Contrato de corresponsabilidad de tratamiento de datos de carácter personal
(Arts. 26- 28 del Reglamento (UE) 2016/670 General de Protección de Datos)

En Madrid a 26 de agosto de 2.021

REUNIDOS

De una parte, D. Carlos Prieto Rojo, provisto de D.N.I. n.º  02911075-B, en nombre y representación de la compañía DINERO GELT S.L., de nacionalidad española, con domicilio profesional en Madrid, en la calle Arturo Soria 97-A, provista del CIF n. B-87368692, en su calidad de apoderado de la entidad, en adelante el “GELT”.

De otra parte, D. [·], mayor de edad, y provisto de D.N.I. [·], en nombre y representación de Johnson’s Wax Española, S.L., provista del CIF [·], con domicilio profesional en [·]en adelante “JWE”

Ambas, denominadas individual e indistintamente como “Parte” y de forma conjunta como “Partes”, se reconocen, mutuamente, en las representaciones que ostentan, la capacidad legal necesaria para suscribir el presente Acuerdo y, a tal efecto.

EXPONEN

I.Que ambas partes colaboran actualmente en la realización de concursos, sorteos y promociones, dentro del ámbito y entorno que ofrecen sus respectivas aplicaciones móviles y páginas webs, GELT y JWE, con el objeto de dar a conocer dichas aplicaciones y vender sus productos y servicios. En adelante (“la actividad” o “las actividades”)

II.Que, a fin de legitimar y regularizar el tratamiento de los datos necesarios para los servicios referidos, y en cumplimiento de las obligaciones definidas por la legislación en Protección de Datos de Carácter Personal, especialmente el REGLAMENTO EU 2016/679, ambas partes acuerdan libremente regular el tratamiento de datos personales requeridos para la actividad anteriormente citada, con sujeción a las siguientes

ESTIPULACIONES

1. OBJETO DEL ENCARGO

1.1.- Mediante las presentes cláusulas se habilitan las partes como CORRESPONSABLES en el tratamiento de los datos de carácter personal necesarios para que pueda prestar los siguientes servicios, tanto en formato documental, como vinculados a plataformas informáticas:
-Realización de concursos, sorteos y promociones que se extenderán en el tiempo y siempre dentro de la duración del presente acuerdo.

1.2.- Estas actividades requerirán el tratamiento de los siguientes datos personales afectados.
- Nombre y apellidos
- e-mail
- número de teléfono móvil
- Ticket de compra
- Dirección Postal
- Número de DNI

1.3.- Las categorías de datos que se tratarán no son datos personales especialmente sensibles, tal y como recoge la legislación vigente relativa a la protección de datos de carácter personal.

2. GARANTÍA DE OBTENCIÓN LEGÍTIMA DE DATOS OBTENIDOS.

2.1.- Los CORRESPONSABLES, en base a sus propias actuaciones, garantizan que los datos cedidos/comunicados han sido obtenidos legítimamente y que los interesados han sido informados y se ha solicitado su expreso consentimiento para su tratamiento y proceder a la comunicación o comunicaciones subsiguientes derivadas del cumplimiento del presente acuerdo, disponiendo de elementos probatorios/contractuales de tal consentimiento, tanto en la recogida de datos a usuarios registrados en ambas aplicaciones móviles, como en los nuevos usuarios que se registran en dichas aplicaciones para participar en los sorteos, concursos y promociones.

2.2.- Además, se comprometen a notificarse mutuamente, las rectificaciones o cancelaciones de los datos objeto de tratamiento que le hayan sido solicitadas por los interesados, para que se pueda proceder a hacerlas efectivas.

2.3.- Los CORRESPONSABLES declaran bajo su responsabilidad que disponen de los documentos contractuales de tratamiento de datos suscritos con sus respectivos ENCARGADOS DE TRATAMIENTO.

3. COMUNICACIÓN DE DATOS

En aquellos casos, en el marco de relaciones existentes entre los CORRESPONSABLES en base a sus funciones legítimas, no comunicarán los datos recibidos a terceros, salvo que sea requerido por autoridad competente, Jueces o Tribunales de acuerdo con la legalidad vigente.

4. DURACIÓN

El presente acuerdo entrará en vigor a la fecha de su firma y tendrá una duración indefinida, en tanto en cuanto ambas partes sigan colaborando en las actividades. Su rescisión, por cualquier motivo, requerirá notificación fehaciente de una de las partes con, al menos, 15 días de antelación.

5. DEVOLUCIÓN DE LOS DATOS

Una vez finalice el presente acuerdo, los CORRESPONSABLES, destruirán/cancelaran, los datos de carácter personal y, si procede, los soportes donde consten, una vez acabada actividad objeto de su finalidad. La información podrá ser conservada en los plazos que la legislación determine, mientras puedan derivarse responsabilidades por la ejecución de la prestación. Y de no mediar oposición, se podrán conservar como archivo histórico de las entidades, siempre que se cuente con el consentimiento informado en la recogida.

6. OBLIGACIONES DE LOS CORRESPONSABLES

6.1.- Corresponsabilidad
a) Los CORRESPONSABLES conocen y aceptan la normativa y legislación vinculada al ámbito deportivo del ciclismo, así como en lo referente a la protección de datos de carácter personal, protección al honor y a la imagen.
b) Los CORRESPONSABLES se proporcionarán mutuamente los datos necesarios para la realización de las actividades a las que se refiere este acuerdo

6.2.- Finalidad
a) Los CORRESPONSABLES utilizarán los datos personales objeto de tratamiento sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios.
b) Si se considera que alguno de los tratamientos infringe el RGPD-UE 2016/679 o cualquier otra disposición en materia de protección de datos de la Unión o Europea de los Estados miembros, ambas partes se informarán de forma inmediata.

6.3.- Registro de actividades de tratamiento
a) Los CORRESPONSABLES llevarán un registro de todas las categorías de actividades de tratamiento efectuadas en el ámbito de su relación y su prestación de servicios, que contendrá:
1. El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado y, en su caso, del representante del responsable o del encargado y del delegado de protección de datos.
2. Las categorías de tratamientos efectuados por cuenta de cada responsable.
3. En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49 apartado 1, párrafo segundo del RGPD-UE, la documentación de garantías adecuadas.
4. Una descripción general de las medidas técnicas y organizativas de seguridad relativas a:
- La seudoanimización y el cifrado de datos personales.
- La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
- La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
- El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

6.4 .- No comunicación
No comunicarán los datos a terceras partes, exceptuándose los supuestos legal y normativamente recogidos, en concreto, el requerimiento por parte de una autoridad pública competente.

6.5.- Transferencia internacional
En el supuesto de transferencias de datos personales, vinculados a ambas partes, a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, se informarán de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público.

6.6.- Subcontratación
a) Los CORRESPONSABLES, se responsabilizarán del cumplimiento normativo y legal si fuera necesario subcontratar, total o parcialmente, algún tratamiento de datos.
b) b) El subcontratista, que también tendrá la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento. Corresponde al contratante inicial regular la nueva relación de forma que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad, etc.) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, el contratante inicial seguirá siendo plenamente responsable ante la otra parte de este contrato en lo referente al cumplimiento de las obligaciones.

6.7 Deber de secreto
Los CORRESPONSABLES, y todo su personal mantendrán el deber de secreto respecto a los datos de carácter personal a los que hayan tenido acceso en virtud del presente encargo, incluso después de que finalice el mismo. Todo ello de no mediar mandato legal o judicial

6.8 Compromisos fehacientes de confidencialidad
a) Los CORRESPONSABLES garantizarán que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente.
b) Los CORRESPONSABLES mantendrán a mutua disposición la documentación acreditativa del cumplimiento de esta obligación.

6.9 Formación de las personas autorizadas
Los CORRESPONSABLES garantizarán la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.

6.10 Asistencia en caso de ejercicio de derechos
a) Los CORRESPONSABLES se asistirán mutuamente, en la respuesta al ejercicio de los derechos que la legislación determina (Acceso, rectificación, supresión y oposición; Limitación del tratamiento; Portabilidad de datos etc.)
b) Cuando las personas afectadas ejerzan los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas, ante alguna de las partes, esta se comunicará a la otra parte de forma inmediata y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud.

6.11 Derecho de información
a) Los CORRESPONSABLES, en el momento de la recogida de los datos, deben facilitar la información relativa a los tratamientos de datos que se van a realizar. La redacción y el formato en que se facilitará la información se debe consensuar antes del inicio de la recogida de los datos.
b) Se reseña especialmente la necesaria consideración en el tratamiento de menores a efectos de representatividad y consentimiento legal.

6.12.- Notificación de violaciones de la seguridad
a) Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
b) El nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto del los CORRESPONSABLES en el que pueda obtenerse más información.
c) Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.
d) Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.
Los CORRESPONSABLES realizarán esta comunicación a través del formato más eficaz y fehaciente en bajo condición de URGENTE

Comunicación a las Autoridades de Protección de Datos. Corresponde a la parte afectada comunicar las violaciones de la seguridad en el tratamiento de los datos a la Autoridad de Protección de Datos, no obstante se dará traslado a la otra parte.
La comunicación contendrá, como mínimo, la información siguiente:
a) Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
b) Nombre y datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.
c) Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.
d) Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.

Comunicación a los interesados. Corresponderá a la parte afectada comunicar en el menor tiempo posible las violaciones de la seguridad en el tratamiento de los datos a los interesados, cuando sea probable que la violación suponga un alto riesgo para los derechos y las libertades de las personas físicas, dando traslado de dicha comunicación a la otra parte.
La comunicación a los afectados debe realizarse en un lenguaje claro y sencillo y contendrá, como mínimo:
a) Explicación de la naturaleza de la violación de datos.
b) Indicación del nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.
c) Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.
d) Descripción de las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

6.13 Apoyo en realización comunicaciones, evaluaciones de impacto y consultas previas a las prioridades de control
Los CORRESPONSABLES se darán apoyo mutuamente en la realización de las comunicaciones preceptivas que se deban realizar ante las autoridades de control, así como en la realización de evaluaciones de impacto relativas a la protección de datos, cuando proceda. De igual forma se procederá en la realización de las consultas previas a la autoridad de control, cuando estas procedan.

6.14 Cumplimiento de las obligaciones
Los CORRESPONSABLES pondrán a mutua disposición toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que se realicen.

6.15 Medidas de seguridad
Los CORRESPONSABLES aplicarán las medidas de seguridad, necesarias y suficientes, acorde al nivel de datos tratados.
Asimismo, y con carácter periódico (y también siempre que haya cambios relevantes en su infraestructura técnica) los CORRESPONSABLES realizarán una evaluación de riesgos en materia de seguridad de la información, de la que se derivarán la implantación de mecanismos para:
a) Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
b) Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
c) Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento.
d) Seudonimizar y cifrar los datos personales, en su caso.
La evaluación de riesgos de seguridad de la información deberá ser recogida en un informe que podrá ser accesible por las partes. Dicha información deberá ser actualizada periódicamente.
El alcance de dicha evaluación de riesgos de seguridad de la información será la totalidad de datos tratados las partes en el ámbito de su relación. Las medidas de seguridad abarcarán la protección de los sistemas de información así como de los sistemas de tratamiento manual y archivo de la documentación.

7. INCUMPLIMIENTO Y RESPONSABILIDAD

7.1.- El incumplimiento por parte de cualquiera de las partes de las obligaciones referidas en el presente acuerdo es extensible a ambas en su justa responsabilidad, respondiendo ante las Autoridades de Protección de Datos, o ante cualquier tercera persona de las infracciones que se puedan haber cometido derivadas de la ejecución del presente acuerdo y/o del cumplimiento de la legislación vigente en materia de protección de datos de carácter personal.

7.2.- Los CORRESPONSABLES responderán de la totalidad de los daños y perjuicios que se irroguen a la otra parte en todos los supuestos de conducta negligente o culposa en el cumplimiento de las obligaciones que respectivamente les incumben, a tenor de lo pactado en el presente acuerdo.

7.3.- Ninguna de las partes asumirá responsabilidad alguna por la no ejecución o el retraso en la ejecución de cualquiera de las obligaciones en virtud del presente acuerdo si tal falta de ejecución o retraso resultara o fuera consecuencia de un supuesto de fuerza mayor o caso fortuito admitido como tal por la Jurisprudencia, en particular: los desastres naturales, la guerra, el estado de sitio, las alteraciones de orden público, la huelga en los transportes, el corte de suministro eléctrico o cualquier otra medida excepcional adoptada por las autoridades administrativas o gubernamentales.

8. CONFIDENCIALIDAD.

8.1.- Los CORRESPONSABLES garantizan que mantendrán la más estricta confidencialidad y expreso cumplimiento del deber de secreto profesional en relación con los asuntos vinculados a la presente relación y durante la vigencia de la prestación de servicios y después de su terminación.

8.2.- A los efectos del presente acuerdo, tendrá la consideración de información confidencial toda aquella susceptible de ser revelada por palabra, por escrito o por cualquier otro medio o soporte, tangible o intangible, actualmente conocido o que se invente en un futuro, ya sea intercambiada como consecuencia de esta relación contractual o que una parte señale o designe como confidencial a la otra.

9. NOTIFICACIONES.

Toda notificación necesaria a los efectos del presente acuerdo se hará por medios fehacientes a la atención y dirección que las partes hayan comunicado.

10. MISCELÁNEA.

10.1.- Este contrato contiene el total acuerdo entre las partes sobre el mismo objeto y sustituye y reemplaza a cualquier acuerdo anterior, verbal o escrito, al que hubieran llegado las partes.
Asimismo, en caso de contradicción entre las condiciones estipuladas en el presente acuerdo y cualquier otro firmado con anterioridad entre ambas partes, prevalecerá lo estipulado en el presente acuerdo.

10.2.- Nada de lo estipulado en el presente acuerdo supone identidad de partes, o que una sea considerada el agente de la otra. Ninguna parte responderá de cualquier declaración, acto u omisión de la otra parte que fuese contrario a lo anterior.

10.3.- Cualquier modificación del contenido de este acuerdo, sólo será efectiva si se realiza por escrito y con el consentimiento de ambas partes.

10.4.- La no exigencia por cualquiera de las partes de cualquiera de sus derechos de conformidad con el presente acuerdo no se considerará que constituya una renuncia de dichos derechos en el futuro.

10.5.- Los documentos contractuales son, en orden de prioridad, el presente contrato y sus anexos. En caso de contradicción el contrato prevalecerá sobre los anexos.

11. LEGISLACIÓN Y JURISDICCIÓN.

El presente acuerdo se regirá e interpretará conforme a la legislación española en todo aquello que no esté expresamente regulado, sometiéndose las partes, para las controversias que pudieran surgir en relación al mismo, a la competencia de los Juzgados y Tribunales de la ciudad de Madrid, con renuncia a cualquier otro fuero que les pudiera corresponder.

12. INFORMACIÓN SOBRE PROTECCIÓN DE DATOS A LOS INTERVINIENTES.

Los datos personales facilitados por las partes del presente contrato, para los casos en que éstos sean una persona física o en el caso de representantes de una persona jurídica serán incorporados a un registro cuya titularidad corresponde a cada una de las partes respectivamente.
La finalidad de la recogida y tratamiento de la información es la gestión y mantenimiento de las relaciones comerciales o profesionales establecidas, así como la de mantenerse informado de nuevas obligaciones, servicios y ofertas. Asimismo ambas partes se dan por informadas de la posibilidad de ejercitar sus derechos de acceso, rectificación, cancelación y oposición, respecto de sus datos personales, pudiendo ejercitar estos derechos por escrito mediante carta dirigida al domicilio de la parte que corresponda.

Firmado, en fecha y lugar indicados at supra.
DINERO GELT S.L.
JWE