Acuerdo de Encargo de Tratamiento de Datos (DPA)

Fecha de entrada en vigor: 11/5/2025 · Versión: DPA-BLK-20251105

1. Partes

Este Acuerdo de Encargo de Tratamiento (DPA) se celebra entre: (a) el Responsable, esto es, la persona física o jurídica que crea una cuenta y utiliza Blokeno para sus fines profesionales o empresariales (“Cliente”); y (b) el Encargado, Blokeno (operado por Román Zukov, autónomo), que trata datos personales por cuenta del Cliente para prestar el servicio.

2. Objeto

Regular el tratamiento de datos personales por parte del Encargado por cuenta del Responsable con la finalidad de prestar el servicio Blokeno de gestión documental CAE.

3. Duración

Este DPA estará vigente mientras el Cliente mantenga activo el servicio y hasta la supresión o devolución de los datos según lo previsto en este documento.

4. Naturaleza y finalidad del tratamiento

Alojamiento, organización, visualización, notificaciones y descarga de documentación CAE; generación de informes; auditoría de accesos; y comunicaciones operativas necesarias para la prestación del servicio.

5. Tipos de datos y categorías de interesados

  • Datos de contacto e identificación profesional (p. ej., nombre, email, empresa, cargo).
  • Datos contenidos en documentación CAE (pólizas, certificados de formación/PRL, seguros, etc.).
  • Interesados: personal del Cliente con acceso; empleados y colaboradores de proveedores del Cliente.
  • El Cliente evitará categorías especiales (art. 9 RGPD) salvo necesidad y base legal expresa documentada.

6. Obligaciones del Encargado

  • Tratar los datos únicamente siguiendo instrucciones documentadas del Responsable.
  • Garantizar la confidencialidad del personal autorizado.
  • Aplicar las medidas técnicas y organizativas adecuadas (ver Anexo I).
  • Asistir al Responsable en la atención de derechos y, cuando proceda, en evaluaciones de impacto.
  • Notificar sin dilación indebida cualquier violación de seguridad que afecte a datos personales.
  • Suprimir o devolver los datos a la finalización del servicio, salvo conservación legal.
  • Poner a disposición la información necesaria para demostrar el cumplimiento y permitir auditorías razonables.

7. Obligaciones del Responsable

  • Determinar las finalidades y bases jurídicas del tratamiento y aportar instrucciones lícitas al Encargado.
  • Informar a los interesados y, cuando proceda, recabar su consentimiento.
  • No introducir en el servicio datos que no cuenten con base legal adecuada.

8. Subencargados

El Cliente autoriza de forma general el uso de subencargados esenciales (p. ej., hosting, base de datos, almacenamiento de archivos, comunicaciones, pagos). El Encargado mantendrá un registro actualizado disponible a solicitud del Cliente y garantizará obligaciones equivalentes a este DPA.

9. Transferencias internacionales

Cualquier transferencia fuera del EEE se realizará con garantías adecuadas (p. ej., Cláusulas Contractuales Tipo de la UE, ubicaciones en la UE cuando sea posible y medidas técnicas complementarias), informando al Cliente cuando aplique.

10. Seguridad

El Encargado implementará medidas técnicas y organizativas proporcionadas al riesgo descritas en el Anexo I, que podrán actualizarse sin reducir el nivel de protección.

11. Incidencias y brechas

El Encargado notificará sin dilación indebida cuando tenga constancia de una brecha que afecte a datos personales, facilitando información suficiente para que el Responsable pueda cumplir sus obligaciones legales de notificación.

12. Devolución y supresión

A la terminación, previa solicitud dentro de 30 días, el Encargado facilitará una exportación razonable de los datos. Transcurrido ese plazo, los datos se suprimirán de sistemas activos y copias de seguridad conforme a ciclos estándar, salvo conservación legal.

13. Auditorías y cooperación

El Encargado pondrá a disposición del Responsable la información necesaria para demostrar el cumplimiento y permitirá auditorías razonables, previa solicitud y con preaviso adecuado, sin perjuicio de la confidencialidad y seguridad del servicio.

14. Responsabilidad

Cada parte responderá de sus propias infracciones. Cuando el Encargado actúe siguiendo instrucciones lícitas y documentadas, la responsabilidad frente a terceros corresponderá al Responsable.

15. Ley aplicable y jurisdicción

Este DPA se rige por la legislación española. Salvo norma imperativa, las partes se someten a los juzgados y tribunales de A Coruña.

16. Aceptación y versiones

El Cliente acepta este DPA mediante click-wrap al completar el registro o activar el servicio. Blokeno conservará evidencia de la aceptación (fecha/hora, IP, user-agent y versión de este DPA).

Si el Cliente necesita una copia firmada bilateralmente, puede solicitarla en support@blokeno.com. En ese caso se firmará una copia idéntica a esta versión pública añadiendo los datos del Cliente (razón social y NIF), sin modificar su contenido sustancial.

Versión del DPA: DPA-BLK-20251105

Anexo I — Medidas técnicas y organizativas

  • Control de acceso por roles; credenciales seguras; MFA opcional.
  • Cifrado en tránsito (TLS 1.2+) y cifrado en reposo cuando el proveedor lo permite.
  • Segregación de entornos (dev/preprod/prod) y principio de mínimo privilegio.
  • Registro y monitorización razonable de eventos y accesos.
  • Copias de seguridad y pruebas periódicas de restauración.
  • Gestión de vulnerabilidades y actualización de dependencias.
  • Retención limitada y borrado seguro al finalizar la finalidad.
  • Acuerdos de confidencialidad con personal y subencargados.