Acuerdo de Encargado del Tratamiento de Datos (DPA)

El presente Acuerdo de Encargado del Tratamiento de Datos (en adelante, el "DPA") regula el tratamiento de datos personales realizado a través de la plataforma OBRASY (https://obrasy.com), de conformidad con el Reglamento (UE) 2016/679 (RGPD).

1. Partes

2. Objeto del acuerdo

El Encargado tratará los datos personales por cuenta del Responsable con la única finalidad de prestar los servicios ofrecidos por Obrasy, conforme a las instrucciones documentadas del Responsable.

3. Categorías de datos y afectados

Datos personales tratados

• Datos identificativos y de contacto.
• Datos laborales y profesionales.
• Registros de jornada, obras, documentos y comunicaciones.
• Cualquier otro dato introducido por el Responsable en la Plataforma.

Categorías de interesados

• Empleados y colaboradores del Responsable.
• Representantes y usuarios autorizados.
• Terceros cuyos datos sean gestionados por el Responsable.

4. Obligaciones del Responsable del Tratamiento

El Responsable garantiza y asume que:

• Dispone de base legal suficiente para el tratamiento de los datos.
• Ha informado correctamente a los interesados conforme al RGPD.
• Cumple la normativa laboral, de protección de datos y cualquier otra aplicable.
• Es responsable de la exactitud, licitud y actualización de los datos introducidos.

El Encargado no será responsable de los incumplimientos imputables al Responsable.

5. Obligaciones del Encargado del Tratamiento

El Encargado se compromete a:

• Tratar los datos únicamente conforme a instrucciones del Responsable.
• No utilizar los datos para fines propios.
• Garantizar que las personas autorizadas se comprometen a la confidencialidad.
• Implementar medidas técnicas y organizativas razonables para proteger los datos.

6. Medidas de seguridad

El Encargado aplicará medidas de seguridad adecuadas al riesgo, incluyendo, entre otras:

• Control de accesos y autenticación.
• Registro de accesos y eventos de seguridad.
• Copias de seguridad.
• Protección de comunicaciones.

El Responsable reconoce que ningún sistema es infalible.

7. Subencargados del tratamiento

El Responsable autoriza expresamente al Encargado a contratar subencargados necesarios para la prestación del servicio, tales como:

• Proveedores de infraestructura y almacenamiento.
• Servicios de correo electrónico y mensajería.
• Proveedores de pago.
• Servicios de monitorización y seguridad.

El Encargado garantizará que dichos subencargados ofrezcan garantías adecuadas conforme al RGPD.

8. Asistencia al Responsable

El Encargado prestará asistencia razonable al Responsable para:

• Atender solicitudes de ejercicio de derechos de los interesados.
• Gestionar incidentes de seguridad o violaciones de datos.

Dicha asistencia se realizará en la medida técnicamente posible y conforme al plan contratado.

9. Violaciones de seguridad

El Encargado notificará al Responsable, sin dilación indebida, cualquier violación de seguridad de los datos personales de la que tenga conocimiento, aportando la información disponible.

10. Transferencias internacionales de datos

En caso de que los datos sean tratados fuera del Espacio Económico Europeo por subencargados, el Encargado aplicará las garantías legales adecuadas conforme al RGPD.

11. Finalización del tratamiento

Una vez finalizada la relación contractual:

• El Responsable podrá exportar los datos mediante las funcionalidades disponibles.
• El Encargado podrá eliminar o anonimizar los datos tras un periodo técnico razonable, salvo obligación legal de conservación.
• Las copias de seguridad podrán mantenerse durante un plazo limitado por razones técnicas.

12. Responsabilidad

El Encargado no será responsable de sanciones, reclamaciones o daños derivados de:

• Incumplimientos legales del Responsable.
• Datos introducidos sin base legal.
• Uso indebido de la Plataforma por parte del Responsable o sus usuarios.

13. Legislación aplicable

El presente DPA se rige por la legislación española y europea en materia de protección de datos.