Encargo de tratamiento – DPA

El presente documento regula el contrato de encargado del tratamiento entre el cliente, en su condición de responsable del tratamiento de los datos personales contenidos en su sitio web, y Bisnis Soluciones Profesionales, S.L. (en adelante, el «Prestador» o el «Encargado del tratamiento»), en su condición de encargado del tratamiento, en el marco del servicio de mantenimiento web prestado a través del sitio https://mantenimiento.ayudawp.com (en adelante, el «Servicio»), de conformidad con lo dispuesto en el artículo 28 del Reglamento (UE) 2016/679 (RGPD) y en el artículo 33 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

La aceptación de las condiciones generales del Servicio en el momento del alta supone la formalización del presente contrato, salvo que el cliente solicite su firma como documento independiente, en cuyo caso podrá descargar el texto completo a través del enlace facilitado al final de esta página.

1. Objeto del encargo

El presente contrato regula el acceso del Encargado del tratamiento, por cuenta del cliente, a los datos personales necesarios para la prestación del Servicio, así como las obligaciones de ambas partes en materia de protección de datos personales.

El acceso a los datos personales por parte del Encargado del tratamiento no se considerará comunicación ni cesión de datos a los efectos de la normativa de protección de datos, sino tratamiento por cuenta del responsable.

2. Información afectada por el tratamiento

2.1. Naturaleza y finalidad del tratamiento

El tratamiento por cuenta del cliente consistirá en el acceso, consulta, conservación, modificación, ejecución de copias de seguridad, restauración y, en su caso, supresión de datos personales contenidos en el sitio web, base de datos y sistema de archivos del cliente, con la única finalidad de prestar el Servicio contratado.

2.2. Tipo de datos personales tratados

De manera enunciativa y no limitativa, los datos personales que el Encargado podrá tratar por cuenta del cliente, dependiendo de las características concretas del sitio web y de los plugins instalados, podrán incluir las siguientes categorías:

  • Datos identificativos: nombre, apellidos, alias o nombre de usuario.
  • Datos de contacto: dirección postal, dirección de correo electrónico, número de teléfono.
  • Datos profesionales o académicos, si se recogen por el sitio web.
  • Datos de navegación y de conexión: dirección IP, identificadores de sesión, información de cookies, registros de actividad (logs).
  • Datos económicos y de transacciones, en caso de existir tienda online u otros sistemas de pago, tales como datos de facturación, historial de pedidos, productos adquiridos, importes y métodos de pago, sin que el Encargado acceda en ningún caso a datos completos de medios de pago almacenados por pasarelas de terceros.
  • Contenidos generados por los usuarios, tales como comentarios, publicaciones, mensajes de formularios de contacto, valoraciones y similares.
  • Cualesquiera otros datos personales contenidos en la base de datos, los archivos del servidor o las copias de seguridad del sitio web del cliente.

El cliente es el único conocedor de las concretas categorías y volúmenes de datos personales tratados a través de su sitio web, siendo de su exclusiva responsabilidad la determinación de la licitud, base jurídica y finalidades del tratamiento de los referidos datos.

2.3. Categorías de interesados

  • Usuarios registrados en el sitio web del cliente.
  • Suscriptores a boletines o newsletters.
  • Personas que remiten consultas o mensajes a través de formularios.
  • Comentaristas y autores de contenidos generados por usuarios.
  • Clientes, en caso de existir tienda online o sistemas de venta.
  • Cualesquiera otras personas físicas cuyos datos figuren en el sitio web, la base de datos, los archivos o las copias de seguridad.

2.4. Duración

El tratamiento por cuenta del cliente tendrá la misma duración que la prestación efectiva del Servicio, iniciándose con la activación del Servicio mediante el alta de la suscripción correspondiente y finalizando en el momento en que dicha suscripción quede cancelada o el Servicio cese, por cualquier causa, en su prestación.

3. Obligaciones del Encargado del tratamiento

El Encargado del tratamiento, y todo su personal autorizado, se obligan a:

  1. Tratar los datos personales únicamente conforme a las instrucciones documentadas del cliente. Se entenderán como instrucciones documentadas las contenidas en el presente contrato y aquellas que, en su caso, el cliente comunique por escrito al Encargado durante la vigencia del Servicio. Si el Encargado considerase que alguna de las instrucciones recibidas infringe el RGPD, la LOPDGDD o cualquier otra disposición en materia de protección de datos, lo informará al cliente de manera inmediata.
  2. No utilizar ni aplicar los datos personales a finalidades distintas de la prestación del Servicio, ni comunicarlos, ni siquiera para su conservación, a otras personas, salvo en los supuestos legalmente previstos o cuando exista autorización expresa del cliente.
  3. Llevar, en su caso, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del cliente, en los términos previstos en el artículo 30.2 del RGPD.
  4. Realizar transferencias internacionales de datos personales únicamente al amparo de las garantías previstas en el Capítulo V del RGPD (decisiones de adecuación, cláusulas contractuales tipo aprobadas por la Comisión Europea, normas corporativas vinculantes u otros mecanismos legalmente admitidos). El cliente autoriza expresamente, mediante la aceptación del presente contrato, las transferencias internacionales que resulten necesarias en el marco de los subencargados identificados en la cláusula 4 y en el Anexo I del presente documento.
  5. Garantizar que las personas autorizadas para tratar los datos personales (empleados, directivos y colaboradores externos en régimen de prestación de servicios profesionales) se han comprometido, expresamente y por escrito, a respetar la confidencialidad y a cumplir las correspondientes medidas de seguridad.
  6. Mantener a disposición del cliente la documentación que acredite el cumplimiento de la obligación anterior.
  7. Garantizar la formación necesaria en materia de protección de datos personales del personal autorizado para tratar los datos.
  8. Asistir al cliente, teniendo en cuenta la naturaleza del tratamiento, en la respuesta al ejercicio de los derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento y portabilidad de los datos previstos en los artículos 15 a 22 del RGPD. Cuando los interesados ejerciten alguno de los referidos derechos directamente ante el Encargado, este lo comunicará al cliente a la mayor brevedad posible y, en todo caso, dentro de las setenta y dos (72) horas siguientes a su recepción, junto con cualquier información que pudiera ser relevante para resolver la solicitud.
  9. Asistir al cliente, teniendo en cuenta la naturaleza del tratamiento y la información disponible, en el cumplimiento de las obligaciones previstas en los artículos 32 a 36 del RGPD (seguridad del tratamiento, notificación de violaciones de seguridad, evaluaciones de impacto y consultas previas).
  10. Poner a disposición del cliente toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en este contrato, así como para la realización de auditorías o inspecciones, en los términos previstos en la cláusula 9.

4. Subencargados del tratamiento

El cliente autoriza, de forma general y con la aceptación del presente contrato, al Encargado para subcontratar con terceros aquellos tratamientos de datos personales que resulten necesarios para la correcta prestación del Servicio. La relación nominal de subencargados actualmente utilizados se incorpora como Anexo I al presente contrato.

El Encargado informará al cliente, con una antelación razonable, de cualquier cambio previsto en la incorporación o sustitución de subencargados, mediante actualización del Anexo I publicado en esta misma página web y, en su caso, mediante notificación al correo electrónico del cliente, dándole oportunidad de oponerse a dichos cambios. La oposición fundada del cliente facultará al Encargado a optar entre mantener al subencargado y dar por terminado el Servicio, o sustituir al subencargado por otro alternativo, sin que de ello pueda derivarse responsabilidad económica alguna para el Encargado.

En todo caso, el Encargado formalizará con el subencargado un contrato escrito que imponga a este obligaciones equivalentes a las establecidas en el presente contrato. El Encargado responderá frente al cliente del cumplimiento por parte del subencargado de las obligaciones que le sean aplicables.

5. Medidas de seguridad

El Encargado aplicará las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento, conforme al artículo 32 del RGPD. Entre otras, y en función de la naturaleza, alcance, contexto y fines del tratamiento, así como de los riesgos para los derechos y libertades de los interesados, el Encargado adoptará medidas tales como:

  • Control de acceso a las credenciales del cliente mediante sistemas seguros de almacenamiento y gestión de contraseñas.
  • Uso de conexiones cifradas para la transmisión de información (HTTPS, SFTP, SSH u otras equivalentes) siempre que técnicamente sea posible.
  • Cifrado en reposo de las copias de seguridad cuando ello resulte técnicamente viable y proporcionado al riesgo.
  • Limitación del acceso a los datos personales al personal autorizado y estrictamente necesario para la prestación del Servicio.
  • Procedimientos de verificación, evaluación y valoración periódica de la eficacia de las medidas técnicas y organizativas implantadas.
  • Procedimientos de respuesta ante incidentes y de gestión de violaciones de seguridad.

El cliente reconoce expresamente que el sitio web objeto del Servicio se encuentra alojado en infraestructura del propio cliente o de un tercero contratado por este, por lo que la seguridad del entorno de alojamiento (servidor, sistema operativo, configuraciones de red y similares) y la actualización de sus elementos básicos no es de responsabilidad del Encargado, salvo en aquello que expresamente forme parte del Servicio contratado.

6. Deber de confidencialidad

El Encargado y todo su personal autorizado mantendrán el deber de secreto respecto de los datos personales tratados por cuenta del cliente, deber que subsistirá aún después de finalizar la relación contractual.

Lo dispuesto en la presente cláusula no afecta a los deberes de comunicación y de cooperación con las autoridades de control que correspondan al Encargado conforme a la normativa aplicable.

7. Notificación de violaciones de seguridad

El Encargado notificará al cliente, sin dilación indebida y, en la medida de lo posible, en un plazo no superior a las setenta y dos (72) horas desde que tenga conocimiento, cualquier violación de la seguridad de los datos personales tratados por cuenta del cliente, junto con toda la información relevante para la documentación y comunicación de la incidencia, incluyendo, como mínimo:

  • Descripción de la naturaleza de la violación, indicando, cuando sea posible, las categorías y el número aproximado de interesados afectados, así como las categorías y el número aproximado de registros de datos personales afectados.
  • Datos de contacto a los que dirigirse para obtener más información.
  • Descripción de las posibles consecuencias de la violación de seguridad.
  • Descripción de las medidas adoptadas o propuestas para poner remedio a la violación, incluidas, en su caso, las medidas dirigidas a mitigar sus posibles efectos negativos.

Corresponde al cliente, en su condición de responsable del tratamiento, decidir sobre la notificación de la violación de seguridad a la autoridad de control competente y, en su caso, a los interesados afectados, conforme a los artículos 33 y 34 del RGPD.

8. Destino de los datos al finalizar el Servicio

Una vez finalizada la prestación del Servicio por cualquier causa, el Encargado, a elección del cliente y siempre que este lo solicite expresamente, devolverá o suprimirá los datos personales tratados por cuenta del cliente, así como cualquier soporte o documento que los contenga, en un plazo razonable atendida la naturaleza del tratamiento.

La supresión incluirá las copias de seguridad gestionadas por el Encargado, sin perjuicio de los plazos técnicos de eliminación de copias residuales en sistemas de respaldo.

No obstante, el Encargado podrá conservar los datos, debidamente bloqueados, durante el tiempo en que pudieran derivarse responsabilidades de la ejecución del Servicio, así como cuando exista obligación legal de conservación.

Si el cliente no manifiesta su voluntad respecto del destino de los datos en un plazo razonable desde la finalización del Servicio, el Encargado podrá proceder a la supresión segura de los datos personales y de las copias de seguridad asociadas.

9. Auditorías

El Encargado pondrá a disposición del cliente la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente contrato y permitirá la realización de auditorías o inspecciones, por parte del cliente o de un auditor por él designado, en los siguientes términos:

  • Las auditorías deberán solicitarse con una antelación mínima de treinta (30) días naturales, salvo en supuestos urgentes derivados de una violación de seguridad o de un requerimiento de autoridad competente.
  • Se realizarán en horario laboral y de manera que no interfieran de manera significativa en la actividad del Encargado.
  • La frecuencia máxima será, salvo causa justificada, de una (1) auditoría por año natural.
  • Los costes de la auditoría serán asumidos por el cliente, salvo que de la misma resulte un incumplimiento sustancial del Encargado, en cuyo caso este los asumirá.
  • El auditor designado deberá suscribir, con carácter previo, un compromiso de confidencialidad sobre la información a la que tenga acceso.

10. Obligaciones del cliente

Corresponde al cliente, en su condición de responsable del tratamiento:

  • Determinar las finalidades y los medios del tratamiento de los datos personales contenidos en su sitio web.
  • Garantizar la licitud del tratamiento, identificando una base jurídica adecuada conforme al artículo 6 del RGPD y, en su caso, las condiciones aplicables a las categorías especiales de datos del artículo 9.
  • Cumplir con el deber de información a los interesados, así como con cualesquiera otras obligaciones que el RGPD y la LOPDGDD le imponen en su condición de responsable.
  • Llevar el registro de actividades de tratamiento que le corresponda.
  • Realizar, cuando proceda, las evaluaciones de impacto relativas a la protección de datos personales.
  • Comunicar al Encargado, con la antelación razonable, cualquier instrucción adicional que considere necesario impartir.
  • Velar por la actualización del sitio web, sus plantillas y plugins, en aquello que no sea objeto del Servicio contratado.

11. Responsabilidad

Cada parte responderá de los daños y perjuicios efectivamente acreditados que, por incumplimiento de sus respectivas obligaciones derivadas del presente contrato y de la normativa de protección de datos, ocasione a la otra parte o a terceros, conforme al régimen previsto en el artículo 82 del RGPD.

Las partes reconocen expresamente que la mera infracción de las obligaciones aquí asumidas no genera por sí sola, en ausencia de daño efectivo acreditado, derecho a indemnización alguna.

12. Duración del contrato

El presente contrato entrará en vigor en la fecha de aceptación y mantendrá su vigencia mientras se preste el Servicio contratado, extinguiéndose automáticamente con la cancelación, por cualquier causa, de la suscripción correspondiente. Las obligaciones que, por su naturaleza, deban subsistir tras la finalización del contrato (en particular las relativas a confidencialidad y al destino de los datos) se mantendrán vigentes en los términos en él previstos.

13. Disposiciones generales

La nulidad, total o parcial, de cualquiera de las cláusulas del presente contrato no afectará a la validez de las restantes, que conservarán plena eficacia. La cláusula afectada se sustituirá, en su caso, por aquella otra válida que más se aproxime a la voluntad de las partes.

El presente contrato sustituye a cualquier otro acuerdo previo entre las partes en materia de tratamiento de datos personales con ocasión del Servicio.

14. Legislación aplicable y jurisdicción

El presente contrato se regirá e interpretará conforme a la legislación española y, en particular, conforme a lo dispuesto en el RGPD y en la LOPDGDD.

Para la resolución de cuantas controversias pudieran derivarse de la interpretación, ejecución o cumplimiento del presente contrato, las partes, con renuncia expresa a cualquier otro fuero que pudiera corresponderles, se someten a la jurisdicción de los Juzgados y Tribunales de la ciudad de Madrid (España), salvo que la legislación aplicable imponga imperativamente otro fuero.

Anexo I. Relación de subencargados del tratamiento

De acuerdo con la cláusula 4 del presente contrato, el Encargado utiliza, para la prestación del Servicio, los siguientes subencargados del tratamiento:

Google Ireland Limited (Google Workspace)Servicio de correo electrónico profesionalIrlanda (Unión Europea), con posibles tratamientos por Google LLC en Estados UnidosMarco de Privacidad de Datos UE-EEUU y cláusulas contractuales tipo

Subencargado Finalidad Ubicación del tratamiento Garantías para transferencias internacionales
SiteGround Spain, S.L. Alojamiento del sitio web https://mantenimiento.ayudawp.com España (Unión Europea) No procede
Stripe Payments Europe, Ltd. Pasarela de pago para el procesamiento de las suscripciones Irlanda (Unión Europea) No procede
GoDaddy Operating Company, LLC (ManageWP) Plataforma de gestión técnica multi-sitio y de copias de seguridad externas Estados Unidos Marco de Privacidad de Datos UE-EEUU y cláusulas contractuales tipo
Slack Technologies, LLC (Salesforce) Plataforma de mensajería instantánea para canales privados de comunicación con clientes Estados Unidos Marco de Privacidad de Datos UE-EEUU y cláusulas contractuales tipo

El presente Anexo se revisa de manera periódica. Cualquier modificación se publicará en esta misma página y se notificará al cliente conforme a lo previsto en la cláusula 4.

Descarga del documento completo

Puedes descargar el texto íntegro del contrato de encargado del tratamiento en formato PDF, listo para ser firmado de manera independiente, a través del siguiente enlace: descargar contrato de encargado del tratamiento (PDF).

Versión vigente desde: 9 de mayo de 2026.

Carrito de compra
Scroll al inicio