1. En consideración a que usted, el cliente, contrata los servicios de TCCHE LTD para procesar datos personales en su nombre, cumpliremos con las obligaciones de seguridad, confidencialidad y otras obligaciones que se nos impongan en virtud del presente acuerdo y de cualquier legislación aplicable en materia de protección de datos. 

Partes de este acuerdo: 

(1) El Cliente (o usted), siendo la persona jurídica o entidad que ha solicitado los Servicios de conformidad con el Pedido (el "Responsable"); 

y 

(2) TCCHE LTD, constituida y registrada en Inglaterra y Gales con el número de sociedad 08223171 y domicilio social en Unit 104 of 1 Riverbank Business Park, Dye House Lane, Londres, E3 2TB (el "Responsable del tratamiento"). 

Antecedentes y ámbito de aplicación 

(A) El Responsable del Tratamiento determina los fines y medios del tratamiento de Datos Personales en relación con sus actividades empresariales; 

(B) El Encargado del Tratamiento trata Datos Personales por cuenta del Responsable del Tratamiento; 

(C) El responsable del tratamiento desea contratar los servicios del encargado del tratamiento para que trate datos personales en su nombre; 

(D) El GDPR del Reino Unido establece que, cuando el tratamiento deba llevarse a cabo en nombre de un responsable del tratamiento, el responsable del tratamiento utilizará únicamente encargados del tratamiento que ofrezcan garantías suficientes para aplicar las medidas técnicas y organizativas apropiadas de tal manera que el tratamiento cumpla los requisitos del GDPR del Reino Unido y garantice la protección de los derechos del interesado; 

(E) El GDPR del Reino Unido establece además que el encargado del tratamiento no contratará a otro encargado sin la autorización previa por escrito, específica o general, del responsable del tratamiento. En caso de autorización general por escrito, el encargado del tratamiento informará al responsable del tratamiento de cualquier cambio previsto en relación con la adición o sustitución de otros encargados del tratamiento, dando así al responsable del tratamiento la oportunidad de oponerse a dichos cambios; 

(F) El GDPR del Reino Unido establece además que, el encargado del tratamiento y cualquier persona que actúe bajo la autoridad del responsable o del encargado del tratamiento, que tenga acceso a datos personales, no tratará dichos datos salvo siguiendo instrucciones del responsable del tratamiento, a menos que así lo exija la ley; 

(G) En cumplimiento de las disposiciones antes mencionadas del GDPR del Reino Unido, el Controlador y el Procesador desean celebrar este acuerdo de procesamiento. 

Las partes acuerdan mutuamente lo siguiente: 

1. 1. Definiciones e interpretación 
   2. Consideración 
   3. Detalles del proceso 
   4. Obligaciones del procesador 
   5. Obligaciones de ambas partes 
   6. Confidencialidad 
   7. Contratación de un subprocesador 
   8. Auditorías e inspecciones 
   9. Plazo y terminación 
   10. Derechos de propiedad intelectual 
   11. Derecho aplicable 
   12. Acuerdo completo 
   13. Indemnización por despido 
   14. Anexo 1 
   15. Anexo 2 

1. DEFINICIONES E INTERPRETACIÓN

1.1 En este acuerdo, las siguientes palabras y frases tendrán el significado que se indica a continuación, a menos que sean incompatibles con el contexto o se especifique lo contrario: 

"Apéndice 1" se refiere al apéndice de este acuerdo y que forma parte del mismo; 

"Apéndice 2" se refiere al apéndice de este acuerdo y que forma parte del mismo; 

"GDPR DEL REINO UNIDO" en lo sucesivo, el Reglamento, significa el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, ya que forma parte de la legislación de Inglaterra y Gales, Escocia e Irlanda del Norte en virtud del artículo 3 de la Ley de la Unión Europea (Retirada) de 2018; 

"Responsable del tratamiento, encargado del tratamiento, encargado del tratamiento, interesado, datos personales, categorías especiales de datos personales, violación de datos personales, autoridad de control, tratamiento y medidas técnicas y organizativas apropiadas"según lo dispuesto en la legislación sobre protección de datos vigente en cada momento; 

"Información confidencial" se refiere a toda la información revelada por una parte a la otra parte en virtud de este acuerdo que se designa como privada y/o confidencial, o que por su naturaleza o por la naturaleza de las circunstancias que rodean su revelación, debería entenderse razonablemente como confidencial, incluyendo (pero no limitándose a), información sobre productos, listas de clientes, listas de precios e información financiera; 

"Legislación sobre protección de datos" significa la legislación sobre protección de datos y privacidad que está en vigor en el Reino Unido e incluye la Ley de Protección de Datos de 2018, el GDPR del Reino Unido y el Reglamento de Privacidad y Comunicaciones Electrónicas de 2003; 

"Pedido" significa la solicitud de compra de servicios de TCCHE Ltd sujeto a los términos de este acuerdo; 

"Servicios" se refiere a los servicios prestados por TCCHE Ltd a El controlador en virtud del presente acuerdo, incluidos, entre otros, la prestación de todos o algunos de los siguientes servicios: diseño y creación de la marca corporativa, diseño y desarrollo del sitio web, mantenimiento y asistencia del sitio web, alojamiento y consultoría; 

"Subcontratación" y "subcontratación se entenderá el proceso por el cual cualquiera de las partes se encarga de que un tercero cumpla sus obligaciones en virtud del presente acuerdo; 

"Subprocesador" la parte a la que se subcontratan las obligaciones. 

2. CONSIDERACIÓN

2.1 Como contrapartida a la contratación por parte del Responsable del tratamiento de los servicios del Encargado del tratamiento para el tratamiento de datos personales en su nombre, el Encargado del tratamiento cumplirá las obligaciones de seguridad, confidencialidad y demás obligaciones que se le impongan en virtud del presente acuerdo y de la legislación aplicable en materia de protección de datos. 

3. DETALLES DE PROCESAMIENTO

3.1 El Responsable del tratamiento puede enviar Datos personales al Encargado del tratamiento, cuyo alcance es determinado y controlado por el Responsable del tratamiento a su entera discreción, y que pueden incluir, entre otros, Datos personales relativos a las siguientes categorías de interesados: 

- Clientes potenciales, clientes, socios comerciales y proveedores del Responsable del tratamiento (que son personas físicas); 
- Empleados, agentes, asesores, trabajadores autónomos del Responsable del Tratamiento (que sean personas físicas) 

Puede incluir, entre otros, datos personales relativos a las siguientes categorías de interesados: 

- Nombre y apellidos, cargo, empleador, información de contacto (empresa, correo electrónico, teléfono, dirección comercial física), datos de identificación, datos de la vida profesional, datos de la vida personal, datos de localización. 

El Procesador conservará dichos Datos Personales hasta el momento en que se le solicite que los elimine o tome cualquier otra medida de conformidad con el GDPR del Reino Unido por parte del Controlador, un individuo o una empresa. 

3.2 Sin perjuicio de la generalidad de la cláusula 5.2, el Responsable del tratamiento se asegurará de que dispone de todos los consentimientos y notificaciones adecuados necesarios para permitir la transferencia lícita de los Datos personales al Encargado del tratamiento durante la vigencia y a los efectos del presente acuerdo. 

4. A) OBLIGACIONES DEL ENCARGADO DEL TRATAMIENTO

El tramitador se compromete a: 

4.1 Tratar los datos personales únicamente siguiendo instrucciones documentadas del responsable del tratamiento, incluso en lo que respecta a las transferencias de datos personales a un tercer país o a una organización internacional, a menos que así lo exija el Derecho de la Unión o de los Estados miembros al que esté sujeto el encargado del tratamiento; en tal caso, el encargado del tratamiento informará al responsable del tratamiento de dicho requisito legal antes del tratamiento, a menos que dicho Derecho prohíba dicha información por motivos importantes de interés público. 

4.2 Tener en cuenta la naturaleza del tratamiento, y asistir al Responsable del tratamiento mediante medidas técnicas y organizativas apropiadas, en la medida en que ello sea posible, para el cumplimiento de la obligación del Responsable del tratamiento de responder a las solicitudes de ejercicio de los derechos del interesado establecidos en el Capítulo III del Reglamento. Además, el responsable del tratamiento deberá: 

4.2.1 Notificar sin demora al Responsable del tratamiento si recibe una solicitud de un interesado en virtud de cualquier legislación de protección de datos con respecto a los datos personales del Responsable del tratamiento; y 

4.2.2 Garantizar que el encargado del tratamiento no responda a dicha solicitud salvo siguiendo instrucciones documentadas del responsable del tratamiento o por exigencia de la legislación en materia de protección de datos a la que esté sujeto el encargado del tratamiento, en cuyo caso el encargado del tratamiento deberá, en la medida en que lo permita la legislación en materia de protección de datos, informar al responsable del tratamiento de dicho requisito legal antes de responder a la solicitud. 

4.3 Tener en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como el riesgo de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, y el encargado del tratamiento aplicará las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. 

4.4 Tener en cuenta, al evaluar el nivel de seguridad adecuado, los riesgos que entraña el tratamiento, en particular los derivados de la destrucción, accidental o ilícita, la pérdida, la alteración, la difusión o el acceso no autorizados, de datos personales transmitidos, conservados o tratados de otro modo. 

4.5 Disponer de medidas de seguridad técnicas y organizativas adecuadas, revisadas y aprobadas por el Responsable del tratamiento, para proteger los datos personales facilitados o puestos a disposición por el Responsable del tratamiento al Encargado del tratamiento en el contexto del presente acuerdo, tal como exige la legislación en materia de protección de datos. En el apéndice 1 del presente acuerdo se ofrecen más detalles, incluido el nivel mínimo de protección de la seguridad. 

4.6 Para evitar dudas, nada en este acuerdo exime al Procesador de sus propias responsabilidades directas y obligaciones bajo el GDPR del Reino Unido. 

4. B) OBLIGACIONES ADICIONALES DEL ENCARGADO DEL TRATAMIENTO

El encargado del tratamiento se compromete además, teniendo en cuenta la naturaleza del tratamiento y la información de que dispone, a: 

4.7 Ayudar al responsable del tratamiento a cumplir su obligación de mantener la seguridad de los datos personales; 

4.8 Ayudar al responsable del tratamiento a cumplir su obligación de notificar las violaciones de datos personales a la autoridad de control, lo que incluye: 

4.8.1 Notificar al Responsable del tratamiento sin demora indebida cuando el Encargado del tratamiento o cualquier Subencargado del tratamiento tenga conocimiento de una Vulneración de datos personales que afecte a Datos personales del Responsable del tratamiento. 

4.8.2 Dicha notificación deberá, como mínimo 

a) Describa la naturaleza de la violación de los datos personales, las categorías y el número de interesados afectados, y las categorías y el número de registros de datos personales afectados; 
b) Comunicar el nombre y los datos de contacto del responsable de la protección de datos del encargado del tratamiento u otro contacto pertinente del que pueda obtenerse más información; 
c) Describa las consecuencias probables de la violación de los datos personales; y 
d) Describa las medidas adoptadas o que se propone adoptar para hacer frente a la violación de los datos personales. 

4.8.3 Además, a cooperar con el Responsable del tratamiento y a tomar las medidas comerciales razonables que éste le indique para ayudar en la investigación, mitigación y reparación de cada una de dichas violaciones de datos personales. 

4.9 Ayudar al responsable del tratamiento a cumplir su obligación de avisar a los interesados cuando se haya producido una violación de datos personales; 

4.10 Ayudar al responsable del tratamiento a cumplir su obligación de realizar evaluaciones de impacto sobre la protección de datos (EIPD). 

4.11 Ayudar al responsable del tratamiento a cumplir su obligación de consultar a la autoridad de control cuando una EIPD indique que existe un riesgo elevado no mitigado para el tratamiento. 

5. OTRAS OBLIGACIONES PARA AMBAS PARTES

5.1 El responsable y el encargado del tratamiento tomarán medidas para garantizar que cualquier persona física que actúe bajo la autoridad del responsable o del encargado del tratamiento que tenga acceso a datos personales no los trate salvo siguiendo instrucciones del responsable, a menos que esté obligada a ello por ley. 

5.2 Ambas partes cumplirán todos los requisitos aplicables de la legislación sobre protección de datos. La presente cláusula 5.2 se añade a las obligaciones de las partes en virtud de la legislación sobre protección de datos y no las exime, elimina o sustituye. 

6. CONFIDENCIALIDAD

6.1 El encargado del tratamiento velará por que las personas autorizadas a tratar los datos personales se hayan comprometido a mantener la confidencialidad o estén sometidas a una obligación legal adecuada de confidencialidad; 

6.2 En particular, el encargado del tratamiento acepta que, salvo autorización previa por escrito del responsable del tratamiento, no revelará a terceros ningún dato personal que el responsable del tratamiento le haya facilitado, para él o en su nombre. 

6.3 El encargado del tratamiento no utilizará los datos personales que le haya facilitado el responsable del tratamiento para fines distintos de la prestación de servicios al responsable del tratamiento y según lo acordado en el presente contrato. 

6.4 Las obligaciones de las cláusulas 6.1, 6.2 y 6.3 anteriores continuarán durante un periodo de cinco años tras el cese de la prestación de servicios por parte del encargado del tratamiento al responsable del tratamiento. 

6.5 Nada de lo dispuesto en este acuerdo impedirá a ninguna de las partes cumplir con cualquier obligación legal impuesta por un regulador o tribunal. No obstante, siempre que sea posible, ambas partes discutirán conjuntamente la respuesta adecuada a cualquier solicitud de divulgación de información por parte de un regulador o tribunal. 

7. CONTRATAR A UN SUBPROCESADOR

7.1 Mediante la celebración del presente contrato, el Responsable del tratamiento autoriza al Encargado del tratamiento a designar subencargados del tratamiento de datos personales y, durante la vigencia del presente contrato, tendrá un derecho general a designar subencargados del tratamiento de datos personales. El Encargado del tratamiento notificará previamente al Responsable del tratamiento antes de designar Subencargados del tratamiento de Datos personales que sean adicionales a los indicados en el Apéndice 2. 

7.2 El Encargado del tratamiento informará al Responsable del tratamiento del uso de cualquier nuevo Subencargado del tratamiento antes de la adopción del Subencargado y de la transferencia de los Datos del Responsable del tratamiento o de la provisión de cualquier forma de acceso a los Datos del Responsable del tratamiento, dando así al Responsable del tratamiento la oportunidad de oponerse a dicho cambio y de rescindir el acuerdo como consecuencia de este cambio. El Responsable del tratamiento debe garantizar que se obtienen todos los consentimientos de protección de datos necesarios o que se establecen otros motivos legítimos para el tratamiento de los Datos personales. El uso continuado de los Servicios por parte del Responsable del tratamiento constituye la aprobación del uso de este nuevo Subencargado del tratamiento y la confirmación por parte del Responsable del tratamiento de que el uso de todos los Subencargados del tratamiento es lícito en virtud de la legislación aplicable en materia de protección de datos. 

7.3 Cuando el encargado del tratamiento contrate a un subencargado del tratamiento para cumplir las obligaciones que le incumben en virtud del presente acuerdo o de otro acto jurídico, lo hará únicamente mediante un acuerdo escrito con el subencargado del tratamiento que imponga al responsable del tratamiento al menos el mismo nivel de protección que el establecido en el presente acuerdo o en otro acto jurídico, incluido, entre otras cosas, el ofrecimiento al subencargado del tratamiento de garantías suficientes en relación con la seguridad del tratamiento que las impuestas al encargado del tratamiento en virtud del presente acuerdo. 

7.4 El encargado del tratamiento se compromete a facilitar al responsable del tratamiento, para su revisión, las copias del acuerdo escrito entre el encargado del tratamiento y el subencargado del tratamiento (que podrán redactarse para eliminar la información comercial confidencial que no sea relevante para los requisitos del presente acuerdo) que el responsable del tratamiento solicite en cada momento. 

7.5 Para evitar cualquier duda, cuando el subencargado del tratamiento incumpla sus obligaciones en materia de protección de datos, el responsable del tratamiento será responsable ante el responsable del tratamiento del cumplimiento de las obligaciones de ese otro encargado del tratamiento. 

8. AUDITORÍAS E INSPECCIONES

El tramitador se compromete a: 

8.1 Poner a disposición del Responsable del Tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente acuerdo y en la legislación sobre protección de datos; 

8.2 Permitir y contribuir a las auditorías, incluidas las inspecciones, realizadas por el Interventor u otro auditor encargado por el Interventor. 

8.3 El encargado del tratamiento informará inmediatamente al responsable del tratamiento si, en su opinión, una instrucción conforme a esta sección 8 infringe la legislación sobre protección de datos. 

9. DURACIÓN Y RESCISIÓN

9.1 Este acuerdo comenzará a partir de la fecha del pedido y continuará en pleno vigor y efecto hasta que el acuerdo sea rescindido de conformidad con los Términos y Condiciones para el Suministro de Servicios. 

9.2 Cualquiera de las Partes tendrá derecho a rescindir el Acuerdo, parcial o totalmente, sin demora, enviando una notificación escrita de rescisión a la otra Parte en la que se especifiquen las razones de la rescisión, si se produce alguno de los siguientes hechos: 

9.2.1 La otra parte incumple sustancialmente cualquiera de sus obligaciones en virtud de este acuerdo; 

9.2.2 La otra parte incumple cualquiera de sus obligaciones en virtud de este acuerdo y, a pesar de una solicitud por escrito de la parte no infractora para remediar dicho incumplimiento, no cumple con dicha solicitud dentro de un período de treinta (30) días siguientes a dicha notificación; 

9.2.3 Se produzca un caso de fuerza mayor durante un periodo superior a tres (3) meses. 

9.2.4 La otra parte se declara insolvente o entra en liquidación, se presenta una solicitud de quiebra o se nombra a un administrador judicial. 

9.3 A la terminación o expiración de este acuerdo, los derechos y obligaciones de las partes, devengados con anterioridad a la terminación o expiración del mismo, seguirán existiendo. 

9.4 Dentro de los treinta (30) días siguientes a la rescisión del presente acuerdo, el encargado del tratamiento deberá, a instancias del responsable del tratamiento, (a) devolver todos los datos personales que el responsable del tratamiento le haya transmitido para su tratamiento, o (b) destruir todos los datos, una vez recibidas las instrucciones del responsable del tratamiento, salvo que la legislación aplicable se lo prohíba. 

9.5 El procesador podrá conservar los datos personales del controlador en la medida requerida por la legislación de protección de datos y sólo en la medida y durante el período requerido por la legislación de protección de datos y siempre que el procesador y cualquier subprocesador garanticen la confidencialidad de todos los datos personales del controlador y garanticen que dichos datos personales del controlador sólo se procesan según sea necesario para los fines especificados en la legislación de protección de datos que requiere su almacenamiento y para ningún otro fin. 

9.6 El Procesador proporcionará al Controlador una certificación por escrito de que él y cualquier subprocesador han cumplido plenamente con esta sección 10 dentro de los treinta (30) siguientes a la fecha de terminación. 

10. DERECHOS DE PROPIEDAD INTELECTUAL

10.1 El procesador es y seguirá siendo el propietario de cualquier material utilizado o puesto a disposición en el contexto de la prestación de los servicios. 

10.2 El encargado del tratamiento concede al responsable del tratamiento un derecho limitado, personal, no exclusivo e intransferible a utilizar cualquier material proporcionado en el contexto de la prestación de los servicios. Esta licencia será válida durante la vigencia del contrato. 

10.3 El responsable del tratamiento es y seguirá siendo el propietario de todos los datos personales facilitados o puestos a disposición del encargado del tratamiento en el contexto del presente acuerdo. 

10.4 El responsable del tratamiento concede al encargado del tratamiento un derecho limitado, personal, no exclusivo e intransferible a utilizar los datos personales facilitados únicamente en el contexto de la prestación de los servicios. Esta licencia es válida durante la vigencia del contrato. 

11. LEGISLACIÓN APLICABLE

11.1 Este acuerdo se regirá e interpretará exclusivamente de acuerdo con las leyes de Inglaterra y Gales. 

12. ACUERDO COMPLETO

12.1 El presente acuerdo contiene la totalidad del acuerdo y entendimiento entre las partes con respecto al objeto del mismo y sustituye y reemplaza a todos los acuerdos o entendimientos anteriores, ya sean escritos u orales, con respecto al mismo objeto que aún estén en vigor entre las partes. 

12.2 Cualquier modificación de este acuerdo, así como cualquier adición o supresión, deberá ser acordada por escrito por ambas partes. 

12.3 Siempre que sea posible, las disposiciones de este acuerdo se interpretarán de forma que sean válidas y ejecutables en virtud de la legislación aplicable establecida en la cláusula 11 anterior. 

13. SEVERANCE

13.1 En caso de que alguna disposición de este acuerdo sea inválida o inaplicable, el resto del acuerdo seguirá siendo válido y vigente. La disposición inválida o inaplicable será (i) modificada en la medida necesaria para garantizar su validez y aplicabilidad, preservando en la medida de lo posible las intenciones de las partes o, si esto no fuera posible, (ii) interpretada como si la parte inválida o inaplicable nunca hubiera estado contenida en el mismo. 

14. ANEXO 1

Medidas técnicas y organizativas 

En cumplimiento de sus obligaciones en virtud de la cláusula 4 con respecto al tratamiento de datos personales por cuenta del Responsable, el Encargado del Tratamiento, como requisito mínimo, aplicará las medidas técnicas y organizativas apropiadas para cumplir los requisitos del Reglamento. Esto incluye los requisitos establecidos en la legislación sobre protección de datos: 

- Seudonimización y cifrado de datos personales; 
- La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resistencia permanentes de los sistemas y servicios de procesamiento; 
- La capacidad de restablecer a tiempo la disponibilidad y el acceso a los datos personales en caso de incidente físico o técnico; 
- Un proceso para comprobar, evaluar y valorar periódicamente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. 

15. ANEXO 2

Subprocesadores 

TCCHE Ltd utiliza un pequeño número de subprocesadores de datos para prestar servicios al controlador. La siguiente lista de subprocesadores de datos que pueden utilizarse para prestar servicios se actualizará periódicamente para reflejar la situación operativa actual: 

Correo electrónico, marketing y comunicaciones 

1. 1. Microsoft Ltd - prestación de servicios de correo electrónico TCCHE utilizados para las comunicaciones con el Responsable del tratamiento 
   2. HubSpot, Inc - suministro del sistema CRM y de envío de correos electrónicos de TCCHE 
   3. WordPress, Inc - provisión del sistema CMS de TCCHE 

Servidores y alojamiento 

1. 1. Kinsta, Inc - suministro de servidores para alojamiento de sitios web y almacenamiento de copias de seguridad 
   2. Amazon Web Services, Inc - suministro de servidores para alojamiento de sitios web y almacenamiento de copias de seguridad 
   3. GoDaddy Operating Company, LLC - prestación de servicios de registro de dominios y SSL 
   4. Cloudflare, Inc - prestación de servicios de gestión de DNS 

Otros 

1. 1. ManageWP, LLC - suministro de herramientas de gestión de WordPress y funciones de seguridad