1. Objeto, duración y naturaleza
Entre {CLIENTE} (el Responsable) y {EMPRESA} (el Encargado). El Encargado tratará datos personales para prestar la plataforma de monitorización OSINT y alertas. Duración: la del contrato principal.
2. Tipos de datos y categorías de interesados
- Interesados: usuarios del Cliente, empleados, contactos profesionales y personas físicas cuyas referencias aparezcan en fuentes abiertas monitorizadas.
- Datos: identificadores, contacto, metadatos técnicos, términos de búsqueda y contenido indexado de fuentes abiertas. El Responsable evitará introducir categorías especiales salvo base jurídica adecuada.
3. Instrucciones documentadas
El Encargado tratará los datos solo según instrucciones del Responsable; si alguna infringe el RGPD, lo comunicará.
4. Confidencialidad
El Encargado garantizará compromisos de confidencialidad y formación adecuada de las personas autorizadas.
5. Seguridad del tratamiento
El Encargado aplicará las medidas del Anexo I y no las reducirá sin autorización. Mantendrá registro de incidencias y revisiones.
6. Subencargados
Autorización para los subencargados del Anexo II. Aviso previo de cambios y derecho de oposición motivada. Obligaciones equivalentes (art. 28.4 RGPD).
7. Asistencia
Asistencia para solicitudes de derechos, EIPD, consultas previas y medidas de seguridad, teniendo en cuenta la naturaleza del tratamiento.
8. Notificación de violaciones
Notificación sin dilación indebida con: naturaleza del incidente, categorías y número aproximado de interesados/registros, consecuencias, medidas adoptadas y contacto.
9. Transferencias internacionales
Solo por instrucción del Responsable y con garantías adecuadas (Cláusulas Contractuales Tipo u otros mecanismos) y evaluación de impacto cuando proceda.
10. Devolución y supresión de datos
A la finalización, el Encargado devolverá todos los datos y suprimirá las copias existentes, salvo conservación bloqueada por obligación legal.
11. Información y auditorías
El Encargado pondrá a disposición información necesaria y permitirá auditorías razonables, sin revelar secretos comerciales no pertinentes. Se coordinarán con {ANTELACION_AUDITORIA} días y en horario laboral.
12. Responsabilidad
Cada parte responderá por los daños causados por tratamientos que infrinjan el RGPD en los términos de los arts. 82 y 83.
13. Contactos
Responsable: {CONTACTO_RESPONSABLE} – {"{EMAIL_RESPONSABLE}"} · Encargado: {CONTACTO_ENCARGADO} – {"{EMAIL_ENCARGADO}"}
Anexo I — Medidas técnicas y organizativas
- Gobernanza y control de acceso: MFA, mínimo privilegio, segregación de entornos.
- Cifrado: TLS 1.2+ en tránsito y cifrado en reposo; gestión segura de claves.
- Resiliencia: copias cifradas, pruebas de restauración, alta disponibilidad.
- SDLC seguro: revisiones de código, SAST/DAST, gestión de vulnerabilidades y parches.
- Registro y monitorización: logs inmutables, detección de intrusiones, alertas.
- Gestión de incidentes: plan de respuesta, ejercicios y lecciones aprendidas.
- Privacidad desde el diseño: minimización, seudonimización cuando aplique, retenciones definidas.
- Proveedores: evaluación y contratos con subencargados, revisión de informes de seguridad.
Anexo II — Subencargados autorizados (ejemplo)
| Proveedor | Servicio | Ubicación de datos | Garantía de transferencia |
|---|---|---|---|
| {CLOUD_PROVEEDOR} | Cloud Hosting | {REGION} | SCC 2021/914 |
| {EMAIL_PROVEEDOR} | Correo transaccional | {REGION} | SCC 2021/914 |
| {OBSERVABILIDAD} | Logs/monitorización | {REGION} | {GARANTIA} |