Acuerdo de Encargo del Tratamiento
1. Partes y alcance
Este Acuerdo de Encargo del Tratamiento ("DPA") forma parte de los Términos de HOSTELELLA y regula el tratamiento de datos personales que HERMANOS VARELA LUIS SL ("HOSTELELLA") realiza por cuenta del Cliente cuando presta el Servicio.
Encargado: HERMANOS VARELA LUIS SL, CIF B67073320, Travessera de les Corts 356, Local 2, 08029 Barcelona, España.
Registro Mercantil: Registro Mercantil de Barcelona, Sección 8, Hoja B-509004, inscripción 4 (I/A 4); antecedentes: Tomo 46087, Folio 53.
Contacto legal: legal@hostelella.com
Responsable: el Cliente empresarial que usa o contrata HOSTELELLA.
La aceptación de los Términos o del flujo legal de HOSTELELLA implica la aceptación de este DPA por el Cliente cuando la realiza una persona con autoridad suficiente para vincularlo. Los Usuarios sin dicha autoridad aceptan sus obligaciones de uso, confidencialidad, seguridad y cumplimiento en la máxima medida permitida por la ley, sin sustituir la responsabilidad del Cliente como Responsable del tratamiento.
2. Roles
Para los datos personales contenidos en documentos, registros, mensajes o información de negocio cargada por el Cliente, el Cliente actúa como Responsable del tratamiento y HOSTELELLA como Encargado del tratamiento. HOSTELELLA actúa como Responsable independiente para cuentas, seguridad, facturación, soporte y comunicaciones del Servicio.
3. Objeto, duración y naturaleza del tratamiento
| Objeto | Prestación de una plataforma SaaS B2B para gestión operativa, documental, analítica y de equipo. |
|---|---|
| Duración | Mientras exista cuenta, contrato o uso del Servicio, más los plazos de conservación definidos por ley, DPA, retención o instrucciones válidas del Cliente. |
| Naturaleza | Alojamiento, almacenamiento, consulta, clasificación, extracción OCR/IA, transformación, transmisión, soporte, copia de seguridad, seguridad y eliminación. |
| Finalidad | Prestar, mantener, proteger y dar soporte al Servicio conforme a las instrucciones del Cliente y los Términos. La mejora del Servicio no autoriza entrenamiento de modelos de IA con Datos del Cliente salvo autorización expresa o contrato específico. |
4. Categorías de interesados y datos
| Interesados | Usuarios del Cliente, empleados, candidatos o colaboradores, clientes, proveedores, contactos profesionales, representantes y otros terceros incluidos en documentos o registros del Cliente. |
|---|---|
| Datos | Identificativos, contacto profesional, rol, datos laborales/operativos, documentos comerciales/contables, importes, impuestos, pedidos, comunicaciones, metadatos técnicos, logs y datos necesarios para seguridad. |
| Categorías especiales | El Servicio no está diseñado para categorías especiales del artículo 9 RGPD. El Cliente no debe cargarlas salvo que tenga base jurídica adecuada, sea necesario y aplique salvaguardas suficientes. |
5. Instrucciones del Cliente
HOSTELELLA tratará datos personales únicamente conforme a: (i) los Términos y este DPA, (ii) la configuración y acciones del Cliente, (iii) instrucciones documentadas razonables, y (iv) obligaciones legales aplicables. HOSTELELLA informará al Cliente si considera que una instrucción infringe la normativa de protección de datos, salvo prohibición legal.
Las instrucciones deben constar por escrito o por medios verificables, incluyendo configuración del Servicio, tickets de soporte, órdenes de pedido, contratos o comunicaciones desde un administrador autorizado. HOSTELELLA podrá rechazar instrucciones no razonables, inseguras, ilícitas, incompatibles con la arquitectura del Servicio o que comprometan a otros clientes.
6. Obligaciones del Cliente
- Disponer de base jurídica y cumplir los deberes de información respecto de empleados, clientes, proveedores y terceros.
- No cargar datos innecesarios, ilícitos, excesivos o especialmente sensibles sin base legal y salvaguardas.
- Configurar roles, permisos y accesos conforme al principio de mínimo privilegio.
- Atender derechos de interesados cuando HOSTELELLA actúe como encargado.
- Mantener copias o exportaciones propias cuando la normativa o el riesgo operativo lo requiera.
7. Personal autorizado y confidencialidad
HOSTELELLA limitará el acceso a personal autorizado que necesite tratar datos para prestar o proteger el Servicio. Dicho personal estará sujeto a obligaciones de confidencialidad contractuales o legales.
8. Medidas de seguridad
HOSTELELLA aplicará medidas técnicas y organizativas apropiadas al riesgo, incluyendo control de acceso, mínimo privilegio, cifrado en tránsito, gestión de secretos, registros de actividad, monitorización, copias de seguridad, continuidad, segregación lógica y proceso de respuesta a incidentes. La Política de Seguridad describe las medidas principales y se incorpora por referencia.
Las medidas podrán evolucionar para mejorar seguridad, cumplimiento o resiliencia, siempre manteniendo un nivel de protección no materialmente inferior para los datos tratados como encargado.
9. Subencargados
El Cliente autoriza a HOSTELELLA a utilizar subencargados para prestar el Servicio, siempre que estén sujetos a obligaciones de protección de datos sustancialmente equivalentes y, como mínimo, a las obligaciones exigidas por el artículo 28 RGPD. La lista principal se mantiene en el Anexo de Subencargados.
HOSTELELLA notificará cambios materiales en subencargados con al menos treinta (30) días de antelación cuando sea razonablemente posible. En cambios urgentes por seguridad, continuidad o sustitución de proveedor, la notificación podrá realizarse tan pronto como sea viable. El Cliente podrá oponerse por motivos fundados de protección de datos dentro de los diez (10) días hábiles siguientes a la notificación; si la objeción impide prestar el Servicio, las partes colaborarán para buscar una alternativa razonable o terminar el servicio afectado. HOSTELELLA seguirá siendo responsable frente al Cliente por el cumplimiento de las obligaciones de los subencargados conforme al RGPD.
10. Transferencias internacionales
Cuando exista transferencia internacional fuera del EEE, HOSTELELLA aplicará un mecanismo válido conforme a los artículos 44 a 49 RGPD, incluyendo decisiones de adecuación, Cláusulas Contractuales Tipo, el EU-US Data Privacy Framework cuando sea aplicable y medidas complementarias cuando proceda. Para transferencias encargado-subencargado se aplicará el módulo correspondiente de SCC u otro mecanismo válido.
11. Asistencia al Cliente
Teniendo en cuenta la naturaleza del tratamiento, HOSTELELLA asistirá razonablemente al Cliente en:
- ejercicio de derechos de interesados;
- seguridad del tratamiento y brechas de datos personales;
- evaluaciones de impacto y consultas previas cuando sean necesarias;
- eliminación, exportación o devolución razonable de datos.
12. Brechas de datos personales
HOSTELELLA notificará al Cliente sin dilación indebida tras tener conocimiento de una brecha de datos personales que afecte a datos tratados como encargado. HOSTELELLA tendrá como objetivo realizar una notificación inicial dentro de las cuarenta y ocho (48) horas cuando sea razonablemente posible. La notificación incluirá la información disponible razonablemente y podrá completarse por fases.
13. Eliminación y devolución
Al finalizar la prestación, HOSTELELLA eliminará o devolverá los datos tratados como encargado según instrucciones razonables del Cliente, salvo conservación exigida por ley, seguridad, auditoría, prevención de fraude o defensa de reclamaciones. La eliminación de copias de seguridad se realizará conforme al ciclo técnico de backup, normalmente hasta noventa (90) días salvo conservación legal, investigación de incidente o limitación técnica documentada.
14. Auditorías
HOSTELELLA pondrá a disposición información razonable para demostrar el cumplimiento de este DPA. Las auditorías directas deberán solicitarse con antelación razonable, limitarse a lo necesario, no comprometer seguridad o confidencialidad de otros clientes y podrán estar sujetas a costes razonables. Salvo incidente relevante o exigencia de autoridad, no se realizará más de una auditoría directa por año natural.
15. Responsabilidad
La responsabilidad derivada de este DPA se rige por los límites de responsabilidad de los Términos, salvo que la ley aplicable imponga otro régimen. El Cliente responde por las instrucciones, datos y bases jurídicas que determine como Responsable.