Anexo de tratamiento de datos

Roles

Respecto a los datos personales que nos confías en un trabajo, tú eres el responsable del tratamiento y nosotros, [Nombre de la entidad legal], somos el encargado del tratamiento que actúa según tus instrucciones. Este anexo rige ese tratamiento. Es independiente de nuestro aviso de privacidad, que cubre los datos que controlamos como empresa, como tus datos de contacto cuando nos consultas.

Objeto, duración, naturaleza y finalidad

Tratamos los datos personales únicamente para prestar los servicios acordados, durante el trabajo y cualquier cierre ordenado pactado. La naturaleza del tratamiento es la que requiera el trabajo — por ejemplo, manejar registros de envío, listas de supresión y datos de destinatarios al operar, migrar o auditar un sistema de correo. Las categorías concretas de datos y de interesados se describen en el anexo del trabajo: [Anexo: categorías de datos personales e interesados].

Nuestras obligaciones como encargado

• Instrucciones. Tratamos los datos personales solo según tus instrucciones documentadas, incluidas las transferencias, salvo que la ley exija otra cosa; en tal caso te lo comunicamos antes, cuando esté permitido.
• Confidencialidad. Todas las personas que autorizamos a tratar los datos están sujetas a un deber de confidencialidad.
• Seguridad. Aplicamos medidas técnicas y organizativas apropiadas conforme al artículo 32 — cifrado en tránsito, acceso de mínimo privilegio y la disciplina de infraestructura que llevamos a todo nuestro trabajo —, proporcionadas al riesgo.
• Subencargados. Recurrimos a subencargados solo con tu autorización general por escrito, mantenemos una lista actualizada en nuestra página de subencargados, les imponemos condiciones de protección de datos equivalentes y seguimos siendo responsables de su desempeño. Te avisamos de cualquier cambio previsto para que puedas oponerte.
• Asistencia. Teniendo en cuenta la naturaleza del tratamiento, te ayudamos a responder a las solicitudes de los interesados y a cumplir tus obligaciones de seguridad, notificación de brechas y evaluaciones de impacto (artículos 32 a 36).
• Notificación de brechas. Te notificamos sin dilación indebida tras tener conocimiento de una brecha de datos personales que afecte a tus datos, con la información que necesites para cumplir tus propias obligaciones.
• Devolución o supresión. Al terminar el trabajo, suprimimos o devolvemos los datos personales según tu elección, y eliminamos las copias existentes salvo que la ley nos obligue a conservarlas.
• Auditorías. Ponemos a tu disposición la información necesaria para demostrar el cumplimiento de este anexo y permitimos y contribuimos a auditorías, incluidas inspecciones, con un preaviso razonable y sujetas a confidencialidad.

Transferencias internacionales

Cuando la prestación del servicio implique transferir datos personales fuera del Espacio Económico Europeo, lo hacemos solo según tus instrucciones y con un mecanismo de transferencia lícito — una decisión de adecuación o garantías apropiadas como las Cláusulas Contractuales Tipo, que se incorporan por referencia cuando proceda.

Responsabilidad y prelación

La responsabilidad bajo este anexo está sujeta a los límites del acuerdo del trabajo. Si este anexo entra en conflicto con ese acuerdo en materia de protección de datos, prevalece este anexo; en todo lo demás, prevalece el acuerdo. Los términos no definidos aquí tienen el significado que les da el RGPD.

Cómo se acuerda

Esta página es el texto permanente de nuestro anexo. Para un trabajo se formaliza como parte del acuerdo escrito, o junto a él, con las categorías de datos y cualquier condición específica del cliente completadas en el anexo. [Esto es una plantilla; haz que la revise y complete un asesor jurídico cualificado antes de basarte en ella.]

Contacto

Para consultas sobre el tratamiento de datos, escribe a [email protected].