalentes.

9. Medidas de seguridad

El Prestador aplica, como mínimo, las siguientes medidas técnicas y organizativas:

• Cifrado en tránsito mediante TLS para todas las comunicaciones entre la aplicación local y los servidores centrales.
• Cifrado de las copias de seguridad alojadas en proveedores externos.
• Acceso restringido y autenticado al servidor central y a los sistemas de gestión.
• Separación lógica de datos entre clientes.
• Registro de eventos relevantes para auditoría.
• Procedimientos de verificación de integridad y restauración de copias de seguridad.
• Política de contraseñas y credenciales reforzadas para personal con acceso.

El Prestador revisa periódicamente las medidas de seguridad y puede actualizarlas para mantener un nivel adecuado al riesgo.

10. Devolución o supresión de los datos al finalizar el servicio

Una vez finalizada la prestación del servicio, el Prestador, a elección del Cliente:

• Devolverá los datos personales del Cliente, en formato razonable, dentro de un plazo prudente de finalización del servicio.
• O suprimirá los datos personales y las copias existentes, salvo que la conservación venga exigida por una obligación legal aplicable al Prestador.

El Prestador podrá conservar copias técnicas durante un plazo limitado para finalizar correctamente el servicio o atender posibles incidencias post-baja. Salvo solicitud específica del Cliente, las copias de seguridad serán suprimidas o anonimizadas en los plazos técnicos razonables tras la baja efectiva.

11. Responsabilidad

Cada parte responde de sus propias obligaciones conforme al RGPD. La responsabilidad del Prestador frente al Cliente, en cuanto encargado del tratamiento, queda sujeta a la limitación general de responsabilidad prevista en las condiciones del servicio, salvo en aquellos supuestos en los que la normativa no permita su limitación.

12. Vigencia

Este anexo entra en vigor con la contratación del servicio PudoManager por parte del Cliente y permanecerá vigente mientras dure la relación contractual o subsista alguna obligación derivada del tratamiento de datos.

13. Modificaciones

Este anexo podrá modificarse para adaptarlo a cambios normativos o técnicos. Los cambios sustanciales se comunicarán al Cliente con antelación razonable.

14. Legislación aplicable y jurisdicción

Este anexo se rige por la normativa española y de la Unión Europea aplicable. Para cualquier controversia se aplicará la cláusula de jurisdicción prevista en las condiciones del servicio.