Política de privacidad

Última actualización: 14 de agosto de 2024

"Fube" se encuentra profundamente comprometido con el cumplimiento de la normativa española y europea de protección de datos de carácter personal, y garantiza el cumplimiento íntegro de las obligaciones dispuestas, así como la implementación de las medidas de seguridad dispuestas en el Reglamento General de Protección de Datos (RGPD) (UE) 2016/679, de 27 de abril, y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPD y GDD, en adelante LOPD).

De conformidad con estas normativas, informamos que la utilización de nuestra web y app puede requerir que se faciliten ciertos datos personales a través de formularios de registro o contacto, o mediante el envío de emails, y que éstos serán objeto de tratamiento por "Fube", Responsable del tratamiento, cuyos datos son:

  • Denominación Social: Nimio Creación Digital, S.L.
  • CIF: B93546679
  • Domicilio Social: C/ Ivan Pavlov 8, Blq. 3, Plt. 1, Oficina D y E, Parque Tecnológico, 29590, Málaga, España
  • Teléfono: 952 022 299 / 744 663 795
  • eMail: contacto@nimioestudio.com

Obtención y Tratamiento de Datos Personales

Un dato personal es cualquier información relativa a una persona: nombre, email, domicilio, teléfono, NIF/NIE... Adicionalmente, cuando un Usuario visita nuestro sitio web o accede a la app, determinada información se almacena automáticamente por motivos técnicos, como la dirección IP asignada por su proveedor de acceso a Internet.

"Fube", como Responsable del Tratamiento, tiene el deber de informar a los Usuarios de su sitio web y app acerca de la recogida de datos de carácter personal que pueden llevarse a cabo, bien sea mediante el envío de correo electrónico o al cumplimentar los formularios incluidos en el sitio web y app.

Se obtendrán únicamente los datos precisos para poder realizar la contratación del servicio, o para poder responder adecuadamente a la petición de información realizada por el Usuario. Los datos recabados son identificativos y corresponden a un mínimo razonable para poder llevar a término la actividad realizada. En particular, no se recogen datos especialmente protegidos en ningún momento. En ningún caso se realizará un uso diferente de los datos que la finalidad para los que han sido recabados.

Formularios de contacto/email

  • Finalidad: Dar contestación a su solicitud de información realizada a través de nuestro/s formulario/s de contacto.
  • Legitimación: La base jurídica que legitima este tratamiento es el consentimiento del Usuario, que podrá revocar en cualquier momento.
  • Cesión de datos: Los datos personales serán tratados a través de servidores gestionados por IONOS, que tendrá la consideración de Encargado del Tratamiento.

Formularios de alta en lista de correo (newsletter)

  • Finalidad: Envío de comunicaciones, algunas de ellas comerciales, de interés para el Usuarios según la temática del blog. Tal y como establece la LSSICE, "Fube" se compromete a no remitir comunicaciones comerciales sin identificarlas como tales. A estos efectos, no será considerada como comunicación comercial la información enviada a los clientes para el mantenimiento de la relación contractual existente, de haberla.
  • Legitimación: La base jurídica que legitima este tratamiento es el consentimiento del Usuario, que podrá revocar en cualquier momento.
  • Cesión de datos: Los datos personales serán tratados a través de servidores gestionados por Mailchimp, que tendrá la consideración de Encargado del Tratamiento.

Formularios de registro/alta de cliente/contratación

  • Finalidades:
    • Gestionar su alta como Usuario en nuestra página web y plataforma.
    • Gestionar las contrataciones y renovaciones de los servicios.
    • Proporcionar información detallada y actualizaciones acerca de los servicios contratados.
    • Registrar y gestionar las suscripciones a servicios adicionales, módulos o complementos contratados.
    • Enviar comunicaciones vía email y/o teléfono para informar al Usuario de posibles incidencias, errores, problemas técnicos y/o cualquier información relevante relacionada con los servicios contratados.
    • Facilitar el acceso a soporte técnico y atención al cliente para resolver consultas o problemas relacionados con el uso del software.
    • Gestionar las preferencias de comunicación del Usuario, incluyendo la suscripción y cancelación de boletines informativos y otras comunicaciones comerciales.
    • Ofrecer promociones, descuentos y ofertas especiales relacionadas con los servicios contratados.
  • Legitimación: La base jurídica que legitima este tratamiento es la ejecución de un contrato o precontractuales y consentimiento expreso.
  • Cesión de datos: "Fube" no cederá ni comunicará a ningún tercero tus datos, excepto en los casos legalmente previstos o cuando sea estrictamente necesario para la prestación de un servicio. Concretamente, los datos podrán ser cedidos a:
    • Proveedores de servicios tecnológicos: IONOS (www.ionos.es)
    • Proveedores de servicios de pago: Redsys (www.redsys.es)
    • Terceros o intermediarios, en calidad de prestadores de servicios, que operen en nuestro propio nombre (gestoría, asesoría…): Asesoría Iknoga (www.iknoga.es)
    Las cesiones de datos se producirán respetando la más estricta confidencialidad, empleando las medidas necesarias, tales como la firma de contratos de confidencialidad, o la adhesión a sus políticas de privacidad establecidas en sus respectivas páginas web. El Usuario podrá negarse a la cesión de sus datos a los Encargados del Tratamiento, mediante petición escrita, por cualquiera de los medios anteriormente referenciados.

    Además, en aquellos casos en que sea necesario, los datos de Clientes podrán ser cedidos a determinados organismos, en cumplimiento de una obligación legal: Agencia Tributaria Española, entidades bancarias, Inspección de Trabajo, etc.

Menores de edad

  • Solo podrán aportar datos personales en este sitio web las personas mayores de 14 años. Según obliga la LOPD y GDD, en caso de menores de 14 años, será condición obligatoria el consentimiento de sus padres o tutores para que podamos tratar sus datos personales.
  • Por otra parte, solo podrán contratar nuestros servicios las personas mayores de 18 años. En caso de menores de 18 años, será condición obligatoria el consentimiento de sus padres o tutores legales para que podamos prestar los servicios ofertados, salvo que el menor esté emancipado.

Registro de Usuarios - Contraseñas

Para contratar los servicios ofrecidos en nuestra web y app, es necesario registrarse como Usuario. Para ello, el Usuario debe completar el formulario correspondiente. Además de los datos de configuración del servicio necesarios para la prestación del mismo, recopilaremos inicialmente la siguiente información:

  • Datos Fiscales de la empresa/autónomo
  • Datos de contacto, tales como email y/o teléfono
  • IP
  • Nombre de Usuario/contraseña

El Usuario deberá además aportar una contraseña, que deberá cumplir ciertos requisitos de seguridad. No caducan. Para recuperar la contraseña el Usuario debe ir al formulario específico de recuperación e introducir su email para continuar con el proceso y poder modificarla, pulsando el enlace que se enviará a la dirección de email introducida. El Usuario es responsable de guardar la confidencialidad de su contraseña, así como de todos los usos que haga de ella. Deberá comunicar a "Fube" cualquier uso no autorizado que se haga de su cuenta o contraseña a la mayor brevedad posible.

El Usuario, una vez registrado, tiene acceso a un panel privado, en el que podrá ver determinados contenidos, suscripciones a servicios, acceso a herramientas, etc. También puede gestionar opciones de su cuenta, como la contraseña o datos de Usuario.

El Usuario podrá recibir las siguientes notificaciones:

  • Al darse de alta en la plataforma (email de validación de cuenta).
  • Notificaciones al finalizar o renovar una suscripción periódica.
  • Notificaciones personalizadas relacionadas con su servicio o suscripción, como por ejemplo sobre próximos vencimientos de facturas, facturas vencidas, entre otros.
  • Newsletter de la web si se ha dado de alta en la misma (el Usuario podrá darse de baja en su área privada y en los enlaces correspondientes incluidos al pie de cada newsletter).
  • Por recuperación de contraseña.
  • Al darse de baja o eliminar la cuenta.

Tratamiento de datos a través del servicio Fube

Como proveedor de servicios, "Fube" recopila y trata datos personales necesarios para la prestación del servicio. Respecto a estos datos, "Fube" puede actuar como Responsable del Tratamiento o como Encargado del Tratamiento.

Cuando un Usuario contrata los servicios de "Fube", este actúa como Responsable del Tratamiento de sus datos personales, tales como nombre, correo electrónico, dirección, etc.

En cuanto a los datos de los clientes que el Usuario introduce en los servicios web o app, "Fube" actúa como Encargado del Tratamiento. "Fube" no mantiene una relación directa con los interesados cuyos datos son introducidos por el Usuario en la plataforma. Trata exclusivamente los datos personales de los clientes del Usuario en su nombre y de acuerdo con sus instrucciones. El Usuario es el responsable de determinar los fines y los medios para el tratamiento de estos datos. "Fube" nunca utilizará estos datos para finalidades propias.

En consecuencia, resulta necesario regular las obligaciones y responsabilidades en materia de protección de datos derivadas del este servicio, conforme a lo previsto en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 ("RGPD") y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales ("LOPD-GDD"). Estas obligaciones en materia de protección de datos se regirán por el acuerdo de encargado de tratamiento de datos puesto a disposición al contratar los servicios, de conformidad con el artículo 28 del RGPD y del LOPD-GDD.

Medidas de Seguridad

Se informa a los Usuarios de esta web y de la app que "Fube" ha adoptado las medidas de seguridad, técnicas y organizativas a nuestro alcance para evitar la pérdida, mal uso, alteración, acceso no autorizado y robo de los datos, y que garantizan así la confidencialidad, integridad y calidad de la información contenida en las mismas, de acuerdo con lo establecido en la normativa vigente en protección de datos. Los datos personales que se recogen en los formularios son objeto de tratamiento, únicamente, por parte del personal de "Fube" o de los Encargados del Tratamiento designados.

La app de "Fube" también cuenta con medidas de seguridad avanzadas, incluyendo cifrado de datos, autenticación de usuarios mediante contraseñas seguras y, en algunos casos, autenticación de dos factores. Estas medidas aseguran que los datos personales de los Usuarios estén protegidos contra accesos no autorizados y posibles vulnerabilidades.

El Sitio Web de "Fube" cuenta además con un cifrado SSL, que permite al Usuario el envío seguro de sus datos personales a través de los formularios de contacto o registro del sitio web.

Veracidad de los datos

El Usuario manifiesta que todos los datos facilitados por él son ciertos y correctos y se compromete a mantenerlos actualizados. El Usuario responderá de la veracidad de sus datos y será el único responsable de cuantos conflictos o litigios pudieran resultar por la falsedad de los mismos. Es importante que, para que podamos mantener los datos personales actualizados, el Usuario informe a "Fube" siempre que haya habido alguna modificación en los mismos.

Ejercicio de Derechos del Usuario

La LOPD y GDD y el RGPD conceden a los interesados la posibilidad de ejercer una serie de derechos relacionados con el tratamiento de sus datos personales. Para ello, el Usuario deberá dirigirse, acreditando adecuadamente su identidad, mediante correo electrónico a contacto@nimioestudio.com, o bien mediante comunicación escrita a la dirección que aparece en nuestro Aviso Legal. Dicha comunicación deberá reflejar la siguiente información: nombre y apellidos del Usuario, el objeto de la solicitud, el domicilio y los datos acreditativos.

El ejercicio de derechos deberá ser realizado por el propio Usuario. No obstante, podrán ser ejecutados por una persona autorizada como representante legal del Usuario, aportándose la documentación que acredite dicha representación.

El Usuario podrá solicitar el ejercicio de los derechos siguientes:

  • Derecho a solicitar el acceso a los datos personales: que es el derecho a obtener información sobre si sus propios datos de carácter personal están siendo objeto de tratamiento, la finalidad del tratamiento que, en su caso, se esté realizando, así como la información disponible sobre el origen de dichos datos y las comunicaciones realizadas o previstas de los mismos.
  • Derecho a solicitar su rectificación: en caso de que los datos personales sean incorrectos o inexactos, o supresión de los datos que resulten ser inadecuados o excesivos.
  • Derecho a solicitar la limitación de su tratamiento: en cuyo caso únicamente serán conservados por "Fube" los datos estrictamente necesarios para el ejercicio o la defensa de reclamaciones.
  • Derecho a oponerse al tratamiento: se refiere al derecho del interesado a que no se lleve a cabo el tratamiento de sus datos personales o se cese en el mismo en los supuestos en que no sea necesario su consentimiento para el tratamiento, que se trate de ficheros de prospección comerciales o que tengan la finalidad de adoptar decisiones referidas al interesado y basadas únicamente en el tratamiento automatizado de sus datos, salvo que por motivos legítimos o el ejercicio o la defensa de posibles reclamaciones se tengan que seguir tratando.
  • Derecho a la portabilidad de los datos: en caso de que quiera que sus datos sean tratados por otra empresa, "Fube" le facilitará la portabilidad de sus datos en formato exportable.

En el caso de que se haya otorgado el consentimiento para alguna finalidad específica, el Usuario tiene derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada.

Nos comprometemos a ejecutar todos estos derechos dentro del plazo legal máximo (1 mes).

Si un Usuario considera que hay un problema con la forma en que "Fube" está manejando sus datos, puede dirigir sus reclamaciones al Responsable de Seguridad o a la autoridad de protección de datos que corresponda, siendo la Agencia Española de Protección de Datos la indicada en el caso de España.

Conservación de los datos

Los datos de carácter personal de los Usuarios que usen el formulario de contacto o que nos envíen un email solicitando información serán tratados durante el tiempo estrictamente necesario para atender a la solicitud de información, o hasta que se revoque el consentimiento otorgado.

Los datos de carácter personal del Cliente serán tratados hasta que finalice la relación contractual. El período de conservación de los datos personales será el mínimo necesario, pudiendo mantenerse hasta:

  • 4 años: Ley sobre Infracciones y Sanciones en el Orden Social (obligaciones en materia de afiliación, altas, bajas, cotización, pago de salarios…); Arts. 66 y sig. Ley General Tributaria (libros de contabilidad…)
  • 5 años: Art. 1964 Código Civil (acciones personales sin plazo especial)
  • 6 años: Art. 30 Código de Comercio (libros de contabilidad, facturas…)
  • 10 años: Art. 25 Ley de Prevención del Blanqueo de Capitales y Financiación del Terrorismo.
  • Sin plazo: datos desagregados y anonimizados.

Por su parte, los datos de Usuarios que se den de alta en el boletín o newsletter serán conservados indefinidamente, hasta que se revoque el consentimiento otorgado.

En el caso de tratamiento de datos de candidatos (C.V.), "Fube" podrá mantener almacenado su currículo un máximo de dos años para incorporarlo a futuras convocatorias, a menos que el candidato se manifieste en contrario.

Redes Sociales

"Fube" cuenta con perfil en algunas de las principales redes sociales de Internet (Facebook, X, Instagram, YouTube, Pinterest). La finalidad del tratamiento de datos por parte de "Fube" será la de informar a sus seguidores sobre sus actividades, utilizando las herramientas que la red social en cuestión permita, y brindar un servicio personalizado de atención al usuario. El Usuario debe tener en cuenta que el uso de estas redes sociales está sujeto a sus respectivas condiciones de uso y políticas de privacidad de las plataformas. "Fube" recomienda a los Usuarios la consulta previa de estas condiciones y políticas de privacidad antes de utilizar los enlaces o aplicaciones proporcionados.

En ningún caso "Fube" extraerá datos de las redes sociales, a menos que se obtuviera puntual y expresamente el consentimiento del Usuario para ello. Además, "Fube" no se responsabiliza de las prácticas de privacidad de estas redes sociales o sus aplicaciones, especialmente en lo que respecta a la confidencialidad, tratamiento de datos personales y contenido.

Transferencias Internacionales de Datos

"Fube" utiliza los servicios de envío de comunicaciones electrónicas de la empresa Mailchimp, que está ubicada en Estados Unidos. Se han firmado unas cláusulas contractuales tipo aprobadas por la Comisión Europea con esta entidad, con la finalidad de asegurar el nivel de protección adecuado en el tratamiento de tus datos personales, conforme a los criterios establecidos por RGPD.

Selección de Personal

El aspirante que envíe comunicaciones electrónicas a "Fube", con la finalidad de acceder a los procesos de selección de personal del responsable, nos autoriza a analizar los documentos que remitidos (por ejemplo, el C.V.), todo el contenido que sea directamente accesible a través de buscadores de Internet (por ejemplo, Google), los perfiles que mantenga en redes sociales profesionales (por ejemplo, LinkedIn), los datos obtenidos en las pruebas de acceso y la información que revele en la entrevista de trabajo, con el objetivo de valorar su candidatura y poder, en su caso, ofrecerle un puesto de trabajo.

En caso de que el candidato no sea seleccionado, "Fube" podrá mantener almacenado su C.V. durante un máximo de dos años, para incorporarlo a futuras convocatorias, a menos que el candidato manifieste lo contrario. La base jurídica que legitima este tratamiento será el consentimiento del interesado, que podrá revocar en cualquier momento.

Confidencialidad

La información suministrada por el Usuario tendrá, en todo caso, la consideración de confidencial, sin que pueda ser utilizada para otros fines distintos a los aquí descritos. "Fube" se obliga a no divulgar ni revelar información sobre las pretensiones del Usuario, los motivos de la información solicitada o la duración de su relación con éste.

Validez

Esta política de privacidad y de protección de datos ha sido redactada con fecha del 14 de agosto de 2024. Podrá variar en función de los cambios de normativa y jurisprudencia que se vayan produciendo, siendo responsabilidad del titular de los datos la lectura del documento actualizado, en orden a conocer sus derechos y obligaciones al respecto en cada momento.

CONTRATO DE ENCARGADO DE TRATAMIENTO

Por un lado, el CLIENTE. Por otro lado, Nimio Creación Digital, S.L., como responsable de la HERRAMIENTA FUBE,

EXPONEN

  1. Que ambas partes se encuentran vinculadas mediante una relación contractual en la que Nimio Creación Digital, S.L. presta servicios a DATOS CLIENTE, de acuerdo con los términos y condiciones pactadas.
  2. Que para la prestación de servicios puede ser necesario que el Encargado del tratamiento tenga acceso a datos de carácter personal del responsable del tratamiento.
  3. Que en relación con los datos identificativos de las personas de contacto que intervienen en la formalización y gestión del presente acuerdo y en el contrato de prestación de servicios, están informadas de que sus datos personales serán tratados por la otra parte para la verificación, gestión, mantenimiento y control de la relación contractual, sin que esté prevista su comunicación a TERCEROS. Los interesados podrán ejercitar los derechos de acceso, rectificación portabilidad y supresión de sus datos y a la limitación, oposición su tratamiento, además del derecho a retirar el consentimiento facilitados ante la otra parte y presentar una reclamación ante la Autoridad de control (aepd.es), si consideran que el tratamiento no se ajusta a la normativa vigente. Los datos se conservarán mientras exista un interés mutuo para mantener el fin del tratamiento y cuando ya no sean necesarios para tal fin, se suprimirán con medidas de seguridad adecuadas, garantizando la seudonimización de los datos o la destrucción total de los mismos, salvo obligación legal en contrario.
  4. Que, de acuerdo con lo dispuesto en la Ley Orgánica 3/2018, de 5 de diciembre (LOPDGDD) y en el artículo 28 del Reglamento (UE) 2016/679, de 27 de abril de 2016 (RGPD, ambas partes convienen suscribir el presente acuerdo con sujeción a las siguientes

INSTRUCCIONES PARA EL TRATAMIENTO DE DATOS

  1. Objeto del encargo del tratamiento
    Mediante las presentes cláusulas se habilita a Nimio Creación Digital, S.L., encargada del tratamiento, para tratar por cuenta de DATOS CLIENTE, responsable del tratamiento, los datos de carácter personal necesarios para prestar los servicios contratados especificados en el contrato mercantil de prestación de servicios suscrito entre ambas partes.
    La concreción de los tratamientos a realizar es: Recogida, Conservación, Registro, Modificación, Comunicación.
  2. Identificación de la información afectada
    Para la ejecución de las prestaciones derivadas del cumplimiento del objeto de este encargo, el RESPONSABLE DEL TRATAMIENTO, pone a disposición del ENCARGADO DEL TRATAMIENTO, la información que se describe a continuación: Nombre y apellidos, NIF/NIE, dirección, email, teléfono
    Colectivos de interesados: Clientes, Usuarios web.
  3. Duración
    El presente acuerdo tiene la misma duración que el contrato mercantil de prestación de servicios, y sus correspondientes prórrogas si procede.
  4. Obligaciones del encargado del tratamiento
    El encargado del tratamiento y todo su personal se obliga a:

    A. Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios.

    B. Tratar los datos de acuerdo con las instrucciones del responsable del tratamiento.
    Si el encargado del tratamiento considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, el encargado informará inmediatamente al responsable.

    C. Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, que contenga:

    1. El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado y, en su caso, del representante del responsable o del encargado y del delegado de protección de datos.
    2. Las categorías de tratamientos efectuados por cuenta de cada responsable.
    3. En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49 apartado 1, párrafo segundo del RGPD, la documentación de garantías adecuadas.
    4. Una descripción general de las medidas técnicas y organizativas de seguridad relativas a:
      • a) La seudoanimización y el cifrado de datos personales.
      • b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
      • c) La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
      • d) El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

    Las obligaciones indicadas no se aplicarán obligatoriamente a ninguna empresa ni organización que emplee a menos de 250 personas, salvo que el tratamiento que realice pueda suponer un riesgo para los derechos y las libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales indicadas en el artículo 9, apartado 1 del RGPD, o datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10 de dicho Reglamento.

    D. No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles.
    El encargado puede comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones del responsable. En este caso, el responsable identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación.

    Si el encargado debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, informará al responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público.

    E. Subcontratación
    No subcontratar ninguna de las prestaciones que formen parte del objeto de este contrato que comporten el tratamiento de datos personales, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios del encargado.
    Si fuera necesario subcontratar algún tratamiento, este hecho se deberá comunicar previamente y por escrito al responsable, con una antelación de 72 horas, indicando los tratamientos que se pretende subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el responsable no manifiesta su oposición en el plazo establecido.
    El subcontratista, que también tendrá la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el encargado del tratamiento y las instrucciones que dicte el responsable. Corresponde al encargado inicial regular la nueva relación de forma que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, el encargado inicial seguirá siendo plenamente responsable ante el responsable en lo referente al cumplimiento de las obligaciones.

    F. Mantener el deber de secreto respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice su objeto.

    G. Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente.

    H. Mantener a disposición del responsable la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior.

    I. Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.

    J. Asistir al responsable del tratamiento en la respuesta al ejercicio de los derechos de:

    1. Acceso, rectificación, supresión y oposición
    2. Limitación del tratamiento
    3. Portabilidad de datos
    4. A no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles)

    Cuando las personas afectadas ejerzan los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas, ante el encargado del tratamiento, éste debe comunicarlo por correo electrónico. La comunicación debe hacerse de forma inmediata y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud.

    K. Derecho de información
    Corresponde al responsable facilitar el derecho de información en el momento de la recogida de los datos.

    L. Notificación de violaciones de la seguridad de los datos
    El encargado del tratamiento notificará al responsable del tratamiento, sin dilación indebida, a través de correo electrónico, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia a la autoridad de control competente de conformidad con el artículo 33 del RGPD. Este plazo no deberá ser superior a las cuarenta y ocho (48) horas desde que tenga conocimiento efectivo para que el responsable pueda cumplir con sus obligaciones. En caso de que el encargado no pueda notificarlo dentro del plazo establecido, deberá justificar los motivos de la dilación.

    Si se dispone de ella se facilitará, como mínimo, la información siguiente:

    • a) Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
    • b) El nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.
    • c) Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.
    • d) Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

    Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.
    No será necesaria la notificación cuando sea improbable que dicha violación de seguridad constituya un riesgo para los derechos y libertades de las personas físicas.

    M. Dar apoyo al responsable del tratamiento en la realización de las evaluaciones de impacto relativas a la protección de datos, cuando proceda.

    N. Dar apoyo al responsable del tratamiento en la realización de las consultas previas a la autoridad de control, cuando proceda.

    O. Poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el responsable u otro auditor autorizado por él.

    P. Medidas de seguridad
    El encargado implantará las medidas de seguridad, de carácter organizativo, técnico, físico y administrativo, que resulten apropiadas para garantizar un nivel de seguridad adecuado al riesgo que pudiera derivarse del tratamiento, garantizar la seguridad, integridad, disponibilidad de los datos de carácter personal y evitar su alteración, pérdida, destrucción accidental o ilícita, tratamiento, revelación o acceso no autorizado en todo momento, habida cuenta del estado de la tecnología, los costes de aplicación, la naturaleza de los datos, el alcance del tratamiento, así como los riesgos a que estén expuestos y el impacto que esto pudiera tener sobre los derechos y libertades de las personas físicas, ya provengan de la acción humana o del medio físico o natural, dando así cumplimiento a lo exigido por la normativa vigente.

    En todo caso, deberá implantar mecanismos para:

    • a) Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
    • b) Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
    • c) Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento.
    • d) Seudonimizar y cifrar los datos personales, en su caso.

    Q. Designar un delegado de protección de datos, si procede, y comunicar su identidad y datos de contacto al responsable.

    El delegado de protección de datos debe designarse cuando:

    • a) El tratamiento lo lleve a cabo una autoridad o un organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.
    • b) Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala.
    • c) Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales.
    • d) Las entidades estén recogidas en los supuestos contemplados en el art. 34.1 de la LOPDGDD 3/2018.

    R. Destino de los datos
    El encargado devolverá al responsable del tratamiento los datos de carácter personal y, si procede, los soportes donde consten, una vez cumplida la prestación.
    La devolución debe comportar el borrado total de los datos existentes en los equipos informáticos utilizados por el encargado.
    No obstante, el encargado puede conservar una copia, con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación.

  5. Obligaciones del responsable del tratamiento

    Corresponde al responsable del tratamiento:

    • a) Entregar al encargado los datos a los que se refiere la cláusula 2 de este documento.
    • b) Realizar una evaluación del impacto en la protección de datos personales de las operaciones de tratamiento a realizar por el encargado.
    • c) Realizar las consultas previas que corresponda.
    • d) Velar, de forma previa y durante todo el tratamiento, por el cumplimiento del RGPD por parte del encargado.
    • e) Supervisar el tratamiento, incluida la realización de inspecciones y auditorías.