CONTRATO DE ENCARGO DE TRATAMIENTO
Versión con fecha del 25 de mayo de 2018
El presente Contrato de Encargo de Tratamiento («DPA»), forma parte del Contrato, en lo sucesivo, el
«Contrato», que suscriben HOSTCUBIT («HOSTCUBIT») y el Cliente, y que recoge los términos y condiciones
aplicables a los servicios prestados por HOSTCUBIT (los «Servicios»). El presente DPA y el resto del clausulado del
Contrato son complementarios. Sin embargo, en caso de conflicto, el DPA prevalecerá.
El significado de los términos que comienzan por mayúscula y que no se definen en este DPA se
corresponderá con el significado establecido en el Contrato.
El presente DPA, celebrado entre HOSTCUBIT y el Cliente de conformidad con el artículo 28 del Reglamento (UE)
2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las
personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos
(«Reglamento General de Protección De Datos» o «RGPD»), tiene por objeto establecer las condiciones en
las que HOSTCUBIT, como Encargado del Tratamiento y como parte de los Servicios recogidos en el Contrato, tiene
derecho a tratar, siguiendo instrucciones del Cliente, datos personales tal y como se definen en el RGPD
(«Datos Personales»). El tratamiento de Datos Personales por parte de HOSTCUBIT como Responsable del
Tratamiento queda fuera del ámbito de aplicación de este DPA.
A efectos del presente DPA, HOSTCUBIT actúa como «Encargado del Tratamiento» y se entiende que el Cliente
actúa como «Responsable del Tratamiento» siempre que las funciones de «Encargado del Tratamiento» y
«Responsable del Tratamiento » tengan el significado que les otorga el RGPD.
En caso de que el Cliente actúe como encargado del tratamiento por cuenta de un responsable del
tratamiento tercero, las Partes acuerdan expresamente las siguientes condiciones:
(a) El Cliente garantizará (i) que el Responsable del Tratamiento haya concedido todas las autorizaciones
necesarias para celebrar este DPA, incluido el nombramiento de HOSTCUBIT como Subencargado del
Tratamiento por parte del Cliente; (ii) que, de conformidad con el artículo 28 del RGPD, se haya
celebrado un contrato con el Responsable del Tratamiento que se ajuste plenamente a los términos y
condiciones del Contrato, incluyendo este DPA; (iii) que cualquier instrucción que HOSTCUBIT reciba por
parte del Cliente en aplicación del Contrato y de este DPA se ajuste plenamente a las instrucciones
del Responsable del Tratamiento; y (iv) que toda la información que HOSTCUBIT comunique o facilite de
conformidad con este DPA sea debidamente comunicada al Responsable del Tratamiento cuando sea
necesario.
(b) HOSTCUBIT (i) solamente tratará Datos Personales siguiendo instrucciones del Cliente y (ii) no recibirá
ninguna instrucción directamente del Responsable del Tratamiento, excepto en aquellos casos en los
que el Cliente haya desaparecido de facto o haya dejado de existir jurídicamente sin que ninguna
entidad sucesora haya asumido los derechos y obligaciones del Cliente.
(c) El Cliente, que es plenamente responsable ante HOSTCUBIT de la correcta ejecución de sus obligaciones
como Responsable del Tratamiento según lo dispuesto en este DPA, deberá indemnizar y eximir a
HOSTCUBIT de toda responsabilidad en caso de (i) incumplimiento por parte del Responsable del
Tratamiento de la legislación aplicable o de (ii) cualquier acción, requerimiento o reclamación por
parte del Responsable del Tratamiento en relación con las disposiciones del Contrato (incluido este
DPA) o con cualquier instrucción que HOSTCUBIT haya recibido del Cliente.
HOSTCUBIT
Domicilio social: C/ Capitan Segarra 41, Entr. A, 03004 Alicante, España
1. Ámbito de aplicación
HOSTCUBIT, en su calidad de Encargado del Tratamiento que actúa siguiendo las instrucciones del Cliente, está
autorizada a tratar los Datos Personales del Responsable del Tratamiento en la medida en que sea necesario
para prestar los Servicios.
La naturaleza de las operaciones realizadas por HOSTCUBIT en materia de Datos Personales puede enmarcarse en el
ámbito de la informática, el almacenamiento y/o cualquier otro Servicio similar tal y como se describe en el
Contrato.
El Cliente determina y controla, a su total discreción, el tipo de Datos Personales y las categorías de
interesados.
HOSTCUBIT realiza las actividades de tratamiento durante el período previsto en el Contrato.
2. Selección de los Servicios
El Cliente, que es el único responsable de la selección de los Servicios, deberá asegurarse de que los Servicios
seleccionados posean las características y condiciones necesarias con relación a las actividades y los fines del
tratamiento del Responsable del Tratamiento, así como al tipo de Datos Personales tratados en el marco de
los Servicios, especialmente cuando los Servicios sean utilizados para tratar Datos Personales sujetos a
reglamentación o normas específicas (por ejemplo, datos de salud o bancarios en determinados países). El
Cliente es conocedor de que HOSTCUBIT ofrece determinados Servicios que disponen de medidas organizativas y de
seguridad específicamente diseñadas para el tratamiento de datos de salud o bancarios.
En caso de que el tratamiento del Responsable del Tratamiento pueda entrañar un alto riesgo para los
derechos y libertades de las personas físicas, el Cliente deberá seleccionar cuidadosamente sus Servicios. A
la hora de evaluar el riesgo, se deben tener en cuenta principalmente, pero no exclusivamente, los
siguientes criterios: evaluación o calificación de los interesados; decisiones automatizada con efectos
jurídicos o similares significativos; monitorización sistemática de los interesados; tratamiento de datos
sensibles o datos de carácter personal especialmente protegidos; tratamiento a gran escala; comparación o
combinación de conjuntos de datos; tratamiento de datos referentes a interesados vulnerables; uso de
nuevas tecnologías innovadoras desconocidas por el público para el tratamiento.
HOSTCUBIT deberá proporcionar al Cliente información, en las condiciones establecidas en la cláusula «Auditoría»,
sobre las medidas de seguridad implementadas en el marco de los Servicios, en la medida en que sea
necesario para evaluar la conformidad de dichas medidas con respecto a las actividades de tratamiento del
Responsable del Tratamiento.
3. Conformidad con la Regulación Aplicable
Las Partes deberán respetar las disposiciones reglamentarias aplicables en materia de protección de datos,
incluyendo el Reglamento General de Protección De Datos desde su entrada en aplicación en la Unión
Europea.
HOSTCUBIT
Domicilio social: C/ Capitan Segarra 41, Entr. A, 03004 Alicante, España
4. Obligaciones de HOSTCUBIT
HOSTCUBIT se compromete a:
a) tratar los Datos Personales cargados, almacenados y utilizados por el Cliente en el marco de los
Servicios solo cuando sea necesario para prestar los Servicios con arreglo al Contrato;
b) no acceder ni utilizar los Datos Personales con fines distintos a los necesarios para la correcta
ejecución de los Servicios (en particular, en relación con la gestión de Incidencias);
c) implementar las medidas técnicas y organizativas descritas en el Contrato para garantizar la
seguridad de los Datos Personales en el marco del Servicio;
d) garantizar que los trabajadores de HOSTCUBIT autorizados a tratar Datos Personales en el marco del
Contrato estén sujetos a obligaciones de confidencialidad y reciban la formación adecuada en
materia de protección de Datos Personales;
e) informar al Cliente si, en su opinión y basándose en la información de la que disponga, una
instrucción del Cliente infringe el RGPD u otras disposiciones en materia de protección de datos
de la Unión Europea o de los Estados Miembros de la Unión Europea; y
f) en caso de recibir una solicitud relativa a los Datos Personales tratados proveniente de una
autoridad competente, informar al Cliente (salvo que existan disposiciones legales o
mandamientos de la autoridad competente que lo impidan) y limitar la comunicación de datos a
lo expresamente requerido por dicha autoridad.
A petición escrita del Cliente, HOSTCUBIT proporcionará al Cliente la asistencia razonable sobre la realización de
evaluaciones de impacto relativas a la protección de datos y sobre consultas a la autoridad de control
competente, en caso de que así se lo exija al Cliente la legislación aplicable en materia de protección de
datos, y solo en la medida en que dicha asistencia sea necesaria y se refiera al tratamiento de Datos
Personales por parte de HOSTCUBIT. Dicha asistencia consistirá en ofrecer información sobre las medidas de
seguridad adoptadas por HOSTCUBIT en sus Servicios.
HOSTCUBIT se compromete a adoptar las siguientes medidas de seguridad técnicas y organizativas:
(a) medidas de seguridad física destinadas a impedir el acceso de personas no autorizadas a la
Infraestructura en la que se almacenan los datos del Cliente;
(b) controles de identidad y de acceso mediante un sistema de autenticación, así como una política
de contraseñas;
(c) un sistema de gestión de acceso que permita limitar el acceso a las instalaciones exclusivamente
a las personas que necesiten acceder a ellas en el marco de sus funciones y de su ámbito de
responsabilidad;
(d) personal de seguridad encargado de velar por la seguridad física de las instalaciones de HOSTCUBIT;
(e) un sistema de aislamiento físico y lógico de los Clientes entre sí;
(f) procedimientos de autenticación de los usuarios y administradores, así como medidas de
protección del acceso a las funciones de administración;
(g) un sistema de gestión de acceso para las operaciones de soporte y mantenimiento donde
apliquen los principios de mínimo privilegio y necesidad de conocimiento; y
(h) procesos y medidas que permitan rastrear todas las acciones realizadas en su sistema de
información.
HOSTCUBIT
Domicilio social: C/ Capitan Segarra 41, Entr. A, 03004 Alicante, España
5. Violaciones de la Seguridad de los Datos Personales
En caso de que HOSTCUBIT tuviese conocimiento de cualquier incidencia que pudiera afectar a los Datos Personales
del Responsable del Tratamiento (tales como el acceso, la pérdida, la comunicación o la alteración de datos
sin autorización), HOSTCUBIT deberá informar al Cliente sin dilación indebida.
Dicha notificación deberá (i) describir la naturaleza de la incidencia, (ii) describir las posibles consecuencias
de la incidencia, (iii) especificar las medidas adoptadas o propuestas por HOSTCUBIT en respuesta a la incidencia y
(iv) indicar una persona de contacto en HOSTCUBIT.
6. Localización y Transferencia de Datos Personales
Cuando los Servicios permitan al Cliente almacenar contenido y, en concreto, Datos Personales, la
localización o localizaciones, la zona geográfica en la que se encuentre el Centro o Centros de Datos
disponibles se especifica en el Sitio Web de HOSTCUBIT. Cuando haya varias localizaciones o zonas geográficas
disponibles, el Cliente deberá elegir la o las que prefiera al realizar el Pedido. Sin perjuicio de lo dispuesto en
las Condiciones Particulares del Servicio aplicables, HOSTCUBIT no podrá modificar, sin el consentimiento del
Cliente, la localización o zona geográfica seleccionada al realizar el Pedido.
Sin perjuicio de lo anterior relativo a la localización de los Centros de Datos, las Filiales de HOSTCUBIT situadas en la
Unión Europea, Canadá o cualquier otro país que la Comisión Europea considere que garantiza un nivel de
protección suficiente de los Datos Personales («Decisión de Adecuación») están autorizados, excluyendo
expresamente a los Estados Unidos de América, a tratar Datos Personales con el único fin de la correcta
ejecución de los Servicios y, en particular, con fines de gestión de Incidencias.
La lista de Filiales que pueden intervenir en la ejecución de los Servicios se comunicará según lo dispuesto
en la cláusula «Subtratamiento».
HOSTCUBIT no accederá a los datos almacenados por el Cliente en el marco de los Servicios desde un país para el
que la Comisión no haya adoptado una Decisión de Adecuación, excepto (a) que dicho acceso esté
expresamente previsto en las Condiciones Particulares del Servicio aplicables, (b) que el Cliente seleccione
un Centro de Datos situado fuera de la Unión Europea en un país para el que la Comisión no haya adoptado
una Decisión de Adecuación o (c) que el Cliente lo acepte expresamente.
En caso de que los Datos Personales tratados se transfieran fuera de la Unión Europea a un país para el que
la Comisión Europea no haya adoptado una Decisión de Adecuación, se firmará un contrato de transferencia
de datos conforme a las Cláusulas Contractuales Tipo de la Comisión Europea o, a discreción de HOSTCUBIT, se
adoptarán cualesquiera otras medidas consideradas como suficientes por la Comisión Europea. Cuando la
transferencia se deba a la elección por parte del Cliente de un Servicio para el que se utilice un Centro de
Datos situado fuera de la Unión Europea, la aplicación de dicho contrato de transferencia de datos (o de las
medidas de protección equivalentes) no será automática y deberá ser expresamente solicitada por Cliente.
El Responsable del Tratamiento deberá realizar los trámites pertinentes y obtener todas las autorizaciones
necesarias (tanto por parte de los interesados como, si fuera necesario, de las autoridades competentes en
materia de protección de datos) para transferir Datos Personales dentro del ámbito de aplicación del
Contrato.
HOSTCUBIT
Domicilio social: C/ Capitan Segarra 41, Entr. A, 03004 Alicante, España
7. Subencargados del Tratamiento
De conformidad con lo dispuesto en la cláusula «Localización y transferencia de Datos Personales» del
presente Contrato, HOSTCUBIT podría recurrir a otro encargado del tratamiento para tratar Datos Personales en el
marco de la ejecución de los Servicios («Subencargado del Tratamiento»).
El Cliente autoriza expresamente a HOSTCUBIT a recurrir a Filiales Subencargadas. La lista de Filiales Subencargadas
está disponible en el Sitio Web de HOSTCUBIT. HOSTCUBIT se compromete a notificar al Cliente la inclusión de cualquier
Filial Subencargada adicional con treinta (30) días de antelación.
Salvo que en las Condiciones del Servicio aplicables se estipule lo contrario, HOSTCUBIT no recurrirá a
Subencargados del Tratamiento que no sean Filiales sin el consentimiento previo del Cliente. En caso de que
las Condiciones del Servicio aplicables permitan recurrir a Subencargados del Tratamiento que no sean
Filiales, la aceptación de dichas Condiciones del Servicio por parte del Cliente implicará la aprobación de la
lista correspondiente de Subencargados del Tratamiento. La lista de Subencargados del Tratamiento que no
son Filiales está disponible en el Sitio Web de HOSTCUBIT o en las Condiciones del Servicio aplicables.
HOSTCUBIT garantizará que el Subencargado del Tratamiento sea, como mínimo, capaz de cumplir las obligaciones
contraídas por HOSTCUBIT, en virtud del presente DPA, relativas al tratamiento de Datos Personales realizado por el
Subencargado del Tratamiento. A tal efecto, HOSTCUBIT deberá celebrar un contrato con el Subencargado del
Tratamiento. HOSTCUBIT seguirá siendo plenamente responsable ante el Cliente en caso de incumplimiento de
dichas obligaciones por parte del Subencargado del Tratamiento.
Con independencia de lo anterior, HOSTCUBIT está expresamente autorizada a recurrir a proveedores terceros
(tales como proveedores de energía, proveedores de red, gestores de puntos de conexión de red o de
centros de datos en la modalidad de housing, proveedores de hardware y software, transportistas,
proveedores de servicios técnicos, vigilancia, etc.), sin tener que informar al Responsable del Tratamiento o
solicitar su consentimiento previo, siempre que dichos proveedores terceros no accedan a Datos Personales.
8. Obligaciones del Cliente y del Responsable del Tratamiento
Para el tratamiento de Datos Personales según lo dispuesto en el Contrato, el Cliente deberá proporcionar a
HOSTCUBIT por escrito (a) cualquier instrucción pertinente y (b) cualquier información necesaria para la
elaboración de los registros de las actividades de tratamiento por parte del Encargado del Tratamiento. El
Cliente es el único responsable de dicho tratamiento de información y de las instrucciones proporcionadas a
HOSTCUBIT.
El Responsable del Tratamiento es responsable de garantizar:
a) que el tratamiento de los Datos Personales del Responsable del Tratamiento en el marco de
ejecución del Servicio tenga una base jurídica adecuada (p. ej., consentimiento del Interesado,
consentimiento del Responsable del Tratamiento, intereses legítimos, autorización por parte de
la autoridad de control pertinente, etc.);
b) que se hayan realizado todos los procedimientos y trámites necesarios (como evaluaciones de
impacto referentes a la protección de datos, notificaciones y solicitudes de autorización a la
autoridad competente en materia de protección de datos o a cualquier otro organismo
competente, en caso necesario);
c) que los interesados estén informados del tratamiento de sus Datos Personales de forma concisa,
transparente, comprensible y de fácil acceso, con un lenguaje claro y sencillo según lo dispuesto
en el RGPD,
HOSTCUBIT
Domicilio social: C/ Capitan Segarra 41, Entr. A, 03004 Alicante, España
d) que los interesados sean informados de sus derechos en materia de protección de datos y tengan
en todo momento la posibilidad de ejercer dichos derechos según lo dispuesto en el RGPD de
forma directa con el Cliente o con el Responsable del Tratamiento.
El Cliente es responsable de aplicar medidas técnicas y organizativas apropiadas para garantizar la seguridad
de los recursos, sistemas, aplicaciones y operaciones que no entren dentro del ámbito de responsabilidad de
HOSTCUBIT, tal y como se define en el Contrato (en particular, cualquier sistema o software desplegado o ejecutado
por el Cliente o los Usuarios en el marco de los Servicios).
9. Derechos del Interesado
El Responsable del Tratamiento es plenamente responsable de informar a los interesados de sus derechos,
así como de respetar dichos derechos, incluidos los derechos de acceso, rectificación, supresión, limitación,
portabilidad u oposición.
HOSTCUBIT deberá proporcionar la asistencia y la cooperación necesarias que se le puedan exigir razonablemente
para responder a las solicitudes del interesado. Dichas asistencia y cooperación consistirán en (a) informar al
Cliente de cualquier solicitud que reciba directamente por parte del interesado y (b) permitir que el
Responsable del Tratamiento diseñe y despliegue las medidas técnicas y organizativas necesarias para
responder a las solicitudes del iInteresado. El Responsable del Tratamiento será el único responsable de
responder a dichas solicitudes.
El Cliente reconoce y acepta que, en caso de que dicha asistencia y cooperación obliguen al Encargado del
Tratamiento a aportar cuantiosos recursos, dicho gasto podrá ser facturado, tras previo aviso y acuerdo con
el Cliente.
10. Supresión y Devolución de los Datos Personales
En caso de expiración de un Servicio (en particular, en caso de rescisión o no renovación), HOSTCUBIT se
compromete a suprimir, en las condiciones previstas en el Contrato, todo el Contenido (incluidos
información, datos, archivos, sistemas, aplicaciones, sitios web y otros elementos) reproducido, almacenado,
alojado o utilizado de cualquier otra forma por el Cliente en el marco de los Servicios, a menos que un
requerimiento emitido por una autoridad legal o judicial competente o la legislación aplicable de la Unión
Europea o de un Estado Miembro de la Unión Europea dispongan lo contrario.
El Cliente es el único responsable de garantizar que se realizan las operaciones necesarias (copia de
seguridad, transferencia a una solución de terceros, capturas de pantalla, etc.) para la conservación de los
Datos Personales, en particular antes de la rescisión o la expiración de los Servicios, y antes de proceder a
realizar cualquier operación de supresión, actualización o reinstalación de los Servicios.
A este respecto, se informa al Cliente de que la rescisión y la expiración de un Servicio por cualquier motivo
(incluida, sin carácter exhaustivo, la no renovación), así como la realización de determinadas operaciones
para actualizar o reinstalar los Servicios, podrían implicar automáticamente la supresión irreversible de todo
el Contenido (incluidos información, datos, archivos, sistemas, aplicaciones, sitios web y otros elementos)
reproducido, almacenado, alojado o utilizado de cualquier otra forma por el Cliente en el marco de los
Servicios, incluida cualquier posible copia de seguridad.
HOSTCUBIT
Domicilio social: C/ Capitan Segarra 41, Entr. A, 03004 Alicante, España
11. Responsabilidad
HOSTCUBIT solo será responsable de los daños provocados por el tratamiento en aquellos casos en los que (i) no
haya cumplido con las obligaciones del RGPD relativas específicamente a los Encargados del Tratamiento o
(ii) haya actuado de forma contraria a las instrucciones lícitas por escrito del Cliente. En tales casos, se
aplicará la disposición sobre responsabilidad del Contrato.
En caso de que HOSTCUBIT y el Cliente participen, según lo dispuesto en este Contrato, en un proceso de
tratamiento que pudiera provocar daños al interesado, el Cliente deberá, en un primer momento, asumir la
indemnización íntegra (o cualquier otra compensación) debida al interesado y, a continuación, reclamar a
HOSTCUBIT la parte proporcional de la compensación correspondiente a la parte de responsabilidad de HOSTCUBIT por
dichas pérdidas, sin embargo aplicándose cualquier limitación de responsabilidad según lo dispuesto en el
Contrato.
12. Auditorías
HOSTCUBIT deberá proporcionar al Cliente toda la información necesaria para (i) acreditar el cumplimiento de las
obligaciones establecidas en el RGPD y (ii) permitir que se realicen auditorías.
Dicha información está disponible en la documentación estándar del sitio web de HOSTCUBIT. El Cliente podrá
recibir información adicional, previa solicitud al Soporte de HOSTCUBIT.
Si un Servicio cuenta con una certificación, cumple con un código de conducta o está sujeto a
procedimientos de auditoría específicos, HOSTCUBIT pondrá a disposición del Cliente, previa solicitud por escrito,
los correspondientes certificados e informes de auditoría.
En caso de que dicha información, incluyendo los mencionados certificados e informes de auditoría, resulte
insuficiente para permitir que el Cliente demuestre que cumple con las obligaciones establecidas en el RGPD,
HOSTCUBIT y el Cliente deberán acordar las condiciones operativas, financieras y de seguridad para una inspección
técnica in situ. Las condiciones de esta inspección no deben, bajo ninguna circunstancia, afectar a la
seguridad de otros Clientes de HOSTCUBIT.
Dicha inspección in situ, así como la comunicación de certificados e informes de auditoría, podría conllevar la
facturación de gastos adicionales considerables.
Cualquier información que se le proporcione al Cliente en aplicación de esta cláusula y que no esté
disponible en el sitio web de HOSTCUBIT será considerada como información confidencial de HOSTCUBIT, según lo
dispuesto en el Contrato. Antes de comunicar dicha información, HOSTCUBIT podrá exigir la celebración de un
contrato de confidencialidad específico.
Con independencia de lo anterior, el Cliente está autorizado a responder a las solicitudes por parte de la
autoridad de control pertinente, a condición de que la información facilitada se limite estrictamente a la
solicitada por la autoridad de control. En tal caso, y salvo que la legislación aplicable lo prohíba
específicamente, el Cliente deberá consultar previamente a HOSTCUBIT la comunicación de cualquier información
solicitada.
HOSTCUBIT
Domicilio social: C/ Capitan Segarra 41, Entr. A, 03004 Alicante, España