1.- Información previa 

El presente Contrato de encargo de tratamiento regula el acceso y el tratamiento de datos personales respecto de los cuales el Usuario (de conformidad con el concepto de Usuario definido en los Términos y condiciones de GÜO) ostenta la condición de responsable del tratamiento  de conformidad con lo dispuesto en el RGPD (en adelante, el “RESPONSABLE”)por parte de YOUR DIGITAL AGENCY, S.L. en condición de encargado del tratamiento (en adelante, “GÜO “ o “ENCARGADO”) con NIF B01771591 y domicilio social en C/General Ramírez de Madrid, 8, Planta 6º, 28020, Madrid. 

2.- Objeto del contrato 

El objeto del presente Contrato es regular el tratamiento por parte del ENCARGADO de los datos personales titularidad del RESPONSABLE, con la finalidad de prestar servicios definidos en los Términos y Condiciones de GÜO (en adelante, “los Servicios”) encomendadas por el RESPONSABLE.  

El presente Contrato da lugar a un acceso a los datos por cuenta de terceros y no a una cesión o comunicación de datos de carácter personal, de modo que el RESPONSABLE sigue teniendo bajo su control los usos y los fines del tratamiento de los datos personales sobre los cuales ostenta la condición de RESPONSABLE. 

3.- Duración  

La duración del presente Contrato se extenderá por el mismo periodo de tiempo que los Términos y Condiciones. 

Una vez terminadas las obligaciones del presente Contrato, el ENCARGADO devolverá los datos personales al RESPONSABLE, y destruirá cualquier copia que mantenga en su poder. No obstante lo anterior, el ENCARGADO podrá mantener bloqueados los datos personales para atender posibles reclamaciones previstas en la ley. 

4.- Tratamiento de datos de carácter personal  

Mediante las presentes estipulaciones se habilita al ENCARGADO, para tratar por cuenta del RESPONSABLE, los datos de carácter personal necesarios para prestar los Servicios. 

4.1 Tipos de datos personales tratados 

4.2 El ENCARGADO va a realizar las siguientes operaciones de tratamiento

5.- Obligaciones del responsable 

Corresponde al RESPONSABLE: 

Velar por el cumplimiento de todas las medidas técnicas y organizativas necesarias con la finalidad de garantizar la seguridad de los datos de carácter personal, evitando su alteración, pérdida, tratamiento o acceso no autorizado. 

Comunicar al ENCARGADO cualquier variación que se produzca en los datos de carácter personal facilitados, para poder actualizarlos. 

Recabar los datos personales objeto de tratamiento cumpliendo con la legislación aplicable en materia de Protección de Datos.  

El RESPONSABLE garantiza: 

1. Que los datos de carácter personal que se contienen en sus bases de datos han sido obtenidos directamente de los interesados, y se les ha informado de forma previa a recabar del dato de modo expreso, preciso e inequívoco, de: 
   • La existencia de una base de datos de carácter personal. 
   • La finalidad de la recogida de los datos. 
   • De los destinatarios de la información. 
   • De las consecuencias de la obtención de los datos o de la negativa a suministrarlos. 
   • De la posibilidad de ejercitar los derechos de acceso, rectificación, supresión, oposición, limitación, portabilidad y olvido. 
   • De la identidad y dirección del Responsable del tratamiento. 
2. Que ha informado al interesado de las finalidades explícitas y legítimas para las que va a utilizar sus datos. 
3. Que ofrece a los interesados o destinatarios la posibilidad de oponerse al tratamiento de sus datos mediante un procedimiento sencillo y gratuito. 
4. Que ha implantado las medidas de seguridad necesarias para garantizar la salvaguarda de los datos personales. 
5. Que los datos personales son tratados únicamente por aquellos empleados cuya intervención sea precisa para la finalidad contractual y les ha advertido y formado en sus obligaciones con respecto a la protección de datos de carácter personal. 
6. Que el tratamiento de datos que realiza es legítimo. 
7. Que, en caso de ser preceptivo para su organización, ha nombrado un Delegado de Protección de Datos. 
8. Que ha informado a los usuarios respecto del uso de cookies analíticas en el sitio web.  
9. Que cuenta con un Registro de Actividades. 

6.- Obligaciones del encargado 

El ENCARGADO y todo su personal se comprometen a: 

Utilizar los datos personales objeto del tratamiento, o los que recoja o trate con motivo de la prestación de los Servicios descritos en el presente Contrato únicamente con la finalidad de prestar los Servicios al RESPONSABLE. En ningún caso podrá utilizar los datos para finalidades distintas a las previstas en este Contrato. 

Tratar los datos de acuerdo con las instrucciones del RESPONSABLE. Si el ENCARGADO considera que alguna de las instrucciones infringe la normativa de Protección de Datos informará inmediatamente al RESPONSABLE. 

Garantizar que las personas autorizadas para tratar datos personales se han comprometido de forma expresa y por escrito a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes. 

Tomar medidas para garantizar que cualquier persona que actúe bajo su autoridad y tenga acceso a datos personales solo pueda tratarlos siguiendo las instrucciones del RESPONSABLE. 

No comunicar los datos a terceros, salvo que cuente con la autorización expresa del RESPONSABLE. 

Comunicar datos a otros encargados del tratamiento, de acuerdo con las instrucciones del RESPONSABLE. En este caso, el RESPONSABLE identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación. 

Dar apoyo al RESPONSABLE en la realización de consultas previas a la autoridad de control, cuando proceda. 

Implantar las medidas de seguridad apropiadas para garantizar la seguridad de la información tratada y los derechos de las personas afectadas del nivel de seguridad que corresponda. 

Poner a disposición del RESPONSABLE toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente Contrato, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del RESPONSABLE o de otro auditor autorizado por el RESPONSABLE. 

 Realizar una descripción general de las medidas técnicas y organizativas de seguridad relativas a:  

1. La seudoanonimización y el cifrado de datos personales.  
2. La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. 
3. La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico. 
4. El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.  

El ENCARGADO se compromete a asistir al RESPONSABLE y cooperar con él, cuando proceda, en los siguientes ámbitos: 

1. Para que el RESPONSABLE pueda cumplir con su obligación de dar respuesta a las solicitudes que tengan por objeto el ejercicio de derechos de los interesados (acceso, rectificación, supresión y oposición; limitación del tratamiento; portabilidad de datos; y no ser objeto de decisiones individualizadas automatizadas, incluida la elaboración de perfiles) y, en su caso, olvido. 
2. En este sentido, cuando las personas afectadas ejerzan los referidos derechos ante el ENCARGADO, éste debe comunicarlo por correo electrónico al RESPONSABLE, a la mayor brevedad desde la recepción de la solicitud. A la comunicación se acompañará el resto de información que pueda ser relevante para resolver la solicitud.  
3. Para que el RESPONSABLE pueda cumplir los deberes de aplicar las medidas de seguridad pertinentes en el tratamiento. 
4. En la realización de las evaluaciones de impacto relativas a la protección de datos, cuando procedan. 

Cuando se requiera transferir datos personales a países ajenos al Espacio Económico Europeo (EEE), el ENCARGADO llevará a cabo estas transferencias cumpliendo con la legalidad vigente y aplicando las medidas de garantía pertinentes y adecuadas. 

7.- Subencargo de tratamiento 

GÜO utiliza herramientas de terceros para proveer los Servicios al Usuario. Siendo esto así, estos terceros pueden tener acceso a los datos personales con el objetivo de ayudar a GÜO a proporcionar los Servicios al Usuario. A continuación, se incluye el detalle de las categorías de destinaratios a los que GÜO puede recurrir  

• Proveedor de servicios de gestión de plataformas de internet: Getpin. El Usuario puede conocer más información al respecto de estos servicios aquí.  

Siendo esto así, el RESPONSABLE autoriza al ENCARGADO a subcontratar sus servicios para el correcto almacenamiento de los datos y el mantenimiento de la herramienta.  

El ENCARGADO se compromete a informar puntualmente al RESPONSABLE respecto de los cambios en las subcontrataciones que tengan lugar en el contexto de la prestación de los Servicios.   

Asimismo, el ENCARGADO se compromete a firmar un contrato que obligue al subencargado del tratamiento a condiciones sustancialmente similares a las del tratamiento de los datos personales del RESPONSABLE por parte del ENCARGADO de acuerdo con lo previsto en este Contrato; 

En todo caso, el subencargado del tratamiento está obligado igualmente a cumplir las obligaciones establecidas en este documento para el ENCARGADO y las instrucciones que dicte el RESPONSABLE. 

8.- Notificación de violaciones de seguridad y evaluaciones de impacto 

8.1 Notificación de violaciones de seguridad de los datos 

El ENCARGADO notificará al RESPONSABLE por correo electrónico, en el plazo máximo de 48 horas desde que existan, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento. A la comunicación se acompañará toda la información relevante para la documentación y comunicación de la incidencia. 

No será necesaria la notificación cuando sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.  

Si se dispone de ella se facilitará, como mínimo, la información siguiente: 

1. Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.  
2. El nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información. 
3. Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales. 
4. Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos. 

Si no es posible facilitar toda la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida. 

8.2 Evaluaciones de impacto 

El ENCARGADO se compromete a dar apoyo al RESPONSABLE en la realización de las evaluaciones de impacto relativas a la protección de datos, cuando proceda. 

9.- Destino de los Datos una vez finalizada la relación 

Finalizada la relación contractual, el ENCARGADO devolverá los datos personales al RESPONSABLE, y destruirá cualquier copia que mantenga en su poder.  

En todo caso, el ENCARGADO podrá conservar una copia de los datos, debidamente bloqueados, en tanto pudieran derivarse responsabilidades de la ejecución de la prestación de servicios. 

10.- Responsabilidades en caso de reclamación 

Ambas partes, de mutuo acuerdo, se comprometen a responder de la totalidad de los daños y perjuicios que se irroguen a la otra en todos los supuestos de conducta negligente o culposa en el cumplimiento de las obligaciones contractuales y normativas que le incumben a tenor de lo pactado en el presente Contrato.  

11.- Control del cumplimiento del presente Contrato 

EL ENCARGADO pondrá a disposición del RESPONSABLE toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en este Contrato y para permitir y contribuir a la realización de auditorías, incluidas las inspecciones, por parte del RESPONSABLE o un tercero autorizado por él. Dichos controles se deberán hacer con el correspondiente preaviso y causando al ENCARGADO los menores inconvenientes posibles. 

13.- Incumplimiento y resolución del Contrato 

En el supuesto de incumplimiento de alguna de las obligaciones por parte del RESPONSABLE establecidas en las estipulaciones anteriores, podrá el ENCARGADO proceder a la resolución de los Términos y Condiciones, con la consecuente pérdida de vigencia del presente Contrato sin más trámite que el comunicar al RESPONSABLE su decisión. En caso de incumplimiento de alguna de las obligaciones por parte del ENCARGADO, el RESPONSABLE podrá asimismo resolver los Términos y Condiciones, comunicando su decisión al ENCARGADO. 

14.- Fuero y legislación aplicable 

Las partes, renuncian a su fuero propio sometiéndose expresamente a la jurisdicción de los Juzgados y Tribunales de Madrid para cualquier tipo de controversia judicial que pudiera suscitar el incumplimiento del presente Contrato y acuerdan que la legislación aplicable será la española. 

Si alguna de las estipulaciones de este Contrato fuera declarada nula, ilegal o inexigible, la validez, legalidad y exigibilidad del resto de estipulaciones no se verá afectada o perjudicada por aquella. Las estipulaciones de este Contrato serán interpretadas conforme a la buena fe, al sentido recto, propio y usual de las palabras con las que fueron dichas.