ACUERDO DE ENCARGADO DE TRATAMIENTO

HomeACUERDO DE ENCARGADO DE TRATAMIENTO
Close

ACUERDO DE ENCARGADO DE TRATAMIENTO

(Artículo 28 del Reglamento (UE) 2016/679)

REUNIDOS

De una parte,

LA COMUNIDAD DE PROPIETARIOS [denominación completa], con CIF [número], y domicilio en [dirección completa], representada en este acto por D./Dña. [nombre y apellidos], en su calidad de Presidente/a de la Comunidad, con DNI [número], en virtud del nombramiento acordado en Junta de Propietarios celebrada el [fecha].

En adelante, «el RESPONSABLE» o «la Comunidad».

De otra parte,

D./Dña. [Nombre y Apellidos], mayor de edad, con NIE [número], y domicilio profesional en [dirección completa], actuando en su condición de empresario individual (autónomo) bajo el nombre comercial PROTECTUM.

En adelante, «el ENCARGADO» o «Protectum».

Ambas partes se reconocen mutuamente capacidad legal suficiente para otorgar el presente Acuerdo, y

EXPONEN

  1. Que el RESPONSABLE y el ENCARGADO han suscrito un contrato de prestación de servicios (en adelante, «el Contrato Principal») en virtud del cual el ENCARGADO suministra e implanta un sistema de control de accesos en las instalaciones comunes de la Comunidad, y presta un servicio SaaS de gestión y administración del mismo.
  2. Que la prestación de estos servicios implica el tratamiento por parte del ENCARGADO de determinados datos personales cuya titularidad corresponde al RESPONSABLE.

III. Que, conforme al artículo 28 del Reglamento (UE) 2016/679 (en adelante, «RGPD») y a la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (en adelante, «LOPDGDD»), la prestación de servicios que implique acceso a datos personales debe regirse por un contrato u otro acto jurídico que vincule al encargado respecto del responsable.

  1. Que ambas partes, reconociéndose mutua capacidad, suscriben el presente Acuerdo de Encargado de Tratamiento (en adelante, «el Acuerdo»), que se regirá por las siguientes:

CLÁUSULAS

Primera. Objeto del tratamiento

El ENCARGADO tratará, por cuenta del RESPONSABLE, los datos personales necesarios para la prestación de los servicios de control de accesos descritos en el Contrato Principal.

El tratamiento consistirá en la recogida, registro, estructuración, conservación, consulta, utilización, comunicación por transmisión y supresión de los datos personales, en la medida en que resulte necesario para la prestación del servicio.

Segunda. Identificación de la información tratada

Para la ejecución de los servicios objeto del Contrato Principal, el RESPONSABLE pone a disposición del ENCARGADO las siguientes categorías de datos:

  • Categorías de interesados: propietarios, usuarios y ocupantes de las viviendas y locales de la Comunidad que dispongan de llaves de acceso, así como sus visitantes puntuales cuando dispongan de autorización temporal.
  • Categorías de datos: 
  • Número de vivienda o local asignado a cada llave.
  • Identificador único (UID) de la llave criptográfica MIFARE asociada.
  • Registros de eventos de acceso: fecha, hora, puerta, resultado (concedido/denegado/anomalía).
  • Datos de contacto del Presidente, Administrador de Fincas y demás personas autorizadas para la gestión del sistema (nombre, correo electrónico, teléfono).

El ENCARGADO no trata nominalmente los datos de los portadores de las llaves. La asociación entre un número de vivienda y una persona física concreta reside exclusivamente en los registros del RESPONSABLE, quien los administra bajo su propia responsabilidad. No obstante, dado que los datos tratados pueden constituir datos pseudonimizados en el sentido del artículo 4.5 del RGPD, su tratamiento se somete íntegramente a la normativa de protección de datos.

Tercera. Duración

El presente Acuerdo tendrá la misma duración que el Contrato Principal del que trae causa, y quedará automáticamente resuelto con la extinción de éste, sin perjuicio de las obligaciones de conservación o devolución de datos previstas en la Cláusula Décima.

Cuarta. Obligaciones del Encargado

El ENCARGADO se compromete a:

  1. Tratar los datos personales únicamente siguiendo instrucciones documentadas del RESPONSABLE, incluidas las relativas a transferencias internacionales de datos, salvo que le obligue a ello el Derecho de la Unión o de los Estados miembros. En tal caso, el ENCARGADO informará al RESPONSABLE de esa exigencia legal previa, salvo que dicho Derecho lo prohíba por razones importantes de interés público.
  2. Garantizar que las personas autorizadas para tratar los datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria.
  3. Adoptar todas las medidas técnicas y organizativas necesarias para garantizar la seguridad del tratamiento conforme al artículo 32 del RGPD, en los términos descritos en la Cláusula Séptima del presente Acuerdo.
  4. Asistir al RESPONSABLE, teniendo en cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que pueda cumplir con su obligación de responder a las solicitudes de ejercicio de derechos de los interesados.
  5. Ayudar al RESPONSABLE a garantizar el cumplimiento de las obligaciones establecidas en los artículos 32 a 36 del RGPD, teniendo en cuenta la naturaleza del tratamiento y la información a disposición del ENCARGADO.
  6. A elección del RESPONSABLE, suprimir o devolver todos los datos personales una vez finalice la prestación de los servicios de tratamiento, y suprimir las copias existentes, salvo que se requiera la conservación de los datos personales en virtud del Derecho de la Unión o de los Estados miembros.
  7. Poner a disposición del RESPONSABLE toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el artículo 28 del RGPD, así como permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del RESPONSABLE o de otro auditor autorizado por éste.
  8. Informar inmediatamente al RESPONSABLE si, en su opinión, alguna instrucción infringe el RGPD u otras disposiciones en materia de protección de datos de la Unión o de los Estados miembros.
  9. Llevar un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del RESPONSABLE, conforme al artículo 30.2 del RGPD.

Quinta. Obligaciones del Responsable

El RESPONSABLE se compromete a:

  1. Entregar al ENCARGADO únicamente los datos estrictamente necesarios para la prestación del servicio.
  2. Informar a los interesados (residentes, propietarios, usuarios) de la existencia del tratamiento, su finalidad y los derechos que les asisten conforme al RGPD.
  3. Obtener, en su caso, el consentimiento de los interesados cuando resulte necesario.
  4. Mantener el registro de actividades de tratamiento que le corresponda como responsable.
  5. Realizar, cuando corresponda, la evaluación de impacto relativa a la protección de datos (EIPD) previa al inicio del tratamiento.
  6. Velar, de forma previa y durante todo el tratamiento, por el cumplimiento del RGPD por parte del ENCARGADO.
  7. Supervisar el tratamiento y su cumplimiento, incluyendo la realización de inspecciones y auditorías cuando lo considere oportuno.

Sexta. Subcontratación

El ENCARGADO podrá recurrir a otros encargados del tratamiento (subencargados) para el cumplimiento de las finalidades establecidas en este Acuerdo, informando previamente al RESPONSABLE de cualquier cambio previsto relativo a la adición o sustitución de subencargados, dando así al RESPONSABLE la oportunidad de oponerse a dichos cambios en un plazo razonable.

A la firma del presente Acuerdo, el ENCARGADO declara que los subencargados actualmente utilizados son los siguientes:

  • Proveedor de hosting cloud: [nombre del proveedor], para el alojamiento de la plataforma SaaS y los registros de acceso.
  • Proveedor de infraestructura de mensajería: Meta Platforms Ireland Limited (WhatsApp Business API), cuando aplique.
  • Proveedor de facturación y gestión: [nombre del proveedor].

Cuando el ENCARGADO contrate a otro encargado para llevar a cabo determinadas actividades de tratamiento por cuenta del RESPONSABLE, se impondrán a este subencargado, mediante contrato u otro acto jurídico, las mismas obligaciones de protección de datos que las estipuladas en el presente Acuerdo.

Séptima. Medidas de seguridad

El ENCARGADO aplicará las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, entre las que se incluirán, cuando proceda:

  • Cifrado: cifrado de las comunicaciones mediante protocolos TLS/SSL; uso de llaves criptográficas MIFARE Plus SE / DESFire EV2 con AES-128 no clonable; cifrado de datos sensibles en reposo.
  • Control de acceso: autenticación multifactor para el personal autorizado; gestión de privilegios basada en roles; registro de accesos al sistema.
  • Confidencialidad e integridad: compromisos de confidencialidad del personal; control de cambios; protección frente a modificaciones no autorizadas.
  • Disponibilidad y resiliencia: copias de seguridad periódicas; redundancia de infraestructura; planes de continuidad y recuperación ante desastres.
  • Verificación periódica: procesos de evaluación regular de la eficacia de las medidas técnicas y organizativas adoptadas.

Octava. Notificación de violaciones de seguridad

El ENCARGADO notificará al RESPONSABLE, sin dilación indebida y, en cualquier caso, en un plazo máximo de 48 horas desde que tenga constancia de ella, toda violación de la seguridad de los datos personales a su servicio, junto con toda la información relevante para la documentación y comunicación de la incidencia, incluyendo al menos:

  • Descripción de la naturaleza de la violación.
  • Categorías y número aproximado de interesados afectados.
  • Categorías y número aproximado de registros de datos afectados.
  • Nombre y datos de contacto del punto focal donde obtener más información.
  • Descripción de las posibles consecuencias.
  • Descripción de las medidas adoptadas o propuestas para poner remedio a la violación, incluyendo, en su caso, las medidas adoptadas para mitigar los posibles efectos negativos.

Corresponde al RESPONSABLE comunicar la violación de seguridad a la Agencia Española de Protección de Datos y, en su caso, a los interesados, conforme a los artículos 33 y 34 del RGPD.

Novena. Transferencias internacionales

El ENCARGADO no realizará transferencias internacionales de datos a terceros países u organizaciones internacionales sin la autorización previa del RESPONSABLE, salvo cuando tal transferencia venga exigida por el Derecho de la Unión o de los Estados miembros.

En caso de que resulten necesarias transferencias internacionales de datos a países sin decisión de adecuación de la Comisión Europea, el ENCARGADO adoptará las garantías adecuadas previstas en el Capítulo V del RGPD, incluidas, cuando proceda, las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea.

Décima. Destino de los datos al finalizar el servicio

Finalizada la vigencia del Contrato Principal, el ENCARGADO, a elección del RESPONSABLE, procederá a:

  • Devolver al RESPONSABLE todos los datos personales tratados por cuenta del mismo, así como los soportes donde consten, y suprimir cualquier copia existente en sus sistemas; o bien
  • Suprimir de forma segura todos los datos personales tratados por cuenta del RESPONSABLE.

Una vez cumplido lo anterior, el ENCARGADO certificará por escrito al RESPONSABLE la devolución o supresión efectiva de los datos.

No obstante lo anterior, el ENCARGADO podrá conservar los datos estrictamente necesarios para el cumplimiento de obligaciones legales (especialmente obligaciones contables y fiscales), debidamente bloqueados, durante los plazos legalmente establecidos.

Undécima. Responsabilidad

Cada parte responderá del cumplimiento de las obligaciones que le son propias. En particular, el ENCARGADO responderá por los daños y perjuicios que cause como consecuencia de incumplir el presente Acuerdo o las instrucciones del RESPONSABLE, así como por los tratamientos de datos que realice para fines distintos de los pactados, supuesto en el cual será considerado responsable del tratamiento conforme al artículo 28.10 del RGPD.

Duodécima. Legislación aplicable y jurisdicción

El presente Acuerdo se regirá e interpretará conforme a la legislación española y comunitaria aplicable, en particular el RGPD y la LOPDGDD.

Para la resolución de cualquier controversia derivada de la interpretación, aplicación o ejecución del presente Acuerdo, las partes se someten expresamente a los Juzgados y Tribunales de [ciudad], con renuncia a cualquier otro fuero que pudiera corresponderles.

 

Y en prueba de conformidad, ambas partes firman el presente Acuerdo por duplicado y a un solo efecto, en el lugar y fecha indicados al inicio.

 

En ____________________, a ____ de _______________ de 20____

Por el RESPONSABLE                                                        Por el ENCARGADO

__________________________                              __________________________

Fdo.: [Presidente/a]                                        Fdo.: [Nombre del autónomo]

Comunidad de Propietarios                          Protectum

Copyright © Protectum® Technology Group 2019-2026. All rights reserved. PROTECTUM® es una marca registrada de Dmytro Pavlov ante la OEPM (Exp. M4326002).