Acuerdo de tratamiento de datos

DPA - Acuerdo de tratamiento de datos

Última actualización: 24 de marzo de 2025

Disposición preliminar:

El Prestador de Servicios ha tomado conocimiento del Reglamento (UE) 2016/679 (en adelante, el "Reglamento") y, en particular, de su artículo 28, que establece las obligaciones a cargo de todo encargado del tratamiento que actúe en nombre de un responsable del tratamiento de datos de carácter personal.

Declara estar informado de su obligación de ofrecer garantías contractuales relativas, en particular, a la seguridad, la confidencialidad y la transferencia de los datos de carácter personal. Reconoce que el presente Anexo tiene por objeto dar cumplimiento a dichas obligaciones y es indisociable de la prestación que se le ha encomendado.

I - Definiciones
Los términos «Datos», «Datos de Carácter Personal», «Encargado del Tratamiento», «Responsable del Tratamiento», «Tratamiento», «Violación de Datos de Carácter Personal» se refieren a las definiciones establecidas en el Reglamento.

Para los fines del presente Acuerdo, los términos siguientes se definen contractualmente de la siguiente manera:

«Cláusulas Contractuales Tipo»: Cláusulas establecidas por la Comisión Europea en su última versión vigente.

«Decisión de adecuación»: Se refiere a una decisión adoptada por la Comisión Europea que establece que un Tercer País garantiza un nivel adecuado de protección de los datos de carácter personal debido a su legislación interna o a los compromisos internacionales que ha suscrito.

«EEE»: Se refiere al Espacio Económico Europeo.

«Tercer País»: Se refiere a un país que no pertenece ni a la UE ni al EEE.

«Sociedad Beneficiaria»: Se refiere a la sociedad que se beneficia de la Prestación negociada en el marco del Contrato.

«Subencargado(s)» o «Subcontratación Posterior»: Se refiere al(los) Encargado(s) del Tratamiento del Encargado del Tratamiento.

«Transferencia fuera de la UE» o «Tratamiento fuera de la UE» o «Transferencia»: Se refiere a la transmisión de Datos desde un país miembro de la UE o del EEE hacia un Tercer País, o al acceso a Datos ubicados dentro de un país miembro de la UE o del EEE desde un Tercer País (por ejemplo, acceso remoto a una base de datos ubicada en Europa).

«Tratamiento de Datos de Carácter Personal» o «Tratamiento» o «Tratar»: Se refiere a cualquier operación o conjunto de operaciones realizadas, o no, mediante procesos automatizados y aplicadas a datos o conjuntos de datos de carácter personal, tales como la recopilación, el registro, la organización, la estructuración, la conservación, la adaptación o modificación, la extracción, la consulta, la utilización, la comunicación por transmisión, la difusión o cualquier otra forma de puesta a disposición, la comparación o interconexión, la limitación, la supresión o la destrucción.

«UE»: Se refiere a la Unión Europea.

II - Principios
En caso de contradicción entre el presente Anexo y cualquier otro elemento del Contrato, prevalecerá el Anexo 1.

Cada Sociedad Beneficiaria es, de manera independiente, Responsable del Tratamiento en lo que respecta a sus Datos de Carácter Personal. A este efecto, cada Responsable del Tratamiento deberá celebrar un Contrato de Aplicación con el Encargado del Tratamiento, que incluirá los Anexos A, B y C debidamente completados.

El Prestador será considerado Encargado del Tratamiento en el sentido del Reglamento. Cualquier persona a la que recurra para la ejecución de las prestaciones será considerada un Subencargado.

En caso de evolución de la legislación relativa a los Datos de Carácter Personal, el Prestador se compromete a asumir los medios (especialmente técnicos, financieros, humanos, etc.) necesarios para garantizar el cumplimiento normativo.

III - Finalidad de los Tratamientos de Datos
La finalidad de los Tratamientos es definida por la Sociedad Beneficiaria en su calidad de Responsable del Tratamiento, y el Encargado del Tratamiento actúa únicamente siguiendo instrucciones documentadas del Cliente.

La finalidad y la naturaleza de los Tratamientos de Datos de Carácter Personal implementados en el marco del presente Contrato, las categorías de personas afectadas y los Datos de Carácter Personal tratados o las categorías de Datos de Carácter Personal figuran en el Contrato de Aplicación de cada Sociedad Beneficiaria, basado en el modelo definido en el Anexo C del presente Acuerdo.

Los Tratamientos realizados por el Prestador serán exclusivamente aquellos necesarios para la ejecución de las prestaciones previstas en el Contrato, quedando prohibido cualquier otro uso sin el consentimiento expreso y previo del Cliente.

En este contexto, el Prestador se compromete a permitir al Cliente el cumplimiento de sus obligaciones legales en relación con el respeto de los derechos de las personas afectadas, especialmente aquellos enumerados en el artículo XI “Asistencia del Prestador”, así como a mantener y presentar toda documentación o registro que la ley le exija.

Cualquier otro uso está prohibido y compromete la responsabilidad del Prestador.

IV - Localización de los Tratamientos de Datos
Los Tratamientos deben realizarse exclusivamente dentro de la UE o del EEE.

Si la ejecución de la Prestación lo justifica, podrán llevarse a cabo Tratamientos fuera de la UE previa autorización expresa y por escrito del Cliente. El Prestador se compromete a completar de manera exhaustiva el Anexo A con todos los Tratamientos fuera de la UE realizados. La firma del Anexo A por parte del Cliente constituye la aceptación de los Tratamientos fuera de la UE. Cualquier Tratamiento posterior fuera de la UE requerirá una autorización previa, expresa y por escrito del Cliente mediante la firma de una adenda al Anexo A.

En cualquier caso, el Prestador reconoce que la autorización solo podrá concederse si la Transferencia prevista se beneficia de una o varias de las siguientes excepciones vigentes aplicables a los Datos de Carácter Personal transferidos:

- La Transferencia se realiza hacia un Tercer País que cuente con una Decisión de adecuación.
- La Transferencia está regulada por Cláusulas Contractuales Tipo.
- La Transferencia está regulada por Normas Corporativas Vinculantes para subcontratistas.

Si la(s) excepción(es) utilizada(s) para la Transferencia quedaran invalidadas, las Partes acuerdan reunirse sin demora para garantizar el cumplimiento normativo en la regulación de la Transferencia prevista.

V - Subcontratación Posterior
El Prestador se compromete a no recurrir a Subencargados en la ejecución de las prestaciones sin la autorización expresa, previa y por escrito del Cliente. El Prestador se compromete a completar de manera exhaustiva el Anexo A con la identificación de sus Subencargados. La firma del Anexo A por parte del Cliente constituye la aceptación de los Subencargados. Cualquier incorporación de un Subencargado requerirá una autorización previa, expresa y por escrito del Cliente, mediante una adenda al Anexo A.

El Prestador se compromete a celebrar con sus Subencargados un contrato por escrito que contenga las mismas obligaciones en materia de protección de Datos que las establecidas en el presente Anexo. En este sentido, el Prestador garantiza el cumplimiento por parte de los Subencargados de los compromisos a los que él mismo está obligado, en particular aquellos asumidos en las Cláusulas Contractuales Tipo.

En este sentido, el Prestador detallará para cada uno de sus Subencargados la actividad de Tratamiento subcontratada y los países en los que operan en nombre del Encargado del Tratamiento en el marco del Contrato, en un plazo de 2 semanas desde la primera solicitud del Cliente.

El Encargado del Tratamiento es responsable frente al Cliente de cualquier incumplimiento del Contrato causado por él mismo o por cualquier persona que actúe en su nombre o bajo su iniciativa. Los Datos de Carácter Personal no serán transmitidos a ningún otro destinatario.

A solicitud del Cliente, el Prestador proporcionará los principales elementos de las Cláusulas Contractuales Tipo firmadas con los importadores de Datos de Carácter Personal en cuestión.

VI - Medidas de Seguridad
El Prestador deberá implementar las medidas organizativas y técnicas necesarias para garantizar la seguridad física y lógica de los datos, conforme al más alto de los siguientes estándares:

- El estado del arte.
- Los estándares vigentes en la industria, en particular las normas ISO.
- Las recomendaciones publicadas por las autoridades de protección de datos o las autoridades administrativas competentes en materia de seguridad informática.

Las medidas de seguridad deberán garantizar obligatoriamente la integridad de los datos, la trazabilidad de los accesos, la disponibilidad de los Datos de Carácter Personal en todo momento y la confidencialidad de los mismos, e incluirán, entre otras, las siguientes acciones:

- Identificación y aseguramiento de los locales (por ejemplo: accesos cerrados con llave, acceso restringido sujeto a autorización y autenticación).
- Seguridad lógica (por ejemplo: sondas anti-intrusión, firewalls, autenticación y registro de accesos a los datos, simulaciones de incidentes).
- Cifrado de los Datos de Carácter Personal conforme a las exigencias del estado del arte en la materia.
- Seguridad en los flujos de intercambio de Datos de Carácter Personal para que no puedan ser explotados por terceros no autorizados.
- Registro de actividades en el sistema informático, incluyendo un listado de los elementos registrados y su período de conservación (mínimo 1 año, salvo restricciones regulatorias).
- Protección de los entornos informáticos con software antivirus actualizado (programas y firmas virales).
- Implementación de procedimientos de control para garantizar el nivel de seguridad. El Cliente podrá solicitar los resultados y los planes de acción derivados de los distintos test realizados, tales como pruebas de penetración, escaneos de vulnerabilidades, auditorías de seguridad, etc.
- Compromiso de confidencialidad para toda persona que acceda a los Datos de Carácter Personal.
- Formación recurrente del personal del Encargado del Tratamiento con acceso a los Datos de Carácter Personal sobre buenas prácticas de seguridad de la información y cumplimiento normativo.

Corresponde al Prestador definir dichas medidas y transmitirlas al Cliente a más tardar en el momento de la celebración del contrato y en cualquier momento a solicitud del Cliente o en caso de modificación de su política de seguridad.

El Prestador, en su calidad de profesional en la ejecución de las prestaciones, mantiene una obligación general de asesoramiento y advertencia en relación con todas estas medidas.

Podrán requerirse medidas de seguridad específicas por parte de cada una de las Sociedades Beneficiarias. En tal caso, las Sociedades Beneficiarias implicadas entrarán en contacto con el Encargado del Tratamiento a fin de formalizar dichas medidas en un acuerdo ad hoc.

VII - Medidas de Confidencialidad

A fin de garantizar un nivel de confidencialidad conforme a las expectativas del Cliente, el Encargado del Tratamiento se compromete a no:

- Utilizar los Datos de Carácter Personal confiados, directa o indirectamente, para fines distintos de los establecidos por el Cliente en el marco de las prestaciones, incluyendo mejoras en los servicios. Asimismo, reconoce que dichos datos siguen siendo propiedad de las Sociedades Beneficiarias.
- Comunicar o divulgar, directa o indirectamente, los Datos de Carácter Personal confiados o puestos a su disposición a terceros ajenos al presente acuerdo, incluyendo las filiales del Encargado del Tratamiento. Esta prohibición no afecta la autorización de subcontratación que pueda ser otorgada al Encargado del Tratamiento.
- Ceder o poner a disposición los Datos de Carácter Personal a empleados o agentes distintos de aquellos directamente involucrados en la ejecución de la Prestación. El Encargado del Tratamiento se compromete a informar a dichos empleados/agentes de las disposiciones del presente acuerdo. De manera general, se compromete a tomar todas las medidas necesarias para garantizar el cumplimiento de las disposiciones de este Anexo por parte de sus empleados y agentes, asumiendo la responsabilidad de su cumplimiento.

Podrán requerirse medidas de confidencialidad específicas por parte de cada una de las Sociedades Beneficiarias. En tal caso, las Sociedades Beneficiarias implicadas entrarán en contacto con el Encargado del Tratamiento a fin de formalizar dichas medidas en un acuerdo ad hoc.

VIII - Notificación de Violación de Datos de Carácter Personal

El Prestador se compromete a implementar y mantener procedimientos para detectar incidentes de seguridad que afecten los Tratamientos. En caso de que se detecte un incidente que constituya una Violación de Datos, el Prestador se compromete a notificarlo al Cliente en un plazo máximo de 24 (veinticuatro) horas desde su detección, mediante los medios definidos por el Cliente. Asimismo, el Prestador proporcionará al Cliente los elementos necesarios para documentar dicha Violación de Datos de Carácter Personal.

El Prestador se compromete a llevar a cabo todas las investigaciones necesarias sobre las circunstancias que hayan permitido, en su caso, dicha Violación de Datos de Carácter Personal, a fin de remediarla sin demora y minimizar sus consecuencias sobre las personas afectadas.

Conforme al Reglamento, el Prestador se compromete a colaborar activamente y a proporcionar toda la información necesaria a la Sociedad Beneficiaria afectada para que esta pueda cumplir con su obligación de notificación y remediación ante la autoridad de control. Para ello, el Prestador utilizará el formulario adjunto en el Anexo B.

Salvo disposición legal en contrario, el Prestador se abstendrá de realizar cualquier comunicación sobre el incidente.

Una vez concluida la gestión de la Violación de Datos de Carácter Personal, el Prestador presentará un informe final al Cliente.

IX - Requerimientos Judiciales, Gubernamentales o Administrativos

El Prestador se compromete a notificar al Cliente cualquier solicitud de transmisión o consulta de Datos de Carácter Personal emitida por una autoridad judicial, gubernamental o administrativa en un plazo de 24 horas desde la recepción de la solicitud y antes de responder a la misma.

Salvo prohibición legal aplicable, el Prestador comunicará al Cliente el proyecto de respuesta que pretende transmitir a la autoridad correspondiente, permitiendo al Cliente ser consultado y asistir al Prestador en su respuesta.

X - Supresión de Datos

El Prestador se compromete a suprimir y, a solicitud del Cliente, a restituir todos los Datos de Carácter Personal en las siguientes condiciones:

- A solicitud inmediata de la Sociedad Beneficiaria.
- Al vencimiento del período de conservación comunicado por el Cliente para cada tipología de datos.
- Inmediatamente tras la expiración del período de reversibilidad, salvo solicitud expresa en contrario del Cliente.

Si existiera una prohibición legal que impidiera al Prestador eliminar los Datos de Carácter Personal transferidos, este garantiza que asegurará su confidencialidad y que cesará cualquier tratamiento activo de dichos datos.

En caso de que la eliminación de los Datos de Carácter Personal no pueda ser realizada directamente por el Cliente, el Prestador se compromete a proceder a su eliminación en un plazo máximo de 2 semanas a partir de la solicitud inicial del Cliente y a justificarlo una vez realizada la supresión.

De manera general, a partir de la eliminación de los Datos de Carácter Personal, el Prestador deberá informar por escrito al Cliente en un plazo de 2 semanas.

XI - Asistencia del Prestador

El Prestador se compromete a permitir al Cliente cumplir con sus obligaciones legales en relación con el respeto de los derechos de las Personas afectadas, conferidos por el Reglamento, incluyendo en particular:

- Derecho de acceso: extracción en un formato legible de la información que el Prestador posee, en el marco de la relación con el Cliente, sobre la persona afectada.
- Derecho de rectificación o supresión, para lo cual podrá solicitarse un certificado de ejecución que deberá ser proporcionado por el Prestador.
- Derecho a la portabilidad de los Datos de Carácter Personal: extracción en un formato estructurado, de uso común y legible por máquina de la información que el Encargado del Tratamiento posee, en el marco de la relación con el Cliente, sobre la persona afectada.
- Derecho a la limitación del Tratamiento.

En caso de que el Prestador reciba, directamente o a través de un Subencargado, una solicitud relativa a los derechos antes mencionados, se compromete a informar al Cliente en un plazo máximo de 48 horas desde la recepción de dicha solicitud.

El Prestador tiene prohibido responder directamente a las solicitudes de las Personas afectadas sin la autorización previa y por escrito del Cliente.

Asimismo, el Prestador se compromete a asistir al Cliente en la realización de análisis de impacto en relación con la protección de Datos de Carácter Personal, cuando la naturaleza del Tratamiento requiera la realización de dicho análisis.

El Prestador se compromete a brindar toda la asistencia necesaria al Cliente en caso de requerimiento o solicitud por parte de una autoridad administrativa o judicial, y ello en el menor tiempo posible.

XII - Restitución de los Datos

En cualquier momento, el Cliente podrá solicitar y recibir asistencia para llevar a cabo la restitución de los Datos de Carácter Personal transmitidos.

En cualquier caso, el Prestador deberá entregar al Cliente el archivo que contenga los Datos de Carácter Personal en un plazo de 2 meses a partir de la finalización efectiva de las prestaciones.

El Prestador se compromete a mantener los Datos de Carácter Personal en un formato de uso común reconocido en el mercado.

Si el Prestador justifica la existencia de una prohibición legal que le impida restituir los Datos de Carácter Personal transferidos, este garantiza que asegurará la confidencialidad de dichos datos y que cesará cualquier tratamiento activo de los mismos.

XIII - Auditoría

Las partes acuerdan que el Cliente, previa notificación por escrito al Prestador con un preaviso mínimo de treinta (30) días, dentro del límite de una auditoría por año y por una duración máxima de cinco (5) días, podrá realizar a su cargo una auditoría relativa a la seguridad de las Prestaciones confiadas al Prestador.

Si la auditoría requiere más de un día-hombre del Prestador, este podrá facturar al Cliente el tiempo dedicado, conforme a las tarifas establecidas en las condiciones comerciales.

Dicha auditoría será realizada por una entidad externa que no sea un competidor directo del Prestador. En este contexto, el Prestador se compromete a colaborar plenamente con los auditores del Cliente y a proporcionarles toda la información necesaria para el cumplimiento de su misión.

Si la auditoría se refiere específicamente al cumplimiento de las instrucciones en materia de Datos de Carácter Personal, las partes se remiten al Data Processing Agreement.

El Cliente notificará al Prestador el inicio de la auditoría con un mínimo de dos semanas de antelación.

En caso necesario, el Prestador asumirá los medios requeridos para garantizar el cumplimiento de la presente Anexo. Dicho cumplimiento se efectuará en plazos razonables definidos con el Cliente y dará lugar a la elaboración de un documento firmado que demuestre la conformidad.

Si el Prestador se negara a permitir la auditoría, no iniciara los trabajos de adecuación o no proporcionara los recursos necesarios para su finalización, el Cliente se reserva el derecho de suspender el Tratamiento de Datos. Tal negativa constituirá, además, una causa de resolución del contrato por incumplimiento exclusivo del Prestador, sin preaviso ni indemnización.

En caso de que el Prestador pierda una certificación relevante, el Cliente podrá, de manera unilateral, rescindir el Contrato de pleno derecho y sin preaviso, a expensas del Prestador y sin que este pueda reclamar suma alguna en concepto de compensación.

XIV - Resolución de Pleno Derecho por Incumplimiento

El Cliente declara que las disposiciones relativas a los Datos de Carácter Personal constituyen obligaciones esenciales de su compromiso, sin las cuales no habría contratado con el Prestador.

En consecuencia, cada Sociedad Beneficiaria podrá invocar cualquier incumplimiento constatado de estas disposiciones o cualquier Violación de Datos como causa de resolución de pleno derecho, imputable exclusivamente al Prestador.

El Prestador es informado de que cualquier incumplimiento de sus obligaciones podrá ser detectado a través de controles y procedimientos específicos (como clientes misteriosos, auditorías encubiertas, etc.), llevados a cabo por el Cliente o por una empresa externa contratada con este propósito.

El Prestador reconoce que dichas acciones tienen valor probatorio para establecer cualquier incumplimiento.

Las obligaciones derivadas del presente Anexo seguirán vigentes incluso después de la terminación del Contrato.

XV - Responsabilidad en Relación con las Presentes Obligaciones

El Prestador garantiza al Cliente y lo mantendrá indemne frente a cualquier consecuencia financiera (condenas, indemnizaciones, costos y gastos legales) derivada de la violación de las reglas previstas en el presente Anexo por parte del Prestador y/o de sus Subencargados, dentro de los límites del Contrato.

Las partes reconocen que los incumplimientos del presente Anexo constituyen daños directos y compensables, comprometiendo la responsabilidad del Prestador en caso de incumplimiento por su parte y/o por parte de sus subcontratistas (incluidos los Subencargados Posteriores).

Para retailers

Para transportistas

Para retailers

Para transportistas

DPA - Acuerdo de tratamiento de datos

Disposición preliminar:

Las partes reconocen que los incumplimientos del presente Anexo constituyen daños directos y compensables, comprometiendo la responsabilidad del Prestador en caso de incumplimiento por su parte y/o por parte de sus subcontratistas (incluidos los Subencargados Posteriores).

Casa de uso

Retailers

TRANSPORTITAS

Nuestro modulos

RETAILERS

Transportitas

Servicios

Retailers

TRANSPORTITAS

A proposito

La plataforma

Recursos