Condiciones Generales de Contratación (Herramienta de reserva)

Hospitality Digital GmbH, Metrostraße 1, D-40235 Düsseldorf (“H.d”) ofrece a las empresas del sector de la restauración y la hotelería (“ Cliente ”) servicios gratuitos de prestación exclusiva por Internet quey se describen con más detalle a continuación (los “ Servicios”). Algunos Servicios pueden estar disponibles únicamente con posterioridad al registro del Cliente.

1. Ámbito de aplicación

1.1 H.d prestará los Servicios y demás ventajas únicamente en base a las presentes Condiciones Generales de Contratación (“CGC”).

2. Alcance de los Servicios

2.1 Los Servicios incluyen las ventajas siguientes, ofrecidas por H.d durante la vigencia del contrato:

(a) H.d proveerá al Cliente el espacio de alojamiento al en los sistemas de H.d al que el Cliente podrá acceder a través de Internet (el “ Espacio de Alojamiento”). (Véase el epígrafe 4).

(b) H.d otorgará al Cliente acceso online al software que permita a éste último integrar, utilizar y gestionar el software de reserva online en su propia página web,así como almacenar y administrar los datos recogidos en el Espacio de Alojamiento. (el “Software”)(Véase el epígrafe 5)

2.2 Para ampliar el alcance, H.d también puede poner la disponibilidad real de reservas (horarios, mesas y número de personas) a disposición de terceros (p.ej. "Reservar con Google").Sin embargo, las solicitudes de reserva entrantes son administradas exclusivamente por el software H.d. Dado que algunos proveedores externos exigen un número mínimo de personas para la aceptación automática de las reservas, H.d. establece cuatro personas como número predeterminado. El cliente puede cambiar esta configuración en cualquier momento. Sin embargo, tal cambio puede ocasionar que los terceros no muestren las reservas disponibles.

2.3 H.d podrá ofrecer otras ventajas adicionales al Cliente, cuyo alcance estará coordinado con éste y su prestación estará sujeta a lo dispuesto en estas CGC.

2.4 H.d podrá adaptar los Servicios y otras prestaciones a los avances técnicos y tecnológicos o a necesidades de H.d, siempre y cuando los ajustes respectivos sean razonables para el Cliente. H.d podrá también suspender los Servicios y otras prestaciones notificándolo de forma previa al Cliente.

3. Obligaciones del Cliente

3.1 El Cliente estará obligado a mantener actualizada la información comercial y de contacto facilitada en la suscripción del contrato durante el período de vigencia del mismo e informará puntualmente H.d de cualquier cambio.. Además, el Cliente se asegurará asimismo de consultar regularmente el correo electrónico que facilite a H.d para recibir información relevante sobre el contrato.

3.2 El Cliente protegerá toda la información y los datos de acceso que reciba de H.d del acceso no autorizado de terceros. El Cliente informará sin demora a H.d en caso de que tenga la sospecha fundada o el conocimiento de un posible mal uso de la información y/o los datos de acceso facilitados.

3.3 El Cliente reconoce que el uso del software de reserva online podrá asociarse a H.d. Por ello, el Cliente tomará todas las medidas necesarias para mantener los servicios ofrecidos por el Cliente y los servicios ofrecidos por H.d o terceros separados en cuanto a su contenido.

3.4 En caso de que el Cliente tenga conocimiento de que al hacer uso de los Servicios u otras ventajas vulnera alguna norma legal o lesionara derechos de terceros, deberá cesar y desistir en el acto de realizar dicho uso , incluida la eliminación de los contenidos lesivos.

4. Disposiciones especiales sobre el espacio de almacenamiento

4.1 El Espacio de Alojamiento se ofrece al Cliente de forma gratuita. Por ello, H.d no puede garantizar una disponibilidad determinada del Espacio de Alojamiento. Asimismo, el Espacio de Alojamiento no estará disponible durante los trabajos de mantenimiento necesarios. H.d se esforzará por minimizar, en la medida de lo posible, los perjuicios causado por dichos trabajos de mantenimiento. H.d pondrá a disposición del Cliente otras especificaciones de rendimiento del Espacio de Alojamiento antes de la celebración del contrato. El Cliente no tendrá derecho a reclamar cantidad o indemnización alguna a H.d por la falta de disponibilidad del Espacio de Alojamiento.

4.2 El Clientese obliga y garantiza que todos los archivos, incluidos los documentos de HTML y otros documentos, textos, imágenes, gráficos, escritos, vídeos, etc. (el“Contenido”) se almacenarán, publicarán y/o facilitarán en el Espacio de Alojamientoexclusivamente de conformidad con la legislación vigente. En particular, el Cliente solo almacenará en el Espacio de Alojamiento y/o a través del Software el Contenido del que posea los derechos necesarios, incluidos los derechos de uso y explotación conforme a la normativa de propiedad intelectual e industrial, y dicho Contenido no podrá infringir ningún derecho de terceros. Además, el Cliente no almacenará, publicará y/o pondrá a disposición en el Espacio de Alojamiento Contenido de naturaleza inmoral, en particular pornográfico, racista o discriminatorio o que sea contrario a cualquier normativa legal aplicable. H.d está autorizada a eliminar cualquier Contenido, almacenado en el Espacio de Alojamiento y/o con la ayuda del Software, que vulnere el epígrafe 4 del que H.d haya sido informado a través de organismos públicos, tribunales, titulares de derechos, o terceros o que conozca de cualquier otra manera.

4.3 Mediante la contratación de los Servicios de H.d, El Cliente otorga a H.d los derechos necesarios respecto a todo el Contenido que el Cliente almacene, publique y/o ponga a disposición del público en el Espacio de Alojamiento y/o con la ayuda del Software, en particular, los derechos necesarios para almacenar el Contenido, adaptar técnicamente, ponerlo a disposición del público y reproducir el mismo. H.d solo tendrá acceso al Contenido del Cliente en el Espacio de Alojamiento, en la medida que sea técnicamente necesario para facilitar y/o publicar dicho Contenido, así como para las facultades otorgadas por contrato.

4.4 El Cliente tampoco podrá ejecutar o hacer ejecutar en el Espacio de Alojamiento y/o con la ayuda del Software procesos automatizados, secuencias de comandos, softwares u otros datos y/o contenidos y/o acciones de cualquier naturaleza que sean sustancialmente perjudiciales para los sistemas, las redes y/u otro hardware o software o componentes de red de H.d y/o terceros. Cuando H.d haya sido informado de un daño de ese tipo, estará autorizada a detener dicho daño y/o a prevenirlo.

4.5 El Cliente realizará copias de seguridad a diario para permitir la recuperación del Contenido en el Espacio de Alojamiento sin que ello suponga un coste adicional.

4.6 El Cliente se configurará frente al cliente final/los usuarios como entidad responsable por lo que estará obligado a mantener jurídicamente conforme y actualizado el aviso legal propio de que se trate dentro de las CGC y las disposiciones sobre protección de datos proporcionados.

5. Disposiciones especiales sobre software

El Cliente tendrá no podrá acceder ni usar el Software en nombre de un tercero o para otros fines distintos a los previstos en el presente documento. En particular, el Cliente no está autorizado reproducir y/o copiar el Software, ponerlo a disposición de terceros, desinstalar el Software o modificarlo o manipularlo de otro modo.

6. Vencimiento del contrato, vigencia y rescisión.

6.1 El contrato se perfeccionará en el momento de la aceptación de las presentes CGC. .

6.2 El contrato se celebrará por tiempo indefinido y podrá ser rescindido por el Cliente en todo momento y por H.d, siempre y cuando se notifique a la otra parte con un plazo de dos (2) semanas de antelación.

6.3 Las rescisiones de H.d deberán efectuarse por escrito o por correo electrónico. El Cliente normalmente rescindirá el contrato seleccionando y confirmando en el software la opción correspondiente para el borrado de sus contenidos.

6.4 El derecho de las partes a la rescisión inmediata del contrato por causa justa permanece intacto. Existirá una causa justa en especial cuando el contratante vulnere una obligación estipulada en los puntos 3, 4, 5, 6, y 8.

6.5 Tras la finalización del contrato, sea cual sea el motivo, H.d borrará en el plazo de treinta (30) días todos los datos almacenados por el contratante en el espacio de almacenamiento en el marco de la relación contractual, siempre que el contratante no los borre él mismo a través del software.

7. Garantía y responsabilidad, exención

7.1 H.d y sus agentes o representantes legales solo responderán por los servicios y las prestaciones que H.d ponga a disposición del contratante de forma gratuita en caso de actos dolosos, negligencia grave, así como por vicios ocultados de mala fe, si bien la responsabilidad de H.d en caso de pérdida de datos se limitará al gasto de recuperación que se habría producido al realizar una copia de seguridad diaria. La responsabilidad conforme a la Ley alemana de responsabilidad por productos (Produkthaftungsgesetz) y la Ley alemana sobre el salario mínimo ( Mindestlohngesetz) permanece intacta.

7.2 El Cliente reconoce que H.d es un mero intermediario entre el Cliente y el consumidor final , y en este sentido acepta serel único responsable de los contenidos ofrecidos y de los servicios prestados a los consumidores finales. Por ello, el Cliente eximirá al primer requerimiento y mantendrá indemne a H.d, sus agentes y representantes legales, así como a las empresas asociadas a H.d con arreglo al Art. 15 de la Ley alemana sobre acciones (Aktiengesetz) de todas las pretensiones de terceros que estos reclamen frente a H.d, sus agentes, representantes legales y/o empresas asociadas a H.d en virtud de o en relación con los contenidos, servicios y/u otras prestaciones ofrecidos y/o prestados por el Cliente a los usuarios o consumidores finales. Esto se aplicará especialmente a las lesiones de derechos de marca, autor, protección de datos, de los consumidores y usuarios y de la competencia. Esta exención también incluye los gastos necesarios de las acciones judiciales, incluidos los costes de un procedimiento de arbitraje.

7.3. H.d no asumirá ningún tipo de responsabilidad derivada del uso indebido, incorrecto o ilícito o contrario a las presentes CGC por parte del Cliente de su página web, su Espacio de Alojamiento (incluidos los Contenidos alojados en el mismo) o su subdominio, ni tampoco por los daños que este uso pudiera causar a terceros.

8. Protección de datos y confidencialidad

8.1 H.d es responsable del procesamiento de los datos personales recopilados por el Cliente. H.d procesa los datos personales exclusivamente para la ejecución de este contrato, por ejemplo para establecer contacto y prestar los servicios. Sin la facilitación de dichos datos personales, la ejecución del contrato no es posible. Este procesamiento de datos personales se basa en el artículo 6, párrafo 1, cláusula 1 (b) del Reglamento General de Protección de Datos (RGPD). Tras la finalización del contrato se eliminarán los datos personales del Cliente, a menos que existan imperativos jurídicos que requieran que los datos personales se almacenen durante un periodo más largo. En ese caso, los datos personales no se pueden utilizar para otros fines y deben eliminarse en cuanto expire el periodo de retención legalmente prescrito. Con el fin de implementar el contrato, H.d utiliza el apoyo de proveedores de servicios para el mantenimiento y otros servicios, por ejemplo en el ámbito del alojamiento. De acuerdo con la sección 15 et seqq. de la Ley de Sociedades Anónimas (AktG) de Alemania, dichos proveedores de servicios pueden ser empresas externas o empresas afiliadas a H.d. Mediante acuerdos contractuales con los proveedores de servicios, H.d garantiza que los datos personales se procesan de acuerdo con los requisitos de la RGPD, incluso si se procesan fuera de la UE o del EEE. Para ejercer los derechos del Cliente de acuerdo con el RGPD,

· Obtener información relativa al tratamiento de sus datos personales y una copia de esos datos (art. 15 del RGPD).

· Corregir los datos personales incorrectos y consignar los incompletos (art. 16 del RGPD).

· Eliminar sus datos personales y, si se han hecho públicos, que H.d comunique a otras personas responsables la solicitud de su eliminación (art. 17 del RGPD).

· Restringir el tratamiento de sus datos personales (art. 18 del RGPD).

· Acceder a la portabilidad de los datos, de forma que se le entreguen en un formato estructurado, estándar y legible por máquina, y transferir esos datos a otra parte responsable sin impedimento por parte de H.d (art. 20 del RGPD).

· Oponerse al tratamiento de sus datos personales (art. 21 del RGPD).

el cliente puede contactar en cualquier momento con el responsable de protección de datos de H.d (privacy@hd.digital). Además, tiene derecho a presentar una reclamación ante la autoridad de supervisión competente si cree que el tratamiento de sus datos contraviene el RGPD (art. 77 del RGPD).

En caso de que el Cliente encargue a H.d un tratamiento diferente de datos, el Cliente suscribirá los acuerdos contractuales necesarios con H.d antes de comenzar dicha actividad.

8.2 Respecto de los datos de los consumidores y/o usuarios finales recabados por H.d, éstos serán cedidos al Cliente con la finalidad de que pueda prestarles el servicio solicitado por el consumidor y/o usuario a través de la página web o subdominio creado por el Cliente.

8.3. El Cliente será el único responsable del cumplimiento de las disposiciones correspondientes en materia de protección de datos y de servicios de la sociedad de la información que le resulten aplicables, incluido el cumplimiento de los deberes de información existentes en relación con la página web que el Cliente haya creado con el software.

8.4 Las partes están obligadas a no facilitar el acceso a terceros a información confidencial durante la vigencia del contrato y hasta que transcurran dos (2) años desde el final del período de vigencia del contrato y a no utilizarla para otros fines no previstos en el contrato. Se considerará confidencial toda la información relativa a las informaciones técnicas y conocimientos facilitados al contratante, así como cualquier otra información señalada por una de las dos partes como confidencial y que posea un valor económico.

8.4 El deber de confidencialidad no afectará a la información que sin que exista un quebrantamiento del deber de confidencialidad de una parte ya se haya puesto en conocimiento o ya sea conocimiento de una parte o del público en general, o que en virtud de una orden legal, judicial o administrativa deba facilitarse a terceros o sea vista por terceros obligados a guardar secreto en el marco de la compra prevista de la empresa.

9. Remuneración

9.1 El Cliente no deberá ninguna remuneración por la prestación de los servicios de H.d. Los servicios se prestan de forma gratuita.

9.2 Las prestaciones de terceros que se puedan proporcionar en el marco de una ampliación de prestaciones no se verán afectadas por el punto 9.1.

10. Otras disposiciones

10.1 Cliente garantiza que la persona física que ha facilitado sus datos y ha actuado en nombre y representación del Cliente para la contratación de los servicios de H.d, cuenta con la habilitación legal suficiente para actuar en nombre del Cliente y formalizar la contratación de los servicios de H.d. El Cliente asumirá cualquier tipo de responsabilidad en este sentido, manteniendo a H.d indemne por cualquier daño o perjuicio causado por este motivo.

10.2 H.d podrá proporcionar a través de subcontratistas algunas o todas las prestaciones que deba en el marco de este contrato, en particular los servicios. En este sentido, el Cliente acepta que H.d subcontrate asu filial Hospitality systems GmbH para la prestación de parte de los Servicios, y en este sentido trasladará a Hospitality systems GmbH las mismas obligaciones asumidas por H.d en las presentes CGC.

10.3 H.d podrá modificar estas CGC frente al Cliente tras anunciarlo previamente, incluidas las modificaciones previstas. H.d solo podrá llevar a cabo modificaciones de las CGC en un alcance razonable para el Cliente y siempre que las modificaciones no afecten a deberes contractuales esenciales o la modificación no perjudique en general al Cliente. La transmisión ya prevista a día de hoy de los derechos y deberes de H.d aquí descritos a la filial Hospitality.systems GmbH se considera razonable. El Cliente podrá oponerse a una modificación de las CGCen el plazo de seis (6) semanas tras la recepción de la comunicación o rescindir el contrato sin tener que observar un plazo determinado. Cuando el contratante no se oponga a la modificación de las CGC o no lo haga dentro de plazo, se considerará otorgado su consentimiento a la modificación de las CGC. H.d advertirá en cada caso al contratante de las consecuencias de la no oposición y del derecho a la rescisión inmediata del contrato al comunicar las modificaciones de las CGC.

10.4 En caso de que una disposición de este contrato sea o resulte total o parcialmente nula, ineficaz, impracticable o inejecutable (“disposición errónea”), la eficacia y la practicabilidad de las demás disposiciones de este contrato no se verán afectadas por ello. Las partes se obligan por la presente a acordar una disposición en lugar de la disposición errónea que, dentro del marco legal, se aproxime en todo lo posible a aquello que las partes habrían acordado conforme al sentido y la finalidad de este contrato en caso de que hubieran detectado el carácter erróneo de la disposición. En caso de que el carácter erróneo de una disposición se deba a una medida de la prestación o de tiempo (plazo o fecha) establecida en ella, entonces la disposición deberá acordarse con una medida jurídicamente aceptada que se acerque en todo lo posible a la medida original. Lo mismo se aplicará para cualquier laguna reguladora de este contrato. Es voluntad expresa de las partes que esta cláusula de salvedad no tenga como consecuencia la inversión de la carga de prueba, sino derogar el Art. 139 del Código Civil alemán (BGB).

10.5 El contrato y todos los derechos y pretensiones derivados o relacionados con el contrato están sujetos exclusivamente al Derecho alemán, con exclusión de las normas de conflicto, y deberán interpretarse y aplicarse con arreglo al Derecho alemán. Se excluye la aplicación de la Convención de las Naciones Unidas sobre los Contratos de Compraventa Internacional de Mercaderías (CISG).

10.6 El fuero competente exclusivo para todas las controversias derivadas o relacionadas con este contrato, su perfeccionamiento o su ejecución es Düsseldorf, siempre que la Ley así lo permita.

Version: Febr. 2019/AG



PROCESAMIENTO DE ÓRDENES

Al confirmar las Condiciones generales anteriores, el Cliente ("Persona responsable") y H.d ("Procesador"), en conjunto las "Partes" e individualmente "Parte", entablan el siguiente Contrato de tratamiento de datos ("DPA").

Preámbulo

En el marco de sus actividades de negocio y de acuerdo con las Condiciones generales anteriores, el Procesador recibe datos personales de los que es responsable la Persona responsable. Las Partes aceptan las disposiciones de este DPA, a fin de cumplir las obligaciones de protección de datos de las Partes, de acuerdo con la legislación europea de protección de los datos, en especial, el Reglamento General de Protección de datos (art. 28 del RGPD).

1. Definiciones

1.1 Son datos personales toda información relacionada con una persona natural identificada o identificable ("Persona afectada"). Se considera que una persona natural es identificable si puede ser identificada directa o indirectamente a través de la asociación con un identificador que puede ser, por ejemplo, un nombre, número de identificación, datos de ubicación, identificador online o una o varias características especiales que expresen la identidad física, fisiológica, genética, mental, económica, cultural o social de esa persona (en lo sucesivo, los "Datos").

1.2 El procesamiento de datos en nombre de otra persona es la recopilación, el tratamiento o el uso de datos por parte del Procesador y en nombre de la Persona responsable.

2. Materia y contenido de la orden

2.1 Materia y duración de la orden

Los detalles y la duración de la orden resultan de las Condiciones generales anteriores.

2.2 Tipo de datos

El tipo de datos se describe con detalle en las Condiciones generales y en la Política de privacidad.

2.3 Propósito de la recopilación, el tratamiento y el uso de los datos

El propósito de la recopilación, el tratamiento o el uso de los datos se describen con detalle en las Condiciones generales y en la Política de privacidad.

2.4 Naturaleza y alcance de la recopilación, el tratamiento y el uso de los datos

La naturaleza y el alcance de la recopilación, el tratamiento o el uso de los datos se describen con detalle en las Condiciones generales y en la Política de privacidad.

2.5 Categoría de las Personas afectadas

(a) Datos propios del Cliente

(b) Clientes

2.6 Medidas técnicas y organizativas

(a) Las medidas técnicas y organizativas que implementará el Procesador se establecerán en el Anexo (véase a continuación) de ese DPA. El Procesador adaptará regularmente estas medidas a la técnica anterior a sus expensas, siempre que el nivel acordado de protección no se reduzca y que se informe de manera inmediata a las Personas responsables.

(b) El Procesador debe permitir que la Persona responsable verifique el cumplimiento en el sitio de las medidas técnicas y organizativas antes de comenzar las actividades de procesamiento en virtud del contrato. El derecho de auditoría de la Persona responsable según el número 2.10 permanece intacto.(c) El Procesador se asegurará de que los sistemas de procesamiento de datos utilizados en el marco de este DPA cumplirán con los estándares de "privacidad por diseño" y "privacidad por defecto", de acuerdo con la técnica anterior.

2.7 Corrección, eliminación y bloqueo de los datos, derecho a la portabilidad de los datos y derecho de oposición

(a) Los derechos de las personas que participan en el tratamiento de los datos a cargo del Procesador (en especial, la rectificación, el borrado y bloqueo, la portabilidad de los datos y la oposición) se harán valer frente al Controlador. Este es el único responsable de la protección de estos derechos.

(b) En el transcurso de su trabajo para la Persona responsable, el Procesador está obligado a transferir toda solicitud que le sea dirigida por personas afectadas a la persona responsable del tratamiento adecuado sin demora. Si la Persona responsable y el Procesador actúan conjuntamente como personas responsables externas, el Procesador está autorizado a responder esta solicitud de modo independiente.

(c) El Procesador también debe ayudar a la Persona responsable con medidas técnicas y organizativas adecuadas, a fin de cumplir su obligación de responder a las personas afectadas.

(d) De acuerdo con las instrucciones de la Persona responsable, el Procesador deberá rectificar, suspender y/o borrar los datos inmediatamente, en un plazo máximo de cinco (5) días e informar al Procesador antes de que se cumpla ese plazo.

2.8 Deberes del Procesador

(a) El Procesador solamente podrá recopilar, procesar y utilizar los datos en el contexto de la orden y las instrucciones de la Persona responsable que estén documentadas.

(b) El Procesador debe cumplir las medidas técnicas y organizativas definidas en la Cláusula 2.6 de este DPA a intervalos regulares y enviarlas cuando así se solicite.

(c) El Responsable de protección de datos es designado persona de contacto para la protección de los datos del Procesador. Se puede contactar con esta persona a través de la dirección: privacy@hd.digital. En caso necesario, el Procesador también designará a un representante, de acuerdo con el art. 27 del RGPD.

(d) El Procesador es responsable de mantener la confidencialidad. Cualquier persona del Procesador autorizada a acceder a los datos de la Persona responsable deberá someterse al deber de confidencialidad o a secreto profesional razonable, y deberá ser informada de las obligaciones especiales de protección de datos que resulten de este CPD, así como de las instrucciones y la finalidad existentes. El Procesador documentará estas obligaciones por escrito y las proporcionará cuando la Persona responsable así lo solicite.

2.9 Justificación de las condiciones de subcontratación

(a) Está permitido justificar relaciones de subcontratación. El Procesador deberá informar a la Persona responsable sobre el cambio pertinente por adelantado. La Persona responsable tiene derecho a oponerse.

(b) Si hay un encargo de otros procesadores, el Procesador deberá garantizar por contrato que las obligaciones del Procesador definidas en virtud de este CPD también se aplicarán de acuerdo con los otros procesadores.

(c) El Procesador deberá controlar las medidas técnicas y organizativas que tomen los demás procesadores ad-hoc y con regularidad durante el periodo de subcontratación, a fin de proteger los datos suministrados. Los datos solo se pueden transferir si el otro procesador ha implementado las medidas técnicas y organizativas de acuerdo con las especificaciones de este CPD, como mínimo.

(d) El Procesador será enteramente responsable de los subcontratistas que emplee.

2.10 Derechos de auditoría de la Persona responsable

La Persona responsable está autorizada a verificar el cumplimiento con la normativa aplicable de protección de datos y con el DPA durante el horario de trabajo habitual. El Procesador acepta proporcionar a la Persona responsable toda la información necesaria dentro de lo razonable para llevar a cabo la inspección en un plazo de tiempo razonable. Cuando la Persona responsable considere que se requiere una auditoría en las instalaciones por parte el Procesador, este deberá garantizar que la persona responsable de llevar a cabo la auditoría tendrá acceso a la oficina del Procesador y una inspección in situ de los datos almacenados y de los programas de tratamiento de los datos. La Persona responsable está autorizada a designar en casos individuales a un tercero (examinador) para que lleve a cabo las pruebas. La Persona responsable debe anunciar la ejecución de tal auditoría por escrito al menos veinte (20) días por adelantado. La Persona responsable asumirá el coste de llevar a cabo la auditoría y los gastos en los que incurra el Procesador a tarifas normales del mercado.

2.11 Notificaciones de infracciones del Procesador

(a) El Procesador deberá notificar a la Persona responsable sin demora, y como muy tarde en un plazo máximo de cuarenta y ocho (48) horas a partir del descubrimiento, de todos los casos en los que el Procesador o las personas o subcontratistas empleados por él o por ella hayan infringido las normas que rigen la protección de los datos de la Persona responsable o las condiciones definidas en este DPA.

(b) La Persona responsable deberá ser notificada de cualquier caso de pérdida o transmisión/recepción ilegítima por terceros, sea cual sea la causa. El Procesador, previa consulta con la Persona responsable, deberá tomar medidas adecuadas para proteger los datos y paliar las consecuencias adversas posibles de las personas afectadas. En la medida en que las personas responsables cumplan con las obligaciones de notificación, el Procesador deberá ayudar a la Persona responsable a cumplir con estas obligaciones.

2.12 Instrucciones de la Persona responsable

(a) El Procesador solamente podrá procesar datos de la Persona responsable en el contexto del DPA y las instrucciones concretas notificadas por el Procesador.

(b) El Procesador deberá cumplir sin demora con las instrucciones (individuales) relativas a la naturaleza, el alcance y el método de tratamiento o, en su caso, en el límite temporal definido por la Persona responsable.

(c) El Procesador deberá notificar a la Persona responsable sin demora si, en opinión del Procesador, las instrucciones emitidas por la Persona responsable infringen normativas de protección de los datos. El Procesador deberá estar autorizado a suspender la ejecución de la instrucción relevante hasta que una Persona responsable la confirme o modifique.

2.13 Eliminación una vez finalizada la orden

Una vez finalizado el trabajo establecido por contrato, el Procesador debe entregar todos los datos que haya procesado por la Persona responsable o, previo consentimiento de la Persona responsable, destruirlos de acuerdo con la protección de los datos o eliminarlos de acuerdo con la técnica anterior. Queda excluido el derecho de conservación respecto a los documentos, datos y resultados de tratamiento y de uso, y de los soportes de datos asociados, a menos que la legislación de la Unión Europea o de un estado miembro de la UE exija el almacenamiento de los datos.

3. Otras obligaciones del Procesador

3.1 El Procesador no utilizará para ningún otro fin los datos proporcionados para el procesamiento de los datos. No podrán crearse copias ni duplicados sin el conocimiento y sin consentimiento previo por escrito de la Persona responsable, a menos que deba realizarse para los servicios ordenados en el DPA. El Procesador deberá garantizar que los datos procesados por él para la Persona responsable están separados de cualquier otro dato. El Procesador no llevará a cabo ninguna transmisión de datos de la Persona responsable a terceros sin el consentimiento previo por escrito de la Persona responsable.

3.2 El Procesador deberá proporcionar ayuda razonable a los responsables de la defensa ante reclamaciones con base en una infracción real o pretendida de los requisitos de protección de datos. La Persona responsable, por su parte, investigará las reclamaciones de titulares de los datos en el contexto de la responsabilidad en materia de protección de datos de la Persona responsable de modo adecuado y también procesará las reclamaciones de titulares de los datos.

3.3 El Procesador confirma que la información se entrega a las personas afectadas sobre la base de un derecho a la información exclusivamente a través de la Persona responsable o de una persona autorizada por la Persona responsable. El Procesador está obligado a proporcionar a la Persona responsable la información necesaria de manera puntual y a asistir a la Persona responsable. Si el propio Procesador también actúa como Persona responsable externa, estas consultas también pueden responderse de manera oportuna y se informará oportunamente a la Persona responsable.

3.4 El Procesador deberá asistir al Controlador en la preparación de los índices de procedimientos necesarios, donde sea aplicable.

3.5 El Procesador deberá ayudar a la Persona responsable a llevar a cabo evaluaciones de impacto de la protección de los datos cuando es probable que un tipo de tratamiento resulte en un elevado riesgo para los derechos y libertades de las personas naturales.

3.6 El Procesador acepta informar a la Persona responsable sin demora de los resultados de las inspecciones llevadas a cabo por las autoridades de supervisión de la protección de los datos, en la medida en que estén relacionadas con este DPA. El Procesador informará a los responsables sobre cualquier queja por parte de esas autoridades que esté relacionada con el ámbito de responsabilidades del Procesador y subsanará todas las quejas identificadas, en la medida en que así lo exija le ley.

4. Responsabilidad

4.1 La Persona responsable es responsable de la habilitación para el tratamiento de los datos, así como de la protección de los derechos de los titulares de los datos.

4.2 Mediante la derogación de la sección 4.1, el Procesador se responsabiliza de reclamaciones por parte de titulares de datos debidas a infracciones de las disposiciones legales aplicables o de las disposiciones del DPA.

4.3 En relación con la Persona responsable, el Procesador solamente es responsable en caso de dolo y negligencia grave, en el grado de exclusión de la responsabilidad y sus limitaciones permisible por ley.

5. Disposiciones finales

5.1 El Controlador deberá informar al Procesador sin dilación y de forma íntegra si durante la auditoría, detecta errores o irregularidades en el tratamiento de los datos por parte del Procesador.

5.2 Este DPA puede modificarse y rescindirse de acuerdo con los mismos términos y condiciones que las Condiciones generales anteriores.

5.3 La no validez de una o varias de las disposiciones de este DPA no afecta al efecto del DPA. Si una o varias de las disposiciones de este DPA resultara sin efecto, las Partes deberán tomar una disposición sustitutoria legalmente efectiva en la medida que sea posible económicamente en el caso de la disposición no efectiva. Lo mismo se aplica en caso de laguna.

5.4 El DPA está sujeto al mismo derecho que las Condiciones generales anteriores.

5.5 Si hubiera contradicciones entre el DPA y otros contratos entre las partes, primarán las disposiciones de este DPA.

Versión: 2018/ AG


Medidas técnicas y organizativas

Tomando en consideración la técnica anterior, los costes de implementación y la naturaleza, el alcance, las circunstancias y los propósitos del procesamiento, y la probabilidad y gravedad del riesgo para los derechos y libertades de las personas naturales, el Procesador deberá implementar medidas técnicas y organizativas adecuadas para garantizar un grado de protección adecuado al riesgo. Estas medidas incluyen, de forma no exhaustiva, las siguientes:

• la seudonimización y el cifrado de los datos;

• la capacidad de garantizar de modo permanente la confidencialidad, integridad, disponibilidad y resilencia de los servicios y sistemas de procesamiento;

• la capacidad de restaurar rápidamente la accesibilidad y disponibilidad de los datos en caso de incidente técnico o físico; y

• un proceso de evaluación, valoración y revisión periódicas de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del procesamiento.

Sin perjuicio de lo anterior, se tomarán las medidas siguientes:

1. Control de accesos

Medidas para impedir que personas no autorizadas accedan al sistema de tratamiento de datos utilizado para procesar los datos:

• especificación del grupo de personas autorizado y documentación correspondiente;

• control de acceso electrónico;

• emisión de ID de acceso;

• establecimiento de pautas para individuos externos;

• alarma o seguridad fuera del horario de trabajo;

• distribución de instalaciones en diferentes zonas de seguridad;

• establecimiento de pautas para el manejo de llaves (tarjetas);

• puertas de seguridad (abrepuertas electrónico, lector de ID, videovigilancia); y

• establecimiento de medidas de seguridad en las instalaciones (como notificación o detección de intrusiones).

2. Control de accesos

Medidas para impedir que personas no autorizadas utilicen el sistema de tratamiento de datos y sus procedimientos:

• definición del grupo de personas que pueden acceder a los sistemas de tratamiento de datos; y

• establecimiento de pautas para individuos externos;

• protección de contraseñas para ordenadores personales.

3. Control de accesos

Medidas para garantizar que las personas autorizadas a utilizar las técnicas de tratamiento de datos solamente puedan acceder a los datos sujetos a su autorización:

• establecimiento de derechos de acceso limitado en función de las funciones y datos respectivos;

• obligación de identificación para acceder a los equipos de tratamiento de datos (por ejemplo, mediante un ID o autenticación);

• establecimiento de políticas sobre funciones de usuarios y acceso; y

• evaluación de protocolos en caso de evento dañoso.

4. Control de transferencias

Medidas para garantizar que los datos no se pueden leer, copiar, modificar o eliminar durante la transmisión electrónica, o durante su transporte o almacenamiento en soporte de datos, y que es posible consultar y determinar en qué puntos se proporciona una transmisión de los datos mediante transmisión de datos.

• Cifrado

5. Control de entrada

Medidas para garantizar que es posible verificar y determinar con posterioridad si se han introducido, modificado o eliminado datos en sistemas IT y quién lo ha hecho.

• Registro de entradas de datos.

6. Control de órdenes

Medidas para garantizar que los datos procesados bajo orden solo pueden procesarse de acuerdo con las instrucciones de la Persona responsable.

• documentación de las diferentes competencias y obligaciones entre la Persona responsable y el Procesador;

• encargo formal; y

• control de los resultados de trabajo.

7. Control de disponibilidad

Medidas para garantizar que los datos se protegen frente a pérdida o destrucción accidentales.

• implementar un plan de copias de seguridad habituales;

• proteger el almacenamiento de copias de seguridad de datos en armarios de seguridad contra incendios y resistentes al agua;

• establecimiento y control habitual de un sistema d alimentación de energía y de un sistema de protección contra sobretensiones;

• establecimiento de un plan de emergencia; y

• protocolo sobre el establecimiento de una gestión de crisis y/o emergencias.

8. Control de la separación

Medidas para garantizar que los datos recopilados para fines diferentes pueden procesarse por separado.

• Separación de los datos de cada cliente del Procesador.

Versión: mayo de 2018/ AG