APÉNDICE I. Acuerdo sobre el tratamiento de datos

Este Acuerdo sobre el tratamiento de datos regula la forma en que ILOVEPDF trata los datos personales en nombre del Responsable del tratamiento de datos, de conformidad con el Reglamento (UE) 2016/679 (RGPD).

Este contrato de encargo del tratamiento (el "Contrato de Encargo del Tratamiento") constituye el encargo del tratamiento aplicable al tratamiento de datos personales que ILovePDF ("iLovePDF"), con CIF B66921552 y domicilio social en calle Sabino de Arana, 60, 08028 Barcelona, realiza por tu cuenta en relación con los datos personales que trate con motivo de lo dispuesto a continuación.

En este sentido, iLovePDF te proporcionará determinados servicios prestados mediante el software o programas de ordenador titularidad de iLovePDF. La utilización de estos servicios requerirá el acceso y tratamiento por parte de iLovePDF, como encargado del tratamiento (de ahora en adelante, el "encargado") de determinados datos personales respecto de los que tú actúas como responsable del tratamiento (de ahora en adelante, el "responsable").

Este Contrato de Encargo del Tratamiento forma parte de los Términos y Condiciones de iLovePDF y será de aplicación al aceptar los Términos y Condiciones. En caso de conflicto, oposición o contradicción entre los Términos y Condiciones y Contrato de Encargo del Tratamiento, el Contrato de Encargo del Tratamiento prevalecerá sobre los Términos y Condiciones.

Que, con el objeto de cumplir con lo dispuesto en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (el "RGPD"), el responsable y el encargado suscriben este Contrato de Encargo del Tratamiento, de conformidad con las siguientes



CLÁUSULAS

Cláusula 1

Finalidad y ámbito de aplicación

  1. La finalidad del Contrato de Encargo del Tratamiento es garantizar que se cumpla el artículo 28, apartados 3 y 4, del RGPD.
  2. El responsable y el encargado del tratamiento han dado su consentimiento a vincularse por el presente Contrato de Encargo del Tratamiento a fin de garantizar el cumplimiento del artículo 28, apartados 3 y 4, del RGPD.
  3. El presente Contrato de Encargo del Tratamiento se aplica al tratamiento de datos personales especificado en el anexo I.
  4. Los anexos I y II forman parte del Contrato de Encargo del Tratamiento.
  5. El presente pliego de cláusulas se entiende sin perjuicio de las obligaciones a las que esté sujeto el responsable en virtud del RGPD.
  6. El presente pliego de cláusulas no garantiza por sí mismo el cumplimiento de las obligaciones relativas a las transferencias internacionales contempladas en el capítulo V del RGPD.

Cláusula 2

Interpretación

  1. Cuando en el presente Contrato de Encargo del Tratamiento se utilizan términos definidos en el RGPD, se entiende que tienen el mismo significado que en el RGPD.
  2. El presente Contrato de Encargo del Tratamiento deberá leerse e interpretarse con arreglo a las disposiciones del RGPD.
  3. No se podrán realizar interpretaciones del presente Contrato de Encargo del Tratamiento que entren en conflicto con los derechos y obligaciones establecidos en el RGPD y/o que perjudiquen los derechos o libertades fundamentales de los interesados.

Cláusula 3

Jerarquía

En caso de contradicción entre el presente Contrato de Encargo del Tratamiento y las disposiciones de acuerdos conexos entre las partes que estuvieren en vigor en el momento en que se pactare o comenzare a aplicarse el presente pliego de cláusulas, prevalecerá el presente Contrato de Encargo del Tratamiento.


Cláusula 4

Descripción del tratamiento o tratamientos

En el anexo I se especifican los pormenores de las operaciones de tratamiento y, en particular, las categorías de datos personales y los fines para los que se tratan los datos personales por cuenta del responsable.

Cláusula 5

Obligaciones de las partes

5.1. Instrucciones

  1. El encargado tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable, salvo que esté obligado a ello en virtud del Derecho de la Unión o de los Estados miembros que se aplique al encargado. En tal caso, el encargado informará al responsable de esa exigencia legal previa al tratamiento, salvo que tal Derecho lo prohíba por razones importantes de interés público. El responsable también podrá dar instrucciones ulteriores en cualquier momento del período de tratamiento de los datos personales. Dichas instrucciones deberán estar siempre documentadas.
  2. El encargado informará inmediatamente al responsable si las instrucciones dadas por el responsable infringen, a juicio del encargado, el RGPD o las disposiciones aplicables del Derecho de la Unión o de los Estados miembros en materia de protección de datos.

5.2. Limitación de la finalidad

El encargado tratará los datos personales únicamente para los fines específicos del tratamiento indicados en el anexo I, salvo cuando siga instrucciones adicionales del responsable.

5.3. Duración del tratamiento de datos personales

El tratamiento por parte del encargado solo se realizará durante el período especificado en el anexo I.

5.4. Seguridad del tratamiento

  1. El encargado aplicará, como mínimo, las medidas técnicas y organizativas especificadas en el anexo II para garantizar la seguridad de los datos personales. Una de estas medidas podrá consistir en la protección contra violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales, o la comunicación o acceso no autorizados a dichos datos («violación de la seguridad de los datos personales»). A la hora de determinar un nivel adecuado de seguridad, las partes tendrán debidamente en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y los fines del tratamiento, y los riesgos que entraña el tratamiento para los interesados.
  2. El encargado solo concederá acceso a los datos personales tratados a los miembros de su personal en la medida en que sea estrictamente necesario para la ejecución, la gestión y el seguimiento del contrato. El encargado garantizará que las personas autorizadas para tratar los datos personales recibidos se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria.

5.5. Datos sensibles

Si el tratamiento afecta a datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, datos genéticos o datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física, o datos relativos a condenas e infracciones penales («datos sensibles»), el encargado aplicará restricciones específicas y/o garantías adicionales.

5.6. Documentación y cumplimiento

  1. Las partes deberán poder demostrar el cumplimiento del presente Contrato de Encargo del Tratamiento.
  2. El encargado resolverá con presteza y de forma adecuada las consultas del responsable relacionadas con el tratamiento con arreglo al presente Contrato de Encargo del Tratamiento.
  3. El encargado pondrá a disposición del responsable o de un tercero independiente toda la información necesaria para demostrar el cumplimiento de las obligaciones contempladas en el presente Contrato de Encargo del Tratamiento y que deriven directamente del RGPD. A instancia del responsable, el encargado permitirá y contribuirá a la realización de auditorías de las actividades de tratamiento cubiertas por el presente Contrato de Encargo del Tratamiento. Las auditorías se limitarán material y temporalmente a lo estrictamente necesario para que el responsable pueda hacer las comprobaciones precisas en caso de sospecha – debidamente justificada previamente por escrito – de incumplimiento de cualquiera de los extremos del presente Contrato de Encargo del Tratamiento por parte del encargado. En cualquier caso, las auditorías tendrán por objeto exclusivo la comprobación de las circunstancias del incumplimiento, estarán limitadas a un máximo de una (1) auditoría al año y deberán preavisarse con al menos un (1) mes de antelación. En cualquier caso, las auditorías serán realizadas a costa del responsable del tratamiento.
  4. Las partes pondrán a disposición de las autoridades de control competentes, a instancia de estas, la información a que se refiere la presente cláusula y, en particular, los resultados de las auditorías.

5.7. Recurso a subencargados

  1. El encargado cuenta con una autorización general del responsable para contratar a subencargados. El encargado del tratamiento proporcionará al responsable la información necesaria para que pueda ejercer su derecho a formular objeción.
  2. Cuando el encargado contrate a un subencargado para llevar a cabo actividades de tratamiento específicas (por cuenta del responsable), lo hará por medio de un contrato que imponga al subencargado, en esencia, las mismas obligaciones en materia de protección de datos que las impuestas al encargado en virtud del presente pliego de cláusulas. El encargado se asegurará de que el subencargado cumpla las obligaciones a las que esté sujeto en virtud del presente Contrato de Encargo del Tratamiento y del RGPD.
  3. El encargado seguirá siendo plenamente responsable ante el responsable del cumplimiento de las obligaciones que imponga al subencargado su contrato con el encargado. El encargado notificará al responsable los incumplimientos por parte del subencargado de las obligaciones que le atribuya dicho contrato.

5.8. Transferencias internacionales

  1. Las transferencias de datos a un tercer país o a una organización internacional por parte del encargado se llevarán a cabo de conformidad con el capítulo V del RGPD.
  2. El responsable se aviene a que, cuando el encargado recurra a un subencargado de conformidad con la cláusula 5.7 para llevar a cabo actividades de tratamiento específicas (por cuenta del responsable) y dichas actividades conlleven una transferencia de datos personales en el sentido del capítulo V del RGPD, el encargado y el subencargado puedan garantizar el cumplimiento del capítulo V del RGPD mediante: (i) la transferencia de datos personales a países respecto de los cuales la Comisión Europea haya adoptado una decisión de adecuación de conformidad con el artículo 45 del RGPD; o (ii) la utilización de cláusulas contractuales tipo adoptadas por la Comisión con arreglo al artículo 46, apartado 2, del RGPD, siempre que se cumplan las condiciones para la utilización de dichas cláusulas contractuales tipo. Como norma general, y salvo que el responsable lo haya seleccionado otro modo, el encargado tratará los datos personales dentro del Espacio Económico Europeo. Sin perjuicio de lo anterior, y en el caso de responsables ubicados fuera del Espacio Económico Europeo, con el fin de optimizar el rendimiento y la eficiencia de nuestros servicios, el encargado podrá tratar los datos personales en áreas geográficas más cercanas a la ubicación del responsable, siempre que se implementen las garantías anteriormente mencionadas.
  3. Asimismo, si hubiera una comunicación de datos personales del encargado al responsable que conllevara una transferencia de datos personales en el sentido del capítulo V del RGPD, el encargado y el responsable suscribirán las cláusulas contractuales tipo (módulo 4) que se adjuntan como Apéndice II.

Cláusula 6

Ayuda al responsable del tratamiento

  1. El encargado notificará con presteza al responsable las solicitudes que reciba del interesado. No responderá a dicha solicitud por sí mismo, a menos que el responsable le haya autorizado a hacerlo.
  2. El encargado remitirá al responsable las solicitudes de ejercicio de derechos de los interesados que reciba y cuya respuesta corresponda al responsable por referirse a datos personales de los que el responsable actúa como responsable del tratamiento.
  3. Además de la obligación del encargado de ayudar al responsable en virtud de la cláusula 6, letra b), el encargado también ayudará al responsable a garantizar el cumplimiento de las obligaciones siguientes teniendo en cuenta la naturaleza del tratamiento y la información de que disponga el encargado:
    1. la obligación de realizar una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales («evaluación de impacto») cuando sea probable que un tipo de tratamiento suponga un alto riesgo para los derechos y libertades de las personas físicas;
    2. la obligación de consultar a las autoridades de control competentes antes de proceder al tratamiento cuando una evaluación de impacto relativa a la protección de los datos muestre que el tratamiento entrañaría un alto riesgo si el responsable no toma medidas para mitigarlo;
    3. la obligación de garantizar que los datos personales sean exactos y estén actualizados, informando sin demora al responsable si el encargado descubre que los datos personales que está tratando son inexactos o han quedado obsoletos;
    4. las obligaciones contempladas en el artículo 32 del RGPD.
  4. Las partes establecerán en el anexo II medidas técnicas y organizativas apropiadas que obliguen al encargado a ayudar al responsable a aplicar la presente cláusula, así como el objeto y el alcance de la ayuda requerida.



Cláusula 7

Notificación de violaciones de la seguridad de los datos personales

  1. En caso de violación de la seguridad de los datos personales, el encargado colaborará con el responsable y le ayudará a cumplir las obligaciones que le atribuyen los artículos 33 y 34 del RGPD, teniendo en cuenta la naturaleza del tratamiento y la información de que disponga el encargado.
  2. En caso de violación de la seguridad de datos personales tratados por el encargado por cuenta del responsable, el encargado lo notificará al responsable sin dilación indebida una vez que el encargado tenga constancia de ella. Dicha notificación deberá incluir como mínimo:
    1. una descripción de la naturaleza de la violación de la seguridad (inclusive, cuando sea posible, las categorías y el número aproximado de interesados y de registros de datos afectados);
    2. los datos de un punto de contacto en el que pueda obtenerse más información sobre la violación de la seguridad de los datos personales;
    3. sus consecuencias probables y las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad, incluyendo las medidas adoptadas para mitigar los posibles efectos negativos.
  3. Cuando y en la medida en que no se pueda proporcionar toda la información al mismo tiempo, en la notificación inicial se proporcionará la información de que se disponga en ese momento y, a medida que se vaya recabando, la información adicional se irá proporcionando sin dilación indebida.

ANEXO I: DESCRIPCIÓN DEL TRATAMIENTO

Categorías de interesados cuyos datos personales se tratan
Aquellas categorías de interesados cuyos datos se contengan en los archivos que el responsable suba al utilizar los servicios prestados por iLovePDF (por ejemplo, empleados, clientes, proveedores, etcétera).

Categorías de datos personales tratados
Aquellas categorías de datos personales que se incluyan en los archivos que el responsable suba al utilizar los servicios prestados por iLovePDF.

Datos sensibles tratados (si procede) y restricciones o garantías aplicadas que tengan plenamente en cuenta la naturaleza de los datos y los riesgos que entrañan, como, por ejemplo, la limitación estricta de la finalidad, restricciones de acceso (incluido el acceso exclusivo del personal que haya hecho un curso especializado), un registro del acceso a los datos, restricciones a transferencias ulteriores o medidas de seguridad adicionales.
Se tratarán categorías especiales de datos personales en la medida en que los archivos que el responsable suba al utilizar los servicios prestados por iLovePDF contengan dichas categorías especiales de datos personales.

Naturaleza del tratamiento
El encargado llevará a cabo todas aquellas acciones que sean necesarias para prestar los servicios (por ejemplo, conversión, edición y compresión del documento que contiene los datos personales).

Finalidad(es) del tratamiento de los datos personales por cuenta del responsable del tratamiento
Prestar los servicios por parte de iLovePDF.

Duración del tratamiento
En la medida en que sea estrictamente necesario para prestar los servicios.

Subencargados y tipo de servicios prestados
En el marco de la prestación de sus servicios, iLovePDF utiliza proveedores de servicios externos que actúan en calidad de subencargados del tratamiento de datos personales. Entre ellos, ILOVEPDF cuenta con Cloudscale, Digital Ocean, Hetzner, OVHcloud y Vultr, como proveedores de soluciones de alojamiento web y computación en la nube, que prestan servicios de infraestructura tecnológica para garantizar el tratamiento seguro, el almacenamiento temporal de los datos y la continuidad operativa de la plataforma.

Para más información sobre los subencargados de ILOVEPDF puede acceder aquí.

Los subencargados actúan conforme a las instrucciones de ILOVEPDF, aplicando medidas técnicas y organizativas adecuadas para garantizar la protección de los datos personales de conformidad con el Reglamento (UE) 2016/679 (RGPD) y demás normativas aplicables en materia de protección de datos.

ANEXO II: MEDIDAS TÉCNICAS Y ORGANIZATIVAS, EN ESPECIAL MEDIDAS TÉCNICAS Y ORGANIZATIVAS PARA GARANTIZAR LA SEGURIDAD DE LOS DATOS

El encargado aplicará las siguientes medidas técnicas y organizativas de seguridad a las actividades de tratamiento realizadas bajo el presente Contrato de Encargo del Tratamiento:

  • Medidas técnicas de protección contra la interceptación, copia, modificación, errores de enrutamiento y destrucción de la información transferida.
  • Procedimientos técnicos y políticas internas para detectar, proteger y mitigar aplicaciones maliciosas (malware) que pudieran transmitirse a través de comunicaciones electrónicas.
  • Protección técnica de la información sensible cuando se transmite como archivos adjuntos.
  • Política interna sobre el uso aceptable de los recursos de comunicación.
  • Medidas organizativas para garantizar la responsabilidad de todos los usuarios (personal y terceros) con acceso autorizado a los recursos del encargado respecto de la propia información.
  • Uso de técnicas criptográficas para proteger la confidencialidad, integridad y autenticidad de la información.
  • Directrices organizativas para la conservación y eliminación de toda la correspondencia comercial, incluidos los mensajes, de conformidad con las leyes y normativas nacionales y locales pertinentes.
  • Información recurrente y establecimiento de políticas internas destinadas al personal respecto a la no divulgación de información confidencial, con fines como: no dejar mensajes que contengan información sensible en los contestadores automáticos, no tener conversaciones confidenciales en lugares públicos, no utilizar canales de comunicación inseguros, no tener conversaciones confidenciales en oficinas abiertas, etc.

Fecha última modificación: jueves, 19 de febrero de 2026

¡Uy! Algo falla con tu conexión de internet...