Acuerdo de Procesamiento de Datos

Acuerdo de Procesamiento de Datos

Entre:

[Nombre del Cliente] , sociedad constituida bajo las leyes de [País], con domicilio social en [Dirección del Cliente] (en adelante, el "Responsable del Tratamiento" );

y

AACsearch , sociedad constituida bajo las leyes de [País], con domicilio social en [Dirección de AACsearch] (en adelante, el "Encargado del Tratamiento" ).

Cada uno, una "Parte" ; conjuntamente, las "Partes" .

1. Definiciones

1.1 "Normativa Aplicable de Protección de Datos" : (i) el Reglamento General de Protección de Datos (Reglamento (UE) 2016/679) ("RGPD" ); (ii) la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales ("LOPDGDD" ); y (iii) cualquier otra normativa de protección de datos aplicable.

1.2 "Responsable del Tratamiento" : la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento de datos personales.

1.3 "Interesado" : toda persona física identificada o identificable.

1.4 "Datos Personales" : toda información sobre una persona física identificada o identificable («Interesado»).

1.5 "Violación de Seguridad de los Datos Personales" : toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de Datos Personales, o la comunicación o acceso no autorizados.

1.6 "Tratamiento" : cualquier operación o conjunto de operaciones realizadas sobre Datos Personales, ya sea por procedimientos automatizados o no.

1.7 "Encargado del Tratamiento" : la persona física o jurídica que trate Datos Personales por cuenta del Responsable del Tratamiento.

1.8 "Subencargado del Tratamiento" : cualquier Encargado del Tratamiento contratado por AACsearch para tratar Datos Personales por cuenta del Responsable.

1.9 "Autoridad de Control" : la autoridad pública independiente establecida en un Estado miembro del EEE de conformidad con el artículo 51 del RGPD (en España, la Agencia Española de Protección de Datos – AEPD).

1.10 "Cláusulas Contractuales Tipo (CCT)" : las cláusulas tipo de la Comisión Europea para la transferencia de datos personales a terceros países (Decisión 2021/914 de 4 de junio de 2021).

2. Objeto y Duración

2.1 El presente Acuerdo de Procesamiento de Datos ("APD" ) establece los derechos y obligaciones de las Partes en relación con el Tratamiento de Datos Personales por parte del Encargado del Tratamiento en el marco de la plataforma de búsqueda como servicio (search-as-a-service) de AACsearch.

2.2 El APD permanecerá en vigor durante toda la vigencia del contrato de servicios subyacente entre el Responsable y el Encargado (el "Contrato Principal" ), salvo terminación anticipada conforme a la Cláusula 13.

3. Detalles del Tratamiento

3.1 Naturaleza y Finalidad del Tratamiento: El Encargado proporciona una plataforma de search-as-a-service que indexa, almacena y recupera datos enviados por el Responsable con la finalidad de habilitar funciones de búsqueda de texto completo, búsqueda por facetas y funcionalidades relacionadas en la aplicación, sitio web o propiedades digitales del Responsable.

3.2 Categorías de Datos Personales: Dependiendo de la naturaleza del uso del Servicio por el Responsable, los Datos Personales tratados pueden incluir:

  • Nombres y apellidos

  • Direcciones de correo electrónico

  • Direcciones IP

  • Identificadores de usuario y de cuenta

  • Perfiles de usuario seudonimizados

  • Consultas de búsqueda y datos de comportamiento de navegación

  • Cualquier otro Dato Personal que el Responsable envíe para indexación

    3.3 Categorías de Interesados: Los Interesados pueden incluir:

  • Usuarios finales de la aplicación o sitio web del Responsable

  • Clientes, compradores o visitantes del Responsable

  • Empleados o contratistas del Responsable

  • Cualquier otra persona cuyos Datos Personales el Responsable envíe al Servicio

    3.4 Duración del Tratamiento: El Tratamiento se llevará a cabo durante la vigencia del Contrato Principal. Tras la finalización, el Encargado eliminará o devolverá todos los Datos Personales conforme a la Cláusula 12.

4. Obligaciones del Responsable del Tratamiento

4.1 El Responsable declara y garantiza que: (a) Ha obtenido todos los consentimientos necesarios y dispone de una base legal para el Tratamiento de Datos Personales; (b) Ha proporcionado toda la información requerida a los Interesados; (c) Ha cumplido y cumplirá con toda la Normativa Aplicable de Protección de Datos; (d) Es el único responsable de la exactitud, calidad y legalidad de los Datos Personales enviados al Encargado.

4.2 El Responsable será responsable de responder a las solicitudes de los Interesados, salvo que el Encargado esté legalmente obligado a responder directamente.

5. Obligaciones del Encargado del Tratamiento

5.1 El Encargado tratará los Datos Personales únicamente siguiendo instrucciones documentadas del Responsable, salvo que la ley aplicable exija lo contrario.

5.2 El Encargado garantizará que las personas autorizadas para tratar los Datos Personales estén sujetas a una obligación de confidencialidad.

5.3 El Encargado implementará las medidas técnicas y organizativas adecuadas conforme a la Cláusula 7.

5.4 El Encargado informará inmediatamente al Responsable si, en su opinión, una instrucción infringe la Normativa Aplicable de Protección de Datos.

6. Subencargados del Tratamiento

6.1 Autorización General: El Responsable otorga una autorización general para que el Encargado recurra a Subencargados. El Encargado mantendrá una lista actualizada de Subencargados, disponible en https://aacsearch.com/sub-processors o según lo establecido en el Anexo 1.

6.2 Notificación de Cambios: El Encargado notificará al Responsable cualquier cambio en los Subencargados con al menos [30] días de antelación.

6.3 Derecho de Oposición: Si el Responsable se opone a un nuevo Subencargado por motivos justificados de protección de datos y no se resuelve la objeción en [30] días, cualquiera de las Partes podrá resolver los servicios afectados.

6.4 Obligaciones Contractuales: El Encargado impondrá a los Subencargados, mediante contrato escrito, las mismas obligaciones de protección de datos que las establecidas en el presente APD.

7. Medidas Técnicas y Organizativas

7.1 El Encargado implementará y mantendrá medidas técnicas y organizativas apropiadas, que incluyen:

(a) Control de Acceso: Control de acceso basado en roles, autenticación multifactor y principio de mínimo privilegio.

(b) Cifrado: Cifrado de Datos Personales en reposo mediante AES-256 o equivalente, y en tránsito mediante TLS 1.2 o superior.

(c) Seguridad de Red: Cortafuegos, sistemas de detección/prevención de intrusiones y análisis periódicos de vulnerabilidades.

(d) Seguridad Física: Acceso restringido a centros de datos con vigilancia 24/7, controles biométricos y videovigilancia.

(e) Continuidad del Negocio: Copias de seguridad periódicas, procedimientos de recuperación ante desastres y redundancia geográfica.

(f) Seguridad del Software: Ciclo de vida de desarrollo seguro (SDLC), pruebas de penetración periódicas y revisiones de código.

(g) Seguridad del Personal: Verificaciones de antecedentes, acuerdos de confidencialidad y formación periódica en protección de datos.

(h) Registro y Supervisión: Registros de auditoría exhaustivos de todos los accesos y operaciones, con retención de [12] meses.

7.2 El Encargado evaluará periódicamente la eficacia de estas medidas.

8. Notificación de Violaciones de Seguridad

8.1 El Encargado notificará al Responsable sin dilación indebida (y en cualquier caso dentro de las [24] horas siguientes al conocimiento) cualquier Violación de Seguridad de los Datos Personales.

8.2 La notificación incluirá, como mínimo: (a) Descripción de la naturaleza de la violación; (b) Categorías y número aproximado de Interesados y registros afectados; (c) Datos de contacto del delegado de protección de datos del Encargado; (d) Descripción de las consecuencias probables y medidas adoptadas o propuestas.

9. Derechos de los Interesados

9.1 El Encargado asistirá al Responsable en el cumplimiento de sus obligaciones de respuesta a los derechos de los Interesados (acceso, rectificación, supresión, limitación, portabilidad y oposición), conforme a los artículos 15 a 22 del RGPD.

9.2 El Encargado: (a) Notificará inmediatamente al Responsable si recibe una solicitud de un Interesado; (b) No responderá a la solicitud sin autorización previa del Responsable, salvo que la ley lo exija.

10. Transferencias Internacionales de Datos

10.1 Si el Tratamiento implica transferencias desde el Espacio Económico Europeo ("EEE" ) a un país sin decisión de adecuación (artículo 45 RGPD), las Partes acuerdan que la transferencia se regirá por las Cláusulas Contractuales Tipo (Decisión 2021/914 de la Comisión Europea), que se incorporan por referencia:

(a) Módulo Dos (Responsable a Encargado) aplicable cuando el Responsable actúa como Responsable y el Encargado como Encargado; (b) Módulo Tres (Encargado a Encargado) aplicable a Subencargados; (c) El Responsable es el "exportador de datos" y el Encargado es el "importador de datos" .

10.2 La información requerida en el Anexo I de las CCT figura en el Anexo 2 del presente APD.

11. Legislación Aplicable y Jurisdicción

11.1 Este APD se regirá por la legislación de [Jurisdicción], sin tener en cuenta sus normas de conflicto.

11.2 Cualquier controversia se someterá a la jurisdicción exclusiva de los tribunales de [Jurisdicción].

12. Devolución y Supresión de Datos Personales

12.1 Tras la finalización del Contrato Principal, el Encargado eliminará o devolverá todos los Datos Personales al Responsable en un plazo de [90] días, salvo que la ley exija su conservación.

12.2 La eliminación se realizará conforme a estándares del sector (p. ej., NIST SP 800-88).

13. Vigencia y Terminación

13.1 Este APD surtirá efectos desde la fecha de entrada en vigor del Contrato Principal y continuará hasta la finalización de todo Tratamiento conforme a la Cláusula 12.

14. Responsabilidad

14.1 La responsabilidad de cada Parte en virtud del presente APD estará sujeta a las limitaciones establecidas en el Contrato Principal.

14.2 No se limitará ni excluirá la responsabilidad por infracciones de la Normativa Aplicable de Protección de Datos.

15. Derechos de Auditoría

15.1 Previa notificación por escrito con [30] días de antelación, el Responsable (o un auditor autorizado) podrá auditar el cumplimiento del presente APD, con un máximo de una auditoría por año natural, salvo que una violación de datos o investigación regulatoria justifique auditorías adicionales.

16. Disposiciones Generales

16.1 Este APD constituye el acuerdo íntegro entre las Partes en materia de protección de datos.

16.2 Si alguna disposición resultara inválida o inaplicable, las restantes disposiciones continuarán en pleno vigor y efecto.

Anexo 1: Lista de Subencargados

| Nombre | Domicilio Social | Actividad de Tratamiento | Ubicación del Centro de Datos | | --------------------------- | ------------------ | ---------------------------------------------- | ------------------------------------------------------- | | [Amazon Web Services (AWS)] | [Dirección de AWS] | Alojamiento cloud, almacenamiento, computación | [p. ej., eu-west-1 (Irlanda), eu-central-1 (Frankfurt)] | | [Subencargado adicional] | [Dirección] | [Actividad] | [Ubicación] |

Lista actualizada disponible en: https://aacsearch.com/sub-processors

Anexo 2: Información para Anexos de las CCT

A. Lista de Partes

Exportador de Datos (Responsable):

  • Nombre: [Nombre del Cliente]
  • Dirección: [Dirección del Cliente]
  • Contacto: [Correo electrónico del Cliente]
  • Rol: Responsable del Tratamiento

Importador de Datos (Encargado):

  • Nombre: AACsearch
  • Dirección: [Dirección de AACsearch]
  • Contacto: privacy@aacsearch.com
  • Rol: Encargado del Tratamiento

B. Descripción de la Transferencia

  • Categorías de Interesados: Según Cláusula 3.3
  • Categorías de Datos: Según Cláusula 3.2
  • Datos Sensibles: Ninguno (salvo especificación por escrito)
  • Frecuencia: Continua
  • Finalidad: Plataforma search-as-a-service
  • Período de Retención: Vigencia del Contrato Principal, más [90] días para eliminación

C. Autoridad de Control Competente [Autoridad de Control competente, p. ej., Agencia Española de Protección de Datos (AEPD)]

Anexo 3: Medidas de Seguridad

Las medidas de seguridad detalladas se mantienen en la Documentación de Seguridad del Encargado, disponible en https://aacsearch.com/security o previa solicitud. La Cláusula 7 del presente APD contiene un resumen de dichas medidas.

Este Acuerdo de Procesamiento de Datos es un documento legalmente vinculante. Las Partes reconocen haber leído y comprendido sus términos.