Acuerdo de Tratamiento de Datos

§ 1 Objeto y Duración

El Encargado pone a disposición la plataforma SaaS «Bookicorn» para gestionar reservas de cursos, datos de clientes y transacciones de pago. El tratamiento tiene lugar durante la vigencia del contrato de uso (T&C). Este acuerdo finaliza con el contrato principal.

§ 2 Naturaleza, Finalidad y Alcance

El Encargado trata las siguientes categorías de datos por cuenta del Responsable:

• Datos personales: Nombre, email, teléfono de los clientes finales del estudio
• Datos de reserva: cursos reservados, citas, cancelaciones, historial de reservas
• Datos de pago: IDs de transacción, estado del pago (sin datos completos de tarjeta)
• Datos de acceso: contraseñas cifradas, tokens de sesión
• Datos de comunicación: correos electrónicos, mensajes de chat
• Datos técnicos: direcciones IP, información del navegador

Personas afectadas: clientes finales del estudio, instructores, operadores del estudio.

§ 3 Obligaciones del Encargado

El Encargado se compromete a:

• Tratar los datos solo según instrucciones documentadas del Responsable
• Garantizar la confidencialidad de las personas implicadas
• Implementar medidas técnicas y organizativas adecuadas (MTO) según el Art. 32 RGPD
• Apoyar al Responsable en el ejercicio de los derechos de los interesados
• Notificar violaciones de datos conforme al Art. 33 RGPD
• Eliminar todos los datos tras la finalización del contrato (salvo obligaciones legales de conservación)

El tratamiento comprende en particular: almacenamiento y gestión de datos de clientes finales en la base de datos, procesamiento de transacciones de reserva y pago, envío de notificaciones por correo electrónico en nombre del estudio, provisión del sistema de chat para la comunicación, generación de facturas e informes de pago, soporte técnico y resolución de problemas.

El acceso a los datos personales del Responsable está restringido a aquellos empleados y encargados del Encargado del tratamiento que lo necesiten para el cumplimiento de sus obligaciones contractuales. Una lista nominal de las personas autorizadas se proporciona previa solicitud.

§ 4 Obligaciones del Responsable

El Responsable es el único responsable de la licitud del tratamiento de los datos de los clientes finales, del cumplimiento de la normativa de protección de datos frente a sus clientes finales, y de todos los contenidos, cursos, precios y prestaciones.

§ 5 Derecho de Instrucción del Responsable

El Encargado trata los datos personales exclusivamente según instrucciones documentadas del Responsable conforme al Art. 28 apdo. 3 lit. a RGPD. Las instrucciones verbales deben confirmarse por escrito sin demora (es suficiente la forma textual por email). Si el Encargado considera que una instrucción infringe la normativa aplicable, lo comunica inmediatamente al Responsable y tiene derecho a suspender la ejecución de dicha instrucción hasta su aclaración.

§ 6 Medidas Técnicas y Organizativas (MTO)

• Cifrado: TLS/HTTPS para todas las transferencias
• Control de acceso: Row Level Security (RLS), permisos basados en roles
• Almacenamiento de datos en la UE: Servidor de base de datos AWS eu-central-1 Fráncfort
• Copia de seguridad: Copias de seguridad automáticas diarias
• Protección de contraseñas: Contraseñas almacenadas exclusivamente como hash bcrypt
• Monitorización: Supervisión en tiempo real de eventos relevantes para la seguridad
• Seudonimización: Cuando sea técnicamente posible, los datos personales se tratan de forma seudonimizada
• Control de entrada: Registro de todos los accesos y modificaciones de datos mediante registros de auditoría
• Control del tratamiento: Tratamiento exclusivamente conforme a las instrucciones documentadas del Responsable
• Control de disponibilidad: Almacenamiento redundante de datos, mecanismos automáticos de conmutación por error
• Principio de separación: Separación lógica de los datos de los diferentes estudios (arquitectura multi-tenant con Row Level Security)

§ 7 Subencargados

El Responsable consiente el uso de los siguientes subencargados. Los cambios se comunicarán con al menos 30 días de antelación. Cuando los subencargados estén establecidos en países terceros fuera del EEE, la transferencia se realiza sobre la base de Cláusulas Contractuales Tipo (CCT) conforme al Art. 46 apdo. 2 lit. c RGPD o de una decisión de adecuación equivalente de la Comisión Europea.

§ 8 Derechos de los Interesados

El Encargado asiste al Responsable en la atención de solicitudes de acceso, rectificación, supresión, limitación, portabilidad y oposición conforme a los Art. 15–22 RGPD. Contacto: hey@bookicorn.net. Tras la finalización del contrato: eliminación de datos en 30 días; exportación posible bajo solicitud previa.

§ 9 Derecho de Auditoría del Responsable

El Responsable tiene derecho a verificar el cumplimiento del Encargado con el presente ATD y el RGPD. Los controles pueden realizarse mediante solicitudes de documentación, cuestionarios o – con previo aviso razonable – inspecciones in situ. El Encargado proporciona toda la información necesaria para demostrar el cumplimiento y facilita las verificaciones conforme al Art. 28 apdo. 3 lit. h RGPD.

§ 10 Notificación de Violaciones de Datos

En caso de violación de la seguridad de los datos personales, el Encargado notifica al Responsable sin dilación indebida y, cuando sea posible, en un plazo máximo de 72 horas desde que tenga constancia de ella. La notificación incluye: la naturaleza de la violación, las categorías y el número aproximado de personas y registros afectados, las consecuencias probables, y las medidas adoptadas o propuestas. Cuando no sea posible facilitar toda la información simultáneamente, podrá facilitarse de forma escalonada.

§ 11 Confidencialidad

El Encargado garantiza que todas las personas autorizadas para tratar datos personales están sujetas a una obligación de confidencialidad y solo tienen acceso a los datos necesarios para sus tareas respectivas (principio de necesidad de conocer). Esta obligación se extiende más allá de la finalización de la relación contractual.

§ 12 Responsabilidad

Cada parte es responsable frente a los interesados por los daños causados por un tratamiento no conforme con el RGPD de acuerdo con el Art. 82 RGPD. En sus relaciones internas, las partes responden en proporción a su cuota de responsabilidad en el daño. El Encargado solo responde cuando haya incumplido sus obligaciones explícitas en virtud del presente ATD o del RGPD. La responsabilidad del Encargado se limita al valor anual del contrato, en la medida en que lo permita la ley.

§ 13 Disposiciones Finales

• Forma: Las modificaciones del presente ATD requieren forma textual (el email es suficiente).
• Cláusula de separabilidad: Si alguna disposición del presente ATD fuera o deviniese nula, ello no afectará a la validez de las restantes disposiciones. Las partes sustituirán la disposición nula por una válida que se aproxime lo más posible al objetivo económico perseguido.
• Ley aplicable: Se aplica el derecho de la República Federal de Alemania. El fuero competente es, en la medida en que lo permita la ley, Bexbach, Alemania.
• Jerarquía: En caso de conflicto entre el presente ATD y el contrato principal (T&C), el presente ATD prevalecerá en materia de protección de datos.

§ 14 Contacto

Unicorn Factory Media GmbH
In der Kolling 146, 66450 Bexbach, Alemania
hey@bookicorn.net