ACUERDO ENCARGO DE TRATAMIENTO

El presente Anexo recoge el Acuerdo de Encargo de Tratamiento sobre el tratamiento de datos personales (el “Acuerdo de Encargo de Tratamiento” o el “Acuerdo”), el cual tiene por objeto determinar, de manera transparente y de mutuo acuerdo, las obligaciones y responsabilidades respectivas de las partes  en materia de protección de datos, atendiendo a las actividades que se llevan a cabo en virtud del Contrato principal por el cual el RESTAURANT BOOKING AND DISTRIBUTION SERVICES S.L.U. (en adelante, “CoverManager”), en adelante, el “Encargado de Tratamiento” o “Encargado” prestará determinados servicios (los “Servicios”) que comportarán el acceso a datos personales responsabilidad del Cliente, en adelante, el “Responsable del Tratamiento” o “Responsable”. 

Por ello, en cumplimiento de las obligaciones impuestas por el Reglamento (UE) 2016/679 del Parlamento y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales ya la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, “RGPD”) y la Ley orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, “LOPDGDD”), las Partes acuerdan la celebración y firma del presente Acuerdo de Encargo de Tratamiento, que se regirá según lo establecido en el artículo 28 del RGPD, y por las siguientes:

ESTIPULACIONES:

PRIMERA.- OBJETO

El objeto de este documento es establecer las condiciones en las que CoverManager va a tratar los datos de carácter personal a los que tenga acceso, como consecuencia de la ejecución del contrato principal al que va unido el presente Acuerdo (en adelante, el Contrato Principal). 

De acuerdo con lo estipulado en el Contrato Principal, CoverManager va tener acceso a datos personales de los que el Cliente es Responsable del Tratamiento. 

Se tratarán exclusivamente las siguientes categorías de datos: 

– Nombre y apellidos

– Dirección de correo electrónico

– Número de teléfono

– Datos sobre la reserva facilitados por los usuarios del Cliente

Los interesados serán: 

·   Aquellas personas físicas que realicen reservas, pedidos, o en definitiva que tengan la condición de clientela del Cliente

Concreción de los tratamientos a realizar:

• RECOGIDA.
• REGISTRO.
• MODIFICACIÓN
• CONSERVACIÓN.
• CONSULTA.
• LIMITACIÓN
• SUPRESIÓN.
• DESTRUCCIÓN.

SEGUNDA.- DURACIÓN

El presente Acuerdo entrará en vigor en la fecha de la firma del Contrato Principal y su duración estará vinculada a la vigencia y duración de dicho Contrato Principal

Los datos serán tratados durante la vigencia de la relación contractual con esa base de legitimación y, una vez concluida la misma, el Encargado del Tratamiento deberá suprimir, y/o devolver al Responsable del Tratamiento,  y/o devolver a otro encargado que designe el Responsable del Tratamiento, los datos personales y eliminar cualquier copia que esté en su poder. Exceptuando aquellos que deban quedar bloqueados hasta que se produzca la extinción de cualquier responsabilidad legal que hubiera podido nacer de la relación contractual entre las partes.

TERCERA.- OBLIGACIONES DEL RESPONSABLE DEL TRATAMIENTO 

Corresponde al Responsable del Tratamiento, además del cumplimiento de cuantas obligaciones se le atribuyan a lo largo del presente Acuerdo de Encargo de Tratamiento, la realización de las siguientes tareas:

a.  Cumplir con todas las medidas técnicas y organizativas necesarias para garantizar la seguridad del tratamiento, los locales, equipos, sistemas, programas y las personas que intervengan en la actividad del tratamiento de los datos de carácter personal referidos, que se estipulen en la normativa vigente y de aplicación en cada momento.

b.  Entregar o hacer accesibles al Encargado los datos detallados en la cláusula primera de este documento, así como las instrucciones necesarias para llevar a cabo el tratamiento de los datos.

c. Responder a los derechos de los individuos afectados por el tratamiento, como son los derechos de acceso, rectificación, supresión y oposición, limitación al tratamiento, portabilidad de los datos y a no ser objeto de decisiones individuales automatizadas, en colaboración con el Encargado.

d. Realizar, en caso de que proceda, una evaluación del impacto en la protección de datos personales de las operaciones de tratamiento a realizar por el Encargado.

e. Velar, de forma previa y durante el tratamiento, por el cumplimiento de la normativa aplicable en materia de protección de datos por parte del Encargado.

f.   Supervisar el tratamiento, incluida la realización de inspecciones y auditorías.

g. Comunicar al Encargado cualquier variación que se produzca de los datos personales facilitados, para que se proceda a su actualización.

h. Garantizar que los datos que se someten a tratamiento como consecuencia de la prestación de los Servicios han sido, son y serán recogidos y tratados por el Responsable de acuerdo con las obligaciones estipuladas por el RGPD, teniendo en cuenta particularmente la necesidad de una base legal que legitime el tratamiento, según lo indicado en el artículo 6 del RGPD. En el caso de que la base legal del tratamiento sea el consentimiento del interesado, el Responsable se compromete a recogerlo cumpliendo con todos los requisitos que establece el art. 7 RGPD.

i. Garantizar que ha cumplido con el deber de facilitar toda la información a los interesados en el momento de la recogida de los datos objeto del tratamiento, cumpliendo con lo previsto en el art. 13 y 14 del RGPD, según corresponda. 

CUARTA.- OBLIGACIONES DEL ENCARGADO DEL TRATAMIENTO

El Encargado del Tratamiento, en relación con los datos de carácter personal a los que tenga acceso como consecuencia del Contrato Principal, se obliga a:

a. Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios. 

b. Tratar los datos personales únicamente conforme a las instrucciones documentadas del Responsable, inclusive con respecto a las transferencias de datos personales a un tercer país o una organización internacional, salvo que esté obligado a ello en virtud del Derecho de la Unión o de los Estados miembros que se aplique al Encargado; en tal caso, informará al Responsable de esa exigencia legal previa al tratamiento, salvo que tal Derecho lo prohíba por razones importantes de interés público. 

c. Garantizar que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria. El cumplimiento de esta obligación deberá quedar documentado por el Encargado y a disposición del Responsable del Tratamiento.

d. Tomar todas las medidas de seguridad necesarias de conformidad con lo establecido en el RGPD.

e. Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del Responsable, que contenga todo lo dispuesto en el artículo 30 del RGPD. 

f.  Mantener confidencialidad y secreto sobre los datos de carácter personal a los que tenga acceso con motivo de la prestación de los Servicios.

g. No comunicar los datos personales a terceros salvo que cuente con la autorización expresa del Responsable del Tratamiento, y en los supuestos legalmente admisibles. 

h. El Encargado podrá comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones de este último. En este caso, el Responsable identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación. 

i.  Facilitar al Responsable del Tratamiento la información necesaria para evidenciar el cumplimiento de las obligaciones establecidas en el presente Acuerdo de Encargo del Tratamiento. 

j.  Prestar la asistencia que sea requerida por el Responsable para la realización de auditorías o inspecciones, realizadas por el Responsable del Tratamiento o por otro auditor autorizado por el Responsable. Las auditorías podrán realizarse de forma periódica, de forma planificada o “ad hoc”, previa notificación al Encargado con un plazo de preaviso razonable, en el horario laboral habitual del Encargado.

k. Designar un delegado de protección de datos (“DPO”) o, si su nombramiento no es obligatorio, un responsable de protección de datos. Los datos de contacto de dicha persona serán proporcionados al Responsable del Tratamiento.

l.  Colaborar en el cumplimiento de obligaciones del Responsable, y ofrecer apoyo al mismo, cuando proceda y así lo solicite el Responsable, en la realización de (i) evaluaciones de impacto relativas a los datos de carácter personal que tenga acceso; (ii) consultas previas a la autoridad de control.

m. Destino de los Datos: al finalizar el Contrato Principal el Encargado deberá devolver los datos personales al Responsable o destruirlos, a elección de éste último. En defecto de instrucción expresa, los datos personales serán destruidos en el plazo de treinta (30) días desde la finalización del Contrato Principal. No obstante, el Encargado del Tratamiento podrá conservar una copia con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación de los Servicios.

n. Notificación de violaciones de la seguridad de los datos. El Encargado notificará al Responsable, sin dilación indebida, y en cualquier caso antes del plazo máximo de 72 horas, a través de la persona de contacto indicada al efecto por el Responsable, cualquier incidente relativo a la protección de datos, dentro de su área de responsabilidad. Entre otros, deberá comunicar al Responsable cualquier tratamiento que pueda considerarse ilícito o no autorizado, cualquier pérdida, destrucción o daño en los datos y cualquier incidente considerado una vulneración de seguridad de los datos. La notificación deberá ir acompañada de toda la información relevante para la documentación y comunicación de la incidencia a autoridades pertinentes o interesados afectados. El Encargado del Tratamiento, adicionalmente, prestará asistencia al Responsable en relación a las obligaciones de notificación de acuerdo con el RGPD (en particular, arts. 33 y 34 del RGPD) y a cualquier otra norma aplicable, presente o futura, que modifique o complemente dichas obligaciones.

o. Ejercicios de derechos: cuando las personas afectadas ejerzan los derechos de acceso, rectificación, supresión y oposición, limitación al tratamiento, portabilidad de los datos y a no ser objeto de decisiones individuales automatizadas, ante el Encargado del Tratamiento, lo comunicará por correo electrónico a través de la persona de contacto indicada al efecto del Responsable. La comunicación deberá realizarse en un plazo máximo de 7 días con objeto de atenderla en los plazos legales establecidos, y en ningún caso más allá del día laborable siguiente a la recepción de la solicitud, presentándose al Responsable junto a toda información que pueda ser relevante para su resolución. 

p. Medidas de seguridad: en relación con las medidas técnicas y organizativas de seguridad, el Encargado del Tratamiento, deberá implementar mecanismos para: 

·    Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. 

·    Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico. 

·     Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento. 

·      Seudonimizar y cifrar los datos personales, en su caso. 

En particular, las Partes han convenido una relación de medidas que el Encargado del Tratamiento debe implementar, indicadas a continuación:

·  Encriptación robusta de contraseñas: Se utiliza el algoritmo SHA-256 para encriptar las contraseñas, protegiéndolas contra accesos no autorizados y brechas de seguridad.

·   Protocolos de comunicación seguros: Se implementan TLS 1.3 y TLS 1.2 para cifrar la información, descartando protocolos anteriores.

·    Protección contra fuerza bruta: Se bloquean automáticamente las direcciones IP después de múltiples intentos fallidos de inicio de sesión para prevenir accesos no autorizados.

·    Firewall de Aplicaciones Web (WAF): Actúa como una barrera de seguridad que bloquea el tráfico malicioso y protege la aplicación web frente a ataques comunes.

·    Registro y monitorización: Se utiliza New Relic y una base de datos dedicada para registrar accesos, acciones y errores, permitiendo el análisis y la detección temprana de problemas de seguridad.

QUINTA.-  COMUNICACIÓN DE DATOS Y SUBENCARGO DEL TRATAMIENTO

El Responsable del Tratamiento concede una autorización general para que el Encargado del Tratamiento pueda subcontratar parte de los Servicios con terceras entidades o subcontratistas (el “Subencargado”). El Encargado del Tratamiento informará al Responsable del Tratamiento de los tratamientos que se pretenden subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el Responsable no manifiesta su oposición en el plazo de quince (15) días.

El Encargado del Tratamiento aplicará la diligencia debida para elegir solo aquellos subencargados que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que los tratamientos subcontratados sean conformes con los requisitos del RGPD y quede garantizada la protección de los derechos de los interesados sujetos al tratamiento.

El Subencargado, que también tendrá la condición de encargado del tratamiento, estará obligado igualmente a cumplir las obligaciones impuestas al Encargado del Tratamiento y las instrucciones que dicte el Responsable, según lo dictado en el presente Acuerdo de Encargo de Tratamiento. Corresponde al Encargado del Tratamiento regular la nueva relación en un contrato firmado por Encargado y Subencargado, de forma que el Subencargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que el Encargado inicial, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del Subencargado, el Encargado del Tratamiento seguirá siendo plenamente responsable ante el Responsable del Tratamiento en lo referente al cumplimiento de las obligaciones incluidas en el presente Acuerdo de Encargo de Tratamiento.

De acuerdo con la autorización mencionada, el Encargado recurre a los siguientes subencargados para el tratamiento de datos regulado en el presente acuerdo: Ver apéndice I          

SEXTA.- TRANSFERENCIAS INTERNACIONALES

El Encargado del Tratamiento no llevará a cabo transferencias internacionales de datos de carácter personal a los que tenga acceso, responsabilidad del Responsable del Tratamiento, salvo que cuente con autorización previa del Responsable del Tratamiento o se encuentren debidamente regularizadas según lo contenido en los artículos 45, 46 o 47 del RGPD. 

SÉPTIMA.- RESPONSABILIDAD

El Encargado será considerado responsable del tratamiento en caso de que destine los datos objeto del presente Acuerdo de Encargo de Tratamiento a otras finalidades, los comunique o los utilice incumpliendo las estipulaciones del presente Acuerdo de Encargo de Tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.

OCTAVA.- INCUMPLIMIENTO 

En el caso de que alguna de las partes incumpla el presente anexo en algunas de sus cláusulas y/o la legislación vigente en materia de protección de datos de carácter personal, responderá ante la Agencia de Protección de Datos de las infracciones que se puedan haber cometido.

NOVENA.- NOTIFICACIONES

A efectos de notificaciones y requerimientos las partes señalan como domicilio los que figuran en el Contrato Principal. Cualquier cambio de domicilio de una de las partes deberá ser notificado a la otra de forma inmediata y por un medio que garantice la recepción del mensaje. Para comunicaciones electrónicas serán válidas las enviadas a las direcciones de email de habitual uso entre las partes. 

APÉNDICE I: SUBENCARGADOS DEL TRATAMIENTO

De acuerdo con lo dispuesto en el artículo 28 del RGPD, CoverManager recurre a una serie de proveedores para poder prestar sus servicios, siendo necesario que los mismos tengan acceso a los datos personales de los usuarios del Cliente (el Responsable de su Tratamiento). Dichos proveedores estarán sujetos a las mismas condiciones, obligaciones y medidas de seguridad que CoverManager respecto al Responsable.

En virtud de lo anterior, el Cliente mantiene la condición de Responsable, CoverManager la de Encargado del Tratamiento y el Proveedor se configura como Subencargado del Tratamiento. Consecuentemente, CoverManager seguirá las instrucciones, en lo relativo al tratamiento, dictadas por el Responsable. A su vez, y con base exclusiva en tales instrucciones, CoverManager se las proporcionará a los Subencargados.

Los proveedores que se constituyen como Subencargados en base a lo expuesto anteriormente son los siguientes: