Contrato de Encargado de Tratamiento

Conforme al artículo 28.3 del Reglamento (UE) 2016/679 General de Protección de Datos

Reunidos

Las partes identificadas en el APÉNDICE I del presente contrato, actuando en la representación que ostentan y reconociéndose mutuamente la capacidad legal necesaria para contratar y obligarse.

Exponen

Que el Reglamento General de Protección de Datos (Reglamento UE 2016/679 del Parlamento Europeo y el Consejo), en adelante RGPD-UE, establece que el tratamiento de datos personales por parte de un encargado se regirá por un contrato u otro acto jurídico. El contenido de dicho contrato se regula en el artículo 28.3 del RGPD-UE.

Estipulaciones

1. Objeto del Encargo

Mediante las presentes cláusulas se habilita a SOCIALO, ENCARGADO del tratamiento, para tratar por cuenta del RESPONSABLE, los datos de carácter personal necesarios para prestar el siguiente servicio:

Prestación de un servicio de plataforma digital destinada a facilitar y dinamizar la vida cultural y comunitaria, promoviendo la participación de los miembros y mejorando la comunicación interna en colegios mayores, residencias universitarias y otras comunidades o instituciones educativas.

El tratamiento de datos personales incluirá los siguientes aspectos: Recogida, Registro, Estructuración, Modificación, Conservación, Extracción, Consulta, Comunicación por transmisión, Difusión, Interconexión, Cotejo, Limitación, Supresión, Destrucción y Comunicación.

2. Identificación de la Información Afectada

Para la ejecución de las prestaciones derivadas del cumplimiento del objeto de este encargo, el RESPONSABLE autoriza al ENCARGADO a tratar las siguientes categorías de datos personales, cuyo detalle concreto será determinado por el RESPONSABLE mediante la configuración de los formularios de registro y funcionalidades de la plataforma:

2.1. Categorías de Datos Personales

El ENCARGADO está autorizado a tratar exclusivamente las siguientes categorías de datos personales, en la medida en que el RESPONSABLE los habilite y facilite a través de la plataforma:

a) Datos de identificación: Nombre, apellidos, documento de identidad (DNI, NIE, pasaporte u otro documento identificativo), fotografía.

b) Datos de contacto: Correo electrónico (personal e institucional), número de teléfono móvil y fijo, dirección postal, perfiles de redes sociales profesionales.

c) Datos de contexto organizacional: Información académica, profesional o de contexto relevante para la comunidad (por ejemplo: carrera universitaria, institución, departamento, área profesional, especialización, cargo, función o rol dentro de la organización).

d) Datos de ubicación o asignación: Ubicación, espacio asignado o información de pertenencia dentro de la organización (por ejemplo: número de habitación, edificio, oficina, área, sección, grupo, equipo o unidad), fechas de incorporación y finalización prevista cuando aplique.

e) Datos de participación y actividad: Actividades en las que participa, eventos a los que asiste, preferencias de actividades, intereses personales declarados, grupos o comisiones a los que pertenece, comentarios y valoraciones.

f) Datos de perfil de usuario: Biografía personal, intereses, aficiones, idiomas, habilidades, preferencias de notificación y comunicación.

g) Datos de uso de la plataforma: Registro de accesos, fecha y hora de conexión, páginas visitadas dentro de la plataforma, interacciones con contenidos.

h) Otros datos identificativos: Cualquier otro dato de carácter identificativo no comprendido en las categorías anteriores que el RESPONSABLE considere necesario facilitar al ENCARGADO para la correcta prestación del servicio objeto de este contrato, siempre que no constituyan categorías especiales de datos conforme al artículo 9 del RGPD.

2.2. Categorías de Interesados

a) Miembros de la comunidad: Personas que forman parte de la organización, comunidad o institución y utilizan la plataforma (por ejemplo: residentes, colegiales, estudiantes, miembros, socios, asociados, participantes o usuarios habituales).

b) Personal de la organización: Personal administrativo, directivo, de gestión, coordinación y otro personal autorizado por el RESPONSABLE que requiera acceso a la plataforma para el desempeño de sus funciones.

c) Otros usuarios autorizados: Cualquier otra persona física que el RESPONSABLE autorice expresamente para acceder a la plataforma (por ejemplo: antiguos miembros, colaboradores externos, proveedores de servicios o actividades, invitados, visitantes).

2.3. Finalidad del Tratamiento

Los datos personales serán tratados por el ENCARGADO exclusivamente para las siguientes finalidades relacionadas con la prestación del servicio:

• Gestión de usuarios y control de acceso a la plataforma.
• Facilitación de la comunicación interna entre miembros de la comunidad y con la administración de la organización.
• Organización y promoción de actividades, eventos y servicios de la organización.
• Mejora de la participación y el compromiso de los miembros de la comunidad.
• Envío de notificaciones y comunicaciones relacionadas con el servicio.
• Mantenimiento, soporte técnico y mejora de la plataforma.
• Elaboración de estadísticas agregadas y anonimizadas sobre el uso de la plataforma.

2.4. Exclusión Expresa de Categorías Especiales de Datos

El ENCARGADO NO tratará en ningún caso categorías especiales de datos personales conforme al artículo 9 del RGPD, que incluyen:

• Datos que revelen el origen étnico o racial.
• Opiniones políticas.
• Convicciones religiosas o filosóficas.
• Afiliación sindical.
• Datos genéticos.
• Datos biométricos dirigidos a identificar de manera unívoca a una persona física.
• Datos relativos a la salud física o mental.
• Datos relativos a la vida sexual u orientación sexual de una persona física.

Tampoco tratará datos relativos a condenas e infracciones penales conforme al artículo 10 del RGPD.

El RESPONSABLE garantiza que no habilitará ni facilitará al ENCARGADO ningún dato comprendido en estas categorías especiales. En caso de que el ENCARGADO detecte de forma accidental el tratamiento de estas categorías de datos, deberá notificarlo inmediatamente al RESPONSABLE para que este adopte las medidas correctoras oportunas, incluyendo la supresión inmediata de dichos datos.

2.5. Determinación de los Datos Concretos por el RESPONSABLE

El RESPONSABLE es el único facultado para determinar qué datos concretos dentro de las categorías descritas anteriormente son necesarios y proporcionales para la prestación del servicio. Esta determinación se realizará mediante:

• La configuración de los campos obligatorios y opcionales en los formularios de registro de la plataforma.
• La habilitación o deshabilitación de funcionalidades específicas que requieran el tratamiento de determinadas categorías de datos.
• Las instrucciones específicas que comunique al ENCARGADO en cada momento.

El ENCARGADO se compromete a no tratar ningún dato personal al que tenga acceso con una finalidad distinta a la expresamente autorizada por el RESPONSABLE ni a realizar operaciones de tratamiento que excedan las instrucciones recibidas.

3. Duración

El presente acuerdo entrará en vigor en la fecha de su firma y permanecerá vigente mientras dure la relación contractual entre las partes derivada del contrato de suscripción de servicios de Socialo. La resolución, por cualquier causa, del contrato principal conllevará automáticamente la finalización del presente acuerdo de encargo de tratamiento, sin perjuicio de las obligaciones que deban subsistir conforme a lo establecido en la Sección 4 (Devolución de los Datos).

4. Devolución de los Datos

Una vez finalice el presente acuerdo:

• El RESPONSABLE dispondrá de un plazo de 30 días naturales desde la fecha de finalización de la relación contractual para descargar desde la plataforma toda la información disponible en su cuenta. El ENCARGADO facilitará los medios técnicos necesarios para dicha extracción en formato estructurado, de uso común y lectura mecánica (por ejemplo: JSON, CSV, XML), conforme al artículo 28.3.g del RGPD.

  Nota: El plazo de 30 días naturales se considera razonable para la mayoría de los casos. En situaciones excepcionales que requieran un plazo superior debido al volumen de datos, el RESPONSABLE deberá solicitarlo por escrito antes de la finalización del contrato, y las partes acordarán de buena fe una extensión razonable.

• Transcurrido dicho plazo, el ENCARGADO procederá a la supresión o devolución de todos los datos personales al RESPONSABLE, según este último indique, y suprimirá las copias existentes, salvo que el Derecho de la Unión o de los Estados miembros exija su conservación.

• El ENCARGADO podrá conservar los datos personales debidamente bloqueados durante un período máximo de 5 años desde la finalización del acuerdo, exclusivamente para atender posibles responsabilidades legales derivadas de la ejecución del contrato (fiscales, civiles, mercantiles o administrativas), en cumplimiento del artículo 32 de la LOPDGDD y el artículo 1.964.2 del Código Civil español.

• Durante el período de bloqueo, los datos no podrán ser accedidos ni tratados por el ENCARGADO, salvo para su puesta a disposición ante Juzgados y Tribunales, el Ministerio Fiscal, las Administraciones Públicas competentes, el Defensor del Pueblo, el Tribunal de Cuentas o autoridades de protección de datos que lo requieran para el ejercicio de sus funciones.

• Transcurrido el período de bloqueo sin que haya sido necesaria su conservación, los datos serán definitivamente eliminados mediante procedimientos seguros que impidan su recuperación.

5. Obligaciones del ENCARGADO

5.1. Finalidad

El ENCARGADO utilizará los datos personales objeto de tratamiento sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios.

5.2. Instrucciones del RESPONSABLE

El ENCARGADO tratará los datos de acuerdo con las instrucciones del RESPONSABLE.

Si el ENCARGADO considera que alguna de las instrucciones infringe el RGPD-UE o cualquier otra disposición en materia de protección de datos de la Unión o Europea de los Estados miembros, el ENCARGADO informará inmediatamente al RESPONSABLE.

5.3. Registro de Actividades de Tratamiento

El ENCARGADO llevará un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del RESPONSABLE, que contendrá:

• El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado, y, en su caso, del representante del responsable o del encargado y del delegado de protección de datos.

• Las categorías de tratamientos efectuados por cuenta de cada responsable.

• Transferencias internacionales: En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional. En el caso de las transferencias indicadas en el artículo 49 apartado 1, párrafo segundo del RGPD-UE, la documentación de garantías adecuadas.

• Descripción general de las medidas técnicas y organizativas de seguridad relativas a:

  a) La seudonimización y el cifrado de datos personales.

  b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.

  c) La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.

  d) El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

5.4. No Comunicación

El ENCARGADO no comunicará los datos a terceras personas, salvo que cuente con la autorización expresa del RESPONSABLE, en los supuestos legalmente admisibles.

El ENCARGADO puede comunicar los datos a otros encargados del tratamiento del mismo RESPONSABLE, de acuerdo con las instrucciones del RESPONSABLE. En este caso, el RESPONSABLE identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación.

5.5. Transferencia Internacional

El ENCARGADO podrá transferir datos personales a terceros países u organizaciones internacionales cuando sea necesario para la prestación del servicio, siempre que se cumplan las garantías previstas en el Capítulo V del RGPD (decisiones de adecuación, cláusulas contractuales tipo u otros mecanismos legalmente reconocidos).

El ENCARGADO mantendrá actualizada una lista de todos los subencargados, y entre ellos los que realizan transferencias internacionales, especificando los países de destino y los mecanismos de protección aplicados. Dicha lista se anexa como APÉNDICE II y se actualizará cada vez que se incorpore, sustituya o elimine un subencargado de tratamiento.

Si fuera legalmente requerido transferir datos por autoridades públicas de terceros países, el ENCARGADO informará al RESPONSABLE con carácter previo cuando sea legalmente posible hacerlo, a fin de que el RESPONSABLE pueda ejercer las acciones que considere oportunas.

5.6. Subcontratación

Autorización general con notificación previa: El RESPONSABLE autoriza de forma general al ENCARGADO para la subcontratación de servicios de tratamiento de datos personales, siempre que se cumplan las condiciones establecidas en este apartado.

Categorías de servicios subcontratables:

El ENCARGADO podrá contratar subencargados dentro de las siguientes categorías de servicios:

• Proveedores de hosting e infraestructura cloud
• Servicios de comunicación y mensajería (email, SMS, notificaciones)
• Procesamiento de pagos
• Analítica, monitorización y gestión de errores
• Bases de datos y almacenamiento gestionado
• CDN y almacenamiento de archivos
• Servicios de autenticación y seguridad
• Otros servicios técnicos auxiliares necesarios para la prestación del servicio

El ENCARGADO podrá contratar, sustituir o utilizar proveedores dentro de las categorías anteriores sin necesidad de notificación previa ni autorización adicional del RESPONSABLE. Solo se requerirá notificación previa (con 10 días hábiles de antelación para ejercer derecho de oposición) en caso de que el ENCARGADO desee contratar subencargados que NO estén incluidos en las categorías mencionadas anteriormente.

El ENCARGADO se compromete a que todos los subencargados contratados cumplan con obligaciones equivalentes en materia de protección de datos conforme al RGPD. Una lista actualizada de los subencargados activos se anexa como APÉNDICE II al presente contrato.

5.7. Deber de Secreto

El ENCARGADO y todo su personal mantendrán el deber de secreto respecto a los datos de carácter personal a los que hayan tenido acceso en virtud del presente encargo, incluso después de que finalice el mismo.

5.8. Compromisos de Confidencialidad por Escrito

El ENCARGADO garantizará que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente.

El ENCARGADO mantendrá a disposición del RESPONSABLE la documentación acreditativa del cumplimiento de esta obligación.

5.9. Formación de las Personas Autorizadas

El ENCARGADO garantizará la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.

5.10. Asistencia en Caso de Ejercicio de Derechos

El ENCARGADO asistirá al RESPONSABLE en la respuesta al ejercicio de los derechos de:

• Acceso, rectificación, supresión y oposición
• Limitación del tratamiento
• Portabilidad de datos
• A no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles)

Cuando las personas afectadas ejerzan los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas, ante el ENCARGADO, éste debe comunicarlo por correo electrónico al RESPONSABLE. La comunicación debe hacerse de forma inmediata y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud.

5.11. Derecho de Información

Corresponde al RESPONSABLE facilitar el derecho de información en el momento de la recogida de los datos.

5.12. Notificación de Violaciones de la Seguridad

El ENCARGADO notificará al RESPONSABLE, sin dilación indebida, y en cualquier caso antes del plazo máximo de 48 horas desde el conocimiento efectivo de las mismas, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante. Se facilitará, como mínimo, la información siguiente:

a) Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.

b) El nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto del ENCARGADO en el que pueda obtenerse más información.

c) Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.

d) Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.

El ENCARGADO realizará esta comunicación a través de correo marcado como URGENTE a la dirección de correo electrónico previamente acordada.

Comunicación a las Autoridades de Protección de Datos: Corresponde al RESPONSABLE comunicar las violaciones de la seguridad de los datos a la Autoridad de Protección de Datos.

Comunicación a los interesados: Corresponderá al RESPONSABLE comunicar las violaciones de la seguridad de los datos a los interesados, cuando sea necesario. El ENCARGADO prestará el apoyo necesario para que el RESPONSABLE pueda realizar dicha comunicación en el menor tiempo posible.

5.13. Apoyo en Realización de Evaluaciones de Impacto para la Protección de Datos

El ENCARGADO dará apoyo al RESPONSABLE en la realización de las evaluaciones de impacto relativas a la protección de datos, cuando proceda.

5.14. Apoyo en la Realización de Consultas Previas a las Autoridades de Control

El ENCARGADO dará apoyo al RESPONSABLE en la realización de las consultas previas a la autoridad de control, cuando proceda.

5.15. Cumplimiento de las Obligaciones

El ENCARGADO pondrá a disposición del RESPONSABLE la información razonablemente necesaria para demostrar el cumplimiento de sus obligaciones de protección de datos. Esta información podrá incluir certificaciones de seguridad, documentación de políticas y procedimientos, o informes de auditorías existentes.

Presentación de informes de auditorías existentes:

El RESPONSABLE acepta que el ENCARGADO pueda satisfacer los requisitos de auditoría mediante la presentación de informes de auditorías recientes (con una antigüedad inferior a 12 meses) realizadas por otros clientes o auditores independientes, siempre que cubran las áreas relevantes de tratamiento de datos. En caso de que el RESPONSABLE considere que dichos informes no son suficientes para sus necesidades específicas, podrá solicitar una auditoría adicional justificando la necesidad.

El RESPONSABLE podrá solicitar la realización de auditorías con una frecuencia máxima de una vez al año, salvo que exista causa justificada (como una violación de seguridad, cambios significativos en el tratamiento de datos, o requerimiento de autoridad competente). Las auditorías deberán ser notificadas con un mínimo de 30 días naturales de antelación, realizarse exclusivamente en horario laboral del ENCARGADO (lunes a viernes, de 9:00 a 18:00h), por vía telemática salvo que sea estrictamente necesario el acceso físico, y no podrán interferir con las operaciones normales del negocio.

El auditor deberá firmar previamente un acuerdo de confidencialidad con el ENCARGADO, respetar toda información confidencial no relacionada con la auditoría, y estar sujeto a la supervisión de personal del ENCARGADO durante todo el proceso. Los costes de la auditoría serán asumidos por el RESPONSABLE, salvo que se detecten incumplimientos significativos por parte del ENCARGADO.

5.16. Medidas de Seguridad

El ENCARGADO aplicará como mínimo las medidas de seguridad que permitan:

a) Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.

b) Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.

c) Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento.

d) Seudonimizar y cifrar los datos personales, en su caso.

5.17. Delegado de Protección de Datos

El ENCARGADO comunicará la identidad y los datos de contacto del delegado de protección de datos al RESPONSABLE, siempre y cuando su nombramiento resulte obligatorio o el ENCARGADO haya procedido a nombrarlo de forma voluntaria.

6. Obligaciones del RESPONSABLE

Corresponde al RESPONSABLE del tratamiento:

a) Entregar al ENCARGADO los datos necesarios para la prestación de servicios a los que se refiere este acuerdo.

b) Realizar cuando así lo exija la normativa una evaluación del impacto en la protección de datos personales de las operaciones de tratamiento a realizar por el ENCARGADO.

c) Realizar las consultas previas que corresponda ante las Autoridades de Protección de Datos.

d) Velar, de forma previa y durante todo el tratamiento, por el cumplimiento del RGPD-UE por parte del ENCARGADO.

e) Supervisar el tratamiento de los datos, incluida la realización de inspecciones y auditorías.

7. Incumplimiento

El incumplimiento por parte del ENCARGADO de las obligaciones referidas en el presente acuerdo comportará que sea considerado también responsable del tratamiento, respondiendo ante las Autoridades de Protección de Datos, o ante cualquier tercera persona de las infracciones que se puedan haber cometido derivadas de la ejecución del presente acuerdo y/o del cumplimiento de la legislación vigente en materia de protección de datos de carácter personal.

8. Responsabilidad

Tanto el RESPONSABLE como el ENCARGADO responderán de la totalidad de los daños y perjuicios que se irroguen a la otra parte en todos los supuestos de conducta negligente o culposa en el cumplimiento de las obligaciones que respectivamente les incumben, a tenor de lo pactado en el presente acuerdo.

Ninguna de las partes asumirá responsabilidad alguna por la no ejecución o el retraso en la ejecución de cualquiera de las obligaciones en virtud del presente acuerdo si tal falta de ejecución o retraso resultara o fuera consecuencia de un supuesto de fuerza mayor o caso fortuito admitido como tal por la Jurisprudencia, siempre que dicho evento sea: (i) imprevisible, (ii) inevitable e insuperable, y (iii) ajeno a la parte que lo invoca.

Se considerarán causas de fuerza mayor: desastres naturales de magnitud extraordinaria (terremotos, inundaciones catastróficas), guerra, actos terroristas, o medidas excepcionales de confinamiento total adoptadas por las autoridades gubernamentales que impidan materialmente la ejecución del servicio.

No se considerarán causa de fuerza mayor: fallos técnicos ordinarios, cortes de suministro eléctrico de duración inferior a 24 horas continuadas, huelgas internas del ENCARGADO, ni cualquier circunstancia que hubiera podido evitarse mediante la adopción de medidas técnicas y organizativas de seguridad razonables, incluida la implementación de sistemas de redundancia, copias de seguridad y planes de continuidad del negocio.

En particular, las obligaciones de seguridad, confidencialidad y notificación de violaciones de seguridad de datos del ENCARGADO no quedarán eximidas por causas de fuerza mayor, salvo que resulte materialmente imposible su cumplimiento por destrucción física total de las instalaciones y copias de seguridad.

9. Confidencialidad

El ENCARGADO garantiza que mantendrá la más estricta confidencialidad y expreso cumplimiento del deber de secreto profesional en relación con los asuntos del RESPONSABLE durante la vigencia de la prestación de servicios y después de su terminación.

El ENCARGADO durante y con posterioridad a la vigencia de este acuerdo tratará toda información propiedad del RESPONSABLE de forma estrictamente confidencial, tomando las medidas necesarias para que su contenido no se divulgue a terceros, ni estos puedan tener acceso a los mismos sin autorización expresa del RESPONSABLE.

A los efectos del presente acuerdo, tendrá la consideración de información confidencial toda aquella susceptible de ser revelada por palabra, por escrito o por cualquier otro medio o soporte, tangible o intangible, actualmente conocido o que se invente en un futuro, ya sea intercambiada como consecuencia de esta relación contractual o que una parte señale o designe como confidencial a la otra.

10. Notificaciones

Toda notificación necesaria a los efectos del presente acuerdo se hará por escrito a la atención y dirección de quien consta en el encabezamiento del presente acuerdo.

11. Generalidades

Este contrato contiene el total acuerdo entre las partes sobre el mismo objeto y sustituye y reemplaza a cualquier acuerdo anterior, verbal o escrito, al que hubieran llegado las partes. Asimismo, en caso de contradicción entre las condiciones estipuladas en el presente acuerdo y cualquier otro firmado con anterioridad entre ambas partes, prevalecerá lo estipulado en el presente acuerdo.

Nada de lo estipulado en el presente acuerdo supone identidad de partes, o que una sea considerada el agente de la otra. Ninguna parte responderá de cualquier declaración, acto u omisión de la otra parte que fuese contrario a lo anterior.

Cualquier modificación del contenido de este acuerdo, sólo será efectiva si se realiza por escrito y con el consentimiento de ambas partes.

La no exigencia por cualquiera de las partes de cualquiera de sus derechos de conformidad con el presente acuerdo no se considerará que constituya una renuncia de dichos derechos en el futuro.

Los documentos contractuales son, en orden de prioridad, el presente contrato y sus anexos. En caso de contradicción el contrato prevalecerá sobre los anexos.

12. Legislación y Jurisdicción

El presente acuerdo se regirá e interpretará conforme a la legislación española en todo aquello que no esté expresamente regulado, sometiéndose las partes, para las controversias que pudieran surgir en relación al mismo, a la competencia de los Juzgados y Tribunales de Madrid, con renuncia a cualquier otro fuero que les pudiera corresponder.

APÉNDICE I — Identificación de las Partes y Descripción del Tratamiento

Responsable(s) del Tratamiento

• Nombre: ___________________________
• Dirección: ___________________________
• Nombre de la persona de contacto: ___________________________
• Teléfono: ___________________________
• Email: ___________________________

Encargado(s) del Tratamiento

• Nombre: Socialo, S.L.
• NIF: B26602979
• Dirección: Paseo de la Castellana, 194, Bajo B, 28046 Madrid, España
• Nombre de la persona de contacto: José Javier Román Camacho
• Cargo: CEO
• Email: dpo@socialo.live

Descripción del tratamiento

• Creación y gestión de usuarios en la plataforma.
• Gestión y almacenamiento de datos personales necesarios para proporcionar los servicios de comunicación y participación comunitaria.
• Envío de notificaciones y comunicaciones relacionadas con el uso de la plataforma.
• Organización y promoción de actividades y eventos.
• Servicios de calidad y mejora de la plataforma.
• Asistencia técnica.

Categorías de interesados cuyos datos personales se tratan

• Miembros de la comunidad u organización
• Personal administrativo y directivo
• Otros usuarios autorizados

Comunicación

Email: dpo@socialo.live

SOCIALO ha designado un Delegado de Protección de Datos en su organización. Si quieres hacer una consulta respecto al tratamiento de tus datos personales, puedes contactarnos a través del email indicado anteriormente.

Naturaleza del tratamiento

Recopilación, almacenamiento, recuperación, consulta, utilización, restricción, borrado o destrucción.

Finalidad(es) para la que se tratan los datos personales por cuenta del Responsable del Tratamiento

Suministro de los servicios acordados en el presente contrato. Siendo pues la base legal la relación contractual con el Responsable.

Duración del tratamiento

La duración de este contrato se establece en la Sección 3 del presente documento.

APÉNDICE II — Subencargados de Tratamiento

Última actualización: Febrero 2026

Los siguientes subencargados de tratamiento están autorizados para tratar datos personales por cuenta de Socialo, S.L.:

Actualización de esta lista

Esta lista se actualiza cada vez que se incorpora, sustituye o elimina un subencargado de tratamiento. La fecha de última actualización se indica al inicio del documento.

Contacto

Para más información sobre los subencargados de tratamiento: dpo@socialo.live