Loyalita

Acuerdo de Encargado del Tratamiento

Conforme al artículo 28 del Reglamento (UE) 2016/679 (RGPD)

PREÁMBULO

El presente Acuerdo de Encargado del Tratamiento (en adelante, el "Acuerdo") forma parte integrante de los Términos y Condiciones de uso del servicio loyalita (el "Contrato Principal") suscrito entre las siguientes partes:

• Digital Monkey S.L., con CIF/NIF B19957083 operando bajo el nombre comercial "loyalita" y el sitio web https://loyalita.es (en adelante, el "Encargado" o el "Proveedor"), y

• La entidad identificada como cliente en el Contrato Principal, que actúa como responsable del tratamiento de los datos personales tratados a través del servicio loyalita (en adelante, el "Responsable" o el "Cliente").

En lo no previsto expresamente en este Acuerdo, resultarán de aplicación las cláusulas del Contrato Principal.

1. OBJETO Y DURACIÓN

1.1. El objeto de este Acuerdo es regular el tratamiento de datos personales que el Encargado realiza por cuenta del Responsable en el marco de la prestación del servicio de programas de fidelización loyalita, de conformidad con el artículo 28 del RGPD.

1.2. La duración de este Acuerdo será la misma que la del Contrato Principal. No obstante, determinadas obligaciones del Encargado, especialmente en materia de confidencialidad y conservación de datos, podrán subsistir tras la finalización del Contrato en los términos previstos en este Acuerdo y en la normativa aplicable.

2. NATURALEZA Y FINALIDAD DEL TRATAMIENTO

2.1. El Encargado tratará los datos personales exclusivamente para la prestación al Responsable del servicio de gestión de programas de fidelización, incluyendo, entre otras, las siguientes actividades de tratamiento:

  • registro de usuarios finales en los programas de fidelización del Responsable;
  • almacenamiento y gestión de datos de usuarios finales en la plataforma;
  • registro de operaciones de fidelización (acumulación y canje de puntos/sellos/recompensas);
  • gestión de comunicaciones relacionadas con el funcionamiento del programa (por ejemplo, notificaciones sobre recompensas, caducidad, recordatorios);
  • generación de informes y estadísticas para el Responsable.

2.2. El Encargado no tratará los datos para finalidades propias, salvo que la normativa aplicable lo exija o permita, en cuyo caso informará al Responsable, salvo que tal información esté prohibida por una norma de derecho de la Unión o de los Estados miembros.

3. TIPO DE DATOS Y CATEGORÍAS DE INTERESADOS

3.1. El tratamiento podrá comprender, a título enunciativo y no limitativo, las siguientes categorías de datos personales de usuarios finales de los programas de fidelización del Responsable:

  • datos identificativos básicos (por ejemplo, nombre, apellidos o alias);
  • datos de contacto (por ejemplo, número de teléfono, dirección de correo electrónico);
  • datos relacionados con la participación en programas de fidelización (programas a los que se ha unido, puntos/sellos/recompensas acumulados y canjeados, historial de visitas u operaciones de fidelización);
  • datos técnicos asociados al uso del servicio (por ejemplo, identificadores de usuario en la plataforma, direcciones IP, identificadores de dispositivo);
  • en su caso, otros datos que el Responsable decida tratar a través de la plataforma, dentro de las funcionalidades disponibles.

3.2. Las categorías de interesados incluyen principalmente a los clientes finales del Responsable (usuarios finales de los programas de fidelización).

4. OBLIGACIONES DEL RESPONSABLE

4.1. Corresponde al Responsable:

  • determinar las finalidades y medios del tratamiento de los datos personales de los usuarios finales;
  • garantizar que dispone de una base jurídica válida para el tratamiento de los datos y, en su caso, para la comunicación de datos al Encargado;
  • informar adecuadamente a los interesados sobre el tratamiento de sus datos y sobre el uso de la plataforma loyalita;
  • cumplir con el resto de obligaciones que le impone el RGPD y la normativa aplicable en materia de protección de datos.

4.2. El Responsable será el único responsable de la licitud de los tratamientos que realice, incluida la configuración de sus programas de fidelización y el contenido de las comunicaciones dirigidas a los usuarios finales.

5. OBLIGACIONES DEL ENCARGADO DEL TRATAMIENTO

El Encargado se compromete a:

5.1. Tratar los datos personales únicamente siguiendo instrucciones documentadas del Responsable, incluidas las relativas a transferencias de datos a un tercer país u organización internacional, salvo que esté obligado a ello en virtud del Derecho de la Unión o de los Estados miembros. En tal caso, el Encargado informará al Responsable de esa exigencia legal con carácter previo al tratamiento, salvo que dicha información esté prohibida.

5.2. Garantizar que las personas autorizadas para tratar datos personales se han comprometido a respetar la confidencialidad o están sujetas a una obligación de confidencialidad de naturaleza contractual o legal.

5.3. Aplicar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, de conformidad con el artículo 32 del RGPD. Dichas medidas se describen con carácter general en el Anexo I de este Acuerdo.

5.4. Asistir al Responsable, teniendo en cuenta la naturaleza del tratamiento, mediante medidas técnicas y organizativas apropiadas, para que este pueda cumplir con su obligación de responder a las solicitudes de ejercicio de derechos de los interesados (acceso, rectificación, supresión, oposición, limitación, portabilidad y otros).

5.5. Ayudar al Responsable a garantizar el cumplimiento de las obligaciones relativas a la seguridad del tratamiento, notificación de violaciones de seguridad de los datos, evaluación de impacto relativa a la protección de datos y consulta previa a la autoridad de control, en la medida en que resulte razonable atendiendo a la naturaleza del tratamiento y a la información de que disponga el Encargado.

5.6. A elección del Responsable, suprimir o devolver todos los datos personales una vez finalice la prestación de servicios de tratamiento, salvo que el Derecho de la Unión o de los Estados miembros exija la conservación de los datos.

5.7. Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el artículo 28 del RGPD y en este Acuerdo, así como permitir y contribuir a la realización de auditorías e inspecciones, realizadas por el propio Responsable o por otro auditor autorizado por éste, en los términos previstos en la cláusula 10.

6. SUBENCARGADOS DEL TRATAMIENTO

6.1. El Responsable autoriza de forma general al Encargado a recurrir a otros encargados del tratamiento (subencargados) para prestar determinados servicios que impliquen el acceso a datos personales (por ejemplo, servicios de hosting, plataformas de envío de comunicaciones, herramientas de soporte y analítica).

6.2. El Encargado informará al Responsable, a través de los canales habituales (por ejemplo, actualización de la lista de subencargados en el sitio web o en la documentación del servicio), de cualquier cambio previsto relativo a la incorporación o sustitución de subencargados, otorgando al Responsable la posibilidad de oponerse a dichos cambios cuando existan motivos justificados.

6.3. El Encargado suscribirá con cada subencargado un contrato en los términos del artículo 28.4 del RGPD, imponiéndole obligaciones equivalentes a las establecidas en este Acuerdo. Si un subencargado incumple sus obligaciones en materia de protección de datos, el Encargado seguirá siendo plenamente responsable frente al Responsable del cumplimiento de las obligaciones del subencargado.

7. TRANSFERENCIAS INTERNACIONALES

7.1. Cuando la prestación de servicios requiera la realización de transferencias de datos personales a países situados fuera del Espacio Económico Europeo (EEE), el Encargado garantizará que dichas transferencias se lleven a cabo de conformidad con el capítulo V del RGPD.

7.2. A tal efecto, se recurrirá, según corresponda, a decisiones de adecuación adoptadas por la Comisión Europea o a la suscripción de cláusulas contractuales tipo u otras garantías adecuadas reconocidas por la normativa.

7.3. El Encargado facilitará al Responsable información actualizada sobre las transferencias internacionales y las garantías aplicadas, previa solicitud razonable de éste.

8. NOTIFICACIÓN DE VIOLACIONES DE SEGURIDAD

8.1. El Encargado notificará al Responsable, sin dilación indebida y a través de los canales de contacto habituales, cualquier violación de la seguridad de los datos personales de la que tenga conocimiento y que afecte a los datos tratados por cuenta del Responsable.

8.2. Dicha notificación incluirá, en la medida en que sea posible en ese momento, información relevante para que el Responsable pueda valorar el incidente y, en su caso, cumplir con sus obligaciones de notificación a la autoridad de control y a los interesados, al menos:

  • la naturaleza de la violación de la seguridad de los datos personales;
  • las categorías y el número aproximado de interesados afectados;
  • las categorías y el número aproximado de registros de datos afectados;
  • las posibles consecuencias de la violación;
  • las medidas adoptadas o propuestas para remediar la violación y mitigar sus posibles efectos negativos.

8.3. Cuando no sea posible facilitar toda la información simultáneamente, podrá hacerse de forma gradual sin más dilación indebida.

9. SUPRESIÓN O DEVOLUCIÓN DE LOS DATOS AL FINALIZAR EL SERVICIO

9.1. Una vez finalice la prestación de los servicios de tratamiento regulados en este Acuerdo, el Encargado, a elección del Responsable:

  • devolverá todos los datos personales al Responsable y suprimirá las copias existentes, o
  • suprimirá todos los datos personales, salvo que la legislación aplicable exija su conservación.

9.2. El Encargado podrá conservar copias bloqueadas de los datos durante los plazos de prescripción legal que puedan resultar de aplicación, exclusivamente a efectos de acreditar el cumplimiento de sus obligaciones o de atender posibles responsabilidades.

9.3. Salvo instrucción en contrario del Responsable, la devolución o supresión de los datos se llevará a cabo en un plazo razonable desde la finalización del Contrato Principal, conforme a los procedimientos internos del Encargado.

10. AUDITORÍAS Y COMPROBACIONES

10.1. El Responsable podrá realizar, por sí mismo o mediante un auditor independiente, auditorías razonables para verificar el cumplimiento de este Acuerdo por parte del Encargado.

10.2. Las auditorías deberán:

  • ser notificadas con una antelación razonable;
  • realizarse en horarios hábiles;
  • no interferir de manera injustificada en las operaciones del Encargado;
  • respetar la confidencialidad de la información y la seguridad de otros clientes y sistemas del Encargado.

10.3. El Encargado podrá poner a disposición del Responsable certificaciones, informes de auditorías externas o documentación equivalente (por ejemplo, informes SOC, ISO, etc.), que podrán servir como evidencia del cumplimiento de las obligaciones de seguridad y cumplimiento normativo.

10.4. Los costes derivados de las auditorías serán a cargo del Responsable, salvo que de la auditoría se desprenda un incumplimiento grave del Encargado, en cuyo caso las Partes podrán acordar una asignación distinta de costes.

11. CONFIDENCIALIDAD

11.1. El Encargado tratará los datos personales y cualquier otra información del Responsable como confidencial y no los comunicará a terceros, salvo en la medida en que esté permitido en virtud de este Acuerdo o sea obligatorio por ley.

11.2. Esta obligación de confidencialidad subsistirá incluso después de la finalización del Contrato Principal y de este Acuerdo.

12. PREVALENCIA Y LEY APLICABLE

12.1. En caso de contradicción entre lo previsto en este Acuerdo y lo previsto en el Contrato Principal en materia de protección de datos, prevalecerán las disposiciones de este Acuerdo.

12.2. Este Acuerdo se regirá e interpretará de conformidad con la legislación de España y, en lo que resulte de aplicación, por el Reglamento (UE) 2016/679 (RGPD) y la normativa española de desarrollo.

12.3. Las controversias relativas a la interpretación o ejecución de este Acuerdo se resolverán conforme a lo establecido en la cláusula de ley aplicable y jurisdicción del Contrato Principal.

ANEXO I – MEDIDAS TÉCNICAS Y ORGANIZATIVAS DE SEGURIDAD (RESUMEN)

Sin perjuicio de las medidas adicionales que pueda implementar el Encargado, se enumeran a continuación, a título orientativo, algunas de las medidas técnicas y organizativas aplicadas:

  • Control de acceso lógico a sistemas y datos (usuarios únicos, autenticación mediante credenciales individuales, políticas de contraseñas).
  • Limitación de accesos internos a datos personales únicamente a personal que lo requiera para el desempeño de sus funciones.
  • Uso de cifrado durante la transmisión de datos a través de redes públicas (por ejemplo, HTTPS/TLS).
  • Copias de seguridad periódicas y procedimientos de recuperación ante desastres.
  • Registro y monitorización de actividades relevantes en los sistemas.
  • Procedimientos internos de gestión de incidentes de seguridad y brechas de datos.
  • Formación y concienciación del personal en materia de protección de datos y seguridad de la información.
  • Evaluación periódica de las medidas de seguridad y mejora continua.

El Encargado podrá actualizar estas medidas para adaptarlas al estado de la técnica y al riesgo, siempre que no se reduzca el nivel global de seguridad.