Este es el modelo de contrato de encargo de tratamiento (art. 28 RGPD) que Nexus suscribe con cada cliente junto con el contrato de prestación de servicios. Se publica con fines de transparencia.
En [CIUDAD], a [FECHA]
REUNIDOS
De una parte, [DENOMINACIÓN SOCIAL DEL CLIENTE], con NIF [NIF], domicilio en [DOMICILIO], representada por [NOMBRE DEL REPRESENTANTE] en su condición de [CARGO] (en adelante, el "Responsable" o el "Cliente").
De otra parte, [NOMBRE Y APELLIDOS DEL TITULAR / DENOMINACIÓN SOCIAL], con NIF [NIF], domicilio en [DOMICILIO] (en adelante, el "Encargado" o "Nexus").
Ambas partes se reconocen capacidad legal suficiente para suscribir el presente contrato de encargo de tratamiento (el "Contrato"), que se rige por el artículo 28 del Reglamento (UE) 2016/679 (RGPD) y por la Ley Orgánica 3/2018 (LOPDGDD), y acuerdan las siguientes
CLÁUSULAS
1. Objeto
El presente Contrato regula el tratamiento de datos personales que el Encargado realizará por cuenta del Responsable en el marco de la prestación de los servicios de consultoría y optimización financiera descritos en el contrato de prestación de servicios suscrito entre las partes con fecha [FECHA] (el "Contrato Principal").
2. Duración
Este Contrato tendrá la misma duración que el Contrato Principal. A su finalización, se aplicará lo dispuesto en la cláusula 8 sobre destino de los datos.
3. Descripción del tratamiento
- Naturaleza y finalidad: acceso, consulta, organización, análisis y conservación temporal de información del Responsable con la exclusiva finalidad de prestar los servicios del Contrato Principal (análisis financiero, elaboración de informes y dashboards, recomendaciones de mejora).
- Tipos de datos personales: datos identificativos y de contacto profesional (nombre, apellidos, email, teléfono, cargo) de empleados, directivos, clientes, proveedores y contactos bancarios del Responsable; datos económico-financieros vinculados a personas físicas que puedan figurar en la documentación facilitada (nóminas, cuentas a cobrar/pagar, datos bancarios).
- Categorías de interesados: empleados y directivos del Responsable; personas de contacto de clientes, proveedores y entidades financieras del Responsable.
- Operaciones de tratamiento: recogida, consulta, estructuración, análisis, conservación, comunicación al Responsable y supresión.
El Encargado no tratará categorías especiales de datos (art. 9 RGPD). Si detectara su presencia en la documentación recibida, lo comunicará al Responsable y se abstendrá de tratarlas salvo instrucción expresa.
4. Obligaciones del Encargado
El Encargado se obliga a:
- Tratar los datos únicamente siguiendo las instrucciones documentadas del Responsable y para las finalidades del Contrato Principal. Si considera que alguna instrucción infringe el RGPD u otra normativa, informará inmediatamente al Responsable.
- No utilizar los datos para fines propios ni comunicarlos a terceros, salvo obligación legal o autorización expresa del Responsable.
- Garantizar que las personas autorizadas para tratar los datos se han comprometido a respetar la confidencialidad (compromiso que subsiste tras la finalización del Contrato) o están sujetas a una obligación legal equivalente.
- Aplicar las medidas técnicas y organizativas apropiadas conforme al artículo 32 RGPD, descritas en el Anexo I, garantizando un nivel de seguridad adecuado al riesgo.
- Asistir al Responsable en la atención de los derechos de los interesados (acceso, rectificación, supresión, oposición, limitación, portabilidad). Si un interesado ejerce un derecho directamente ante el Encargado, este lo comunicará al Responsable sin dilación indebida y, en todo caso, en un plazo máximo de [5] días laborables.
- Notificar al Responsable, sin dilación indebida y a más tardar en [48] horas desde que tenga conocimiento, cualquier violación de la seguridad de los datos personales, facilitando toda la información relevante para su documentación y, en su caso, notificación a la autoridad de control y a los interesados.
- Apoyar al Responsable, cuando proceda, en la realización de evaluaciones de impacto y en las consultas previas a la autoridad de control.
- Poner a disposición del Responsable la información necesaria para demostrar el cumplimiento de este Contrato y permitir y contribuir a las auditorías o inspecciones que el Responsable realice, previo aviso razonable de al menos [15] días y sin perjudicar la operativa ni la confidencialidad debida a terceros.
- Mantener, cuando sea exigible, un registro de actividades de tratamiento efectuadas por cuenta del Responsable (art. 30.2 RGPD).
5. Subencargados
El Responsable autoriza con carácter general la contratación de los subencargados indicados en el Anexo II (proveedores de alojamiento, correo y herramientas de trabajo). El Encargado informará al Responsable de cualquier incorporación o sustitución con una antelación mínima de [15] días, pudiendo el Responsable oponerse de forma motivada. El Encargado impondrá a los subencargados, por contrato, obligaciones equivalentes a las del presente Contrato y responderá frente al Responsable del cumplimiento de aquellos.
6. Transferencias internacionales
El Encargado no realizará transferencias internacionales de datos fuera del Espacio Económico Europeo salvo que cuente con autorización del Responsable y se apliquen las garantías adecuadas previstas en el Capítulo V del RGPD.
7. Obligaciones del Responsable
Corresponde al Responsable: (a) entregar al Encargado únicamente los datos necesarios para la prestación del servicio; (b) garantizar la licitud de su obtención y tratamiento, así como el cumplimiento del deber de información a los interesados; (c) realizar, cuando proceda, las evaluaciones de impacto y consultas previas; y (d) supervisar el cumplimiento de este Contrato.
8. Destino de los datos a la finalización
A la finalización del Contrato Principal, el Encargado, a elección del Responsable, devolverá o suprimirá los datos personales y las copias existentes, certificándolo por escrito, salvo que la normativa exija su conservación, en cuyo caso permanecerán bloqueados y a disposición exclusiva de las autoridades competentes durante los plazos legales.
El Encargado podrá conservar los entregables y análisis elaborados, siempre que no contengan datos personales o estos hayan sido anonimizados.
9. Responsabilidad
Cada parte responderá de los daños y sanciones derivados de sus propios incumplimientos del RGPD y de este Contrato, en los términos de los artículos 82 y 83 del RGPD.
10. Legislación aplicable y jurisdicción
Este Contrato se rige por la legislación española. Para cualquier controversia, las partes se someten a los Juzgados y Tribunales de [CIUDAD], salvo que la ley disponga otro fuero imperativo.
Y en prueba de conformidad, las partes firman el presente Contrato por duplicado en el lugar y fecha indicados.
El Responsable El Encargado
[Firma] [Firma]
Anexo I — Medidas de seguridad (art. 32 RGPD)
El Encargado aplicará, como mínimo, las siguientes medidas, adaptadas al riesgo del tratamiento:
- Control de acceso: acceso a la información limitado a las personas que intervienen en el servicio, con credenciales individuales y autenticación de doble factor donde esté disponible.
- Cifrado: comunicaciones cifradas (TLS/HTTPS) y cifrado de los dispositivos de trabajo.
- Almacenamiento: la documentación del Cliente se almacenará en [HERRAMIENTA/UBICACIÓN: p. ej., unidad cifrada / carpeta cloud con acceso restringido], evitando copias locales innecesarias.
- Copias de seguridad: realización periódica de copias de seguridad que permitan restaurar la disponibilidad de los datos.
- Minimización: solicitud al Cliente únicamente de la información necesaria; anonimización o seudonimización cuando sea posible.
- Borrado seguro: supresión de los datos al finalizar el servicio conforme a la cláusula 8.
- Gestión de incidentes: procedimiento interno de detección, registro y notificación de violaciones de seguridad.
- Revisión: evaluación periódica de la eficacia de las medidas.
Anexo II — Subencargados autorizados
| Subencargado |
Servicio |
Ubicación del tratamiento |
| Hostinger International Ltd. |
Alojamiento web y correo |
Unión Europea |
| Microsoft Ireland Operations Limited (Microsoft 365) |
Correo, almacenamiento y ofimática |
Unión Europea (Irlanda) |