Acuerdo de Encargado del Tratamiento (DPA)

Encargado del tratamiento: PRENDIBLE, S.L. (Ganton), CIF B75856104, Calle Ramón y Cajal 5, Alcobendas 28100, Madrid. Contacto de protección de datos: [email protected].

Responsable del tratamiento: el CLIENTE que haya contratado los servicios de Ganton y aceptado las Condiciones Generales de Contratación.

El CLIENTE actúa como responsable del tratamiento de los datos personales de sus propios clientes, visitantes y contactos. Ganton actúa como encargado en la medida en que la prestación del servicio implique acceso a dichos datos.

El presente DPA tiene por objeto regular el tratamiento de datos personales que Ganton pueda realizar por cuenta del CLIENTE al prestar los servicios contratados, incluyendo sin carácter limitativo: desarrollo web, mantenimiento web, gestión de ecommerce, alojamiento gestionado y consultoría tecnológica.

La duración del tratamiento coincide con la vigencia del Contrato Específico. Tras su finalización, Ganton conservará los datos exclusivamente durante el plazo necesario para cumplir con las obligaciones de eliminación establecidas en la cláusula 7 de este DPA.

Ganton podrá realizar, según el servicio concreto contratado, las siguientes operaciones de tratamiento: almacenamiento de datos en servidores seguros; copias de seguridad y recuperación de datos; mantenimiento, actualización y configuración de sistemas; acceso a paneles de administración y bases de datos con fines técnicos; y soporte técnico que pueda implicar acceso a datos de navegación o de usuarios.

Los datos se tratarán exclusivamente para la correcta prestación del servicio contratado y el cumplimiento de las obligaciones legales aplicables.

Con carácter general, los datos a los que Ganton puede acceder en el ejercicio de sus funciones son:

Interesados: visitantes del sitio web del CLIENTE, contactos que remiten solicitudes a través del mismo, y contactos comerciales del CLIENTE.

Categorías de datos: datos identificativos (nombre, apellidos), datos de contacto (dirección, email, teléfono), datos técnicos (dirección IP, cookies, logs de navegación) y datos de geolocalización aproximada.

En principio, no se prevé el tratamiento de categorías especiales de datos conforme al artículo 9 del RGPD. En caso de que el servicio concreto lo requiriera, será necesaria autorización expresa del CLIENTE y la suscripción de un DPA específico con medidas de seguridad reforzadas.

Instrucciones documentadas: Ganton tratará los datos únicamente siguiendo las instrucciones documentadas del CLIENTE, que comprenden las establecidas en el Contrato Específico y sus anexos, las configuraciones del sistema, las instrucciones escritas comunicadas durante la vigencia del contrato, y las derivadas del cumplimiento de la legislación aplicable. Si Ganton considera que una instrucción infringe el RGPD u otra normativa de protección de datos, lo comunicará al CLIENTE de forma inmediata.

Confidencialidad del personal: Ganton garantiza que el personal con acceso a datos personales está sujeto a obligación contractual de confidencialidad, ha recibido formación en protección de datos, y accede únicamente a los datos necesarios para sus funciones.

Medidas de seguridad: Ganton implementa y mantiene medidas técnicas y organizativas apropiadas conforme al artículo 32 del RGPD. Las medidas aplicadas se detallan en el documento de Medidas de Seguridad, accesible mediante solicitud a [email protected]. Medidas técnicas: cifrado en tránsito (TLS 1.3 o superior) y en reposo (AES-256), control de acceso basado en roles con autenticación multifactor, monitorización de infraestructura y detección de anomalías, copias de seguridad cifradas, firewalls de aplicación web (WAF), protección DDoS y sistemas de prevención de intrusiones. Medidas organizativas: política de seguridad de la información documentada y revisada anualmente, procedimiento de gestión de incidentes, formación periódica del personal, gestión segura de dispositivos y medios, y due diligence de seguridad sobre subencargados.

Subencargados: Ganton está autorizada a recurrir a los subencargados relacionados en la página ganton.es/subencargados. Ganton notificará al CLIENTE cualquier cambio en la lista de subencargados con un mínimo de 30 días de antelación. El CLIENTE podrá oponerse motivadamente al nuevo subencargado en ese plazo, y en caso de no aceptarse la oposición, podrá resolver el contrato sin penalización. Ganton impone a todos sus subencargados las mismas obligaciones de protección de datos recogidas en este DPA, y responde ante el CLIENTE por el cumplimiento de dichas obligaciones.

Asistencia al responsable: Ganton asistirá al CLIENTE en el cumplimiento de sus obligaciones como responsable del tratamiento, en particular: en la atención de solicitudes de ejercicio de derechos por parte de los interesados (acceso, rectificación, supresión, limitación, portabilidad, oposición), con un tiempo de respuesta máximo de 48 horas laborables desde la recepción de la solicitud; en la elaboración de evaluaciones de impacto (EIPD) cuando el servicio así lo requiera, proporcionando información técnica sobre el tratamiento e identificando riesgos; y en la preparación de consultas previas a la Agencia Española de Protección de Datos cuando sea necesario.

Notificación de brechas de seguridad: En caso de violación de seguridad que afecte a datos personales, Ganton notificará al CLIENTE en un plazo máximo de 48 horas desde su detección, con información sobre la naturaleza del incidente, el alcance aproximado, las medidas adoptadas para contener sus efectos y las recomendaciones para prevenir incidentes futuros. Esta notificación tiene por objeto que el CLIENTE pueda evaluar su obligación de notificación a la Agencia Española de Protección de Datos en el plazo de 72 horas establecido por el artículo 33 del RGPD.

Los datos se procesan preferentemente en servidores ubicados dentro del Espacio Económico Europeo.

Ganton no transferirá datos personales fuera del EEE sin instrucción expresa y por escrito del CLIENTE, salvo en los casos cubiertos por los subencargados autorizados en ganton.es/subencargados, que disponen de las garantías adecuadas conforme a los artículos 44-49 del RGPD.

A la finalización del Contrato Específico, Ganton procederá a la eliminación segura de todos los datos personales tratados por cuenta del CLIENTE en un plazo máximo de 30 días naturales, salvo que la legislación aplicable exija su conservación durante un período adicional. A solicitud del CLIENTE, Ganton emitirá certificación escrita de la eliminación realizada.

El CLIENTE tiene derecho a auditar el cumplimiento de este DPA con una frecuencia máxima de una auditoría anual, previa notificación con al menos 30 días de antelación y sin interferir en la operativa normal del servicio. Ganton cooperará con las autoridades de control cuando sea requerido en ejercicio de sus funciones de supervisión.

Ganton responde de los daños causados al CLIENTE por tratamientos no conformes con las instrucciones recibidas, por incumplimiento de las obligaciones del RGPD aplicables a los encargados del tratamiento, y por violaciones de seguridad atribuibles a negligencia grave. La responsabilidad de Ganton se limita conforme a lo establecido en las Condiciones Generales de Contratación.

Este DPA entra en vigor simultáneamente con el Contrato Específico. Cualquier modificación requerirá acuerdo por escrito de ambas partes, salvo adaptaciones derivadas de cambios normativos obligatorios o mejoras en las medidas de seguridad que refuercen la protección.