ACUERDO DE ENCARGADO DEL TRATAMIENTO DE DATOS CON SITEGROUND


Este Acuerdo de Encargado del Tratamiento  (en adelante “AET”) es la base de la relación entre SiteGround Spain S.L con domicilio en España, Calle de Prim 19, 28004 Madrid, inscrita en el Registro Mercantil de Madrid, al tomo 33085, folio 1, Hoja número M-595464, inscripción 1ª y con CIF B87194171 ( en adelante “SiteGround”, “nosotros”) y el Cliente (“Cliente”, “tú”), denominados conjuntamente como “las Partes”. Este acuerdo “AET” forma parte integrante de los Términos de Servicio, la Política de Privacidad y otras políticas relevantes disponibles aquí. Al aceptar estos términos, el Cliente suscribe íntegramente este “AET” en su propio nombre y derecho, cuando se requiera conforme al Reglamento General de Protección de Dato y demás normativa de Protección de Datos aplicable y   para los supuestos en que SiteGround trate  los Datos de Clientes conforme a las instrucciones recibidas del Responsable (según se define en la Sección 1).


En el curso de la prestación de los Servicios al Cliente, SiteGround puede tratar  Datos del Cliente en nombre del Cliente. Las Partes acuerdan cumplir con las siguientes disposiciones en relación  con los Datos del Cliente, cada uno actuando de manera razonable y de buena fe.

1. Deficiones. 

A menos que se defina de otra manera en este “AET”, estos términos tienen los significados que se detallan a continuación:

“Acuerdo” significa los Términos de Servicio y otras políticas relevantes incluidas en nuestro sitio web, junto con tu Pedido de compra de Servicios y la Confirmación del Pedido enviada por SiteGround. 

“Pedido” significa cualquier pedido del Cliente para la compra de los respectivos servicios. 

“Sitio” significa el sitio web de SiteGround, www.siteground.es y todos los servicios que ofrecemos a través de nuestro sitio web. 

“Servicios” significa cualquier servicio de alojamiento web que ofrecemos y que el Cliente ha contratado y que pueda llevar aparejado el tratamiento de Datos Personales por parte de SiteGround.

“Socio” significa cualquier entidad que directa o indirectamente controla, está controlada o bajo control común con  SiteGround. "Control", a los efectos de esta definición, significa propiedad o control directo o indirecto de más del 50% de las participaciones con derecho a voto por SiteGround. 

“Productos Adicionales” significa cualquier característica, productos, software, programas, complementos, , plugins, scripts, herramientas o cualquier software de terceros o contenido que no sea parte de los Servicios pero que pueda ser accesible mediante el Área de Usuario de SiteGround o el Panel de Control, instalado por el Cliente o  de otra manera para el uso de los Servicios.

“RGPD” significa el Reglamento General de Protección de Datos (EU) 2016/679 del Parlamento Europeo y del Consejo del 27 de abril de 2016 sobre la protección de las personas físicas en relación con el tratamiento de datos de clientes y la libre circulación de dichos datos, y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos).

“Responsable” significa la persona física o jurídica que, sola o conjuntamente con otros, determina los fines y medios del tratamiento de Datos del Cliente;

“Datos del Cliente” significa cualquier "Datos Personales" que sean proporcionados a SiteGround por, o en nombre del Cliente a través del  uso de los Servicios y que se almacenan en la cuenta del Cliente  (para evitar dudas, los Datos Personales del pedido del Cliente para la compra del respectivo servicio no se tratarán como Datos del Cliente). Los Datos del Cliente pueden incluir, entre otros, datos del cliente dentro de la definición establecida en el RGPD.

“Datos Personales” tiene el significado que se da en el Artículo 4 del RGPD.

“Regulaciones y Leyes de Protección de Datos” significa todas las leyes y reglamentos, incluyendo leyes y reglamentos de la Unión Europea, el Espacio Económico Europeo y sus Estados miembros, Suiza y el Reino Unido, aplicables al Tratamiento de los Datos del Cliente en virtud de este “AET” 

“Titular de los Datos” significa la persona identificada o identificable con la que se relacionan los Datos del Cliente. 

“Fecha de entrada en vigor” significa, según corresponda:

  1. 25 de mayo de 2018, si el cliente ha realizado Pedidos y ha aceptado los Acuerdos o si las Partes han acordado de otra forma la aplicación de  este “AET” con respecto al Acuerdo  antes o en dicha fecha; o

  2. la fecha en la que el Cliente hizo clic para aceptar el Acuerdo o cuando las Partes acordaron la aplicación de este “AET” al Acuerdo, si tal fecha es posterior al 25 de mayo de 2018.

“Tratamiento” tiene el significado que se da en el Artículo 4 del RGPD.

“Encargado” significa la entidad que trata los Datos del Cliente en nombre del Responsable. 

“SiteGround” significa la entidad SiteGround que es parte de este “AET” , según se especifica en esta sección,. SiteGround Spain S.L con domicilio en España, Calle de Prim 19, 28004 Madrid, inscrita en el Registro Mercantil de Madrid, al tomo 33085, folio 1, Hoja número M-595464, inscripción 1ª y con CIF B87194171.

“Grupo de empresas de SiteGround” significa SiteGround y las empresas que participan en el  tratamiento de los Datos del Cliente:

“Cláusulas contractuales estándar” o “CCE” se refiere a las cláusulas estándar de protección de datos para la transferencia de Datos del Cliente, según se describe en el artículo 46, p.2, c) del RGPD, Ánexo 1 de este “AET”.

“Subencargados” significa cualquier empresa que trata datos contratada por SiteGround o un miembro del Grupo SiteGround.

“Autoridad de control” significa una identidad pública independiente, la cual está establecida en España, dentro del territorio del Estado miembro de la UE de conformidad con el RGPD.

“Término” significa el período comprendido entre la Fecha de entrada en vigor hasta la finalización de la prestación de servicios por parte de SiteGround según el Acuerdo aplicable, incluido, si corresponde, cualquier período durante el cual los Servicios se hayan suspendido y cualquier período posterior a la terminación (concretamente 60 días naturales) durante el cual SiteGround puede continuar proporcionando Servicios para propósitos de transición.

“Pérdidas de Protección de Datos” significa todas las responsabilidades, incluidas: 

  1. Costes (incluidos los gastos legales);

  2. Reclamaciones, demandas, acciones, acuerdos, cargos, procedimientos, gastos, pérdidas y daños (ya sean materiales o no); 

  3. en la medida permitido por la Ley Aplicable:

    1. multas administrativas, sanciones, responsabilidades u otras indemnizaciones impuestas por una Autoridad de Control de Protección de Datos o cualquier otra Autoridad Reguladora;

    2. indemnización a un Titular de Datos impuesta por una Autoridad de Control de Protección de Datos;

    3. los  gastos razonables del cumplimiento de las investigaciones por parte de una Autoridad de Control de Protección de Datos o cualquier otra Autoridad Reguladora pertinente; y

  4. los costos de cargar los Datos del Cliente y el reemplazo de los materiales y equipos del Cliente, siempre que se pierdan o dañen, y cualquier pérdida o alteración de los Datos del Cliente, incluido el costo de rectificación o restauración de los Datos del Cliente;

“Dirección de correo electrónico de notificación” significa la dirección de correo electrónico especificada por el Cliente en la sección Mis Datos en el Área de Usuario para recibir ciertas notificaciones de SiteGround.

2. Tratamiento de Datos. 

2.1. Alcance

Este “AET” es aplicable solo para los supuestos en que  SiteGround trate Datos Personales en nombre y por cuenta del Cliente en el curso de la prestación de los Servicios y dichos Datos Personales estén sujetos a las Leyes de Protección de Datos de la Unión Europea, el Espacio Económico Europeo y/o sus miembros estados, Suiza y/o el Reino Unido (a los que se hace referencia en este documento como "Datos del Cliente").

Si el Cliente que acepta este “AET” ya es Cliente, este “AET” forma parte del Acuerdo, la Política de Privacidad y otras políticas y documentos relevantes incluidos en nuestro sitio web. En tal caso, la entidad SiteGround será considerada como parte de este “AET”.

Este “AET”  es aplicable sólo para la cuenta del Cliente para la que fue acordado. Si el Cliente posee varias cuentas, se contratará un “AET” para cada cuenta individual y  por separado.

Este “AET” será válido y jurídicamente vinculante sólo para la persona física o jurídica  establecida en la cuenta en el Área de Usuario y sólo para los Servicios adquiridos directamente de SiteGround dentro de la respectiva cuenta.

Si la entidad del Cliente que acepta este “AET” no es parte de un Pedido ni del Acuerdo, este “AET” no es válido y no es jurídicamente vinculante. Dicha entidad debe solicitar que la entidad del Cliente que sea parte del Acuerdo ejecute este “AET”.

Este “AET”, incluidos sus anexos, excepto las cláusulas de la Política de Privacidad, entrará en vigor  y reemplazará los términos previamente aplicables a la privacidad, el tratamiento de datos y/o la seguridad de los datos.

2.2. Cumplimiento de la Normativa

Si las Leyes de Protección de Datos de la Unión Europea se aplican a este “AET”, cada una de las partes cumplirá con las obligaciones que le correspondan en virtud de la Legislación Europea de Protección de Datos con respecto al tratamiento de los Datos del Cliente.

2.3. Objeto y detalles del tratamiento o de datos.

2.3.1. Objeto.

SiteGround tratará  los Datos del Cliente según sea necesario para la prestación de los Servicios, soporte técnico relacionado y otras consultas, de conformidad con el Acuerdo y conforme a las instrucciones del   Cliente especificadas en el uso de los Servicios.

2.3.2. Duración del tratamiento. 

Sujeto a la Sección 11, la duración del tratamiento de datos será el plazo designado en el Pedido y el Acuerdo aplicable.

2.3.3. Naturaleza y objeto del tratamiento  

SiteGround tratará los Datos del Cliente con el fin de prestarles los Servicios y el soporte técnico relacionado al Cliente de conformidad con el Acuerdo, este “AET”  y otras políticas relevantes.

2.3.4. Categorías de Sujetos de Datos 

El Cliente puede enviar Datos del Cliente en el curso de su uso de los Servicios, cuando el Cliente lo determine y lo controle conforme su exclusivo criterio, y que pueden incluir, entre otros, Datos Personales relacionados con las siguientes categorías de titulares de datos:

2.3.5. Categorías de Datos Personales.

El Cliente puede enviar Datos del Cliente en el curso de su uso de los Servicios, cuando el Cliente determine y lo controle conforme a su exclusivo criterio, y que pueden incluir, entre otros, Datos Personales relacionados con las siguientes categorías de Datos Personales:

2.4. Obligaciones  de las Partes. 

Las partes reconocen y aceptan que:

  1. SiteGround es un encargado del tratamiento de los Datos del Cliente bajo la Legislación Europea de Protección de Datos;

  1. El Cliente es un responsable o encargado del tratamiento, según corresponda, de los Datos del Cliente bajo la Legislación Europea de Protección de Datos; y ha obtenido todos los consentimientos y derechos necesarios conforme a las Leyes de Protección de Datos para que SiteGround  trate  los Datos del Cliente y preste los Servicios de conformidad con el Acuerdo y este “AET”. 

2.5. Instrucciones para el tratamiento de datos.

SiteGround tratará  los Datos del Cliente de acuerdo con este “AET” que son las instrucciones completas y definitivas del Cliente para SiteGround en relación con el tratamiento de los Datos del Cliente. Cualquier tratamiento no incluido en este “AET” (si fuera el caso) requerirá un acuerdo previo por escrito entre SiteGround y el Cliente con todas instrucciones adicionales para el tratamiento. Al aceptar este “AET”, el Cliente instruye a SiteGround para que trate los Datos del Cliente sólo de acuerdo con la ley aplicable:

  1. para proporcionar los Servicios y el soporte técnico relacionado y de otro tipo;

  2. cuando inicie  Cliente y los usuarios finales el uso de los Servicios;

  3. y como se especifica en el Acuerdo, los Términos de Servicio, la Política de Privacidad y otras políticas relevantes que rigen la prestación de los Servicios y el soporte técnico relacionado. 

2.6. Acceso o uso. 

SiteGround no podrá acceder ni utilizar los Datos del Cliente, excepto cuando sea necesario para proporcionar los Servicios y el soporte técnico relacionado al Cliente de conformidad con el “AET”, el Acuerdo y otras políticas relevantes.

2.6.1. Tratamiento del Cliente. 

El Cliente deberá, en su uso de los Servicios, tratar sus Datos de conformidad con los requisitos de las Leyes y Reglamentos de Protección de Datos aplicables. El Cliente será el único responsable de la precisión, calidad y legalidad de sus Datos y los medios por los cuales el Cliente adquirió estos Datos. 

2.6.2. Tratamiento por parte de SiteGround de los Datos de Clientes.

SiteGround sólo tratará los datos del cliente en su nombre y derecho, y de acuerdo con las instrucciones expresas recibidas del Cliente para las  siguientes finalidades::

  1. Tratamiento  para proporcionar los Servicios y el soporte técnico relacionado de acuerdo con este  “ATD” y los Pedidos aplicables;

  2. Tratamiento iniciado por los Usuarios en su uso de los Servicios;

  3. Tratamiento necesario para mantener y mejorar los Servicios.

2.6.3. Cumplimiento de SiteGround de las instrucciones. 

A partir de la Fecha de entrada en vigor , SiteGround cumplirá con las instrucciones descritas en la Sección Instrucciones del cliente, incluidas las transferencias de datos, salvo que la legislación de la UE o de los Estados miembros a la que esté sujeto SiteGround requiera otro tratamiento de Datos del Cliente por parte de SiteGround, en cuyo caso SiteGround informará al Cliente a través del Sitio o la Dirección de Correo Electrónico de Notificación.


Los Datos del Cliente pueden ser tratados tanto por SiteGround, por los Usuarios Autorizados y por los Subencargados para y en cumplimiento de  las obligaciones establecidas en  este “AET” y el Acuerdo respectivo o para proporcionar ciertos servicios en nombre de SiteGround. Tales tratamientos   cumplirán con las medidas descritas en las Secciones 3, Sección 7 y Medidas de Seguridad del Anexo 2.

2.7. Derechos de los Titulares de los Datos 

2.7.1. Acceso, rectificación, limitación del tratamiento, cancelación y  portabilidad.

Durante la duración de este “AET”, SiteGround deberá, de forma coherente con la funcionalidad de los Servicios, permitir al Cliente acceder, rectificar, cancelar y restringir el tratamiento  de los Datos del Cliente, incluida la cancelación o eliminación de todos o algunos de los Datos del Cliente en su cuenta, o la eliminación de la cuenta completa como se describe en la Sección 2.6. (Devolución y eliminación de datos del cliente), y mediante la exportación de Datos del Cliente.

2.7.2. Solicitudes de los Titulares de los Datos  

2.7.2.1. Responsabilidad del Cliente de las solicitudes.  

Si durante la duración de este “AET”, SiteGround recibe una solicitud de un Titular de los Datos  ejercitando su derecho de acceso, derecho a rectificación, restricción del Procesamiento, borrado ("derecho a ser olvidado"), portabilidad de datos, objeción al Procesamiento, o su derecho a no estar sujeto a una toma de decisión automatizada individualizada ("Solicitud del Titular de los Datos"), SiteGround asesorará al Titular de los Datos que presente su solicitud al Cliente, y el Cliente será responsable de responder a dicha solicitud, incluyendo, cuando  sea necesario, el uso de la funcionalidad de los Servicios. SiteGround deberá, en la medida permitida legalmente, tomar medidas razonables para notificar al Cliente sobre dichas solicitudes. 

2.7.2.2. Prestación de asistencia de SiteGround respecto a solicitudes de los Titulares de los Datos. 

Teniendo en cuenta la naturaleza del tratamiento, el Cliente acepta que SiteGround brinde asistencia técnica y organizativa adecuada, en la medida de lo posible, para el cumplimiento de la obligación del Cliente de responder a las solicitudes de los Titulares de los Datos, incluida la obligación del Cliente de responder a las solicitudes para el ejercicio de los derechos de los Titulares de los Datos establecidos en el Capítulo III de la RGPD, mediante: 

(a) proporcionar recursos de documentación en forma de tutoriales y artículos de conocimiento, funcionalidades y/o controles en el Panel de Control que el Cliente puede usar para configurar adecuadamente los Servicios y usar los Servicios de manera segura.

(b) proporcionar características, funcionalidades y/o controles en el Panel de Control que el Cliente puede usar para recuperar, corregir o eliminar los Datos del Cliente de los Servicios.

(c) cumpliendo con los compromisos establecidos en este “AET”. 

(d) En la medida en que el Cliente, en su uso de los Servicios, no tenga la capacidad de abordar una Solicitud de un Titular de los Datos, SiteGround deberá, a petición del Cliente, realizar los esfuerzos razonables para ayudar al Cliente a responder dicha solicitud del Titular de los Datos, en la medida en que SiteGround está legalmente autorizado para hacerlo y la respuesta a dicha Solicitud del Titular de los Datos  sea obligatorio conforme a las Leyes y Reglamentos de Protección de Datos. En la medida permitida legalmente, el Cliente será responsable de los gastos que surjan de la prestación de dicha asistencia por parte de SiteGround.

El Cliente deberá cubrir los gastos razonables de SiteGround para proporcionar la asistencia  de la sección 2.7.2.2.

2.8. Devolución y eliminación de Datos de Cliente. 

SiteGround permitirá al Cliente eliminar los Datos del Cliente durante el Término aplicable de una manera coherente con la funcionalidad de los Servicios y las funciones según el Pedido respectivo. Si el Cliente utiliza los Servicios para recuperar o eliminar Datos del Cliente y los Datos del Cliente no se pueden recuperar, esto supone una instrucción para que SiteGround elimine los Datos del Cliente relevantes archivados en sistemas de copias de seguridad de acuerdo con la ley aplicable y dentro del plazo máximo de 60 días naturales.

La desactivación de los Servicios o la expiración del Término aplicable constituirán una instrucción para que SiteGround elimine los Datos del Cliente y los Datos del Cliente relevantes archivados en sistemas copias de seguridad dentro de un período máximo de 60 días naturales.

Nada en esta Sección 2.6 implica o modifica cualquier obligación de SiteGround de conservar algunos o todos los Datos del Cliente según sea necesario para cumplir con la ley o un requerimiento vinculante de un organismo encargado de la aplicación de la ley (como una citación o una orden judicial).

2.9. Acceso. 

SiteGround no divulgará los Datos del Cliente a ningún gobierno, organismo encargado del cumplimiento de la ley ni a otras autoridades, salvo que sea necesario para cumplir con la ley o un requerimiento vinculante de una organismo encargado de la aplicación de la ley. (como una citación o una orden judicial).

2.10. Empleados de SiteGround. 

SiteGround restringe a su personal el tratamiento de Datos del Cliente sin la autorización de SiteGround. El acceso a los Datos del Cliente está limitado a aquellos que desempeñan un rol y responsabilidades de acuerdo con el Acuerdo.

SiteGround impone obligaciones contractuales apropiadas a su personal, incluidas las obligaciones con respecto a la confidencialidad, la protección de datos y la seguridad de los datos. SiteGround garantiza que estas obligaciones de confidencialidad sobrevivan a la finalización del contrato de trabajo.

2.11.  Delegado de Protección de Datos

Los miembros del Grupo SiteGround han designado un Delegado de Protección de Datos para los objetivos de la Política de Privacidad y este “AET” a quienes se puede contactar en privacy@siteground.com.

3.  Subencargados

3.1. Consentimiento para la contratación de Subencargados del Tramiento 

El cliente reconoce y acuerda que: 

(a) Los asociados de SiteGround pueden ser Subencargados ; y

(b) SiteGround y los asociados de SiteGround pueden respectivamente contratar a Subencargados   para la prestación de los Servicios. SiteGround dispone de un acuerdo escrito con cada Subencargado que contiene obligaciones de protección de datos equivalentes a las incluidas en este “AET” , en lo referido a la protección de los Datos del Cliente, de acuerdo a la naturaleza de los Servicios proporcionados por dichos Subencargados. . Si el Cliente está dentro de la Cláusula Contractual Estándar (Apéndice 1), como se describe en la sección 5 (Transferencia de Datos Fuera del EEE), las autorizaciones establecidas previamente  implican el consintiendo previo por parte del Cliente para la subcontratación por SiteGround del tratamiento de los Datos del Cliente si tal consentimiento es requerido bajo Cláusula Contractual Estándar.

3.2. Información sobre subencargados Notificación de nuevos subencargados. 

3.2.1. SiteGround compartirá información sobre ti con  Subencargos tales como el grupo de compañías de SiteGround, las cuales están involucradas en la prestación de Servicios sujetos a tu Acuerdo, y las cuales están situadas dentro del territorio de la Unión Europea y los Estados Unidos, con Subencargados/Encargados que prestan los Servicios de tu Acuerdo y quienes están radicados  dentro del territorio de la Unión Europea y los Estados Unidos, proveedores de servicio de Centro de Datos dentro del territorio de la Unión Europea, Estados Unidos y Singapur. Estos Subencargados  tratarán la información proporcionada bajo las instrucciones de SiteGround y  de acuerdo con nuestra política de privacidad en este “AET”. No autorizamos a los Subencargados a que retengan, compartan, almacenen o utilicen tu información personal identificable para ninguna otra finalidad..

3.2.2. Cuando se contrata un nuevo Subencargado para  tratar cualquier Dato del Cliente en relación con la prestación de los Servicios durante el Plazo aplicable a este “AET” ,  SiteGround informará al Cliente de este acuerdo , incluyendo la categoría y ubicación del Subencargado y así como las actividades que realizará, al menos 10 días naturales antes de autorizar al nuevo Subencargado , o bien enviando un correo electrónico al Correo Electrónico de Notificación o a través del Área de Usuario.

3.3. Requisitos para la participación del Subencargado 

Al contratar cualquier Subencargado, SiteGround deberá: 

(a) garantizar a través de un contrato por escrito que:

(i) el Subencargado sólo accede y utiliza los Datos del Cliente en la medida necesaria para cumplir con las obligaciones que le subcontratan, y lo hace de conformidad con el Acuerdo aplicable, (incluyendo esta Anexo de  Tratamiento de Datos) y con cualquier Cláusula Contractual Estándar firmada o  con  otra Solución de Transferencia Alternativa adoptada por SiteGround como se describe en la Sección 5 (Transferencia de Datos Fuera del EEE); y 

(ii) si el RGPD se aplica al tratamiento de los  Datos  del Cliente, las obligaciones de protección de datos establecidas en el Artículo 28 (3) del RGPD, como se describe en esta documento  de Tratamiento de Datos, es obligatoria para el Subencargado ; y

(b) sigue siendo totalmente responsable de todas las obligaciones subcontratadas, y todos los actos y omisiones del Subencargado.

3.4. Derecho a la Rescisión para nuevos Subencargados. 

3.4.1. El Cliente puede oponerse a cualquier nuevo Subencargado resolviendo el Acuerdo correspondiente mediante notificación por escrito a SiteGround, sujeto a que el Cliente remita dicha comunicación dentro de los 10 días naturales posteriores a la notificación del acuerdo con el Subencargado.  Este derecho de resolución es la única forma valida y exclusiva para el Cliente de oponerse a cualquier nuevo Subencargado.. 

3.4.2. SiteGround reembolsará al Cliente cualquier tarifa prepagada que cubra el resto del plazo de dicha(s) orden(es) después de la fecha de resolución con respecto a  los servicios finalizados, sin imponer ninguna penalidad por dicha terminación al Cliente.

4. Evaluaciones de impacto, consultas, almacenamiento. 

4.1. Evaluaciones de impacto, consultas.

A petición del Cliente, SiteGround proporcionará al Cliente la cooperación y asistencia razonables necesarias para cumplir con la obligación del Cliente bajo el  RGPD de realizar una evaluación de impacto de protección de datos relacionada con el uso de los Servicios del Cliente, siempre que el Cliente no tenga acceso a la información relevante, y  siempre que dicha información esté disponible para SiteGround. SiteGround proporcionará  la asistencia razonable al Cliente para la cooperación o en la consulta previa con la Autoridad Supervisora en relación con las labores realizados conforme a este “AET”, conforme a lo estipulado en el RGPD.  

5. Transferencia de Datos fuera del EEE.

5.1. Centro de Datos y almacenamiento.

SiteGround almacena y trata los Datos del Cliente en centros de datos ubicados dentro y fuera de la Unión Europea. La información sobre las ubicaciones de los Centros de Datos está disponible en: https://www.siteground.es/centros-de-datos y SiteGround se reserva el derecho a actualizarlo periódicamente.

El Cliente puede especificar la ubicación del Centro de Datos donde se almacenarán sus Datos de Cliente. 

El Cliente acepta que SiteGround puede cambiar las ubicaciones de los Centros de Datos y mover los Datos de Cliente a otro Centro de Datos. SiteGround deberá informar al Cliente con al menos 10 días naturales antes de trasladar los Datos de Cliente a un nuevo Centro de Datos, enviando un correo electrónico a la Dirección de Correo Electrónico de Notificación o a través del Área de Usuario. Si el cambio del Centro de Datos implica el almacenamiento de los Datos del Cliente en una jurisdicción diferente, el Cliente puede oponerse a dicho cambio terminando el Contrato inmediatamente y previa notificación por escrito a SiteGround, con la condición de que el Cliente proporcione dicha notificación dentro de los 10 días naturales después de haber sido informado del cambio del Centro de Datos.

El Cliente puede mover su cuenta y los Datos de Cliente a otro Centro de Datos en cualquier momento, siempre que la funcionalidad de los Servicios lo permitan y sujeto tarifas adicionales. Una vez que el Cliente haya elegido y especificado una ubicación del Centro de Datos dentro de la Unión Europea, SiteGround no almacenará los Datos del Cliente fuera de las fronteras de la Unión Europea excepto cuando sea necesario para cumplir con la ley o con un requerimiento de una autoridad competente. 5.2. Ubicaciones de los Tratamientos. 

Siempre que el Cliente especifique un Centro de Datos fuera del Área Económica Europea y siempre que SiteGround brinde los Servicios y soporte técnico relacionados, el Cliente acepta que SiteGround pueda, sujeto a la Sección 5, acceder y tratar los Datos del Cliente en EEE, Estados Unidos y cualquier otro país donde SiteGround y/o sus asociados y Subencargados tengan Centros de Datos, instalaciones o mantengan operaciones de tratamiento de datos. Si el almacenamiento y/o tratamiento de Datos del Cliente implica el tratamiento de Datos del Cliente fuera del EEE, y se aplica la Legislación Europea de Protección de Datos, el Cliente acepta que SiteGround requiere razonablemente que el Cliente suscriba Cláusulas Modelo de Contrato de acuerdo con dichas transferencias de conformidad con la Sección 5.2 y el Anexo 1 y el Cliente se obliga a ello. 

5.3. Mecanismo de Transferencia.

En la medida en que SiteGround trate o transfiera (directamente o mediante transferencia posterior) los Datos del Cliente según este “AET” de la Unión Europea, el Espacio Económico Europeo y/o sus Estados miembros y Suiza en países que no garanticen un nivel adecuado de protección de datos en el sentido de las Leyes de Protección de Datos aplicables de los territorios anteriores, las partes acuerdan que:

  1. La Cláusula Contractual Estándar (Anexo 1) se aplicará a los Datos del Cliente que son transferidos.

  2. Se considerará que SiteGround proporciona salvaguardas apropiadas para proteger los Datos del Cliente en virtud de la disponibilidad de Cláusula Contractual Estándar (Apéndice 1) como mecanismo de transferencia.

  3. El Cliente autoriza cualquier transferencia o acceso a Datos del Cliente desde dichos destinos fuera del Espacio Económico Europeo sujeto a cualquiera de las medidas anteriores;

6. Tratamiento de registros.

El Cliente conoce y acepta que SiteGround está obligada conforme   al RGPD a:

(a) recopilar y mantener registros de cierta información, incluido el nombre y los datos de contacto de cada encargado y/o controlador en nombre de los cuales SiteGround está actuando y, en su caso, del representante local y el responsable de protección de datos de dicho encargado o responsable; y 

(b) poner esa información a disposición de las autoridades supervisoras. En consecuencia, si el RGPD se aplica al tratamiento de los datos del Cliente, el Cliente deberá, cuando así lo solicite, proporcionar dicha información a SiteGround a través del Sitio u otros medios proporcionados por SiteGround, y deberá usar el Sitio u otros medios, para garantizar que toda la información facilitada  es correcta y está actualizada.

7.  Obligaciones de Seguridad de SiteGround.

7.1. SiteGround implementará y mantendrá medidas técnicas y organizativas para proteger los Datos del Cliente contra la destrucción, pérdida, alteración, divulgación no autorizada o ilegal, accidental o ilícita, como se describe en el Anexo 2 (las "Medidas de Seguridad"). Como se describe en el Anexo 2, las medidas de seguridad incluyen medidas para proporcionar una transmisión encriptada de los datos del cliente fuera del entorno del servicio; para ayudar a garantizar la confidencialidad, integridad, disponibilidad y flexibilidad constantes de los sistemas y servicios de SiteGround; para ayudar a restablecer el acceso oportuno a los Datos del Cliente a partir de una copia de respaldo disponible, facilitada por los Servicios de Respaldo de SiteGround o por propia copia de respaldo realizada por el Cliente tras un incidente; y para pruebas de efectividad. SiteGround puede actualizar o modificar las Medidas de Seguridad a” su libre elección , siempre que dichas actualizaciones y modificaciones no den lugar a la degradación de la seguridad general de los Servicios. 

7.2. Obligaciones y Evaluación de Seguridad del Cliente. 

El Cliente acepta que, sin perjuicio de las obligaciones de SiteGround bajo la Sección 7. (Obligaciones de Seguridad de SiteGround) y otras Secciones relevantes de este “AET”.  

  1. El Cliente es el único responsable del uso de los Servicios, incluyendo: 

    1. hacer un uso apropiado de los Servicios para garantizar un nivel de seguridad adecuado al riesgo en relación con los Datos del Cliente;

    2. proteger las credenciales de autenticación de cuenta, los sistemas y dispositivos que usa el Cliente para acceder a los Servicios; 

    3. asegurase que todos los programas, scripts, complementos, plugins y otro software instalado en la cuenta sean seguros y su utilización no suponga ningún riesgo de seguridad con respecto a los Datos del Cliente y la cuenta misma;

    4.  proteger todos los programas instalados, scripts, complementos, plugins y otro software, su configuración y su mantenimiento regular;

    5. cualquier contenido de la cuenta;  

    6. cualquier acción y actividad de la cuenta; y

    7. generar copias de seguridad de sus Datos del Cliente; y

  1. SiteGround no tiene la obligación de proteger los Datos del Cliente que el Cliente elija almacenar o transferir fuera de los sistemas de SiteGround y sus Subencargados (por ejemplo, almacenamiento fuera de las instalaciones o locales) o proteger los Datos del Cliente implementando o manteniendo Controles de Seguridad Adicionales excepto en el supuesto en que el Cliente haya optado por usarlos.

  1. El Cliente es el único responsable de revisar la documentación y evaluar si los Servicios, las Medidas de Seguridad, las obligaciones de SiteGround bajo esta Sección y los siguientes cumplen con las necesidades del Cliente, incluidas las obligaciones de seguridad del Cliente conforme a  la Legislación Europea de Protección de Datos y/o otra Legislación de Protección de Datos, según corresponda.

  1. El Cliente reconoce y acepta (teniendo en cuenta los gastos de implementación y la naturaleza, alcance, contexto y finalidades del tratamiento de los datos del Cliente así como los riesgos para los individuos) las Medidas de Seguridad implementadas y mantenidas por SiteGround como se establece en la Sección 7.1 teniendo en cuenta el nivel de seguridad necesario correspondiente al riegos de los Datos del Cliente. .

  1. Es responsabilidad del cliente hacer una copia de seguridad de los Datos del Cliente y de todos los datos y del consentimiento almacenados en la cuenta para evitar posibles pérdidas de datos.

    1. Los servicios de copia de seguridad de SiteGround se proporcionan sin ninguna garantía adicional y están sujetos a todas las limitaciones de responsabilidad establecidas en el Acuerdo correspondiente.

    1. Incluso si el Cliente contrata Servicios de copia de seguridad, se obliga a tener  su propio conjunto de copias de seguridad independientes de las que SiteGround mantiene y la única obligación de SiteGround es restaurar el espacio de la cuenta a su estado de funcionamiento. En el caso de un incidente, fallo de hardware o software o cualquier daño o pérdida de datos accidental, SiteGround puede proporcionar asistencia, pero es la obligación exclusiva del cliente restaurar los Datos del Cliente. En caso de pérdida o corrupción parcial o total de datos y en caso de que el Cliente no esté satisfecho con el resultado de la restauración realizada por los Servicios de Respaldo de SiteGround o la copia de seguridad de SiteGround no sea reciente o adecuada para la restauración, será obligación exclusiva del Cliente restaurar los Datos del Cliente, sus archivos y cualquier dato dentro de la cuenta desde la propia copia de seguridad del Cliente.

8. Revisión y auditorías de cumplimiento.

Si la Legislación Europea de Protección de Datos se aplica al tratamiento de los datos del cliente:

  1. El Cliente tiene el derecho de verificar el cumplimiento de SiteGround con sus obligaciones conforme a este “AET”, realizando una revisión de la documentación o una auditoría, incluidas inspecciones, realizadas por el Cliente o un auditor independiente designado por el Cliente, haciendo una solicitud específica a SiteGround y por escrito a la dirección establecida en los respectivos Términos de Servicio. 

  1. SiteGround además proporcionará respuestas por escrito a todas las solicitudes razonables por parte del Cliente y puede cobrarle una tarifa por cualquier revisión o auditoría. SiteGround proporcionará detalles de cualquier tarifa aplicable antes de dicha auditoría y el Cliente deberá abonar cualquier tarifa cobrada por cualquier auditor y cualquier tarifa asociada con la ejecución de una auditoría. Los informes de dicha auditoría se pondrán a disposición de SiteGround sin limitaciones en su contenido y para su uso posterior por parte de SiteGround.

  1. SiteGround puede objetar y rechazar por escrito al Cliente o un auditor designado por el Cliente para realizar cualquier auditoría, si el Cliente o el auditor, según la opinión razonable de SiteGround, no está adecuadamente cualificado o no es independiente, se trata de un competidor de SiteGround o es manifiestamente inadecuado.

  1. Si SiteGround se niega a seguir cualquier instrucción solicitada por el Cliente o un auditor con respecto a una auditoría o inspección debidamente solicitada, el Cliente tiene derecho a rescindir este “AET” y los Términos del Servicio.

Nada en esta Sección 9 (Revisión y Auditorías de Cumplimiento) varía o modifica los derechos u obligaciones del Cliente o de SiteGround de acuerdo a cualquier contrato de Cláusulas Contractuales Tipo firmada como se describe en las Secciones 5 (Transferencias de Datos fuera del EEE).

9.  Notificación de Violación de la Seguridad.

9.1. SiteGround mantiene políticas y procedimientos de gestión de incidentes de seguridad y notificará al Cliente sin demoras después de tener conocimiento de la destrucción, pérdida, alteración, divulgación no autorizada o acceso a Datos del Cliente, incluidos los datos del Cliente transmitidos, almacenados o tratados, por SiteGround o sus Subencargados ,ya sea accidental o ilegal, y de los cuales SiteGround tenga conocimiento (un "Incidente de Datos del Cliente"). SiteGround hará todos los esfuerzos razonables para identificar la causa de dicho Incidente de Datos del Cliente y tomará las medidas que SiteGround considere necesarias y razonables para remediar la causa de dicho Incidente de Datos del Cliente en la medida en que la corrección esté dentro del control razonable de SiteGround. Las obligaciones en este documento no se aplicarán a los incidentes causados por el Cliente, el uso que el Cliente haga de los Servicios, las acciones o actividades del Cliente o los Usuarios del Cliente. 

9.2. Las notificaciones realizadas conforme a esta sección describirán, en la medida de lo posible, los detalles del Incidente de datos, incluidos los pasos tomados para mitigar los riesgos potenciales y los pasos que SiteGround recomienda tomar para abordar el Incidente de datos.

9.3. Las notificaciones de cualquier incidente(s) de datos se entregarán a la dirección de correo electrónico de notificación o, a discreción de SiteGround, mediante comunicación directa (por ejemplo, por llamada telefónica). El Cliente es el único responsable de garantizar que la Dirección de correo Electrónico de notificación y la información de contacto estén actualizadas y sean válidas.

9.4. SiteGround no evaluará el contenido de los Datos del Cliente para identificar información sujeta a requisitos legales específicos. El Cliente es el único responsable de cumplir con las leyes de notificación de incidentes aplicables al Cliente y cumplir con las obligaciones de notificación de terceros relacionadas con cualquier Incidente de Datos. 

9.5. La notificación o respuesta de SiteGround a un Incidente de datos según esta Sección 10 no se interpretará como un reconocimiento por parte de SiteGround de cualquier culpa u obligación con respecto al Incidente de datos.

10. Responsabilidad e indemnización.

10.1. El Cliente indemnizará y mantendrá indemne a SiteGround con respecto a todas las infracciones y pérdidas de protección de datos sufridas o en las que haya incurrido, que surjan o estén relacionados con:

(a)  cualquier incumplimiento por parte del Cliente de las leyes y normas de protección de datos;

(b)  cualquier incumplimiento por parte del Cliente de sus obligaciones de protección de datos bajo este Acuerdo; 

10.2. SiteGround será responsable de las brechas y pérdidas de protección de datos causadas por el procesamiento de los Datos del Cliente solo en la medida que resulte directamente del incumplimiento por parte de SiteGround de  sus obligaciones como Encargado del Tratamiento  conforme a las leyes y Reglamentos de Protección de Datos.

11. Terminación

Este “AET” será efectivo desde la Fecha de entrada en vigor y hasta la fecha de terminación por parte de e SiteGround de los Servicios según el Acuerdo aplicable, incluido, si corresponde, cualquier período durante el cual los Servicios se hayan suspendido y cualquier período posterior a la terminación (a saber, 60 días naturales) durante el cual SiteGround puede continuar brindando Servicios con fines transitorios ("Término"). El “AET” terminará automáticamente cuando se elimine toda la información del cliente por parte de SiteGround.

12.   Prevalencia

En el supuesto de conflicto o  contradicción entre los términos de este “ET” y el resto del Acuerdo aplicable relacionado con el Tratamiento de los Datos del Cliente, prevalecerán los términos de este “AET”. Sujeto a las modificaciones , si las hubiera,  de este “AET” , el Acuerdo permanece  en vigor y es aplicable Para mayor claridad, si el Cliente ha firmado más de un Acuerdo, este “AET” modifica individualmente cada uno de los Acuerdos del Cliente.



Anexo 1 - Cláusula Contractual Estándar


CLAUSULAS CONTRACTUALES TIPO (ENCARGADO DEL TRATAMIENTO)

A los efectos del artículo 26 (2) de la Directiva 95/46/CE para la transferencia de datos personales a un encargado establecido en un país tercero que no garantiza un nivel adecuado de protección de datos

La entidad identificada como “Cliente” en el Acuerdo de Encargado del Tratamiento

(Exportador de Datos)

SiteGround 

(El Importador de Datos)

Individualmente “Parte” conjuntamente “Las Partes”

ACUERDAN las siguientes cláusulas contractuales (las “cláusulas”) con el objeto de ofrecer garantías suficientes en relación con la protección de la privada y los derechos y libertades fundamentales de los individuos en la transferencia por el exportador de datos al importador de datos de los datos personales recogidos en el Anexo 1.

Cláusula 1

Definiciones

A los efectos de las presentes cláusulas:

(a) «datos personales», «categorías especiales de datos», «tratamiento», «responsable del tratamiento», «encargado del tratamiento», «interesado» y «autoridad de control» tendrán el mismo significado que en la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos ;

(b) por «exportador de datos» se entenderá el responsable del tratamiento que transfiera los datos personales;

(c) por «importador de datos» se entenderá el encargado del tratamiento que convenga en recibir del exportador datos personales para su posterior tratamiento en nombre de este, de conformidad con sus instrucciones y de los términos de las cláusulas, y que no esté sujeto al sistema de un tercer país por el que se garantice la protección adecuada en el sentido del artículo 25, apartado 1, de la Directiva 95/46/CE;

(d) por «subencargado del tratamiento» se entenderá cualquier encargado del tratamiento contratado por el importador de datos o por cualquier otro subencargado de éste que convenga en recibir del importador de datos, o de cualquier otro subencargado de este, datos personales exclusivamente para las posteriores actividades de tratamiento que se hayan de llevar a cabo en nombre del exportador de datos, de conformidad con sus instrucciones, los términos de las cláusulas y los términos del contrato que se haya concluido por escrito;

(e) por «legislación de protección de datos aplicable» se entenderá la legislación que protege los derechos y libertades fundamentales de las personas y, en particular, su derecho a la vida privada respecto del tratamiento de los datos personales, aplicable al responsable del tratamiento en el Estado miembro en que está establecido el exportador de datos;

(f) por «medidas de seguridad técnicas y organizativas» se entenderán las destinadas a proteger los datos personales contra su destrucción accidental o ilícita o su pérdida accidental, su alteración, divulgación o acceso no autorizados, especialmente cuando el tratamiento suponga la transmisión de los datos por redes, o cualquier otra forma ilícita de tratamiento;

Cláusula 2

Detalles de la transferencia

Los detalles de la transferencia, en particular, las categorías especiales de los datos personales quedan especificados si procede en el apéndice 1, que forma parte integrante de las presentes cláusulas.

Cláusula 3

Cláusula de tercero beneficiario

1.- Los interesados podrán exigir al exportador de datos el cumplimiento de la presente cláusula, las letras b) a i) de la cláusula 4, las letras a) a e) y g) a j) de la cláusula 5, los apartados 1 y 2 de la cláusula 6, la cláusula 7, el apartado 2 de la cláusula 8 y las cláusulas 9 a 12, como terceros beneficiarios.

2.- Los interesados podrán exigir al importador de datos el cumplimiento de la presente cláusula, las letras a) a e) y g) de la cláusula 5, la cláusula 6, la cláusula 7, el apartado 2 de la cláusula 8 y las cláusulas 9 a 12, cuando el exportador de datos haya desaparecido de facto o haya cesado de existir jurídicamente, a menos que cualquier entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos en virtud de contrato o por ministerio de la ley y a resultas de lo cual asuma los derechos y las obligaciones del exportador de datos, en cuyo caso los interesados podrán exigirlos a dicha entidad.

3.- Los interesados podrán exigir al subencargado del tratamiento de datos el cumplimiento de la presente cláusula, las letras a) a e) y g) de la cláusula 5, la cláusula 6, la cláusula 7, el apartado 2 de la cláusula 8 y las cláusulas 9 a 12, en aquellos casos en que ambos, el exportador de datos y el importador de datos, hayan desaparecido de facto o hayan cesado de existir jurídicamente o sean insolventes, a menos que cualquier entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos en virtud de contrato o por ministerio de la ley, a resultas de lo cual asuma los derechos y las obligaciones del exportador de datos, en cuyo caso los interesados podrán exigirlos a dicha entidad. Dicha responsabilidad civil del subencargado del tratamiento de datos se limitará a sus propias operaciones de tratamiento de datos con arreglo a las cláusulas.

4.- Las partes no se oponen a que los interesados estén representados por una asociación u otras entidades, si así lo desean expresamente y lo permite el Derecho nacional.

Cláusula 4

Obligaciones del exportador de datos

a.- el tratamiento de los datos personales, incluida la propia transferencia, ha sido efectuado y seguirá efectuándose de conformidad con las normas pertinentes de la legislación de protección de datos aplicable (y, si procede, se ha notificado a las autoridades correspondientes del Estado miembro de establecimiento del exportador de datos) y no infringe las disposiciones legales o reglamentarias en vigor en dicho Estado miembro;

b.- ha dado al importador de datos, y dará durante la prestación de los servicios de tratamiento de los datos personales, instrucciones para que el tratamiento de los datos personales transferidos se lleve a cabo exclusivamente en nombre del exportador de datos y de conformidad con la legislación de protección de datos aplicable y con las cláusulas;

c.- el importador de datos ofrecerá garantías suficientes en lo que respecta a las medidas de seguridad técnicas y organizativas especificadas en el apéndice 2 del presente contrato;

d.- ha verificado que, de conformidad con la legislación de protección de datos aplicable, dichas medidas resultan apropiadas para proteger los datos personales contra su destrucción accidental o ilícita o su pérdida accidental, su alteración, divulgación o acceso no autorizados, especialmente cuando el tratamiento suponga la transmisión de los datos por redes, o contra cualquier otra forma ilícita de tratamiento y que dichas medidas garantizan un nivel de seguridad apropiado a los riegos que entraña el tratamiento y la naturaleza de los datos que han de protegerse, habida cuenta del estado de la técnica y del coste de su aplicación;

e.- asegurará que dichas medidas se lleven a la práctica;

f.- si la transferencia incluye categorías especiales de datos, se habrá informado a los interesados, o serán informados antes de que se efectúe aquella, o en cuanto sea posible, de que sus datos podrían ser transferidos a un tercer país que no proporciona la protección adecuada en el sentido de la Directiva 95/46/CE;

g.- enviará la notificación recibida del importador de datos o de cualquier subencargado del tratamiento de datos a la autoridad de control de la protección de datos, de conformidad con la letra b) de la cláusula 5 y el apartado 3 de la cláusula 8, en caso de que decida proseguir la transferencia o levantar la suspensión;

h.- pondrá a disposición de los interesados, previa petición de estos, una copia de las cláusulas, a excepción del apéndice 2, y una descripción sumaria de las medidas de seguridad, así como una copia de cualquier contrato para los servicios de subtratamiento de los datos que debe efectuarse de conformidad con las cláusulas, a menos que las cláusulas o el contrato contengan información comercial, en cuyo caso podrá eliminar dicha información comercial;

i.- que, en caso de subtratamiento, la actividad de tratamiento se llevará a cabo de conformidad con la cláusula 11 por un subencargado del tratamiento que proporcionará por lo menos el mismo nivel de protección de los datos personales y los derechos de los interesados que el importador de datos en virtud de las presentes cláusulas; y

j.- que asegurará que las letras a) a i) de la cláusula 4 se lleven a la práctica.

Cláusula 5 (1)

Obligaciones del importador de datos 

El importador de datos acuerda y garantiza lo siguiente:

a.- tratará los datos personales transferidos solo en nombre del exportador de datos, de conformidad con sus instrucciones y las cláusulas. En caso de que no pueda cumplir estos requisitos por la razón que fuere, informará de ello sin demora al exportador de datos, en cuyo caso este estará facultado para suspender la transferencia de los datos o rescindir el contrato;

b.- no tiene motivos para creer que la legislación que le es de aplicación le impida cumplir las instrucciones del exportador de datos y sus obligaciones a tenor del contrato y que, en caso de modificación de la legislación que pueda tener un impotente efecto negativo sobre las garantías y obligaciones estipuladas en las cláusulas, notificará al exportador de datos dicho cambio en cuanto tenga conocimiento de él, en cuyo caso este estará facultado para suspender la transferencia de los datos o rescindir el contrato;

c.- ha puesto en práctica las medidas de seguridad técnicas y organizativas que se indican en el apéndice 2 antes de efectuar el tratamiento de los datos personales transferidos;

d.- notificará sin demora al exportador de datos sobre:

i) toda solicitud jurídicamente vinculante de divulgar los datos personales presentada por una autoridad encargada de la aplicación de ley a menos que esté prohibido, por ejemplo, por el Derecho penal para preservar la confidencialidad de una investigación llevada a cabo por una de dichas autoridades,

ii) todo acceso accidental o no autorizado,

iii) toda solicitud sin respuesta recibida directamente de los interesados, a menos que se le autorice;

e.- tratará adecuadamente en los períodos de tiempo prescritos todas las consultas del exportador de datos relacionadas con el tratamiento que este realice de los datos personales sujetos a transferencia y se atendrá a la opinión de la autoridad de control en lo que respecta al tratamiento de los datos transferidos;

f.- ofrecerá a petición del exportador de datos sus instalaciones de tratamiento de datos para que se lleve a cabo la auditoría de las actividades de tratamiento cubiertas por las cláusulas. Esta será realizada por el exportador de datos o por un organismo de inspección, compuesto por miembros independientes con las cualificaciones profesionales necesarias y sujetos a la confidencialidad, seleccionado por el exportador de datos y, cuando corresponda, de conformidad con la autoridad de control;

g.- pondrá a disposición de los interesados, previa petición de estos, una copia de las cláusulas, o de cualquier contrato existente para el subtratamiento de los datos, a menos que las cláusulas o el contrato contengan información comercial, en cuyo podrá eliminar dicha información comercial, a excepción del apéndice 2 que será sustituido por una descripción sumaria de las medidas de seguridad, en aquellos casos en que el interesado no pueda obtenerlas directamente del exportador de datos;

h.- que, en caso de subtratamiento de los datos, habrá informado previamente al exportador de datos y obtenido previamente su consentimiento por escrito;

i.- que los servicios de tratamiento por el subencargado del tratamiento se llevarán a cabo de conformidad con la cláusula 11;

j.- enviará sin demora al exportador de datos una copia de cualquier acuerdo con el subencargado del tratamiento que concluya con arreglo a las cláusulas.

Cláusula 6

Responsabilidad

1.- Las partes acuerdan que los interesados que hayan sufrido daños como resultado del incumplimiento de las obligaciones mencionadas en la cláusula 3 o en la cláusula 11 por cualquier parte o subencargado del tratamiento tendrán derecho a percibir una indemnización del exportador de datos para el daño sufrido.

2.- En caso de que el interesado no pueda interponer contra el exportador de datos la demanda de indemnización a que se refiere el apartado 1 por incumplimiento por parte del importador de datos o su subencargado de sus obligaciones impuestas en la cláusulas 3 o en la cláusula 11, por haber desaparecido de facto, cesado de existir jurídicamente o ser insolvente, el importador de datos acepta que el interesado pueda demandarle a él en el lugar del exportador de datos, a menos que cualquier entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos en virtud de contrato o por ministerio de la ley, en cuyo caso los interesados podrán exigir sus derechos a dicha entidad.

El importador de datos no podrá basarse en un incumplimiento de un subencargado del tratamiento de sus obligaciones para eludir sus propias responsabilidades.

3.- En caso de que el interesado no pueda interponer contra el exportador de datos o el importador de datos la demanda a que se refieren los apartados 1 y 2, por incumplimiento por parte del subencargado del tratamiento de datos de sus obligaciones impuestas en la cláusula 3 o en la cláusula 11, por haber desaparecido de facto, cesado de existir jurídicamente o ser insolventes ambos, tanto el exportador de datos como el importador de datos, el subencargado del tratamiento de datos acepta que el interesado pueda demandarle a él en cuanto a sus propias operaciones de tratamiento de datos en virtud de las cláusulas en el lugar del exportador de datos o del importador de datos, a menos que cualquier entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos o del importador de datos en virtud de contrato o por ministerio de la ley, en cuyo caso los interesados podrán exigir sus derechos a dicha entidad. La responsabilidad del subencargado del tratamiento se limitará a sus propias operaciones de tratamiento de datos con arreglo a las presentes cláusulas.

Cláusula 7

Mediación y jurisdicción

1.- El importador de datos acuerda que, si el interesado invoca en su contra derechos de tercero beneficiario o reclama una indemnización por daños y perjuicios con arreglo a las cláusulas, aceptará la decisión del interesado de:

a.- someter el conflicto a mediación por parte de una persona independiente o, si procede, por parte de la autoridad de control;

b.- someter el conflicto a los tribunales del Estado miembro de establecimiento del exportador de datos.

2.- Las partes acuerdan que las opciones del interesado no obstaculizarán sus derechos sustantivos o procedimentales a obtener reparación de conformidad con otras disposiciones de Derecho nacional o internacional. 

Cláusula 8

Cooperación con las autoridades de control

1.- El exportador de datos acuerda depositar una copia del presente contrato ante la autoridad de control si así lo requiere o si el depósito es exigido por la legislación de protección de datos aplicable.

2.- Las partes acuerdan que la autoridad de control está facultada para auditar al importador, o a cualquier subencargado, en la misma medida y condiciones en que lo haría respecto del exportador de datos conforme a la legislación de protección de datos aplicable.

3.- El importador de datos informará sin demora al exportador de datos en el caso de que la legislación existente aplicable a él o a cualquier subencargado no permita auditar al importador ni a los subencargados, con arreglo al apartado 2. En tal caso, el importador de datos estará autorizado a adoptar las medidas previstas en la letra b) de la cláusula 5.

Cláusula 9

Legislación aplicable

Las cláusulas se regirán por la legislación del Estado miembro de establecimiento del exportador de datos, a saber …

Cláusula 10

Modificación del contrato

Las partes se comprometen a no variar o modificar las presentes cláusulas. Esto no excluye que las partes añadan cláusulas relacionadas con sus negocios en caso necesario siempre que no contradigan las cláusulas.

Cláusula 11

Subtratamiento de datos

1.- El importador de datos no subcontratará ninguna de sus operaciones de procesamiento llevadas a cabo en nombre del exportador de datos con arreglo a las cláusulas sin previo consentimiento por escrito del exportador de datos. Si el importador de datos subcontrata sus obligaciones con arreglo a las cláusulas, con el consentimiento del exportador de datos, lo hará exclusivamente mediante un acuerdo escrito con el subencargado del tratamiento de datos, en el que se le impongan a este las mismas obligaciones impuestas al importador de datos con arreglo a las cláusulas (3). En los casos en que el subencargado del tratamiento de datos no pueda cumplir sus obligaciones de protección de los datos con arreglo a dicho acuerdo escrito, el importador de datos seguirá siendo plenamente responsable frente al exportador de datos del cumplimiento de las obligaciones del subencargado del tratamiento de datos con arreglo a dicho acuerdo.

2.- El contrato escrito previo entre el importador de datos y el subencargado del tratamiento contendrá asimismo una cláusula de tercero beneficiario, tal como se establece en la cláusula 3, para los casos en que el interesado no pueda interponer la demanda de indemnización a que se refiere el apartado 1 de la cláusula 6 contra el exportador de datos o el importador de datos por haber estos desaparecido de facto, cesado de existir jurídicamente o ser insolventes, y ninguna entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos o del importador de datos en virtud de contrato o por ministerio de la ley. Dicha responsabilidad civil del subencargado del tratamiento se limitará a sus propias operaciones de tratamiento de datos con arreglo a las cláusulas

3.- Las disposiciones sobre aspectos de la protección de los datos en caso de subcontratación de operaciones de procesamiento a que se refiere el apartado 1 se regirán por la legislación del Estado miembro de establecimiento del exportador de datos, a saber …

4.-  El exportador de datos conservará la lista de los acuerdos de subtratamiento celebrados con arreglo a las cláusulas y notificados por el importador de datos de conformidad con la letra j) de la cláusula 5, lista que se actualizará al menos una vez al año. La lista estará a disposición de la autoridad de control de protección de datos del exportador de datos.

Cláusula 12

Obligaciones una vez finalizada la prestación de los servicios de tratamiento de los datos personales

1.- Las partes acuerdan que, una vez finalizada la prestación de los servicios de tratamiento de los datos personales, el importador y el subencargado deberán, a discreción del exportador, o bien devolver todos los datos personales transferidos y sus copias, o bien destruirlos por completo y certificar esta circunstancia al exportador, a menos que la legislación aplicable al importador le impida devolver o destruir total o parcialmente los datos personales transferidos. En tal caso, el importador de datos garantiza que guardará el secreto de los datos personales transferidos y que no volverá a someterlos a tratamiento.

2.- El importador de datos y el subencargado garantizan que, a petición del exportador o de la autoridad de control, pondrá a disposición sus instalaciones de tratamiento de los datos para que se lleve a cabo la auditoría de las medidas mencionadas en el apartado 1.

(1)  Las obligaciones impuestas por la legislación nacional aplicable al importador de datos que no vayan más allá de las restricciones necesarias en una sociedad democrática con arreglo a los intereses recogidos en el artículo 13, apartado 1, de la Directiva 95/46/CE, es decir, si dichas obligaciones constituyen una medida necesaria para la salvaguardia de la seguridad del Estado; la defensa; la seguridad pública; la prevención, investigación, detección y enjuiciamiento de delitos o infracciones de la deontología en las profesiones reguladas; un interés económico o financiero importante del Estado o la protección del interesado o de los derechos y libertades de otras personas, no están en contradicción con las cláusulas contractuales tipo. Algunos ejemplos de obligaciones que no van más allá de las restricciones necesarias en una sociedad democrática son, entre otras, las sanciones reconocidas en el ámbito internacional, las obligaciones de notificación en materia fiscal o las impuestas por la lucha contra el blanqueo de dinero.

 


Apéndice 1 de la Cláusula Contractual Estándar


Exportador de Datos

El exportador de datos es la entidad identificada como “Cliente” en el Acuerdo de Procesamiento de Datos.

Importador de Datos

El importador de datos es SiteGround

Sujetos de datos

Los datos personales se refieren a las categorías de los sujetos de datos como se define en la Sección 2.3.4. en el Acuerdo de Tratamiento de Datos.

Categorías de Datos

Los datos personales se refieren a las categorías de datos como se define en la Sección 2.3.5. en el Acuerdo de Tratamiento de Datos.

Operaciones de Tratamiento 

Las operaciones de Tratamiento se definen en la Sección 2 del Acuerdo de Tratamiento de Datos.

 


Apéndice 2 de la Cláusula Contractual Estándar


Este Apéndice forma parte de las Cláusulas. Al comprar Servicios de SiteGround y aceptar el Acuerdo de Tratamiento de Datos, se considerará que las partes aceptaron y ejecutaron este Apéndice 2.

Descripción de las medidas de seguridad técnicas y organizativas implementadas por el importador de datos de conformidad con las Cláusulas 4 (d) y 5 (c) (o documento / legislación adjunto):

Las medidas de seguridad técnicas y organizativas implementadas por el importador de datos son las descritas en el Acuerdo de Tratamiento de Datos y las Medidas de seguridad del Anexo 2.


Anexo 2:

 Medidas de Seguridad

SiteGround implementa y mantiene Medidas de Seguridad técnicas y organizativas apropiadas para el Tratamiento de Datos Personales, incluyendo las medidas establecidas en el Apéndice 2 de Acuerdo de Tratamiento de Datos. Estas medidas están destinadas a proteger los Datos Personales contra una perdida accidental o ilegal, su alteración, divulgación acceso, y cualquier otra forma ilegal de Tratamiento. En el Acuerdo se pueden especificar medidas adicionales e información sobre dichas medidas, incluidas las medidas y prácticas de seguridad específicas para los Servicios particulares que el Cliente solicite

SiteGround puede actualizar y o modificar las Medidas de Seguridad conforme a su criterio siempre que dichas actualizaciones o modificaciones no impliquen una degradación de la Seguridad general de los Servicios.

Las medidas técnicas y organizativas implementadas por SiteGround están de acuerdo con las clausulas 4 (c) y 5 (c) de las Cláusulas Contractuales Tipo

Empleados y Confidencialidad

SiteGroun tomará las medidas razonables para asegurarse que toda persona designada por SiteGround para el tratamiento de Datos Personales es:

  1. Es competente y está cualificada para realizar las tareas que le asigne SiteGround

  2. Ha sido autorizada por SiteGround y

  3. Ha sido informada por SiteGround sobre los requerimientos relevantes en el cumplimiento de las obligaciones de SiteGround conforme as estas Cláusulas, especialmente sobre la finalidad y limitaciones en el tratamiento de los datos.

Los empleados de SiteGround deben comportarse respetando y siguiendo las directrices de la compañía en relación con la confidencialidad, la ética, el uso apropiado y los estándares profesionales. SiteGround realiza verificaciones conforme a la legalidad vigente y de acuerdo con la normativa aplicable localmente. Los empleados deben firmar un acuerdo de confidencialidad y deben acusar recibí de las políticas de privacidad y confidencialidad de SiteGround y cumplir con ellas. Se les proporciona formación y los empleados que manejan datos personales deben cumplir requisitos adicionales adecuados a sus funciones. 

Seguridad Física

SiteGround utiliza centros de datos con diferentes localizaciones geográficas y almacena todo el procesarmiento de datos en centros físicamente seguros. Los centros de procesamiento de datos de los Subencargados de SiteGround utilizan medidas para garantizar la seguridad del acceso a los sistemas de tratamiento. Cuentan con sistemas de contrato de acceso al centro de datos. El sistema solo permite el acceso a las áreas seguras al personal autorizado. Las instalaciones están diseñadas para resistir condiciones climáticas adversas y otras condiciones naturales razonablemente predecibles, cuentan con vigilantes juradas, circuito cerrado de cámaras de vigilancia, detección de acceso, accesos controlados y cuentan con un generador de emergencia para fallos de suministro eléctrico. Los sistemas de energía eléctrica del centro de datos están diseñados para ser replicados y sostenibles sin impacto en las operaciones y de manera continuada 24/7. En la mayoría de los casos, se proporciona una fuente de alimentación primaria y otra alternativa para los componentes de infraestructura crítica en el centro de datos. La energía de respaldo se proporciona mediante varias formas, con baterías de energía ininterrumpida, con generadores que permiten suministrar energía eléctrica de emergencia o sistemas de protección para caídas de tensión, apagones, sobrecargas, o situaciones de frecuencia no toleradas.

Los sistemas de infraestructura han sido diseñados para eliminar los puntos únicos de falla y para minimizar el impacto de riesgos ambientales predecibles. Los equipos e instalaciones de los Subencargados de SiteGround tienen documentados los procedimientos de mantenimiento preventivo que detallan el procedimiento y la frecuencia de los mismos de acuerdo con las especificaciones del fabricante. El mantenimiento preventivo y correctivo del equipamiento de los centros de datos se programa conforme a los procedimientos documentados.

Sistema de Control de Accesos

Los servidores de SiteGround utilizan una implementación personalizada para los Servicios basada en Linux. SiteGround utiliza un sistema de revisión para incrementar la seguridad de los sistemas operativos utilizados para prestar los servicios y mejorar los productos de seguridad en los entornos de producción.

SiteGround tiene implementada una política de seguridad para sus empleados. El personal de infraestructura, desarrollo y soporte de SiteGround es responsable de la monitorización permanente de la infraestructura de SiteGround, la comprobación de los servicios, y la respuesta a incidentes de seguridad.

Las políticas y los procedimientos de acceso internos están diseñados para evitar el acceso de personas y/o sistemas no autorizados tenga acceso a los sistemas de tratamiento de los datos de los clientes, incluyendo datos personales. SiteGround tiene como objetivo diseñar sus sistemas para: (i) permitir únicamente a las personas autorizar acceder a los datos a los que están autorizados (ii) garantizar que los datos personales no pueden ser leídos, copiados, alterados o eliminados sin autorización durante el tratamiento, uso o después de grabarse. SiteGround utiliza un sistema de gestión de acceso para controlar el acceso de los empleados a los servidores de tratamiento, y solo proporciona acceso al personal autorizado. Los siguientes controles, entre otros, se aplican dependiendo de cada Servicios contratado: identificación vía contraseña y/o doble factor de identificación, claves SSH, procedimientos de autorización, procesos de gestión de cambios, el acceso a los centros de datos está restringido y protegido por Firewall/VLAN y registro de acceso a diferentes niveles. La autorización o la modificación de los derechos de acceso se base en: las funciones del personal autorizado, los requisitos necesarios para la realización de las tareas autorizadas y la base de la necesidad de acceso. La autorización o modificación de los derechos de acceso tiene que ser conforme a la política interna de acceso a datos de SiteGround.

Servicios de Control de Acceso

Los Clientes y los Usuarios Finales deben identificarse mediante un sistema de identificación para utilizar los Servicios. Cada aplicación comprueba las credenciales para permitir la visualización de los datos al Usuario Final autorizado.

Los siguientes controles, entre otros, se aplicarán dependiendo de los Servicios contratados: identificación vía contraseña y/o doble factor de identificación, claves SHH, procedimientos de autorización, procedimiento de gestión de cambios, registro de acceso en diferentes niveles. Dependiendo de los Servicios concretos se pueden aplicar los siguientes controles: los identificadores únicos se atribuyen a la persona responsable, mecanismo de denegación de acceso para el supuesto de intentos consecutivos fallidos de inicio de sesión y periodos de bloqueo, mecanismos de caducidad y restablecimiento de las contraseña, y requisitos de seguridad de la contraseña.

Control de Acceso a los Datos

SiteGround almacena los datos en un entorno multi-usuario, lo que significa que las distintas implementaciones de diferentes clientes se encuentran físicamente en el mismo hardware. Siteground utiliza el aislamiento técnico para segregar los datos de cada Cliente y separa técnicamente los datos de cada Cliente de los datos de otros clientes. Esto permite impedir que un cliente acceda a los datos de otro cliente.

El Cliente controla las funcionalidades para compartir el acceso a los datos del Usuario Final para fines específicos y de acuerdo con las funcionalidades de los Servicios. El Cliente puede decidir utilizar estos controles. SiteGround pone a disposición ciertas funcionalidades de registro.

El acceso directo a los datos del cliente está restringido, y en caso que fueran necesarios, los derechos de acceso se darán solamente al personal debidamente autorizado y respetando las políticas de acceso establecidas en las cláusulas precedentes.

Control de las Transmisiones

Los Centros del Datos normalmente están conectados mediante enlaces privados de alta velocidad para garantizar la seguridad y velocidad de las transferencias entre centros de datos. Están diseñados para evitar que los datos se puedan leer, copiar, alterar o eliminar sin autorización durante la transmisión electrónica, su transporte o mientras o mientras se graban en medios de almacenamiento de datos o se intercambian dentro del centro de datos.

Para los datos en tránsito, SiteGround utiliza protocolos de transporte estándar de la industria como SSL y TLS entre los dispositivos del Cliente y los Servicios y los centros de datos de SiteGround, y dentro de los mismos centros de datos. Salvo que se especifique lo contrario para los Servicios (incluidos dentro del Pedido, el Acuerdo aplicable o la documentación del Usuario de los Servicios), las transmisiones de datos fuera del entorno del Servicio están cifradas. Algunas funcionalidades de los Servicios pueden permitir al Cliente elegir comunicaciones no cifradas en el uso del Servicio. El cliente es el único responsable de los resultados  si decide utilizar comunicaciones o transmisiones sin cifrar. 

Control de Entradas

La fuente de Datos Personales está bajo el control del Cliente y la integración de Datos Personales en el sistema se gestiona mediante transferencia segura de archivos, a través de servicios web o incluida en la aplicación por parte del Cliente. Tal como se establece en el apartado Control de Transmisión anterior, algunas funcionalidades de los Servicios permiten a los Clientes utilizar protocolos de transferencia de archivos no cifrados. En tales casos, el Cliente es el único responsable si decide utilizar dichos protocolos de transferencia no cifrados. 

Los Servicios no introducirán ningún virus en los Datos del Cliente; sin embargo, los Servicios no buscan virus que puedan estar incluidos en los archivos adjuntos u otros Datos Personales cargados en los Servicios por el Cliente. Cualquiera de estos archivos adjuntos cargados no se ejecutará en los Servicios y, por lo tanto, no dañará ni comprometerá el Servicio.

Control de Red

SiteGround bloquea el tráfico no autorizado hacia y dentro de los centros de datos utilizando una variedad de tecnologías como cortafuegos, mecanismos NAT, redes de área local particionadas y separación física de los servidores de servicios de las interfaces públicas de los clientes. 

SiteGround emplea múltiples capas de dispositivos de red y detección de intrusiones para proteger su superficie de ataques externos. SiteGround considera posibles vectores de ataque e incorpora tecnologías diseñadas para tal propósito en sus sistemas externos.

SiteGround y el personal autorizado supervisarán los Servicios en busca de intrusiones no autorizadas utilizando mecanismos de detección de intrusiones basados en red. La detección de intrusiones tiene como objetivo poner en conocimiento posibles actividades de ataque en curso y proporcionar información adecuada para responder a los incidentes. La detección de intrusos por parte de SitGround implica un control estricto de la superficie de ataque de la comunicación de red a través de medidas preventivas, como firewalls, empleando controles inteligentes de detección en puntos de entrada de datos y empleando tecnologías que remedian automáticamente ciertas situaciones peligrosas.

Respuesta a Incidentes

SiteGround mantiene políticas y procedimientos de gestión de incidentes de seguridad y monitorea una variedad de canales de comunicación para incidentes de seguridad. El personal de SiteGround reaccionará con prontitud ante los incidentes conocidos y notificará de inmediato al Cliente en caso de que SiteGround tenga conocimiento de una divulgación no autorizada real, o una razonablemente sospechada, de Datos Personales.

Registros del Sistema

SiteGround garantiza que los sistemas de tratamiento utilizados para almacenar la información de registro de Datos del Cliente, registran dicha información en la respectiva utilidad de registro del sistema. . Las entradas de registro se guardan en caso de sospecha de acceso inadecuado  y se requiera un análisis. El registro se mantiene de forma segura para evitar manipulaciones.

Confiabilidad y copias de seguridad

Para los Servicios, SiteGround asegura que las copias de seguridad se realicen con regularidad. Las copias de seguridad están aseguradas mediante una combinación de controles técnicos y físicos. 

SiteGround garantiza que los sistemas donde se almacenan los Datos del Cliente tienen una instalación de recuperación en caso de desastres y se rigen bajo el plan de recuperación de desastres. En caso de que las instalaciones de producción dejen de estar disponibles, SiteGround ejecutará planes de recuperación para restaurar la operación de manera oportuna. SiteGround ha diseñado, planifica, y prueba regularmente sus planes de recuperación ante desastres.

Destrucción de Datos

Cuando los clientes eliminan datos o abandonan el Servicio, SiteGround garantiza que se eliminen los datos según los términos del Acuerdo correspondiente. Para ciertos discos, SiteGround sigue estándares estrictos que exigen la sobrescritura de los recursos de almacenamiento antes de la reutilización, así como la eliminación física del hardware desmantelado. Los centros de datos de producción del Subencargado de SiteGround emplean procedimientos estrictos para la reutilización, el redespliegue, la destrucción de datos y la retirada de los discos y el hardware.

Seguridad del Subencargado 

Antes de incorporar los Subencargados, SiteGround realiza una auditoría de las prácticas de seguridad y privacidad de los Subencargados para garantizar que los Subencargados brinden un nivel de seguridad y privacidad apropiados para el acceso a los datos y el alcance de los servicios para los que están contratados. Se requiere que el Subencargado cumpla las condiciones de seguridad, confidencialidad y privacidad adecuadas.

Cambios y Mejoras del Sistema

SiteGround puede mejorar e implementar cambios en los Servicios durante el plazo del Acuerdo. Los controles, procedimientos, políticas y características de seguridad pueden cambiar o incrementarse. SiteGround proporcionará controles de seguridad que brindan un nivel de protección de seguridad que no sea materialmente inferior que el proporcionado a partir de la Fecha de entrada en vigor 


Anexo 3: Lista de Subencargados 


Disponible bajo petición.

Cerrar