1. Partes y naturaleza de este acuerdo
El presente Contrato de Encargo del Tratamiento (en adelante, «el Acuerdo» o «DPA»,
por sus siglas en inglés Data Processing Agreement) se celebra entre:
- El Responsable del tratamiento: el negocio (empresa, autónomo o
profesional) que contrata una licencia de uso de la Plataforma Vantaris conforme a
los Términos y condiciones (en adelante,
«el Cliente» o «el Responsable»).
- El Encargado del tratamiento: José Antonio Ponce Piñero, con nombre
comercial Qorex (en adelante, «el prestador del servicio» o
«el Encargado»), NIF 30280812R, con domicilio en Calle Solidaridad, 50, 41006,
Sevilla, España, y correo electrónico
[email protected].
Este Acuerdo forma parte integrante de los Términos y condiciones y se entiende
aceptado por el Cliente en el momento de la contratación de la Plataforma o, en su
defecto, con su primer uso efectivo. Regula el tratamiento de datos personales que el
Encargado realiza por cuenta del Responsable en la prestación de los
servicios, de conformidad con el artículo 28 del Reglamento (UE) 2016/679 (RGPD) y la
Ley Orgánica 3/2018 (LOPDGDD).
2. Objeto del encargo
El Encargado tratará, por cuenta del Responsable, los datos personales necesarios para
la prestación de los servicios de la Plataforma Vantaris descritos en los Términos y
condiciones: terminal punto de venta (TPV y TPV Lite), aplicaciones companion
(comandera, pantalla de cocina, avisador, kiosko), carta digital, reservas online,
control horario, panel de control web, integraciones y servicios de sincronización y
copia de seguridad asociados.
El tratamiento comprenderá las siguientes operaciones, según el servicio utilizado:
- Recogida, registro, estructuración y conservación.
- Consulta, utilización y comunicación por transmisión entre los dispositivos y
servicios del propio Cliente.
- Sincronización entre terminales y con los servicios en la nube de la Plataforma.
- Copia de seguridad y restauración.
- Supresión y destrucción, conforme a la cláusula 9.
3. Duración
Este Acuerdo estará vigente mientras lo esté la relación contractual entre el Cliente
y el prestador del servicio. Las obligaciones de confidencialidad subsistirán incluso
después de finalizado el Acuerdo.
4. Tipos de datos y categorías de interesados
4.1 Categorías de interesados
- Clientes finales del negocio (consumidores).
- Empleados y colaboradores del negocio.
- Proveedores y contactos profesionales del negocio, en su caso.
4.2 Tipos de datos
- De clientes finales: datos identificativos y de contacto (nombre,
teléfono, correo, dirección, NIF en caso de factura nominativa), historial de
compras y consumo, reservas y asistencia, saldo de monedero o fidelización,
preferencias y observaciones registradas por el negocio en la ficha de cliente
(que, en negocios de peluquería y estética, pueden incluir anotaciones sobre
alergias o sensibilidad a productos introducidas por el Responsable bajo su
exclusiva responsabilidad).
- De empleados: datos identificativos, credenciales de acceso, rol
y permisos, registros de jornada y fichajes, operaciones realizadas en el TPV.
- De operación: tickets, facturas y registros de facturación,
pedidos, comandas, cierres de caja, datos de pago referenciados (identificadores
de transacción, nunca datos completos de tarjeta).
El Responsable se compromete a no introducir en la Plataforma categorías especiales de
datos (art. 9 RGPD) distintas de las estrictamente necesarias para su operativa y, en
todo caso, a contar con la base jurídica adecuada para su tratamiento.
5. Obligaciones del Encargado
El Encargado se obliga a:
- Instrucciones documentadas: tratar los datos únicamente siguiendo
las instrucciones documentadas del Responsable, materializadas en la configuración
y el uso que este haga de la Plataforma, y no aplicarlos ni utilizarlos con fines
distintos de la prestación del servicio. Si el Encargado considera que una
instrucción infringe la normativa de protección de datos, informará inmediatamente
al Responsable.
- Confidencialidad: garantizar que las personas autorizadas para
tratar datos personales se han comprometido a respetar la confidencialidad o están
sujetas a una obligación legal de confidencialidad, y que reciben la formación
necesaria.
- Seguridad (art. 32 RGPD): aplicar las medidas técnicas y
organizativas apropiadas al riesgo, entre otras: cifrado de las comunicaciones
(TLS), control de acceso basado en roles, autenticación de usuarios y
dispositivos, segmentación por entornos, registro de actividad, copias de
seguridad periódicas y procedimientos de restauración, y evaluación regular de la
eficacia de las medidas.
- Subencargados: conforme a la cláusula 6.
- Asistencia en el ejercicio de derechos: asistir al Responsable,
mediante las funciones de la propia Plataforma (consulta, rectificación,
exportación y supresión de fichas) y el soporte técnico, para que pueda atender
las solicitudes de ejercicio de los derechos de los interesados (acceso,
rectificación, supresión, oposición, limitación y portabilidad). Si un interesado
ejerce sus derechos directamente ante el Encargado, este dará traslado de la
solicitud al Responsable sin dilación indebida.
- Asistencia en el cumplimiento (arts. 32 a 36 RGPD): ayudar al
Responsable, teniendo en cuenta la naturaleza del tratamiento y la información a
su disposición, en la seguridad del tratamiento, la notificación de violaciones de
seguridad y, en su caso, las evaluaciones de impacto.
- Notificación de violaciones de seguridad: notificar al
Responsable, sin dilación indebida y en cuanto tenga conocimiento efectivo, las
violaciones de la seguridad de los datos personales tratados por su cuenta, junto
con la información relevante disponible para su documentación y, en su caso, su
comunicación a la autoridad de control o a los interesados.
- Información y auditorías: poner a disposición del Responsable la
información necesaria para demostrar el cumplimiento de las obligaciones de este
Acuerdo, y permitir y contribuir a la realización de auditorías o inspecciones
razonables por el Responsable o un auditor autorizado por este, previo aviso
escrito con antelación razonable, en horario laboral y sin acceso a datos de otros
clientes.
- Registro de actividades: mantener, cuando resulte exigible, el
registro de categorías de actividades de tratamiento efectuadas por cuenta del
Responsable previsto en el artículo 30.2 RGPD.
6. Subencargados
El Responsable otorga una autorización general al Encargado para
recurrir a subencargados en las siguientes categorías de servicios, siempre dentro del
marco de la prestación de la Plataforma:
- Infraestructura, alojamiento y copias de seguridad (centros de datos en la UE).
- Red de entrega de contenidos y protección frente a ataques (CDN/WAF).
- Pasarelas y entidades de procesamiento de pagos.
- Servicios de mensajería y comunicaciones (correo y mensajería instantánea).
- Proveedores de servicios de inteligencia artificial, únicamente para las funciones
opcionales activadas por el Responsable.
El Encargado impondrá a todo subencargado, mediante contrato, obligaciones de
protección de datos equivalentes a las de este Acuerdo, y responderá frente al
Responsable del cumplimiento por parte de sus subencargados. El Encargado informará al
Responsable de cualquier cambio previsto de subencargados que afecte materialmente al
tratamiento, dando al Responsable la posibilidad de oponerse por motivos legítimos en
un plazo de quince (15) días; en caso de oposición, las partes buscarán una solución
razonable y, de no existir, el Responsable podrá resolver el contrato respecto del
servicio afectado.
7. Transferencias internacionales
Con carácter general, los datos se tratan y alojan en la Unión Europea. Si la
prestación de algún servicio requiriese una transferencia internacional de datos fuera
del Espacio Económico Europeo, esta se realizará al amparo de una decisión de
adecuación de la Comisión Europea o de las Cláusulas Contractuales Tipo aprobadas por
la Comisión, con medidas suplementarias cuando resulten necesarias.
8. Obligaciones del Responsable
Corresponde al Responsable:
- Garantizar que dispone de base jurídica válida para los tratamientos que realiza a
través de la Plataforma y cumplir su deber de información frente a los interesados
(clientes finales y empleados).
- Atender los ejercicios de derechos de los interesados.
- Configurar la Plataforma conforme a sus obligaciones (por ejemplo, plazos de
conservación, canales de notificación activados, funciones opcionales de IA).
- No introducir datos que excedan de lo necesario para la finalidad del servicio.
- Custodiar las credenciales de sus usuarios y gestionar diligentemente los
permisos y accesos de su personal.
- Realizar, cuando proceda, el registro de actividades de tratamiento y las
evaluaciones de impacto que le correspondan como responsable.
9. Destino de los datos al finalizar el encargo
A la finalización de la relación contractual, el Responsable podrá solicitar, durante
un plazo de treinta (30) días naturales, la devolución de los datos
personales tratados por su cuenta en un formato estructurado de uso habitual, o su
supresión. Transcurrido dicho plazo sin instrucción expresa, el
Encargado suprimirá los datos, salvo aquellos que deba conservar, debidamente
bloqueados, para el cumplimiento de obligaciones legales (en particular, los registros
de facturación durante los plazos exigidos por la normativa fiscal y mercantil) o para
la formulación, el ejercicio o la defensa de reclamaciones.
Los datos almacenados localmente en los dispositivos del Responsable (bases de datos
locales del TPV) están bajo el control directo del Responsable, a quien corresponde su
custodia y, en su caso, su eliminación segura.
10. Responsabilidad
Cada parte responderá de los daños y sanciones derivados del incumplimiento de las
obligaciones que le correspondan conforme al RGPD y a este Acuerdo. El Encargado
responderá únicamente de los daños causados por un tratamiento en el que no haya
cumplido las obligaciones del RGPD dirigidas específicamente a los encargados o haya
actuado al margen o en contra de las instrucciones legales del Responsable. Resultará
de aplicación, además, el régimen de limitación de responsabilidad previsto en los
Términos y condiciones, en la medida permitida por la normativa.
11. Ley aplicable y jurisdicción
Este Acuerdo se rige por la legislación española y por el RGPD. Para cualquier
controversia derivada del mismo, las partes se someten a los Juzgados y Tribunales de
Sevilla, salvo que la normativa aplicable establezca imperativamente
otro fuero.
12. Contacto
Para cualquier cuestión relativa a este Acuerdo o al tratamiento de datos en el marco
del encargo, el Responsable puede dirigirse a
[email protected].