Acuerdo de Encargado del Tratamiento (DPA)

Este Acuerdo de Encargado del Tratamiento (en adelante, "DPA") se incorpora por referencia a los Términos y Condiciones del Servicio Agendio (en adelante, "los Términos") y forma parte integrante de los mismos. En caso de conflicto entre este DPA y los Términos respecto a la protección de datos personales, prevalecerá este DPA.

Este DPA se entiende suscrito entre:

• CEDESA DIGITAL SL, titular de la marca Agendio, con NIF B06684369 y domicilio en Campus Universitario, Avda. de la Investigación S/N, Edificio PCTEX Oficina 2.1, 06006 Badajoz (España), en adelante "Agendio" o "el Encargado".
• El Cliente identificado en la Cuenta de Agendio, en adelante "el Responsable".

(Conjuntamente, "las Partes".)

1. Definiciones

Los términos en mayúsculas no definidos aquí tendrán el significado que les atribuyen los Términos. Adicionalmente:

• RGPD: Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales.
• Normativa de Protección de Datos: el RGPD, la Ley Orgánica 3/2018 (LOPDGDD) y cualquier otra norma aplicable en materia de protección de datos.
• Datos Personales: los datos personales (en el sentido del art. 4.1 RGPD) que el Responsable, sus empleados o sus Interesados introduzcan o generen al usar el Servicio y que sean tratados por el Encargado por cuenta del Responsable.
• Interesado: la persona física a la que se refieren los Datos Personales (típicamente, el cliente final del Responsable que realiza una reserva).
• Subencargado: tercero contratado por el Encargado para tratar Datos Personales por cuenta del Responsable.
• CCT: Cláusulas Contractuales Tipo aprobadas por la Comisión Europea mediante la Decisión de Ejecución (UE) 2021/914.
• Brecha de Seguridad: violación de la seguridad que ocasione la destrucción, pérdida, alteración, comunicación o acceso no autorizados a los Datos Personales (art. 4.12 RGPD).

2. Roles y objeto

El Responsable determina los fines y medios del tratamiento de los Datos Personales y actúa como responsable del tratamiento en el sentido del art. 4.7 RGPD. El Encargado trata los Datos Personales únicamente por cuenta del Responsable y actúa como encargado del tratamiento en el sentido del art. 4.8 RGPD.

El objeto, duración, naturaleza, finalidad, categorías de datos y categorías de Interesados se describen en el Anexo I.

3. Instrucciones del Responsable

3.1. El Encargado tratará los Datos Personales únicamente siguiendo las instrucciones documentadas del Responsable, salvo obligación legal (en cuyo caso lo notificará al Responsable salvo prohibición legal).

3.2. Las instrucciones documentadas del Responsable son: (i) las recogidas en los Términos y en este DPA; (ii) las configuraciones que el Responsable establezca a través del panel de administración (políticas de retención, automatizaciones, plantillas, opt-ins, etc.); (iii) cualquier instrucción adicional escrita comunicada al Encargado por canales oficiales de soporte.

3.3. El Encargado informará al Responsable si, a su juicio, una instrucción infringe la Normativa de Protección de Datos.

4. Obligaciones del Encargado

El Encargado se obliga a:

• a) Tratar los Datos Personales únicamente conforme a las instrucciones del Responsable (cláusula 3).
• b) Garantizar que las personas autorizadas para tratar Datos Personales se han comprometido a respetar la confidencialidad o están sujetas a una obligación legal de confidencialidad.
• c) Aplicar las medidas técnicas y organizativas apropiadas descritas en el Anexo III para garantizar un nivel de seguridad adecuado al riesgo (art. 32 RGPD).
• d) Respetar las condiciones para recurrir a Subencargados conforme a la cláusula 5 y al Anexo II.
• e) Asistir al Responsable, mediante medidas técnicas y organizativas apropiadas, en la medida de lo posible, para responder a las solicitudes de ejercicio de derechos de los Interesados (cláusula 6).
• f) Asistir al Responsable a garantizar el cumplimiento de las obligaciones de los arts. 32 a 36 RGPD (seguridad, brechas, evaluaciones de impacto y consultas previas), teniendo en cuenta la naturaleza del tratamiento y la información de la que disponga.
• g) A elección del Responsable, suprimir o devolver todos los Datos Personales una vez finalizada la prestación del Servicio, así como suprimir las copias existentes, a menos que se requiera la conservación por obligación legal.
• h) Poner a disposición del Responsable la información necesaria para demostrar el cumplimiento de las obligaciones de este DPA y permitir y contribuir a auditorías conforme a la cláusula 8.

5. Subencargados

5.1. Autorización general. El Responsable autoriza al Encargado a recurrir a los Subencargados listados en el Anexo II y a contratar nuevos Subencargados para prestar el Servicio, conforme al art. 28.2 RGPD (autorización general por escrito).

5.2. Notificación de cambios. El Encargado notificará al Responsable, con al menos 30 días de antelación (por email o aviso en la Plataforma), la incorporación o sustitución de Subencargados que traten Datos Personales. El Anexo II se actualizará en consecuencia.

5.3. Derecho de oposición. El Responsable podrá oponerse motivadamente a un nuevo Subencargado dentro de los 30 días siguientes a la notificación. En tal caso, las Partes negociarán de buena fe una solución. Si no se alcanza solución, el Responsable podrá rescindir la parte del Servicio que dependa de dicho Subencargado, con derecho al reembolso proporcional de la suscripción no consumida.

5.4. Obligaciones impuestas a los Subencargados. El Encargado celebrará con cada Subencargado un contrato escrito que imponga obligaciones de protección de datos no menos protectoras que las del presente DPA, conforme al art. 28.4 RGPD. El Encargado responderá frente al Responsable del incumplimiento por parte de cualquier Subencargado.

6. Asistencia al Responsable: derechos de los Interesados

6.1. El Encargado pondrá a disposición del Responsable funcionalidades en la Plataforma para responder a solicitudes de acceso, rectificación, supresión, limitación, portabilidad y oposición de los Interesados.

6.2. Si un Interesado dirige una solicitud directamente al Encargado, este la trasladará al Responsable sin demora indebida y se abstendrá de responder al Interesado, salvo instrucción del Responsable.

6.3. El Encargado prestará asistencia razonable al Responsable en la atención de dichas solicitudes. La asistencia adicional que exceda de lo razonablemente automatizable podrá facturarse al Responsable a tarifas estándar de soporte.

7. Brechas de Seguridad

7.1. El Encargado notificará al Responsable cualquier Brecha de Seguridad que afecte a los Datos Personales del Responsable sin demora indebida, y en cualquier caso dentro de las 48 horas siguientes a tener conocimiento de la misma.

7.2. La notificación incluirá, en la medida de lo conocido en ese momento: (i) descripción de la naturaleza de la brecha, categorías y número aproximado de Interesados y registros afectados; (ii) datos de contacto del DPD del Encargado; (iii) consecuencias probables; (iv) medidas adoptadas o propuestas para mitigar los efectos.

7.3. Si la información no puede facilitarse simultáneamente, se proporcionará de manera escalonada sin demora indebida adicional.

7.4. La notificación de una Brecha por parte del Encargado no constituye reconocimiento de culpa o responsabilidad respecto al incidente.

8. Auditorías

8.1. El Encargado facilitará al Responsable, a petición de este, los informes de auditoría más recientes (por ejemplo, ISO 27001, SOC 2 o equivalentes que pueda obtener), así como las descripciones actualizadas de las medidas técnicas y organizativas (Anexo III).

8.2. Si la información anterior no es suficiente para acreditar el cumplimiento, el Responsable podrá solicitar una auditoría adicional, que se llevará a cabo:

• Con preaviso mínimo de 30 días.
• Una vez al año como máximo, salvo causa justificada (por ejemplo, instrucción de una autoridad de control o tras una Brecha de Seguridad).
• En horario laboral del Encargado y de forma que no perturbe sus operaciones.
• A través de un auditor independiente sometido a deber de confidencialidad y aceptado de mutuo acuerdo (no podrá ser un competidor del Encargado).
• A cargo del Responsable, salvo que se constate un incumplimiento material del DPA, en cuyo caso correrá a cargo del Encargado.

9. Transferencias internacionales

9.1. El Encargado podrá transferir Datos Personales fuera del Espacio Económico Europeo únicamente a Subencargados que ofrezcan garantías adecuadas conforme al Capítulo V del RGPD: decisión de adecuación, Cláusulas Contractuales Tipo (CCT), marco EU-U.S. Data Privacy Framework u otro mecanismo válido.

9.2. Las CCT se entienden incorporadas al presente DPA por referencia respecto a las transferencias relevantes, con los siguientes parámetros:

• Módulo aplicable: módulo 3 (procesador a procesador) cuando el Encargado transfiera datos a un Subencargado fuera del EEE.
• Cláusula 7 (cláusula de adhesión): aplicable.
• Cláusula 9 (uso de subencargados): Opción 2, autorización general con preaviso de 30 días.
• Cláusula 11 (recurso): sin opción de mecanismo independiente.
• Cláusula 17 (legislación aplicable): legislación española.
• Cláusula 18 (jurisdicción): tribunales españoles.

9.3. El Anexo II identifica los Subencargados ubicados fuera del EEE y la garantía aplicable a cada uno.

10. Devolución y supresión de datos

10.1. Al finalizar la prestación del Servicio (por terminación de los Términos o a solicitud expresa del Responsable), el Encargado pondrá a disposición del Responsable, durante un plazo de 30 días, una herramienta de exportación para descargar los Datos Personales en formato estructurado y de uso común.

10.2. Transcurrido dicho plazo, el Encargado suprimirá los Datos Personales de sus sistemas productivos en un plazo máximo de 30 días adicionales, y de los sistemas de copia de seguridad en el ciclo normal de rotación de las mismas (máximo 90 días).

10.3. El Encargado podrá conservar Datos Personales más allá de los plazos anteriores únicamente cuando lo exija la normativa aplicable (por ejemplo, normativa fiscal o mercantil), durante el tiempo estrictamente necesario y con las medidas de seguridad adecuadas.

11. Responsabilidad

11.1. La responsabilidad de cada Parte derivada de este DPA estará sujeta a los límites de responsabilidad previstos en los Términos.

11.2. Lo anterior no limita la responsabilidad de cada Parte frente a los Interesados conforme al art. 82 RGPD ni frente a las autoridades de control.

12. Duración y terminación

12.1. Este DPA entrará en vigor en el momento de aceptación de los Términos y permanecerá vigente mientras dure la relación contractual.

12.2. Las obligaciones que por su naturaleza deban subsistir tras la terminación (especialmente las relativas a confidencialidad, devolución/supresión y cooperación con autoridades) seguirán siendo exigibles.

13. Disposiciones finales

13.1. Modificaciones. El Encargado podrá modificar este DPA para reflejar cambios normativos o adaptaciones operativas. Los cambios materiales se notificarán con 30 días de antelación.

13.2. Legislación aplicable y jurisdicción. Este DPA se rige por la legislación española y, en su caso, por el RGPD. Para cualquier controversia, las Partes se someten a los juzgados y tribunales del domicilio del Encargado.

13.3. Aceptación. El Responsable acepta expresamente este DPA al aceptar los Términos durante el alta de la Cuenta. Los Clientes que requieran firma física pueden solicitar copia firmable a [email protected].