Bewe

Contrato de Encargado del Tratamiento

Anexo I a las Condiciones de Uso de la Plataforma BEWE

El presente Contrato de Encargado del Tratamiento (en adelante, el "Contrato") regula el tratamiento de datos personales que BEWE DIGITAL SOLUTIONS, S.L. (el "Encargado") realiza por cuenta del usuario (el "Responsable") en el marco de la prestación de los servicios ofrecidos a través de la Plataforma BEWE (los "Servicios"). Los Servicios se describen en las Condiciones de Uso de la Plataforma BEWE aceptadas por el Responsable (en adelante, las "Condiciones de Uso").

Salvo que se disponga otra cosa en las Condiciones de Uso, el presente Contrato se incorpora y queda sujeto a los términos de las Condiciones de Uso, y será efectivo y permanecerá en vigor durante toda la duración de la prestación de los Servicios.

Salvo que se establezca expresamente lo contrario en el presente Contrato, en caso de conflicto entre los términos de las Condiciones de Uso y los términos del presente Contrato, prevalecerán los términos de este Contrato.

ANTECEDENTES

A los efectos del presente Contrato, el "Responsable" es la persona física o jurídica que, mediante la aceptación de las Condiciones de Uso de la Plataforma BEWE, contrata los Servicios y que, conforme a la normativa aplicable en materia de protección de datos personales, ostenta la condición de responsable del tratamiento respecto de los datos personales de sus clientes y usuarios finales. El "Encargado" es BEWE DIGITAL SOLUTIONS, S.L., sociedad constituida conforme a las leyes españolas, con domicilio social en Paseo de la Castellana, 194, 28046 Madrid, España, y con CIF B87309464. En lo sucesivo, el Responsable y el Encargado se denominarán conjuntamente las "Partes" y cada uno de ellos, individualmente, como una "Parte".

Que el Responsable ha aceptado las Condiciones de Uso de la plataforma BEWE, mediante las cuales el Encargado presta al Responsable servicios de gestión empresarial en modalidad SaaS (Software as a Service) que incorporan funcionalidades de inteligencia artificial (en lo sucesivo, el "Servicio").

Que, para la prestación del Servicio, el Encargado accede y trata determinados datos personales por cuenta del Responsable, en los términos y con el alcance definidos en el Anexo 1 del presente Acuerdo.

Que las Partes se comprometen a cumplir plenamente las obligaciones establecidas en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos ("RGPD"), la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos de Personales y garantía de los derechos digitales ("LOPDGDD"). En particular, las Partes deberán llevar a cabo las medidas de seguridad requeridas por el RGPD y la LOPDGDD, siendo personalmente responsables por cualquier sanción, multa o daño que pueda ser impuesto a cualquier parte como consecuencia de un incumplimiento de las obligaciones provistas en la legislación sobre protección de datos.

Que, al objeto de dar cumplimiento a lo dispuesto en el artículo 28 del RGPD y 33 de la LOPDGDD, el Responsable y el Encargado han acordado los términos y condiciones de este Contrato, a fin de establecer salvaguardias adecuadas con respecto a la protección de la privacidad y los derechos y libertades fundamentales de las personas.

DEFINICIONES

"Dato personal", "tratamiento", "responsable" e "interesado" tendrán los mismos significados que los establecidos por el RGPD.

"Datos Personales" se refieren a las categorías de datos titularidad del Responsable, identificados en el Anexo 1, cuyo contenido debe ser tratado por el Encargado.

"Subencargado" significa cualquier encargado contratado por el Encargado o por cualquier otro subencargado que acepte recibir del Responsable o de cualquier otro subencargado los datos del Responsable exclusivamente destinados a las actividades de tratamiento que se realizarán en nombre del Responsable y de acuerdo con sus instrucciones, en los términos establecidos en este Contrato.

"Medidas de seguridad técnicas y organizativas" significa aquellas medidas destinadas a proteger los datos personales contra la destrucción accidental o ilegal o pérdida accidental, alteración, divulgación no autorizada o acceso, en particular, cuando el tratamiento implica la transmisión de datos a través de una red, y contra otras formas ilegales de tratamiento.

TRATAMIENTO DE DATOS

De conformidad con el artículo 28 del RGPD y 33 de la LOPDGDD, el Responsable permite que el Encargado acceda y trate los datos personales definidos en el Anexo 1 ("Datos Personales") que son necesarios para prestar el Servicio. Esto se entiende sin perjuicio de las disposiciones incluidas en el Acuerdo de Servicios suscrito por las Partes en relación con los datos personales.

A los efectos del presente Contrato, las categorías de los Datos Personales pueden ser actualizadas y modificadas unilateralmente, si es necesario, por el Responsable.

OBLIGACIONES DEL ENCARGADO

De acuerdo con las obligaciones establecidas en el Artículo 28.3 del RGPD, el Encargado deberá cumplir con las obligaciones y medidas de seguridad para garantizar el cumplimiento de las normas en materia de protección de datos. En particular, el Encargado se obliga a:

  • Tratar los datos personales únicamente siguiendo las instrucciones documentadas del Responsable. Si el Encargado considera que las instrucciones recibidas infringen las reglas establecidas por el RGPD, la LOPDGDD o cualquier otra normativa aplicable, el Encargado deberá informar inmediatamente al Responsable.
  • Abstenerse de aplicar o utilizar los datos personales para cualquier fin que no sea el cumplimiento de este Contrato y la prestación del Servicio.
  • Abstenerse de divulgar, ceder, transferir o comunicar los datos de cualquier forma a terceros, ya sea oralmente o por escrito, a través de medios electrónicos, escritos o acceso mediante medios telemáticos sin la autorización expresa del Responsable.
  • Para comunicar datos personales a otro Encargado que actúe en nombre del Responsable, el Encargado debe seguir las instrucciones del Responsable debiendo identificar previamente, por escrito, el destino, las categorías de datos y las medidas de seguridad requeridas.
  • El Encargado únicamente permitirá el acceso a los datos a sus empleados cuando sea estrictamente necesario para la prestación del Servicio y siempre que los empleados estén sujetos a las mismas obligaciones de confidencialidad y protección de datos personales establecidas en este Contrato.
  • Si el Encargado necesita subcontratar la prestación de servicios, deberá informar al Responsable con un preaviso mínimo de quince (15) días, indicando los datos identificativos de la empresa subcontratada y los servicios a prestar. El Responsable dispondrá de un plazo de diez (10) días hábiles para formular objeciones motivadas. Transcurrido dicho plazo sin objeciones, se entenderá otorgada la autorización. El Encargado deberá imponer al subencargado las mismas obligaciones de protección de datos establecidas en este Contrato.
  • A la fecha de suscripción del presente Contrato, el Responsable autoriza expresamente la subcontratación con los siguientes proveedores: (a) Google LLC (infraestructura cloud, almacenamiento, base de datos e inteligencia artificial – Vertex AI/Gemini); (b) PostHog Inc. (analítica de producto); (c) Meta Platforms Inc. (canales de comunicación – WhatsApp Business e Instagram); (d) Filestack Inc. (gestión de carga de archivos); y (e) UserGuiding (guías de onboarding).
  • El Encargado deberá mantener, por escrito, un registro de las actividades de tratamiento llevadas a cabo en nombre del Responsable, que incluya: el nombre y datos de contacto del Encargado y del Responsable; la finalidad del tratamiento y las categorías de interesados y tipo de datos personales tratados; las transferencias de datos a terceros países; y una descripción general de las medidas de seguridad técnicas y organizativas.
  • El Encargado garantiza al Responsable el pleno cumplimiento de las medidas de seguridad en relación con el tipo de datos obtenidos, en particular las medidas de seguridad incluidas en el Anexo 1.
  • Asistir al Responsable mediante medidas técnicas y organizativas apropiadas para cumplir con la obligación del Responsable de responder a las solicitudes de ejercicio de los derechos del interesado (acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición).
  • Cuando las personas afectadas ejerzan sus derechos, el Encargado deberá comunicarlo al Responsable inmediatamente incluyendo cualquier información relevante para resolver la solicitud.
  • El Encargado garantizará una formación adecuada sobre protección de datos para los empleados que tienen acceso permanente o regular a datos personales, que participan en el desarrollo de herramientas utilizadas para tratar datos personales o que participan en la recopilación o el tratamiento de datos personales.
  • Asistir al Responsable en la implementación de una evaluación de impacto de protección de datos.
  • Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas por la legislación de protección de datos y permitir auditorías, con un preaviso mínimo de treinta (30) días naturales, no más de una (1) auditoría por año natural, en horario laboral y sin interferir en la actividad ordinaria del Encargado. Los costes derivados de dichas auditorías serán asumidos por el Responsable.
  • El Encargado deberá designar un delegado de protección de datos en las situaciones establecidas en el artículo 37 del RGPD, y comunicar su información de contacto al Responsable.
  • A la terminación de este Contrato, el Encargado devolverá los datos al Responsable o los destruirá, a menos que exista una disposición legal que exija su conservación, y deberá certificar debidamente tal devolución o destrucción por escrito al Responsable. No obstante, el Encargado podrá conservar una copia de los datos debidamente bloqueados, a los solos efectos de acreditar el cumplimiento de sus obligaciones legales y contractuales, de conformidad con lo previsto en el artículo 17.3.e) del RGPD y el artículo 32 de la LOPDGDD.

NIVEL DE SEGURIDAD DE LOS DATOS

De conformidad con el artículo 32 del RGPD, el Encargado implementará aquellas medidas técnicas y organizativas necesarias para garantizar:

  • La pseudonimización y el cifrado de datos personales.
  • La capacidad de asegurar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
  • La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.
  • Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

El Encargado garantiza la adopción de las medidas de seguridad requeridas de acuerdo con el RGPD y la LOPDGDD, siendo personalmente responsable por cualquier sanción, multa o daño que pueda ser impuesto por el incumplimiento de las obligaciones asumidas en este Contrato. En particular, el Encargado será responsable de las sanciones, multas o daños que puedan derivarse del uso de los datos personales para fines diferentes a los autorizados por el Responsable, la transferencia de datos a terceros no autorizados o el uso irregular de datos personales.

NOTIFICACIÓN DE VIOLACIONES DE SEGURIDAD

El Encargado notificará al Responsable, sin dilación indebida, y en cualquier caso antes del plazo máximo de 48 horas y a través del correo electrónico designado a efectos de notificaciones, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia.

No será necesaria la notificación cuando sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y libertades de las personas físicas.

Si se dispone de ella, se facilitará, como mínimo, la siguiente información:

  • Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
  • El nombre y los datos de contacto del delegado de protección de datos o del responsable de privacidad, o del contacto en el que pueda obtenerse más información.
  • Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.
  • Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
  • Si no es posible facilitar información simultáneamente, la información se facilitará de manera gradual sin dilación indebida.

OBLIGACIONES DEL RESPONSABLE

  • El Responsable se asegurará de que el Encargado garantice la implementación efectiva del RGPD y la LOPDGDD.
  • El Responsable deberá implementar una evaluación de impacto de protección de datos con respecto a las actividades de tratamiento llevadas a cabo por el Encargado.
  • Corresponde al Responsable facilitar el derecho de información en el momento de la recogida de datos.
  • Consultar a la autoridad de control antes del tratamiento cuando sea necesario.
  • El Responsable tendrá derecho a llevar a cabo controles de supervisión y auditoría para verificar que el Encargado cumple con sus obligaciones, con sujeción a las condiciones establecidas en la cláusula de obligaciones del encargado.
  • El Responsable puede solicitar al Encargado, con una antelación mínima de treinta (30) días naturales, un certificado de cumplimiento de protección de datos, una copia del último informe de auditoría o la implementación de cualquier acción que pueda requerirse para demostrar el cumplimiento total con las leyes aplicables sobre protección de datos.

TRATAMIENTO DE DATOS PERSONALES DE REPRESENTANTES, PERSONAS DE CONTACTO Y OTROS EMPLEADOS DE LAS PARTES

Las Partes declaran conocer:

  • Que sus Datos Personales que figuran en este Contrato y todos aquellos que durante la prestación del Servicio pudieran recabarse, se tratarán bajo la responsabilidad de cada Parte para la celebración, ejecución y control de este Contrato y el cumplimiento de sus respectivas obligaciones legales.
  • Que podrán ejercitar, en cualquier momento, sus derechos de acceso, rectificación, supresión, oposición, portabilidad y de limitación del tratamiento mediante notificación escrita a la parte correspondiente, a las direcciones indicadas en este Contrato y a la atención del delegado de protección de datos o responsable de privacidad.
  • Que los delegados de protección de datos o el responsable de privacidad es la figura encargada de hacer efectivo el cumplimiento de la normativa de protección de datos.
  • Que los Datos Personales serán tratados durante la vigencia del Contrato y, tras ello, permanecerán bloqueados por el periodo de prescripción de cualesquiera acciones legales o contractuales que resulten de aplicación.
  • Que pueden presentar cualquier reclamación o solicitud relacionada con la protección de Datos Personales ante la Agencia Española de Protección de Datos.

De igual modo, las Partes se obligan a informar a las personas de contacto u otros empleados cuyos Datos Personales se recojan en el marco del presente contrato del tratamiento de todas las cuestiones referidas en los puntos anteriores.

CONFIDENCIALIDAD

El Encargado se compromete a mantener el deber de confidencialidad con respecto a todos los Datos Personales a los cuales el Encargado pueda acceder a través de cualquier medio electrónico, documentos y/o medios visuales como resultado de este Contrato y del Acuerdo de Servicios.

El Encargado deberá exigir a sus empleados y a los empleados de sus contratistas el deber de confidencialidad en la medida en que se indica en el presente Contrato y deberá facilitar al Responsable cualquier documento que confirme el cumplimiento de la obligación de confidencialidad mencionada.

Las obligaciones de confidencialidad anteriores seguirán vigentes después de la terminación del vencimiento de este Contrato o del Acuerdo de Servicio por cualquier causa. No obstante, dichas obligaciones no afectarán a la información que (i) haya sido desarrollada independientemente por el Encargado sin acceso o uso de la información confidencial; (ii) se ponga a disposición del público sin que el Encargado lo haga por defecto; o (iii) se requiere que se divulgue por ley.

RESPONSABILIDAD

Conforme al artículo 82 del RGPD, el Responsable responderá de los daños y perjuicios causados en cualquier operación de tratamiento en que participe y no cumpla lo dispuesto en el RGPD, y el Encargado únicamente responderá de los daños y perjuicios causados por el tratamiento cuando no haya cumplido con las obligaciones del RGPD dirigidas específicamente al Encargado o haya actuado al margen o en contra de las instrucciones legales del Responsable. Del mismo modo, el Encargado estará exento de responsabilidad si demuestra que no es en modo alguno responsable del hecho que haya causado los daños y perjuicios.

En cualquier caso, la responsabilidad total acumulada del Encargado derivada del presente Contrato quedará limitada al importe total de los servicios efectivamente facturados por el Encargado al Responsable durante los doce (12) meses anteriores al hecho generador de la responsabilidad, sin perjuicio de la responsabilidad que pudiera corresponderle frente a los interesados o las autoridades de control en virtud de la normativa aplicable.

PLAZO Y TERMINACIÓN DEL CONTRATO

El plazo de este Contrato está vinculado a la vigencia del Acuerdo de Servicios. En consecuencia, una vez que el Acuerdo de Servicios finalice o expire por cualquier causa, el presente Contrato finalizará automáticamente, sin perjuicio de la subsistencia de aquellas obligaciones que por su naturaleza deban perdurar tras la terminación, en particular las relativas a confidencialidad, devolución o destrucción de datos y responsabilidad.

LEY APLICABLE Y JURISDICCIÓN

El presente Contrato se regirá e interpretará de conformidad con la legislación española.

Cualquier disputa que surja de este Contrato, o con respecto a la validez, interpretación y/o cumplimiento de este Contrato, será remitida a los Tribunales de la ciudad de Madrid, cuya adjudicación será vinculante para ambas Partes, como final y concluyente.

EN PRUEBA DE CONFORMIDAD, el presente Contrato se entenderá aceptado por el Responsable mediante la aceptación de las Condiciones de Uso de la Plataforma BEWE, sin necesidad de firma manuscrita.

ANEXO 1: DATOS PERSONALES

Los Datos Personales a los cuales el Encargado del tratamiento puede tener acceso para el cumplimiento de los Servicios previstos en el Contrato se detallan a continuación, incluyendo las categorías de interesados y las actividades de tratamiento:

Objeto

Identificado en el Contrato.

Tratamiento a realizar

  • Registro

Finalidad del tratamiento

  • Gestión de clientes, contable, fiscal y administrativa

Tipo de datos

  • Datos de carácter identificativo

Categorías de interesados

  • Clientes y usuarios

Medidas de Seguridad

El Encargado de Tratamiento, con respecto a los Datos Personales a los que tenga acceso durante la prestación del servicio objeto de este Contrato, cumplirá con las medidas de seguridad, de carácter organizativo, técnico, físico y administrativo, que resulten apropiadas para garantizar un nivel de seguridad adecuado al riesgo que pudiera derivarse del tratamiento.

Además, las medidas deberán garantizar la seguridad, integridad, disponibilidad de los Datos Personales y evitar su alteración, pérdida, destrucción accidental o ilícita, tratamiento, revelación o acceso no autorizado en todo momento, habida cuenta el estado de la tecnología, los costes de aplicación, la naturaleza de los datos almacenados, el alcance del tratamiento, así como los riesgos a que estén expuestos y el impacto que esto pudiera tener sobre los derechos y libertades de las personas físicas.

La planificación de las medidas de seguridad deberá incluir la implantación de aquellos mecanismos que permitan restaurar la disponibilidad y el acceso a los Datos Personales de forma rápida en caso de incidente físico o técnico.

El Encargado de Tratamiento deberá adoptar como mínimo las siguientes medidas de seguridad técnicas y organizativas:

  • Nombramiento de un responsable en materia de protección de datos, ya sea un delegado de protección de datos o un responsable de privacidad designado, quien deberá asegurar el cumplimiento de la normativa aplicable.
  • Establecimiento de funciones y responsabilidades del personal que trate Datos Personales.
  • Comunicación entre el personal de las funciones y responsabilidades definidas asociadas al cumplimiento de la normativa en materia de protección de datos.
  • Definición de roles y perfiles para los usuarios de las aplicaciones y sistemas donde se traten dichos datos de acuerdo a las funciones y responsabilidades establecidas, de forma que se evite el acceso a datos o recursos distintos de los autorizados. Este sistema de control de acceso deberá garantizar adecuados mecanismos de identificación y autenticación de los usuarios, como por ejemplo a través del uso de contraseñas que han de ser renovadas de forma periódica, uso de datos biométricos, bloqueo automático de usuario ante intentos sucesivos fallidos de acceso, etc.
  • Medidas automatizadas que limiten el acceso a información para usuarios no autorizados o fuera del plazo de conservación determinado, como por ejemplo mediante técnicas de borrado o de pseudonimización de datos.
  • Procedimientos que limiten el acceso físico a las instalaciones donde se encuentren ubicados los sistemas de información o los soportes físicos.
  • Registros de control y acceso sobre soportes que contengan Datos Personales, que además deberán contar con mecanismos de acceso limitado.
  • Procedimientos de recuperación de Datos Personales ante su posible destrucción, pérdida o alteración, bajo la supervisión y aprobación del responsable en materia de protección de datos.
  • Procedimientos de detección, evaluación y notificación de incidentes de seguridad que puedan afectar a los derechos y libertades de personas físicas.
  • Ejecución de revisiones periódicas de cumplimiento y de definición y ejecución de los planes de acción para la mitigación de los riesgos detectados.