Contrato de Encargo de Tratamiento

Contrato de Encargo de Tratamiento

1. Partes

De una parte, el Usuario que contrata los servicios de Firmable, en adelante, el RESPONSABLE.

Y de otra parte, David Carcedo Martín, con NIF 72513031B y domicilio a estos efectos en Avenida de la Libertad 9, 1ºB, 20004 – Donostia-San Sebastián (Gipuzkoa), titular del servicio Firmable, y correo de contacto david@firmable.es, en adelante, el ENCARGADO.

RESPONSABLE y ENCARGADO, conjuntamente, las Partes, acuerdan suscribir el presente contrato de encargo de tratamiento de datos personales (“Contrato”) de conformidad con el Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD), en relación con los servicios prestados por Firmable.

2. Objeto del Contrato

El presente Contrato tiene por objeto regular las condiciones en las que el ENCARGADO tratará datos personales por cuenta del RESPONSABLE, como encargado del tratamiento, con la finalidad de prestar el servicio Firmable, que comprende, en lo esencial:

  1. a) La generación de documentos de consentimiento informado a partir de plantillas definidas por el RESPONSABLE.
    b) El envío de solicitudes de consentimiento al paciente por correo electrónico.
    c) La recogida de la aceptación y firma mediante sistemas basados en OTP/enlace único, incluyendo el registro de evidencias asociadas (IP, sello horario, etc.).
    d) El sellado de tiempo y generación de un acta de evidencias a través de un proveedor tercero de confianza.
    e) El almacenamiento y custodia de los consentimientos informados firmados y sus evidencias asociadas.
    f) La puesta a disposición del RESPONSABLE de un panel con el histórico de consentimientos asociados a sus pacientes.

El ENCARGADO únicamente tratará los datos personales con la finalidad indicada y siguiendo en todo momento las instrucciones documentadas del RESPONSABLE.

3. Duración

El presente Contrato tendrá la misma duración que la relación de prestación de servicios entre las Partes (condiciones de uso / contrato principal de Firmable).

Finalizada dicha relación, el ENCARGADO actuará conforme a lo establecido en la Cláusula 11 (Destino de los datos).

4. Naturaleza, tipo de datos y categorías de interesados

4.1. Naturaleza de las operaciones de tratamiento

Las operaciones de tratamiento que realizará el ENCARGADO incluirán, principalmente:

  • Recogida (vía formularios y enlaces).
  • Registro, organización, estructuración y almacenamiento.
  • Consulta y puesta a disposición del RESPONSABLE.
  • Conservación y, en su caso, supresión.

4.2. Tipos de datos personales

En función de la configuración realizada por el RESPONSABLE, el ENCARGADO podrá tratar, entre otros, los siguientes datos:

  • Datos identificativos: nombre, apellidos, DNI/NIE.
  • Datos de contacto: dirección de correo electrónico, número de teléfono.
  • Datos de firma y evidencias: marca de aceptación, OTP utilizado, información sobre el dispositivo y la conexión (IP, fecha/hora de firma, logs técnicos de la operación).
  • En la medida en que la redacción del consentimiento lo incorpore, datos relativos a la prestación de servicios de psicología sanitaria, que pueden tener la consideración de datos de salud (categoría especial de datos).

4.3. Categorías de interesados

  • Pacientes del RESPONSABLE (incluidos, en su caso, menores de edad).
  • Progenitores, tutores o representantes legales de pacientes, cuando se requiera su consentimiento.

5. Obligaciones del Encargado

Sin perjuicio de otras obligaciones previstas en el Contrato, el ENCARGADO se compromete a:

  1. a) Tratar los datos personales únicamente siguiendo instrucciones documentadas del RESPONSABLE, incluyendo respecto a transferencias a terceros países, salvo obligación legal de la UE o del Derecho español, en cuyo caso informará al RESPONSABLE, salvo que la ley lo prohíba.
  2. b) Garantizar que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a obligación legal de confidencialidad.
  3. c) Adoptar y mantener las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, de conformidad con el artículo 32 del RGPD.
  4. d) No destinar los datos personales ni utilizarlos para una finalidad distinta a la indicada en la cláusula 2 ni, en particular, para fines de marketing directo a pacientes o elaboración de perfiles individuales, salvo que exista otra base legitimadora atribuible al RESPONSABLE.
  5. e) Asistir al RESPONSABLE, teniendo en cuenta la naturaleza del tratamiento, mediante medidas técnicas y organizativas apropiadas, para que éste pueda cumplir con su obligación de responder a las solicitudes de ejercicio de derechos de los interesados (acceso, rectificación, supresión, limitación, portabilidad y oposición).
  6. f) Ayudar al RESPONSABLE a garantizar el cumplimiento de las obligaciones relativas a la seguridad del tratamiento, notificación de violaciones de seguridad, evaluaciones de impacto y consultas previas a la autoridad de control, en la medida en que corresponda al ENCARGADO y atendiendo a la información de la que disponga.
  7. g) Poner a disposición del RESPONSABLE toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el artículo 28 RGPD, así como permitir y contribuir a la realización de auditorías o inspecciones efectuadas por el RESPONSABLE o por otro auditor autorizado, en los términos previstos en la cláusula 10.
  8. h) Mantener un registro de actividades de tratamiento en relación con las operaciones que realiza por cuenta del RESPONSABLE, cuando sea obligatorio conforme al artículo 30.

6. Subencargados del tratamiento

6.1. El RESPONSABLE autoriza expresamente al ENCARGADO a recurrir a los siguientes subencargados, que intervienen en la prestación del servicio:

  1. a) 3G SOLUCIONES MOVILIDAD S.L.U. (B09444431), con domicilio en Pasaje Gutiérrez 3, 1º – 47002 Valladolid, que actúa como tercero de confianza para la prestación de servicios de firma electrónica, sellado de tiempo, generación de actas de evidencias y custodia de documentos asociados a los consentimientos informados.
  2. b) Google Ireland Limited / Google Cloud EMEA Ltd. (Irlanda): Proveedor de infraestructura tecnológica, entorno de gestión operativa (Google Workspace) y alojamiento en la nube (Google Cloud Platform) para la custodia de la información. Los servidores empleados para el almacenamiento se encuentran ubicados estrictamente dentro del Espacio Económico Europeo (UE).

6.2. El ENCARGADO garantiza que ha suscrito con los subencargados indicados los correspondientes contratos de tratamiento de datos, en los que se imponen las mismas obligaciones de protección de datos que las recogidas en el presente Contrato, de conformidad con el artículo 28.4 RGPD.

6.3. El ENCARGADO podrá incorporar nuevos subencargados o sustituir a los existentes para servicios auxiliares (hosting, comunicaciones, monitorización, etc.), informando al RESPONSABLE a través de los medios de comunicación habituales o mediante su publicación en la documentación del servicio. El RESPONSABLE dispondrá de un plazo razonable para oponerse por motivos justificados. En caso de oposición, las Partes procurarán acordar una solución; si no fuera posible, el RESPONSABLE podrá resolver el contrato de servicios.

7. Medidas de seguridad

El ENCARGADO adoptará, como mínimo, las medidas de seguridad técnicas y organizativas que resulten exigibles conforme al artículo 32 RGPD y a la normativa española aplicable, teniendo en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas.

Estas medidas incluirán, entre otras:

  • Cifrado de las comunicaciones entre el RESPONSABLE y el ENCARGADO mediante protocolos seguros (p. ej., HTTPS/TLS).
  • Aprovechamiento de las funcionalidades de seguridad proporcionadas por los subencargados (3G y Google Workspace), incluyendo cifrado en reposo, controles de acceso y registros de actividad.
  • Gestión de accesos restringida a las personas que, bajo la autoridad del ENCARGADO, necesiten acceder a los datos para la prestación del servicio.
  • Uso de credenciales robustas y activación de autenticación de múltiples factores, al menos en las cuentas de administración.
  • Procedimientos razonables de copias de seguridad y de recuperación ante incidentes.

El detalle técnico de estas medidas podrá recogerse en un anexo de seguridad que el ENCARGADO mantendrá actualizado y pondrá a disposición del RESPONSABLE cuando éste lo solicite.

8. Ejercicio de derechos por parte de los interesados

En caso de que un paciente o interesado se dirija directamente al ENCARGADO para ejercer sus derechos en materia de protección de datos, éste lo remitirá al RESPONSABLE, siempre que sea posible, e informará inmediatamente al RESPONSABLE de dicha solicitud.

Asimismo, el ENCARGADO se compromete a asistir al RESPONSABLE, en la medida de lo razonable y teniendo en cuenta la naturaleza del tratamiento y la información de que disponga, para que éste pueda dar cumplimiento a las solicitudes de ejercicio de derechos en los plazos legalmente establecidos.

El canal de contacto del ENCARGADO para estas cuestiones será: david@firmable.es

, salvo que se comunique otro distinto.

9. Violaciones de seguridad de los datos personales

En caso de que el ENCARGADO tenga conocimiento de una violación de la seguridad de los datos personales que afecte a los tratamientos objeto de este Contrato, lo notificará al RESPONSABLE sin dilación indebida, y siempre que sea posible dentro de un plazo máximo razonable desde que tenga constancia de la violación, con la información de que disponga en ese momento, incluyendo:

  • Descripción de la naturaleza de la violación de seguridad, categorías y número aproximado de interesados afectados y de registros de datos afectados.
  • Nombre y datos de contacto de la persona de contacto en el ENCARGADO.
  • Descripción de las posibles consecuencias de la violación.
  • Descripción de las medidas adoptadas o propuestas para remediar la violación y, en su caso, para mitigar los posibles efectos negativos.

El ENCARGADO colaborará con el RESPONSABLE para facilitarle el cumplimiento de sus obligaciones de notificación a la Agencia Española de Protección de Datos y, en su caso, a los interesados, de conformidad con los artículos 33 y 34 RGPD.

10. Auditorías y comprobaciones

El ENCARGADO pondrá a disposición del RESPONSABLE la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en este Contrato y en el artículo 28 RGPD, incluyendo, en su caso, documentación relativa a las medidas de seguridad y a los subencargados utilizados.

El RESPONSABLE podrá, cuando lo considere necesario y con un preaviso razonable, realizar auditorías o inspecciones, directamente o a través de un tercero independiente designado por él, que podrán consistir prioritariamente en revisiones documentales. Las auditorías se realizarán de manera razonable, sin interferir de forma desproporcionada en la actividad del ENCARGADO y, salvo disposición legal en contrario, los costes derivados de dichas auditorías serán asumidos por el RESPONSABLE.

11. Destino de los datos al término del servicio

Una vez finalizada la prestación de los servicios que implican el tratamiento de datos personales por parte del ENCARGADO, éste:

  1. a) Devolverá al RESPONSABLE, a petición de éste, los datos personales tratados por cuenta del RESPONSABLE (por ejemplo, mediante herramientas de exportación o descarga), y/o
    b) Suprimirá o anonimizará los datos personales que obren en su poder y en el de sus subencargados, salvo que exista una obligación legal de conservación o que el RESPONSABLE solicite por escrito su conservación durante un determinado plazo.

En cualquier caso, el ENCARGADO no conservará los datos personales más tiempo del necesario en función de las finalidades del tratamiento y de las instrucciones del RESPONSABLE, ni decidirá por sí mismo los plazos de conservación más allá de lo imprescindible para la correcta finalización del servicio y el cumplimiento de obligaciones legales.

12. Transferencias internacionales de datos

En la medida en que los subencargados utilizados por el ENCARGADO impliquen transferencias internacionales de datos fuera del Espacio Económico Europeo, el ENCARGADO se compromete a:

  • Utilizar únicamente proveedores que ofrezcan garantías adecuadas de conformidad con el capítulo V del RGPD (p. ej., decisiones de adecuación de la Comisión Europea, cláusulas contractuales tipo, medidas complementarias, etc.).
  • Informar al RESPONSABLE de la base jurídica utilizada para dichas transferencias, cuando éstas sean relevantes para el tratamiento objeto de este Contrato.

13. Responsabilidad

Cada Parte responderá de los daños y perjuicios que se deriven del incumplimiento de sus propias obligaciones en virtud del RGPD, la LOPDGDD y el presente Contrato.

Cuando el ENCARGADO infrinja el RGPD determinando los fines y medios del tratamiento, será considerado responsable del tratamiento respecto a dicho tratamiento concreto, asumiendo las responsabilidades correspondientes.

14. Ley aplicable y jurisdicción

El presente Contrato se regirá e interpretará de conformidad con el Derecho español, en particular por el RGPD y la LOPDGDD.

Para cualquier controversia relacionada con la validez, interpretación, ejecución o resolución del presente Contrato que no pueda resolverse de forma amistosa, las Partes se someterán a los juzgados y tribunales competentes del territorio español que resulten aplicables conforme a la normativa procesal vigente.

Las Partes aceptan el presente Contrato mediante la aceptación electrónica de los Términos de Uso y del Contrato de Encargo de Tratamiento durante el proceso de registro, quedando registrada la fecha y demás datos técnicos de dicha aceptación.

 

Firmable
Resumen de privacidad

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.