Versión estándar — art. 28 RGPD
Este Acuerdo de Encargo de Tratamiento de Datos (en adelante, «DPA») regula las condiciones en las que el Encargado trata datos personales por cuenta del Responsable en el marco del servicio CookieSafe.
El DPA forma parte integrante del contrato principal entre las partes (los Términos del Servicio). El Responsable lo acepta de forma electrónica al activar un plan de pago en el panel; la aceptación se registra con marca de tiempo, IP truncada del usuario que acepta, identificador de cuenta y versión del DPA.
- Encargado del tratamiento: [RAZÓN SOCIAL], con NIF [NIF] y domicilio en [DIRECCIÓN] («CookieSafe» o el «Encargado»). DPO: [EMAIL DPO] / dpo@cookiesafe.ahaguilar.com. - Responsable del tratamiento: la persona física o jurídica titular de la cuenta CookieSafe (el «Cliente» o el «Responsable»), identificada por sus datos fiscales registrados en el panel.
El Encargado tratará datos personales por cuenta del Responsable única y exclusivamente para prestar los servicios contratados a través del SDK y panel de CookieSafe: mostrar el banner de consentimiento a los Visitantes del Responsable, registrar sus elecciones, conservar las pruebas y permitir su consulta.
Este DPA está vigente durante el plazo de vigencia del contrato principal. Finalizado éste, se mantienen vigentes las obligaciones de devolución/supresión, confidencialidad y asistencia descritas más adelante.
- Naturaleza: recogida, registro, conservación, consulta y, en su caso, supresión o portabilidad de manifestaciones de consentimiento. - Finalidad: cumplir el art. 22.2 LSSI y los arts. 6.1.a y 7 RGPD, dotando al Responsable de prueba diligente del consentimiento prestado por el Visitante.
| Categoría | Descripción | |---|---| | Identificador anónimo del Visitante | UUID v4 generado en cliente y conservado en cookie `cs_consent` | | Hash de la IP del Visitante | SHA-256 truncado de la IP del Visitante combinada con sal rotativa diaria (ver `legal/security-measures.md` y ADR-015) | | Elecciones de consentimiento | Categorías aceptadas/rechazadas (necesarias, estadísticas, preferencias, marketing) | | Marca de tiempo | Fecha y hora UTC de la decisión | | Metadatos técnicos | URL del banner, idioma, versión del SDK, user-agent (truncado a familia: navegador + SO) |
No se tratan categorías especiales (art. 9 RGPD) ni datos identificativos directos del Visitante.
Visitantes de las páginas web del Responsable en las que se ha integrado el SDK de CookieSafe.
El Encargado se obliga a:
1. Tratar los datos únicamente conforme a las instrucciones documentadas del Responsable. La configuración del banner y categorías en el panel constituye instrucción documentada. Cualquier instrucción adicional deberá comunicarse por escrito al DPO. 2. No utilizar los datos para finalidades propias ni cederlos a terceros distintos de los subencargados autorizados. 3. Garantizar la confidencialidad de las personas autorizadas a tratar los datos mediante compromisos contractuales y acceso por rol con principio de mínimo privilegio. 4. Aplicar las medidas técnicas y organizativas descritas en `legal/security-measures.md`, que el Encargado podrá revisar al alza, nunca a la baja. 5. Asistir al Responsable, mediante medidas técnicas y organizativas razonables, en el cumplimiento de su obligación de responder a las solicitudes de los Visitantes en ejercicio de sus derechos (acceso, rectificación, supresión, oposición, limitación, portabilidad). El panel ofrece funcionalidades self-service de búsqueda, exportación y borrado. 6. Asistir al Responsable en la garantía del cumplimiento de los arts. 32-36 RGPD (seguridad, brechas, evaluaciones de impacto, consulta previa). 7. Notificar al Responsable cualquier brecha de seguridad que afecte a los datos personales tratados por su cuenta sin dilación indebida y, en todo caso, en un plazo máximo de 72 horas desde su conocimiento, con la información del art. 33.3 RGPD: naturaleza, categorías y número aproximado de interesados, consecuencias probables, medidas adoptadas. 8. Devolver o suprimir los datos personales al finalizar el contrato según se indica en la cláusula 11. 9. Poner a disposición del Responsable la información necesaria para demostrar el cumplimiento y permitir auditorías. 10. Mantener un registro de actividades de tratamiento por cuenta del Responsable conforme al art. 30.2 RGPD (`legal/rat.md`).
El Responsable autoriza con carácter general la subcontratación de los siguientes subencargados:
| Subencargado | Servicio | Ubicación | Garantías | |---|---|---|---| | Stripe Payments Europe, Ltd. | Procesamiento de pagos del Cliente (sólo datos de facturación del Cliente, no datos de Visitantes) | Irlanda (EEE) | Cláusulas Contractuales Tipo de la Comisión Europea; certificación PCI-DSS Nivel 1 | | Cloudflare, Inc. | CDN del SDK público y mitigación DDoS | Borde EEE; sin almacenamiento de datos personales de Visitantes | Cláusulas Contractuales Tipo donde aplique; cifrado TLS de extremo a extremo |
El Encargado garantiza que cada subencargado firma un contrato con cláusulas materialmente equivalentes a las de este DPA en cuanto a obligaciones de protección de datos.
Cambios de subencargados: el Encargado informará al Responsable con un preaviso mínimo de 30 días naturales mediante correo electrónico y/o publicación en el panel antes de incorporar o sustituir cualquier subencargado. El Responsable dispondrá de ese plazo para oponerse motivadamente; si la oposición es razonable y no puede acomodarse, el Responsable podrá resolver el contrato sin penalización.
El Encargado aplica las medidas técnicas y organizativas descritas en `legal/security-measures.md`, que incluyen como mínimo:
- Cifrado en tránsito mediante TLS 1.3. - Cifrado en reposo del volumen de base de datos (LUKS). - Pseudonimización de la IP del Visitante mediante hash SHA-256 con sal rotativa diaria. - Control de acceso por roles con principio de mínimo privilegio y MFA obligatoria. - Registro de actividad y auditoría. - Copias de seguridad cifradas con `age` y prueba de restauración mensual. - Plan de respuesta a brechas con plantilla de notificación al Responsable y AEPD. - Formación periódica del personal en protección de datos.
Si el Visitante ejerce ante el Encargado un derecho que corresponde al Responsable, el Encargado redirigirá la solicitud al Responsable sin dilación e informará al interesado. Si el Responsable solicita asistencia (por ejemplo, búsqueda de consentimientos por identificador anónimo o por dominio), el Encargado responderá en un plazo máximo de 7 días naturales.
A elección del Responsable, manifestada por escrito en los 30 días siguientes a la terminación del contrato, el Encargado:
- (a) Devolverá todos los datos personales tratados por su cuenta en formato estructurado (JSON o CSV). - (b) Los suprimirá y proporcionará certificación escrita de la supresión.
En ausencia de instrucción expresa, el Encargado conservará los datos durante 6 meses adicionales tras la baja del Cliente, exclusivamente como prueba legal de los consentimientos recogidos, y los suprimirá automáticamente transcurrido ese plazo.
El Responsable, a su costa y con preaviso mínimo de 30 días naturales, podrá auditar el cumplimiento de este DPA, bien directamente bien a través de un tercero independiente sujeto a confidencialidad. Las auditorías se realizarán en horario laboral, sin interferir con la operación del Servicio y como máximo una vez al año, salvo brecha previa.
El Encargado podrá satisfacer este derecho mediante la entrega de informes de auditoría externa o certificaciones equivalentes que cubran las áreas de interés del Responsable.
No se realizan transferencias internacionales fuera del EEE de los datos personales de Visitantes. La infraestructura principal se aloja en España. Si en el futuro fuese necesaria alguna transferencia, se solicitará autorización previa al Responsable y se adoptarán las garantías del Capítulo V RGPD (CCT u otras).
Cada parte responde frente al interesado y la autoridad de control conforme al art. 82 RGPD. La limitación de responsabilidad del contrato principal no afecta a las obligaciones imperativas frente a interesados y autoridades.
El Encargado podrá modificar este DPA para reflejar cambios normativos o de subencargados, notificándolo con 30 días de antelación. Las modificaciones que reduzcan garantías requieren aceptación expresa del Responsable.
Derecho español. Juzgados de Barcelona, sin perjuicio del fuero imperativo del consumidor cuando aplique.
---
Aceptación: la aceptación electrónica del Responsable en el panel queda registrada con sello de tiempo, identificador de cuenta, dirección IP truncada y versión del documento. El Responsable puede descargar en cualquier momento una copia firmada digitalmente desde la sección «Legal» del panel.