Términos & Condiciones

CONDICIONES GENERALES DE Hospitality Digital GMBH (SERVICIOS DE Internet)
Hospitality Digital GmbH Metro-Strasse 1, 40235 Düsseldorf (“H.d”) ofrece servicios gratuitos de prestación exclusiva por internet que se describen con más detalle a continuación (los “Servicios” a las empresas del sector de la hostelería (el “Cliente”). Algunos Servicios pueden estar disponibles únicamente con posterioridad al registro del Cliente.

1. Ámbito de aplicación

1.1 H.d prestará los Servicios y demás ventajas únicamente con arreglo a las condiciones generales (“CG”) siguientes.
1.2 Las condiciones divergentes del Cliente no serán aplicables, aunque H.d no las rechace explícitamente y/o preste los Servicios y/u otras ventajas sin reservas y con pleno conocimiento de las condiciones contrarias y/o divergentes del Cliente.

2. Alcance de los Servicios

2.1 Los Servicios incluyen las ventajas siguientes, ofrecidas por H.d durante la vigencia del contrato:
(a) H.d proveerá al Cliente espacio de alojamiento en los sistemas H.d, al que el Cliente podrá acceder a través de internet (el “Espacio de alojamiento”) (véase el epígrafe 4).
(b) H.d otorgará al Cliente acceso online al software que permita a este último crear páginas web sencillas con diseños preestablecidos y almacenarlas en el Espacio de alojamiento, gestionar el Espacio de alojamiento, y/o hacerlo accesible a terceros (el “Software”) (véase el epígrafe 5).
(c) H.d ofrecerá al Cliente un sub-dominio con el nombre "eatbu.com" de H.d, siguiendo el modelo de xyz.eatbu.com, que el Cliente podrá elegir en función de la disponibilidad y que está vinculado al Espacio de alojamiento (el “Subdominio”) (véase el epígrafe 6).
2.2 H.d podrá ofrecer ventajas adicionales al Cliente, cuyo alcance estará coordinado con éste y su prestación estará sujeta a lo dispuesto en estas CG.
2.3 H.d podrá ajustar los Servicios y otras ventajas a los avances técnicos y tecnológicos o necesidades, siempre y cuando los ajustes respectivos sean razonables para el Cliente. H.d podrá discontinuar los Servicios y otros Servicios previo aviso con un plazo razonable. H.d informará al Cliente de manera oportuna de la discontinuación de los Servicios.

3. Obligaciones del Cliente

3.1 El Cliente mantendrá actualizada la información comercial y de contacto facilitada en la suscripción del contrato durante la vigencia del contrato e informará puntualmente a H.d de cualquier cambio. Además, el Cliente se asegurará de que el correo electrónico que facilite a H.d sea accedido periódicamente para obtener información contractual importante.
3.2 El Cliente protegerá toda la información de acceso que reciba de H.d contra el acceso por parte de terceros no autorizados. El Cliente informará a H.d en cuanto tenga la sospecha razonable o el conocimiento de un posible mal uso de la información de acceso facilitada.
3.3 El Cliente reconoce que su web podrá asociarse a H.d. Por lo tanto, el Cliente tomará todas las medidas necesarias para mantener los Servicios ofrecidos por el Cliente y los Servicios ofrecidos por H.d o terceros separados en cuanto a su contenido.
3.4 Si el Cliente observara que su uso de los Servicios u otras ventajas vulnera alguna norma legal, se exigirá al Cliente que cese y desista en el acto de infringir la ley y elimine cualquier contenido ilegal.

4. Disposiciones especiales sobre el Espacio de alojamiento

4.1 El Espacio de alojamiento se ofrece al Cliente sin cargo. En consecuencia, H.d no puede garantizar la disponibilidad particular del Espacio de alojamiento. Es más, el Espacio de alojamiento no estará disponible durante los trabajos necesarios de mantenimiento. H.d se esforzará por reducir al máximo cualquier impedimento causado por los trabajos de mantenimiento. H.d ofrecerá al Cliente otras especificaciones de rendimiento del Espacio de alojamiento con anterioridad al vencimiento del contrato. El Cliente no tendrá derecho a reclamar cantidad o indemnización alguna a H.d por la falta de disponibilidad del Espacio de alojamiento.
4.2 El Cliente declara y garantiza que todos los archivos, incluidos HTML y otros documentos, textos, imágenes, gráficos, fuentes, vídeos, etc., (el “Contenido”) estará almacenado, publicado y/o disponible en el Espacio de alojamiento y/o con la ayuda del Software con arreglo a la ley vigente. El Cliente solo almacenará específicamente en el Espacio de alojamiento y/o con la ayuda del Software el Contenido del que posea los derechos necesarios, incluidos los derechos de uso y explotación conforme a la normativa de propiedad intelectual e industrial, y dicho Contenido no podrá infringir ningún derecho personal de terceros. Asimismo, el Cliente no almacenará, publicará y/o pondrá a disposición en el Espacio de alojamiento y/o con la ayuda del Software ningún Contenido de naturaleza inmoral, en particular pornográfico, racista o discriminatorio o que sea contrario a cualquier normativa legal aplicable. H.d estará autorizada a eliminar cualquier Contenido almacenado en el Espacio de alojamiento y/o con la ayuda del Software que vulnere el presente epígrafe 4 y del que H.d haya sido informada por agencias estatales, tribunales, el titular de los derechos o terceros, o que conozca de otra manera. En cualquier caso, el Cliente asumirá cualquier tipo de responsabilidad, manteniendo indemne a H.d, por el incumplimiento de las obligaciones establecidas en este epígrafe.
4.3 Mediante la contratación de los servicios de H.d, el Cliente otorga a H.d los derechos necesarios respecto a todo el Contenido que el Cliente almacene, publique y/o ponga a disposición del público en el Espacio de alojamiento y/o con la ayuda del Software, en particular los derechos necesarios para almacenar el Contenido, realizar ajustes técnicos al mismo, ponerlo a la disposición del público y copiarlo. H.d solo tendrá acceso al Contenido del Cliente en el Espacio de alojamiento en la medida en que sea técnicamente necesario para facilitar y/o publicar dicho Contenido y se ajuste a las autorizaciones contractuales.
4.4 Además, el Cliente no podrá gestionar ni ordenar la gestión de ningún proceso automatizado, guion, software u otros datos y/o Contenido en el Espacio de alojamiento ni asumir ningún proceso o encargar un proceso (con la ayuda del Software) que pudiera dañar más que insignificantemente los sistemas, redes y/o hardware y software, como los componentes de la red de H.d y/o terceros. En el caso de que H.d tenga conocimiento de dicho daño, H.d estará autorizado a detener dicho daño y/o prevenirlo.
4.5 El Cliente realizará copias de seguridad diariamente para permitir la recuperación del Contenido en el Espacio de alojamiento sin coste adicional.
4.6 El Cliente solo pondrá a la disposición del público las páginas webs en el Espacio de alojamiento que hayan sido creadas con la ayuda del Software.

5. Disposiciones especiales de software

5.1 El Cliente tendrá acceso al Software únicamente para la creación de una web propia y la gestión de su Espacio de alojamiento. H.d concederá acceso en el punto de transferencia a la red pública.
5.2 El Cliente no podrá acceder ni usar el Software (incluido, en su caso, el código fuente) en nombre de un tercero o con fines distintos a los previstos en el presente documento. El Cliente no está autorizado explícitamente a copiar el Software, ponerlo a disposición de terceros, desmontar el Software o modificarlo o manipularlo de ninguna forma.

6. Disposiciones especiales de subdominio

6.1 Cuando registre el Subdominio con H.d, el Cliente debe cumplir los requisitos de Internet Corporation for Assigned Names and Numbers ("ICANN"), entidad que asigna los dominios punto com. El Cliente podrá registrar un máximo de tres Subdominios con H.d.
6.2 El Cliente declara y garantiza que el Subdominio se elegirá únicamente de acuerdo con el derecho vigente y, en particular, el Cliente solo escogerá nombres del Subdominio para los que posea derechos, incluida la marca y/o derechos sobre el nombre. El Cliente, además, no registrará ningún nombre del Subdominio que sea contrario a la política pública o inmoral. H.d estará autorizado a eliminar cualquier Subdominio que vulnere el presente epígrafe 6.2 y del que H.d sea informada por agencias estatales, tribunales, el titular de los derechos o terceros, o del que tenga conocimiento de otra manera.

7. Disposiciones especiales sobre ventajas adicionales

7.1 Sin perjuicio de lo contenido en el epígrafe 2.1(c), el Cliente podrá registrar su propio dominio y/o usar un dominio previamente registrado y vincularlo al Espacio de alojamiento. H.d remitirá al Cliente a un proveedor de servicios externos para el registro. El contrato de registro de dicho dominio propio se subscribe entre el Cliente y los proveedores de servicios externos. H.d no será parte contractual ni de otra índole en ese contrato.
7.2 H.d ofrecerá al Cliente apoyo técnico para la vinculación de su propio dominio con el Espacio de alojamiento.

8. Vencimiento del contrato, vigencia y rescisión

8.1 El contrato se considerará suscrito en el momento de aceptación de las presentes CG..
8.2 Este contrato será suscrito por un plazo indefinido y podrá ser rescindido por el Cliente en cualquier momento y por H.d previo aviso con dos (2) semanas de antelación.
8.3 H.d comunicará las recisiones por escrito o correo electrónico. El Cliente rescinde por lo general seleccionando en el Software la opción respectiva de suprimir su Contenido y lo confirma.
8.4 Lo anterior no afectará a los derechos de las Partes de rescindir el contrato sin aviso con motivo justificado. Se da un motivo justificado en particular cuando el Cliente incumpla alguna de las obligaciones descritas en los epígrafes 3, 4, 5, 6, 10.2 y 10.3.
8.5 Una vez rescindido el contrato, sean cuales fueren los motivos, H.d eliminará todos los datos almacenados por el Cliente en el Espacio de alojamiento dentro del contexto de la relación contractual, así como el Subdominio en un plazo de treinta días, salvo que el Cliente realice la supresión él mismo con la ayuda del Software.

9. Garantía, responsabilidad e indemnización

9.1 H.d, sus agentes indirectos o representantes legales serán responsables de los Servicios y ventajas ofrecidas por H.d al Cliente sin cargo únicamente en los casos de premeditación, negligencia grave, víctima mortal con culpabilidad, daño físico o perjuicio para la salud, así como los defectos fraudulentamente ocultos. En caso de pérdida de datos, la responsabilidad de H.d se limitará a los costes de recuperación que se habrían incurrido si los datos se hubieran copiado diariamente. La responsabilidad con arreglo a la Ley alemana de responsabilidad de productos y la Ley sobre el salario mínimo no se verá afectada.
9.2 Solo el Cliente será responsable del Contenido y nombre del Subdominio. Por ello, el Cliente salvaguardará y eximirá de toda responsabilidad a la primera solicitud a H.d, sus agentes indirectos y representantes legales, así como a todas las empresas afiliadas a H.d en virtud de la Sección 15 de la Ley alemana de sociedades anónimas (AktG) respecto a las reclamaciones de terceros contra H.d, sus agentes indirectos, representantes legales y/o empresas afiliadas a H.d debido o con relación a los Servicios y otras ventajas. Esto será de aplicación especialmente para todas las infracciones de derechos propiedad intelectual e industrial, protección de datos, comercio electrónico, consumidores y usuarios y competencia. La indemnización incluirá todos los costes necesarios legales, incluidos también los costes de los procedimientos de arbitraje.
9.4 H.d no asumirá ningún tipo de responsabilidad derivada del uso indebido, incorrecto o ilícito o contrario a las presentes CG por parte del Cliente de su página web, su Espacio de alojamiento (incluidos los Contenidos alojados en el mismo) o su Subdominio, ni tampoco por los daños que este uso pudiera causar a terceros.

10. Protección de datos y confidencialidad

10.1 H.d es responsable del procesamiento de los datos personales recopilados por el Cliente. H.d procesa los datos personales exclusivamente para la ejecución de este contrato, por ejemplo para establecer contacto y prestar los servicios. Sin la facilitación de dichos datos personales, la ejecución del contrato no es posible. Este procesamiento de datos personales se basa en el artículo 6, párrafo 1, cláusula 1 (b) del Reglamento General de Protección de Datos (RGPD). Tras la finalización del contrato se eliminarán los datos personales del Cliente, a menos que existan imperativos jurídicos que requieran que los datos personales se almacenen durante un periodo más largo. En ese caso, los datos personales no se pueden utilizar para otros fines y deben eliminarse en cuanto expire el periodo de retención legalmente prescrito. Con el fin de implementar el contrato, H.d utiliza el apoyo de proveedores de servicios para el mantenimiento y otros servicios, por ejemplo en el ámbito del alojamiento. De acuerdo con la sección 15 et seqq. de la Ley de Sociedades Anónimas (AktG) de Alemania, dichos proveedores de servicios pueden ser empresas externas o empresas afiliadas a H.d. Mediante acuerdos contractuales con los proveedores de servicios, H.d garantiza que los datos personales se procesan de acuerdo con los requisitos de la RGPD, incluso si se procesan fuera de la UE o del EEE. Para ejercer los derechos del Cliente de acuerdo con el RGPD,

· Obtener información relativa al tratamiento de sus datos personales y una copia de esos datos (art. 15 del RGPD).

· Corregir los datos personales incorrectos y consignar los incompletos (art. 16 del RGPD).

· Eliminar sus datos personales y, si se han hecho públicos, que H.d comunique a otras personas responsables la solicitud de su eliminación (art. 17 del RGPD).

· Restringir el tratamiento de sus datos personales (art. 18 del RGPD).

· Acceder a la portabilidad de los datos, de forma que se le entreguen en un formato estructurado, estándar y legible por máquina, y transferir esos datos a otra parte responsable sin impedimento por parte de H.d (art. 20 del RGPD).

· Oponerse al tratamiento de sus datos personales (art. 21 del RGPD).

el cliente puede contactar en cualquier momento con el responsable de protección de datos de H.d (privacy@hd.digital). Además, tiene derecho a presentar una reclamación ante la autoridad de supervisión competente si cree que el tratamiento de sus datos contraviene el RGPD (art. 77 del RGPD).
10.2 Respecto a terceros, el Cliente será responsable exclusivo del cumplimiento de las disposiciones correspondientes de protección de datos que le resulten aplicables, en su calidad de responsable del tratamiento, debiendo incluir en la página web creada la correspondiente política de privacidad informando a los usuarios de los que recabe sus datos, sobre todas las cuestiones que exige la normativa de protección de datos. Asimismo, el Cliente deberá cumplir con las obligaciones existentes de ofrecer información relacionada con la página web que el Cliente ha creado con el Software, de conformidad con la normativa de servicios de la sociedad de la información.
10.3 H.d, como consecuencia de la prestación de sus servicios al Cliente, podrá tener acceso a los datos de los usuarios captados a través de la página web, que sean responsabilidad del Cliente. En este sentido, H.d actuará en calidad de encargado del tratamiento y se compromete a cumplir con las obligaciones que le resulten de aplicación en este sentido. En particular, pero sin limitación, H.d tratará los datos responsabilidad del Cliente a los que acceda únicamente para la ejecución del contrato, ajustándose a las instrucciones del Cliente, y adoptará las medidas de índole técnica y organizativa que garanticen la seguridad de los datos y eviten su alteración, pérdida o acceso no autorizado, de conformidad con el estado de la técnica en cada momento, la naturaleza de los datos y los posibles riesgos a que estén expuestos.
Una vez finalizado el servicio, H.d destruirá o devolverá al Cliente los datos a los que hubiera tenido acceso.
10.4 Las Partes no harán accesible ninguna información confidencial a terceros durante la vigencia del contrato y dos años después, ni la utilizarán con ningún fin que no obedezca al contrato. Toda la información técnica y conocimientos facilitados al Cliente, así como la información que se identifique por una de las Partes como confidencial y que sea de valor económico, se considerará confidencial.
10.5 El deber de confidencialidad no se ampliará a la información que haya sido conocida por la otra parte sin que una de las Partes haya incumplido la confidencialidad o que fuere o hubiera sido de conocimiento público, o que deba ponerse a la disposición de terceros conforme a alguna disposición legal, orden judicial o administrativa, o que sea revisada por un tercero que haya jurado secreto, con la intención de comprar alguna de las empresas.

11. Remuneración


11.1 El Cliente no adeudará remuneración por la prestación de los Servicios de H.d. Los Servicios se prestarán sin cargo.
11.2 Los Servicios de terceros prestados en el contexto de los Servicios ampliados no estarán afectados por el epígrafe 11.1.

12. Disposiciones diversas

12.1 Cliente garantiza que la persona física que ha facilitado sus datos y ha actuado en nombre y representación del Cliente para la contratación de los servicios de H.d, cuenta con la habilitación legal suficiente para actuar en nombre del Cliente y formalizar la contratación de los servicios de H.d. El Cliente asumirá cualquier tipo de responsabilidad en este sentido, manteniendo a H.d indemne por cualquier daño o perjuicio causado por este motivo.
12.2 H.d podrá encargar la ejecución total o parcial del cumplimiento al que está obligada conforme a este contrato y en particular los Servicios, a subcontratistas. En este sentido, el Cliente acepta que H.d subcontrate a su filial Hospitality.systems GmbH para la prestación de los Servicios, y en este sentido trasladará a Hospitality.systems GmbH las mismas obligaciones asumidas por H.d en las presentes CG.
12.3 H.d podrá modificar estas CG sin previo aviso al Cliente, incluidas las enmiendas intencionadas. H.d solo podrá modificar estas CG en la medida en que sea razonable para el Cliente, si dicha modificación no se refiere a alguna de las principales obligaciones contractuales o en la medida en que el Cliente no se sitúe en una situación global inferior por dicha enmienda. La transmisión prevista de derechos y obligaciones H.d descrita aquí a su filial Hospitality.systems GmbH se considerará razonable. El Cliente podrá rebatir una modificación de las CG en un plazo de seis semanas desde la recepción de la notificación o rescindir el contrato sin previo aviso. Si el Cliente no rebatiera la modificación del CG o no lo hiciese dentro del plazo de notificaciones, se asumirá que consiente la modificación de las CG. H.d informará al Cliente de las consecuencias de la ausencia de rebatimiento y el derecho de rescisión sin previo aviso en todas las notificaciones referidas a la modificación de las CG.
12.4 En el supuesto de que una disposición de este contrato fuere o deviniese parcial o totalmente inválida, inefectiva, impracticable o inejecutable (“Disposición errónea”), la capacidad de efectividad y ejecución de las demás disposiciones de este contrato no se verá afectada. Al contrario, las Partes se comprometen en este momento a acordar en lugar de una Disposición errónea otra disposición que, en la medida que lo permita la ley, se aproxime lo más posible a lo que las Partes habrían deseado respecto al sentido y propósito de este contrato, si hubieran reconocido el error de la disposición. Si la disposición fuera errónea debido al alcance del servicio o el plazo (fecha límite o vencimiento) definidos aquí, la disposición deberá acordarse con el alcance que permita la ley y se asemeje más al alcance original. Lo mismo se aplicará a cualquier laguna en este contrato. Es intención expresa de las Partes que esta disociabilidad no produzca una simple inversión de la carga de la prueba, si bien la Sección 139 del Código Civil Alemán (BGB) íntegro no será de aplicación.
12.5 Este contrato y todas las alegaciones y derechos basados en él o relacionados con él se regirán únicamente por la ley alemana y serán interpretados y ejecutados conforme al derecho alemán. No serán de aplicación las disposiciones sobre conflicto de leyes. El Convenio de las Naciones Unidas sobre el Contrato de Transporte. Internacional de Mercancías (CISG) no será aplicable.
12.6 Dusseldorf (Alemania) será la jurisdicción exclusiva de todos los conflictos derivados o relacionados con este contrato, su suscripción o ejecución, en la medida en que lo permita la ley.

PROCESAMIENTO DE ÓRDENES

Al confirmar las Condiciones generales anteriores, el Cliente ("Persona responsable") y H.d ("Procesador"), en conjunto las "Partes" e individualmente "Parte", entablan el siguiente Contrato de tratamiento de datos ("DPA").

Preámbulo

En el marco de sus actividades de negocio y de acuerdo con las Condiciones generales anteriores, el Procesador recibe datos personales de los que es responsable la Persona responsable. Las Partes aceptan las disposiciones de este DPA, a fin de cumplir las obligaciones de protección de datos de las Partes, de acuerdo con la legislación europea de protección de los datos, en especial, el Reglamento General de Protección de datos (art. 28 del RGPD).

1. Definiciones

1.1 Son datos personales toda información relacionada con una persona natural identificada o identificable ("Persona afectada"). Se considera que una persona natural es identificable si puede ser identificada directa o indirectamente a través de la asociación con un identificador que puede ser, por ejemplo, un nombre, número de identificación, datos de ubicación, identificador online o una o varias características especiales que expresen la identidad física, fisiológica, genética, mental, económica, cultural o social de esa persona (en lo sucesivo, los "Datos").

1.2 El procesamiento de datos en nombre de otra persona es la recopilación, el tratamiento o el uso de datos por parte del Procesador y en nombre de la Persona responsable.

2. Materia y contenido de la orden

2.1 Materia y duración de la orden

Los detalles y la duración de la orden resultan de las Condiciones generales anteriores.

2.2 Tipo de datos

El tipo de datos se describe con detalle en las Condiciones generales y en la Política de privacidad.

2.3 Propósito de la recopilación, el tratamiento y el uso de los datos

El propósito de la recopilación, el tratamiento o el uso de los datos se describen con detalle en las Condiciones generales y en la Política de privacidad.

2.4 Naturaleza y alcance de la recopilación, el tratamiento y el uso de los datos

La naturaleza y el alcance de la recopilación, el tratamiento o el uso de los datos se describen con detalle en las Condiciones generales y en la Política de privacidad.

2.5 Categoría de las Personas afectadas

(a) Datos propios del Cliente

(b) Clientes

2.6 Medidas técnicas y organizativas

(a) Las medidas técnicas y organizativas que implementará el Procesador se establecerán en el Anexo (véase a continuación) de ese DPA. El Procesador adaptará regularmente estas medidas a la técnica anterior a sus expensas, siempre que el nivel acordado de protección no se reduzca y que se informe de manera inmediata a las Personas responsables.

(b) El Procesador debe permitir que la Persona responsable verifique el cumplimiento en el sitio de las medidas técnicas y organizativas antes de comenzar las actividades de procesamiento en virtud del contrato. El derecho de auditoría de la Persona responsable según el número 2.10 permanece intacto.(c) El Procesador se asegurará de que los sistemas de procesamiento de datos utilizados en el marco de este DPA cumplirán con los estándares de "privacidad por diseño" y "privacidad por defecto", de acuerdo con la técnica anterior.

2.7 Corrección, eliminación y bloqueo de los datos, derecho a la portabilidad de los datos y derecho de oposición

(a) Los derechos de las personas que participan en el tratamiento de los datos a cargo del Procesador (en especial, la rectificación, el borrado y bloqueo, la portabilidad de los datos y la oposición) se harán valer frente al Controlador. Este es el único responsable de la protección de estos derechos.

(b) En el transcurso de su trabajo para la Persona responsable, el Procesador está obligado a transferir toda solicitud que le sea dirigida por personas afectadas a la persona responsable del tratamiento adecuado sin demora. Si la Persona responsable y el Procesador actúan conjuntamente como personas responsables externas, el Procesador está autorizado a responder esta solicitud de modo independiente.

(c) El Procesador también debe ayudar a la Persona responsable con medidas técnicas y organizativas adecuadas, a fin de cumplir su obligación de responder a las personas afectadas.

(d) De acuerdo con las instrucciones de la Persona responsable, el Procesador deberá rectificar, suspender y/o borrar los datos inmediatamente, en un plazo máximo de cinco (5) días e informar al Procesador antes de que se cumpla ese plazo.

2.8 Deberes del Procesador

(a) El Procesador solamente podrá recopilar, procesar y utilizar los datos en el contexto de la orden y las instrucciones de la Persona responsable que estén documentadas.

(b) El Procesador debe cumplir las medidas técnicas y organizativas definidas en la Cláusula 2.6 de este DPA a intervalos regulares y enviarlas cuando así se solicite.

(c) El Responsable de protección de datos es designado persona de contacto para la protección de los datos del Procesador. Se puede contactar con esta persona a través de la dirección: privacy@hd.digital. En caso necesario, el Procesador también designará a un representante, de acuerdo con el art. 27 del RGPD.

(d) El Procesador es responsable de mantener la confidencialidad. Cualquier persona del Procesador autorizada a acceder a los datos de la Persona responsable deberá someterse al deber de confidencialidad o a secreto profesional razonable, y deberá ser informada de las obligaciones especiales de protección de datos que resulten de este CPD, así como de las instrucciones y la finalidad existentes. El Procesador documentará estas obligaciones por escrito y las proporcionará cuando la Persona responsable así lo solicite.

2.9 Justificación de las condiciones de subcontratación

(a) Está permitido justificar relaciones de subcontratación. El Procesador deberá informar a la Persona responsable sobre el cambio pertinente por adelantado. La Persona responsable tiene derecho a oponerse.

(b) Si hay un encargo de otros procesadores, el Procesador deberá garantizar por contrato que las obligaciones del Procesador definidas en virtud de este CPD también se aplicarán de acuerdo con los otros procesadores.

(c) El Procesador deberá controlar las medidas técnicas y organizativas que tomen los demás procesadores ad-hoc y con regularidad durante el periodo de subcontratación, a fin de proteger los datos suministrados. Los datos solo se pueden transferir si el otro procesador ha implementado las medidas técnicas y organizativas de acuerdo con las especificaciones de este CPD, como mínimo.

(d) El Procesador será enteramente responsable de los subcontratistas que emplee.

2.10 Derechos de auditoría de la Persona responsable

La Persona responsable está autorizada a verificar el cumplimiento con la normativa aplicable de protección de datos y con el DPA durante el horario de trabajo habitual. El Procesador acepta proporcionar a la Persona responsable toda la información necesaria dentro de lo razonable para llevar a cabo la inspección en un plazo de tiempo razonable. Cuando la Persona responsable considere que se requiere una auditoría en las instalaciones por parte el Procesador, este deberá garantizar que la persona responsable de llevar a cabo la auditoría tendrá acceso a la oficina del Procesador y una inspección in situ de los datos almacenados y de los programas de tratamiento de los datos. La Persona responsable está autorizada a designar en casos individuales a un tercero (examinador) para que lleve a cabo las pruebas. La Persona responsable debe anunciar la ejecución de tal auditoría por escrito al menos veinte (20) días por adelantado. La Persona responsable asumirá el coste de llevar a cabo la auditoría y los gastos en los que incurra el Procesador a tarifas normales del mercado.

2.11 Notificaciones de infracciones del Procesador

(a) El Procesador deberá notificar a la Persona responsable sin demora, y como muy tarde en un plazo máximo de cuarenta y ocho (48) horas a partir del descubrimiento, de todos los casos en los que el Procesador o las personas o subcontratistas empleados por él o por ella hayan infringido las normas que rigen la protección de los datos de la Persona responsable o las condiciones definidas en este DPA.

(b) La Persona responsable deberá ser notificada de cualquier caso de pérdida o transmisión/recepción ilegítima por terceros, sea cual sea la causa. El Procesador, previa consulta con la Persona responsable, deberá tomar medidas adecuadas para proteger los datos y paliar las consecuencias adversas posibles de las personas afectadas. En la medida en que las personas responsables cumplan con las obligaciones de notificación, el Procesador deberá ayudar a la Persona responsable a cumplir con estas obligaciones.

2.12 Instrucciones de la Persona responsable

(a) El Procesador solamente podrá procesar datos de la Persona responsable en el contexto del DPA y las instrucciones concretas notificadas por el Procesador.

(b) El Procesador deberá cumplir sin demora con las instrucciones (individuales) relativas a la naturaleza, el alcance y el método de tratamiento o, en su caso, en el límite temporal definido por la Persona responsable.

(c) El Procesador deberá notificar a la Persona responsable sin demora si, en opinión del Procesador, las instrucciones emitidas por la Persona responsable infringen normativas de protección de los datos. El Procesador deberá estar autorizado a suspender la ejecución de la instrucción relevante hasta que una Persona responsable la confirme o modifique.

2.13 Eliminación una vez finalizada la orden

Una vez finalizado el trabajo establecido por contrato, el Procesador debe entregar todos los datos que haya procesado por la Persona responsable o, previo consentimiento de la Persona responsable, destruirlos de acuerdo con la protección de los datos o eliminarlos de acuerdo con la técnica anterior. Queda excluido el derecho de conservación respecto a los documentos, datos y resultados de tratamiento y de uso, y de los soportes de datos asociados, a menos que la legislación de la Unión Europea o de un estado miembro de la UE exija el almacenamiento de los datos.

3. Otras obligaciones del Procesador

3.1 El Procesador no utilizará para ningún otro fin los datos proporcionados para el procesamiento de los datos. No podrán crearse copias ni duplicados sin el conocimiento y sin consentimiento previo por escrito de la Persona responsable, a menos que deba realizarse para los servicios ordenados en el DPA. El Procesador deberá garantizar que los datos procesados por él para la Persona responsable están separados de cualquier otro dato. El Procesador no llevará a cabo ninguna transmisión de datos de la Persona responsable a terceros sin el consentimiento previo por escrito de la Persona responsable.

3.2 El Procesador deberá proporcionar ayuda razonable a los responsables de la defensa ante reclamaciones con base en una infracción real o pretendida de los requisitos de protección de datos. La Persona responsable, por su parte, investigará las reclamaciones de titulares de los datos en el contexto de la responsabilidad en materia de protección de datos de la Persona responsable de modo adecuado y también procesará las reclamaciones de titulares de los datos.

3.3 El Procesador confirma que la información se entrega a las personas afectadas sobre la base de un derecho a la información exclusivamente a través de la Persona responsable o de una persona autorizada por la Persona responsable. El Procesador está obligado a proporcionar a la Persona responsable la información necesaria de manera puntual y a asistir a la Persona responsable. Si el propio Procesador también actúa como Persona responsable externa, estas consultas también pueden responderse de manera oportuna y se informará oportunamente a la Persona responsable.

3.4 El Procesador deberá asistir al Controlador en la preparación de los índices de procedimientos necesarios, donde sea aplicable.

3.5 El Procesador deberá ayudar a la Persona responsable a llevar a cabo evaluaciones de impacto de la protección de los datos cuando es probable que un tipo de tratamiento resulte en un elevado riesgo para los derechos y libertades de las personas naturales.

3.6 El Procesador acepta informar a la Persona responsable sin demora de los resultados de las inspecciones llevadas a cabo por las autoridades de supervisión de la protección de los datos, en la medida en que estén relacionadas con este DPA. El Procesador informará a los responsables sobre cualquier queja por parte de esas autoridades que esté relacionada con el ámbito de responsabilidades del Procesador y subsanará todas las quejas identificadas, en la medida en que así lo exija le ley.

4. Responsabilidad

4.1 La Persona responsable es responsable de la habilitación para el tratamiento de los datos, así como de la protección de los derechos de los titulares de los datos.

4.2 Mediante la derogación de la sección 4.1, el Procesador se responsabiliza de reclamaciones por parte de titulares de datos debidas a infracciones de las disposiciones legales aplicables o de las disposiciones del DPA.

4.3 En relación con la Persona responsable, el Procesador solamente es responsable en caso de dolo y negligencia grave, en el grado de exclusión de la responsabilidad y sus limitaciones permisible por ley.

5. Disposiciones finales

5.1 El Controlador deberá informar al Procesador sin dilación y de forma íntegra si durante la auditoría, detecta errores o irregularidades en el tratamiento de los datos por parte del Procesador.

5.2 Este DPA puede modificarse y rescindirse de acuerdo con los mismos términos y condiciones que las Condiciones generales anteriores.

5.3 La no validez de una o varias de las disposiciones de este DPA no afecta al efecto del DPA. Si una o varias de las disposiciones de este DPA resultara sin efecto, las Partes deberán tomar una disposición sustitutoria legalmente efectiva en la medida que sea posible económicamente en el caso de la disposición no efectiva. Lo mismo se aplica en caso de laguna.

5.4 El DPA está sujeto al mismo derecho que las Condiciones generales anteriores.

5.5 Si hubiera contradicciones entre el DPA y otros contratos entre las partes, primarán las disposiciones de este DPA.

Versión: 2018/ AG


Medidas técnicas y organizativas

Tomando en consideración la técnica anterior, los costes de implementación y la naturaleza, el alcance, las circunstancias y los propósitos del procesamiento, y la probabilidad y gravedad del riesgo para los derechos y libertades de las personas naturales, el Procesador deberá implementar medidas técnicas y organizativas adecuadas para garantizar un grado de protección adecuado al riesgo. Estas medidas incluyen, de forma no exhaustiva, las siguientes:

• la seudonimización y el cifrado de los datos;

• la capacidad de garantizar de modo permanente la confidencialidad, integridad, disponibilidad y resilencia de los servicios y sistemas de procesamiento;

• la capacidad de restaurar rápidamente la accesibilidad y disponibilidad de los datos en caso de incidente técnico o físico; y

• un proceso de evaluación, valoración y revisión periódicas de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del procesamiento.

Sin perjuicio de lo anterior, se tomarán las medidas siguientes:

1. Control de accesos

Medidas para impedir que personas no autorizadas accedan al sistema de tratamiento de datos utilizado para procesar los datos:

• especificación del grupo de personas autorizado y documentación correspondiente;

• control de acceso electrónico;

• emisión de ID de acceso;

• establecimiento de pautas para individuos externos;

• alarma o seguridad fuera del horario de trabajo;

• distribución de instalaciones en diferentes zonas de seguridad;

• establecimiento de pautas para el manejo de llaves (tarjetas);

• puertas de seguridad (abrepuertas electrónico, lector de ID, videovigilancia); y

• establecimiento de medidas de seguridad en las instalaciones (como notificación o detección de intrusiones).

2. Control de accesos

Medidas para impedir que personas no autorizadas utilicen el sistema de tratamiento de datos y sus procedimientos:

• definición del grupo de personas que pueden acceder a los sistemas de tratamiento de datos; y

• establecimiento de pautas para individuos externos;

• protección de contraseñas para ordenadores personales.

3. Control de accesos

Medidas para garantizar que las personas autorizadas a utilizar las técnicas de tratamiento de datos solamente puedan acceder a los datos sujetos a su autorización:

• establecimiento de derechos de acceso limitado en función de las funciones y datos respectivos;

• obligación de identificación para acceder a los equipos de tratamiento de datos (por ejemplo, mediante un ID o autenticación);

• establecimiento de políticas sobre funciones de usuarios y acceso; y

• evaluación de protocolos en caso de evento dañoso.

4. Control de transferencias

Medidas para garantizar que los datos no se pueden leer, copiar, modificar o eliminar durante la transmisión electrónica, o durante su transporte o almacenamiento en soporte de datos, y que es posible consultar y determinar en qué puntos se proporciona una transmisión de los datos mediante transmisión de datos.

• Cifrado

5. Control de entrada

Medidas para garantizar que es posible verificar y determinar con posterioridad si se han introducido, modificado o eliminado datos en sistemas IT y quién lo ha hecho.

• Registro de entradas de datos.

6. Control de órdenes

Medidas para garantizar que los datos procesados bajo orden solo pueden procesarse de acuerdo con las instrucciones de la Persona responsable.

• documentación de las diferentes competencias y obligaciones entre la Persona responsable y el Procesador;

• encargo formal; y

• control de los resultados de trabajo.

7. Control de disponibilidad

Medidas para garantizar que los datos se protegen frente a pérdida o destrucción accidentales.

• implementar un plan de copias de seguridad habituales;

• proteger el almacenamiento de copias de seguridad de datos en armarios de seguridad contra incendios y resistentes al agua;

• establecimiento y control habitual de un sistema d alimentación de energía y de un sistema de protección contra sobretensiones;

• establecimiento de un plan de emergencia; y

• protocolo sobre el establecimiento de una gestión de crisis y/o emergencias.

8. Control de la separación

Medidas para garantizar que los datos recopilados para fines diferentes pueden procesarse por separado.

• Separación de los datos de cada cliente del Procesador.

Versión: mayo de 2018/ AG