Encargo de tratamiento – DPA

El presente documento regula el contrato de encargado del tratamiento entre el cliente, en su condiciĆ³n de responsable del tratamiento de los datos personales contenidos en su sitio web, y Bisnis Soluciones Profesionales, S.L. (en adelante, el Ā«PrestadorĀ» o el Ā«Encargado del tratamientoĀ»), en su condiciĆ³n de encargado del tratamiento, en el marco del servicio de mantenimiento web prestado a travĆ©s del sitio https://mantenimiento.ayudawp.com (en adelante, el Ā«ServicioĀ»), de conformidad con lo dispuesto en el artĆ­culo 28 del Reglamento (UE) 2016/679 (RGPD) y en el artĆ­culo 33 de la Ley OrgĆ”nica 3/2018, de 5 de diciembre, de ProtecciĆ³n de Datos Personales y garantĆ­a de los derechos digitales (LOPDGDD).

La aceptaciĆ³n de las condiciones generales del Servicio en el momento del alta supone la formalizaciĆ³n del presente contrato, salvo que el cliente solicite su firma como documento independiente, en cuyo caso podrĆ” descargar el texto completo a travĆ©s del enlace facilitado al final de esta pĆ”gina.

1. Objeto del encargo

El presente contrato regula el acceso del Encargado del tratamiento, por cuenta del cliente, a los datos personales necesarios para la prestaciĆ³n del Servicio, asĆ­ como las obligaciones de ambas partes en materia de protecciĆ³n de datos personales.

El acceso a los datos personales por parte del Encargado del tratamiento no se considerarĆ” comunicaciĆ³n ni cesiĆ³n de datos a los efectos de la normativa de protecciĆ³n de datos, sino tratamiento por cuenta del responsable.

2. InformaciĆ³n afectada por el tratamiento

2.1. Naturaleza y finalidad del tratamiento

El tratamiento por cuenta del cliente consistirĆ” en el acceso, consulta, conservaciĆ³n, modificaciĆ³n, ejecuciĆ³n de copias de seguridad, restauraciĆ³n y, en su caso, supresiĆ³n de datos personales contenidos en el sitio web, base de datos y sistema de archivos del cliente, con la Ćŗnica finalidad de prestar el Servicio contratado.

2.2. Tipo de datos personales tratados

De manera enunciativa y no limitativa, los datos personales que el Encargado podrƔ tratar por cuenta del cliente, dependiendo de las caracterƭsticas concretas del sitio web y de los plugins instalados, podrƔn incluir las siguientes categorƭas:

  • Datos identificativos: nombre, apellidos, alias o nombre de usuario.
  • Datos de contacto: direcciĆ³n postal, direcciĆ³n de correo electrĆ³nico, nĆŗmero de telĆ©fono.
  • Datos profesionales o acadĆ©micos, si se recogen por el sitio web.
  • Datos de navegaciĆ³n y de conexiĆ³n: direcciĆ³n IP, identificadores de sesiĆ³n, informaciĆ³n de cookies, registros de actividad (logs).
  • Datos econĆ³micos y de transacciones, en caso de existir tienda online u otros sistemas de pago, tales como datos de facturaciĆ³n, historial de pedidos, productos adquiridos, importes y mĆ©todos de pago, sin que el Encargado acceda en ningĆŗn caso a datos completos de medios de pago almacenados por pasarelas de terceros.
  • Contenidos generados por los usuarios, tales como comentarios, publicaciones, mensajes de formularios de contacto, valoraciones y similares.
  • Cualesquiera otros datos personales contenidos en la base de datos, los archivos del servidor o las copias de seguridad del sitio web del cliente.

El cliente es el Ćŗnico conocedor de las concretas categorĆ­as y volĆŗmenes de datos personales tratados a travĆ©s de su sitio web, siendo de su exclusiva responsabilidad la determinaciĆ³n de la licitud, base jurĆ­dica y finalidades del tratamiento de los referidos datos.

2.3. CategorĆ­as de interesados

  • Usuarios registrados en el sitio web del cliente.
  • Suscriptores a boletines o newsletters.
  • Personas que remiten consultas o mensajes a travĆ©s de formularios.
  • Comentaristas y autores de contenidos generados por usuarios.
  • Clientes, en caso de existir tienda online o sistemas de venta.
  • Cualesquiera otras personas fĆ­sicas cuyos datos figuren en el sitio web, la base de datos, los archivos o las copias de seguridad.

2.4. DuraciĆ³n

El tratamiento por cuenta del cliente tendrĆ” la misma duraciĆ³n que la prestaciĆ³n efectiva del Servicio, iniciĆ”ndose con la activaciĆ³n del Servicio mediante el alta de la suscripciĆ³n correspondiente y finalizando en el momento en que dicha suscripciĆ³n quede cancelada o el Servicio cese, por cualquier causa, en su prestaciĆ³n.

3. Obligaciones del Encargado del tratamiento

El Encargado del tratamiento, y todo su personal autorizado, se obligan a:

  1. Tratar los datos personales Ćŗnicamente conforme a las instrucciones documentadas del cliente. Se entenderĆ”n como instrucciones documentadas las contenidas en el presente contrato y aquellas que, en su caso, el cliente comunique por escrito al Encargado durante la vigencia del Servicio. Si el Encargado considerase que alguna de las instrucciones recibidas infringe el RGPD, la LOPDGDD o cualquier otra disposiciĆ³n en materia de protecciĆ³n de datos, lo informarĆ” al cliente de manera inmediata.
  2. No utilizar ni aplicar los datos personales a finalidades distintas de la prestaciĆ³n del Servicio, ni comunicarlos, ni siquiera para su conservaciĆ³n, a otras personas, salvo en los supuestos legalmente previstos o cuando exista autorizaciĆ³n expresa del cliente.
  3. Llevar, en su caso, un registro de todas las categorƭas de actividades de tratamiento efectuadas por cuenta del cliente, en los tƩrminos previstos en el artƭculo 30.2 del RGPD.
  4. Realizar transferencias internacionales de datos personales Ćŗnicamente al amparo de las garantĆ­as previstas en el CapĆ­tulo V del RGPD (decisiones de adecuaciĆ³n, clĆ”usulas contractuales tipo aprobadas por la ComisiĆ³n Europea, normas corporativas vinculantes u otros mecanismos legalmente admitidos). El cliente autoriza expresamente, mediante la aceptaciĆ³n del presente contrato, las transferencias internacionales que resulten necesarias en el marco de los subencargados identificados en la clĆ”usula 4 y en el Anexo I del presente documento.
  5. Garantizar que las personas autorizadas para tratar los datos personales (empleados, directivos y colaboradores externos en rĆ©gimen de prestaciĆ³n de servicios profesionales) se han comprometido, expresamente y por escrito, a respetar la confidencialidad y a cumplir las correspondientes medidas de seguridad.
  6. Mantener a disposiciĆ³n del cliente la documentaciĆ³n que acredite el cumplimiento de la obligaciĆ³n anterior.
  7. Garantizar la formaciĆ³n necesaria en materia de protecciĆ³n de datos personales del personal autorizado para tratar los datos.
  8. Asistir al cliente, teniendo en cuenta la naturaleza del tratamiento, en la respuesta al ejercicio de los derechos de acceso, rectificaciĆ³n, supresiĆ³n, oposiciĆ³n, limitaciĆ³n del tratamiento y portabilidad de los datos previstos en los artĆ­culos 15 a 22 del RGPD. Cuando los interesados ejerciten alguno de los referidos derechos directamente ante el Encargado, este lo comunicarĆ” al cliente a la mayor brevedad posible y, en todo caso, dentro de las setenta y dos (72) horas siguientes a su recepciĆ³n, junto con cualquier informaciĆ³n que pudiera ser relevante para resolver la solicitud.
  9. Asistir al cliente, teniendo en cuenta la naturaleza del tratamiento y la informaciĆ³n disponible, en el cumplimiento de las obligaciones previstas en los artĆ­culos 32 a 36 del RGPD (seguridad del tratamiento, notificaciĆ³n de violaciones de seguridad, evaluaciones de impacto y consultas previas).
  10. Poner a disposiciĆ³n del cliente toda la informaciĆ³n necesaria para demostrar el cumplimiento de las obligaciones establecidas en este contrato, asĆ­ como para la realizaciĆ³n de auditorĆ­as o inspecciones, en los tĆ©rminos previstos en la clĆ”usula 9.

4. Subencargados del tratamiento

El cliente autoriza, de forma general y con la aceptaciĆ³n del presente contrato, al Encargado para subcontratar con terceros aquellos tratamientos de datos personales que resulten necesarios para la correcta prestaciĆ³n del Servicio. La relaciĆ³n nominal de subencargados actualmente utilizados se incorpora como Anexo I al presente contrato.

El Encargado informarĆ” al cliente, con una antelaciĆ³n razonable, de cualquier cambio previsto en la incorporaciĆ³n o sustituciĆ³n de subencargados, mediante actualizaciĆ³n del Anexo I publicado en esta misma pĆ”gina web y, en su caso, mediante notificaciĆ³n al correo electrĆ³nico del cliente, dĆ”ndole oportunidad de oponerse a dichos cambios. La oposiciĆ³n fundada del cliente facultarĆ” al Encargado a optar entre mantener al subencargado y dar por terminado el Servicio, o sustituir al subencargado por otro alternativo, sin que de ello pueda derivarse responsabilidad econĆ³mica alguna para el Encargado.

En todo caso, el Encargado formalizarĆ” con el subencargado un contrato escrito que imponga a este obligaciones equivalentes a las establecidas en el presente contrato. El Encargado responderĆ” frente al cliente del cumplimiento por parte del subencargado de las obligaciones que le sean aplicables.

5. Medidas de seguridad

El Encargado aplicarĆ” las medidas tĆ©cnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento, conforme al artĆ­culo 32 del RGPD. Entre otras, y en funciĆ³n de la naturaleza, alcance, contexto y fines del tratamiento, asĆ­ como de los riesgos para los derechos y libertades de los interesados, el Encargado adoptarĆ” medidas tales como:

  • Control de acceso a las credenciales del cliente mediante sistemas seguros de almacenamiento y gestiĆ³n de contraseƱas.
  • Uso de conexiones cifradas para la transmisiĆ³n de informaciĆ³n (HTTPS, SFTP, SSH u otras equivalentes) siempre que tĆ©cnicamente sea posible.
  • Cifrado en reposo de las copias de seguridad cuando ello resulte tĆ©cnicamente viable y proporcionado al riesgo.
  • LimitaciĆ³n del acceso a los datos personales al personal autorizado y estrictamente necesario para la prestaciĆ³n del Servicio.
  • Procedimientos de verificaciĆ³n, evaluaciĆ³n y valoraciĆ³n periĆ³dica de la eficacia de las medidas tĆ©cnicas y organizativas implantadas.
  • Procedimientos de respuesta ante incidentes y de gestiĆ³n de violaciones de seguridad.

El cliente reconoce expresamente que el sitio web objeto del Servicio se encuentra alojado en infraestructura del propio cliente o de un tercero contratado por este, por lo que la seguridad del entorno de alojamiento (servidor, sistema operativo, configuraciones de red y similares) y la actualizaciĆ³n de sus elementos bĆ”sicos no es de responsabilidad del Encargado, salvo en aquello que expresamente forme parte del Servicio contratado.

6. Deber de confidencialidad

El Encargado y todo su personal autorizado mantendrĆ”n el deber de secreto respecto de los datos personales tratados por cuenta del cliente, deber que subsistirĆ” aĆŗn despuĆ©s de finalizar la relaciĆ³n contractual.

Lo dispuesto en la presente clĆ”usula no afecta a los deberes de comunicaciĆ³n y de cooperaciĆ³n con las autoridades de control que correspondan al Encargado conforme a la normativa aplicable.

7. NotificaciĆ³n de violaciones de seguridad

El Encargado notificarĆ” al cliente, sin dilaciĆ³n indebida y, en la medida de lo posible, en un plazo no superior a las setenta y dos (72) horas desde que tenga conocimiento, cualquier violaciĆ³n de la seguridad de los datos personales tratados por cuenta del cliente, junto con toda la informaciĆ³n relevante para la documentaciĆ³n y comunicaciĆ³n de la incidencia, incluyendo, como mĆ­nimo:

  • DescripciĆ³n de la naturaleza de la violaciĆ³n, indicando, cuando sea posible, las categorĆ­as y el nĆŗmero aproximado de interesados afectados, asĆ­ como las categorĆ­as y el nĆŗmero aproximado de registros de datos personales afectados.
  • Datos de contacto a los que dirigirse para obtener mĆ”s informaciĆ³n.
  • DescripciĆ³n de las posibles consecuencias de la violaciĆ³n de seguridad.
  • DescripciĆ³n de las medidas adoptadas o propuestas para poner remedio a la violaciĆ³n, incluidas, en su caso, las medidas dirigidas a mitigar sus posibles efectos negativos.

Corresponde al cliente, en su condiciĆ³n de responsable del tratamiento, decidir sobre la notificaciĆ³n de la violaciĆ³n de seguridad a la autoridad de control competente y, en su caso, a los interesados afectados, conforme a los artĆ­culos 33 y 34 del RGPD.

8. Destino de los datos al finalizar el Servicio

Una vez finalizada la prestaciĆ³n del Servicio por cualquier causa, el Encargado, a elecciĆ³n del cliente y siempre que este lo solicite expresamente, devolverĆ” o suprimirĆ” los datos personales tratados por cuenta del cliente, asĆ­ como cualquier soporte o documento que los contenga, en un plazo razonable atendida la naturaleza del tratamiento.

La supresiĆ³n incluirĆ” las copias de seguridad gestionadas por el Encargado, sin perjuicio de los plazos tĆ©cnicos de eliminaciĆ³n de copias residuales en sistemas de respaldo.

No obstante, el Encargado podrĆ” conservar los datos, debidamente bloqueados, durante el tiempo en que pudieran derivarse responsabilidades de la ejecuciĆ³n del Servicio, asĆ­ como cuando exista obligaciĆ³n legal de conservaciĆ³n.

Si el cliente no manifiesta su voluntad respecto del destino de los datos en un plazo razonable desde la finalizaciĆ³n del Servicio, el Encargado podrĆ” proceder a la supresiĆ³n segura de los datos personales y de las copias de seguridad asociadas.

9. AuditorĆ­as

El Encargado pondrĆ” a disposiciĆ³n del cliente la informaciĆ³n necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente contrato y permitirĆ” la realizaciĆ³n de auditorĆ­as o inspecciones, por parte del cliente o de un auditor por Ć©l designado, en los siguientes tĆ©rminos:

  • Las auditorĆ­as deberĆ”n solicitarse con una antelaciĆ³n mĆ­nima de treinta (30) dĆ­as naturales, salvo en supuestos urgentes derivados de una violaciĆ³n de seguridad o de un requerimiento de autoridad competente.
  • Se realizarĆ”n en horario laboral y de manera que no interfieran de manera significativa en la actividad del Encargado.
  • La frecuencia mĆ”xima serĆ”, salvo causa justificada, de una (1) auditorĆ­a por aƱo natural.
  • Los costes de la auditorĆ­a serĆ”n asumidos por el cliente, salvo que de la misma resulte un incumplimiento sustancial del Encargado, en cuyo caso este los asumirĆ”.
  • El auditor designado deberĆ” suscribir, con carĆ”cter previo, un compromiso de confidencialidad sobre la informaciĆ³n a la que tenga acceso.

10. Obligaciones del cliente

Corresponde al cliente, en su condiciĆ³n de responsable del tratamiento:

  • Determinar las finalidades y los medios del tratamiento de los datos personales contenidos en su sitio web.
  • Garantizar la licitud del tratamiento, identificando una base jurĆ­dica adecuada conforme al artĆ­culo 6 del RGPD y, en su caso, las condiciones aplicables a las categorĆ­as especiales de datos del artĆ­culo 9.
  • Cumplir con el deber de informaciĆ³n a los interesados, asĆ­ como con cualesquiera otras obligaciones que el RGPD y la LOPDGDD le imponen en su condiciĆ³n de responsable.
  • Llevar el registro de actividades de tratamiento que le corresponda.
  • Realizar, cuando proceda, las evaluaciones de impacto relativas a la protecciĆ³n de datos personales.
  • Comunicar al Encargado, con la antelaciĆ³n razonable, cualquier instrucciĆ³n adicional que considere necesario impartir.
  • Velar por la actualizaciĆ³n del sitio web, sus plantillas y plugins, en aquello que no sea objeto del Servicio contratado.

11. Responsabilidad

Cada parte responderĆ” de los daƱos y perjuicios efectivamente acreditados que, por incumplimiento de sus respectivas obligaciones derivadas del presente contrato y de la normativa de protecciĆ³n de datos, ocasione a la otra parte o a terceros, conforme al rĆ©gimen previsto en el artĆ­culo 82 del RGPD.

Las partes reconocen expresamente que la mera infracciĆ³n de las obligaciones aquĆ­ asumidas no genera por sĆ­ sola, en ausencia de daƱo efectivo acreditado, derecho a indemnizaciĆ³n alguna.

12. DuraciĆ³n del contrato

El presente contrato entrarĆ” en vigor en la fecha de aceptaciĆ³n y mantendrĆ” su vigencia mientras se preste el Servicio contratado, extinguiĆ©ndose automĆ”ticamente con la cancelaciĆ³n, por cualquier causa, de la suscripciĆ³n correspondiente. Las obligaciones que, por su naturaleza, deban subsistir tras la finalizaciĆ³n del contrato (en particular las relativas a confidencialidad y al destino de los datos) se mantendrĆ”n vigentes en los tĆ©rminos en Ć©l previstos.

13. Disposiciones generales

La nulidad, total o parcial, de cualquiera de las clƔusulas del presente contrato no afectarƔ a la validez de las restantes, que conservarƔn plena eficacia. La clƔusula afectada se sustituirƔ, en su caso, por aquella otra vƔlida que mƔs se aproxime a la voluntad de las partes.

El presente contrato sustituye a cualquier otro acuerdo previo entre las partes en materia de tratamiento de datos personales con ocasiĆ³n del Servicio.

14. LegislaciĆ³n aplicable y jurisdicciĆ³n

El presente contrato se regirĆ” e interpretarĆ” conforme a la legislaciĆ³n espaƱola y, en particular, conforme a lo dispuesto en el RGPD y en la LOPDGDD.

Para la resoluciĆ³n de cuantas controversias pudieran derivarse de la interpretaciĆ³n, ejecuciĆ³n o cumplimiento del presente contrato, las partes, con renuncia expresa a cualquier otro fuero que pudiera corresponderles, se someten a la jurisdicciĆ³n de los Juzgados y Tribunales de la ciudad de Madrid (EspaƱa), salvo que la legislaciĆ³n aplicable imponga imperativamente otro fuero.

Anexo I. RelaciĆ³n de subencargados del tratamiento

De acuerdo con la clĆ”usula 4 del presente contrato, el Encargado utiliza, para la prestaciĆ³n del Servicio, los siguientes subencargados del tratamiento:

Google Ireland Limited (Google Workspace)Servicio de correo electrĆ³nico profesionalIrlanda (UniĆ³n Europea), con posibles tratamientos por Google LLC en Estados UnidosMarco de Privacidad de Datos UE-EEUU y clĆ”usulas contractuales tipo

Subencargado Finalidad UbicaciĆ³n del tratamiento GarantĆ­as para transferencias internacionales
SiteGround Spain, S.L. Alojamiento del sitio web https://mantenimiento.ayudawp.com EspaƱa (UniĆ³n Europea) No procede
Stripe Payments Europe, Ltd. Pasarela de pago para el procesamiento de las suscripciones Irlanda (UniĆ³n Europea) No procede
GoDaddy Operating Company, LLC (ManageWP) Plataforma de gestiĆ³n tĆ©cnica multi-sitio y de copias de seguridad externas Estados Unidos Marco de Privacidad de Datos UE-EEUU y clĆ”usulas contractuales tipo
Slack Technologies, LLC (Salesforce) Plataforma de mensajerĆ­a instantĆ”nea para canales privados de comunicaciĆ³n con clientes Estados Unidos Marco de Privacidad de Datos UE-EEUU y clĆ”usulas contractuales tipo

El presente Anexo se revisa de manera periĆ³dica. Cualquier modificaciĆ³n se publicarĆ” en esta misma pĆ”gina y se notificarĆ” al cliente conforme a lo previsto en la clĆ”usula 4.

Descarga del documento completo

Puedes descargar el texto ƭntegro del contrato de encargado del tratamiento en formato PDF, listo para ser firmado de manera independiente, a travƩs del siguiente enlace: descargar contrato de encargado del tratamiento (PDF).

VersiĆ³n vigente desde: 9 de mayo de 2026.

Carrito de compra
Scroll al inicio