Acuerdo de tratamiento de datos

En vigor a partir de abril de 2020

Última actualización el 09/03/2022

Reunidos:

Los usuarios/suscriptores de los servicios de facturación y contabilidad de SumUp (en adelante, el “Cliente” o el “Responsable del Tratamiento”) y

SumUp Limited, Block 8, Harcourt Centre, Charlotte Way, Dublín 2, Irlanda D02 K580, IVA: IE9813461A (en adelante, “SumUp” o el “Encargado del Tratamiento”), 

individualmente una "parte" y conjuntamente las "partes",

HAN ACEPTADO los términos del presente Acuerdo de tratamiento de datos (en adelante, el “ATD” o el “Acuerdo”) sobre protección de Datos Personales relacionado con el tratamiento de Datos Personales cuando el Cliente actúa en calidad de Responsable del Tratamiento y SumUp actúa como Encargado del Tratamiento, para cumplir las obligaciones de los servicios estipuladas en los Términos y condiciones de facturación y contabilidad de SumUp incluidos en el Acuerdo de servicios (descrito más adelante). Como parte del cumplimiento de dichas obligaciones de los servicios, SumUp tratará determinados Datos Personales en nombre del Responsable del Tratamiento de conformidad con los términos del presente contrato. Cada una de las partes está de acuerdo y se asegurará de que los términos de este contrato sean también plenamente aplicables a sus Afiliados que puedan estar involucrados en las operaciones de tratamiento de Datos Personales para el proyecto definido en los Términos y condiciones de facturación y contabilidad de SumUp incluidos en el Acuerdo de servicios. SumUp se asegurará de que todos los subencargados del tratamiento operen aplicando los mismos términos que los definidos en el presente Acuerdo cuando traten Datos Personales del Cliente.

Introducción y definiciones

Los Datos Personales se definen como cualquier información relacionada con un interesado que permita determinar su identidad, directa o indirectamente, en particular mediante un identificador, como, por ejemplo, un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona física o jurídica (si procede).

Las demás definiciones mencionadas en el presente, incluidos los términos Responsable del Tratamiento y Encargado del Tratamiento, son las determinadas por el Reglamento General de Protección de Datos de la UE, a saber, el Reglamento 2016/679 de 27 de abril de 2016 (en adelante, el “RGPD”).

Se considera que en el marco del servicio de aplicaciones ofrecido por el Responsable del Tratamiento (facturación y contabilidad de SumUp) no se tratarán Datos Personales Sensibles, por lo que quedan excluidos de los términos del presente Acuerdo.

Mediante el registro para usar el programa de facturación y contabilidad de SumUp y la aceptación de los Términos y condiciones, lo que incluye la Política de privacidad y el presente ATD, las partes acuerdan que, en virtud de todas las leyes de protección de datos nacionales y el RGPD, el presente Acuerdo rige la relación entre el Responsable del Tratamiento y el Encargado del Tratamiento, lo que determina el tratamiento que SumUp realizará de los Datos Personales del Cliente. Lo estipulado en el presente Acuerdo prevalecerá a no ser que se haya sustituido por otro ATD firmado en el que se establezca que dicho ATD prevalecerá sobre el presente Acuerdo.

El fin del tratamiento que hace SumUp de los Datos Personales para el Cliente es garantizar el pleno uso del servicio por parte del Cliente y permitir el cumplimiento del presente Acuerdo. SumUp garantiza que se mantiene una seguridad suficiente de los Datos Personales en todo momento.

Con la firma del presente Acuerdo, ambas partes confirman que están facultadas para firmarlo.

Responsabilidades del Encargado del Tratamiento

El Encargado del Tratamiento debe tratar todos los Datos Personales en nombre del Responsable del Tratamiento siguiendo las órdenes de este. Al celebrar el presente Acuerdo, SumUp (y cualesquiera subencargados con los que el Encargado del Tratamiento haya celebrado un acuerdo legal de servicios) tiene orden de tratar los Datos Personales del Cliente:

  1. de conformidad con todas las leyes nacionales y europeas,

  2. con el fin de cumplir sus obligaciones en virtud de los Términos y condiciones de facturación y contabilidad de SumUp,

  3. siguiendo cualesquiera órdenes adicionales del Responsable del Tratamiento, y

  4. según se describe en el presente Acuerdo.

Al proporcionar la Aplicación, el Encargado del Tratamiento está obligado a ofrecer siempre al Cliente soluciones adecuadas para acompañar el desarrollo continuo de su negocio usando el servicio. El Encargado del Tratamiento hace un seguimiento de cómo usa el Cliente la Aplicación para ofrecer las mejores sugerencias, proporcionar servicios relevantes en todo momento y enviar las comunicaciones más exactas para favorecer la satisfacción y la sencillez de uso continuadas. Dado que el tratamiento de los Datos Personales procedentes de la Aplicación forma parte de ello, tales datos se tratan únicamente de conformidad con el presente ATD y la legislación aplicable, y solo se comparten si es necesario para proporcionar una mejor experiencia al Cliente.

Teniendo en cuenta la tecnología disponible y el coste de su aplicación, así como el ámbito, el contexto y los fines del tratamiento, el Encargado del Tratamiento deberá adoptar todas las medidas razonables, incluidas medidas técnicas y organizativas apropiadas, para garantizar un nivel de seguridad suficiente en relación con el riesgo y la categoría de los Datos Personales que deban protegerse. El Encargado del Tratamiento asistirá al Responsable del Tratamiento con las medidas técnicas y organizativas necesarias y teniendo en cuenta la naturaleza del tratamiento y la categoría de la información puesta a disposición del Encargado del Tratamiento para garantizar el cumplimiento de las obligaciones del Responsable del Tratamiento estipuladas en las leyes de protección de datos.

En caso de que el Encargado del Tratamiento tenga conocimiento de una violación de la seguridad, este informará al Responsable del Tratamiento sin dilación indebida.

Asimismo, si se recibe una solicitud de información sobre los datos mantenidos (solicitud de acceso a los datos) de cualquier organismo al que deba proporcionarse tal información, el Encargado del Tratamiento, en la medida de lo posible y siempre y cuando sea legal hacerlo, informará de ello al Responsable del Tratamiento. El Encargado del Tratamiento responderá a tales solicitudes cuando haya recibido autorización del Responsable del Tratamiento para ello. El Encargado del Tratamiento tampoco revelará información sobre este Acuerdo a no ser que esté obligado a ello, por ejemplo, en virtud de una orden judicial.

Si el Responsable del Tratamiento necesita información o asistencia en relación con la seguridad de los datos, la documentación o la información sobre cómo trata el Encargado del Tratamiento los Datos Personales en general, puede solicitar esta información al Encargado del Tratamiento. El Encargado del Tratamiento ayudará en una medida razonable al Responsable del Tratamiento a cumplir las obligaciones estipuladas en los artículos del 32 al 36 del RGPD.

El Encargado del Tratamiento, sus empleados y cualquiera de sus Afiliados garantizarán la confidencialidad en relación con los Datos Personales tratados en virtud del Acuerdo. Esta disposición seguirá siendo aplicable tras la resolución del Acuerdo, con independencia la causa de tal resolución.

Responsabilidades del Responsable del Tratamiento

El Responsable del Tratamiento confirma, mediante la firma/aceptación del presente Acuerdo, que, al usar la Aplicación, podrá tratar libremente sus datos una vez en consonancia con todos los requisitos legales de protección de datos, incluido el RGPD. 

El Responsable del Tratamiento puede revocar la aceptación de este ATD en cualquier momento, pero, al hacerlo, el Encargado del Tratamiento no podrá seguir prestando el servicio.

En el marco del uso de los servicios de SumUp, el Cliente tiene una base jurídica para el tratamiento de los Datos Personales por parte del Encargado del Tratamiento (incluidos cualesquiera subencargados).

El Responsable del Tratamiento es responsable en todo momento de la exactitud, la integridad, el contenido y la fiabilidad de los Datos Personales tratados por el Encargado del Tratamiento. Ha cumplido todos los requisitos obligatorios en relación con la notificación a las autoridades públicas pertinentes sobre el tratamiento de los Datos Personales o con la obtención del permiso de tales autoridades a tal efecto. También ha cumplido sus obligaciones de comunicación a las autoridades pertinentes sobre el tratamiento de los Datos Personales de conformidad con todas las leyes de protección de datos aplicables.

El Responsable del Tratamiento debe tener una lista exacta de las categorías de Datos Personales que trata, en especial si tal tratamiento difiere de las categorías incluidas por el Encargado del Tratamiento en el Apéndice A.

Acuerdo para la transferencia de datos y el uso de subcontratistas

Con el fin de prestar el servicio al Responsable del Tratamiento, el Encargado del Tratamiento puede recurrir a subencargados (o "subcontratistas"). Tales subcontratistas pueden ser proveedores terceros situados tanto dentro como fuera de la UE y el EEE. El Encargado del Tratamiento garantiza que todos los subcontratistas cumplen las obligaciones y los requisitos estipulados en el presente Acuerdo y, en concreto, que su nivel de protección de datos satisface los requisitos estipulados en las leyes de protección de datos aplicables. Si un subcontratista está situado en una jurisdicción fuera de la UE y el EEE que no figura en la lista aprobada por la Comisión Europea de jurisdicciones con niveles de protección de datos satisfactorios conforme al RGPD, SumUp y dicho subcontratista celebrarán un acuerdo específico para garantizar que el subcontratista mantendrá todos los Datos Personales en consonancia con los requisitos estipulados en las leyes de protección de datos vigentes de la UE.

El presente Acuerdo constituye el consentimiento previo, específico y explícito del Responsable del Tratamiento para que el Encargado del Tratamiento recurra a subencargados que, ocasionalmente, pueden estar situados fuera de la UE, del EEE o de los territorios aprobados por la Comisión Europea.

El Responsable del Tratamiento puede revocar este consentimiento en cualquier momento, pero, al hacerlo, el Acuerdo existente quedará resuelto y el Encargado del Tratamiento no podrá seguir prestando el servicio.

Si un subcontratista está establecido o almacena Datos Personales fuera de la UE, del EEE o de los territorios aprobados por la Comisión Europea, el Encargado del Tratamiento tiene la responsabilidad de garantizar una base satisfactoria para la transferencia de Datos Personales a un tercer país en nombre del Responsable del Tratamiento, lo que incluye el uso de las cláusulas contractuales tipo estipuladas por la Comisión Europea o de medidas específicas que hayan recibido aprobación previa por parte de la Comisión Europea.

El Responsable del Tratamiento debe ser informado antes de que el Encargado del Tratamiento sustituya a sus subcontratistas. En tal caso, el Responsable del Tratamiento puede oponerse a que un nuevo subencargado trate sus Datos Personales en nombre del Encargado del Tratamiento, pero solo si dicho subencargado no trata los datos de conformidad con la legislación de protección de datos correspondiente. El Encargado del Tratamiento puede demostrar el cumplimento proporcionando al Responsable del Tratamiento acceso a la evaluación de protección de datos realizada por el Encargado del Tratamiento.

Si el Responsable del Tratamiento sigue oponiéndose al uso del subcontratista, puede cancelar su suscripción al servicio, sin necesidad de respetar el periodo de preaviso exigido, y de ese modo se asegurará de que el subcontratista en cuestión no trate sus Datos Personales.

Duración del Acuerdo

El presente Acuerdo seguirá siendo válido mientras el Encargado del Tratamiento trate Datos Personales a raíz del uso de la Aplicación de servicios por parte del Responsable del Tratamiento y mientras no sea sustituido por otro ATD firmado que en el que se indique que dicho ATD prevalecerá sobre el presente Acuerdo.

Resolución del Acuerdo

En caso de que el Responsable del Tratamiento decida dejar de usar el servicio, ya sea de suscripción o no, también puede suprimir todos los datos de su cuenta. Una vez ejecutado el procedimiento de supresión de datos iniciado por el Responsable del Tratamiento, el Encargado del Tratamiento suprimirá todos los Datos Personales excepto aquellos que deba conservar con arreglo a cualesquiera requisitos legales aplicables y, en tal caso, los conservará conforme a las salvaguardas técnicas y organizativas de SumUp.

El Responsable del Tratamiento está plenamente capacitado para recuperar todos sus Datos Personales incluidos en la Aplicación de servicios. Si el Responsable del Tratamiento solicita asistencia para la recuperación de los datos, los costes correspondientes se determinarán por mutuo acuerdo de las partes y se basarán en la complejidad del proceso necesario y en el tiempo para llevarlo a cabo en el formato elegido.

Modificación del Acuerdo

El Encargado del Tratamiento puede realizar modificaciones del Acuerdo mediante otro Anexo al Acuerdo o de cualquier otra forma visible para el Responsable del Tratamiento, y se comunicarán al Responsable del Tratamiento. Si alguna de las disposiciones del Acuerdo se considera no válida, ello no afectará a las demás disposiciones. Las partes sustituirán las disposiciones inválidas por una disposición legal que refleje el propósito de la disposición inválida.

Auditorías

El Responsable del Tratamiento tiene derecho a iniciar una revisión de las obligaciones del Encargado del Tratamiento en virtud del Acuerdo una vez al año. Las auditorías pueden repetirse una vez al año si la legislación aplicable obliga al Responsable del Tratamiento a ello. Las partes decidirán conjuntamente si un tercero debe llevar a cabo la auditoría. Sin embargo, el Responsable del Tratamiento puede permitir al Encargado del Tratamiento que encargue la revisión de seguridad a un tercero neutral elegido por el Encargado del Tratamiento, en caso de que en el entorno de tratamiento se traten datos de diversos responsables del tratamiento.

Si el alcance propuesto de la auditoría sigue un informe de una ISAE, de una ISO o de una certificación similar elaborado por un auditor externo en los doce meses anteriores y el Encargado del Tratamiento confirma que no se han producido cambios sustanciales en las medidas objeto de revisión, las solicitudes recibidas dentro de dicho plazo de tiempo habrán quedado satisfechas con ello. Las auditorías no pueden interferir de forma poco razonable en las actividades habituales del Encargado del Tratamiento. El Responsable del Tratamiento es responsable de todos los gastos relacionados con su solicitud de auditoría.

Responsabilidades y jurisdicciones

La responsabilidad por acciones derivadas del incumplimiento de las disposiciones del presente Acuerdo se rige por las disposiciones sobre responsabilidad e indemnización de los Términos y condiciones de facturación y contabilidad de SumUp. Esto se aplica también a cualquier incumplimiento por parte de los subencargados del Encargado del Tratamiento. El presente Acuerdo se regirá e interpretará con arreglo a la legislación irlandesa, y los tribunales de Irlanda tendrán la competencia exclusiva para dirimir cualquier disputa en relación con él.

Apéndice A. Categorías de información personal y categorías de tratamiento habituales

1. Categorías de información personal (lista no exhaustiva)

  • Nombre

  • Dirección

  • Números de teléfono

  • Direcciones de correo electrónico

  • Direcciones

  • Números de cuenta y/o datos bancarios

2. Categorías de tratamiento habituales (lista no exhaustiva)

  • Empleados del Responsable del Tratamiento

  • Contactos del Responsable del Tratamiento (teléfonos, direcciones de correo electrónico, direcciones, etc.) Clientes del Responsable del Tratamiento Información bancaria del Responsable del Tratamiento

  • Empleados de sus clientes

  • Contactos de sus clientes (teléfonos, direcciones de correo electrónico, direcciones, etc.) Clientes de sus clientes

  • Información bancaria de los clientes de sus clientes