Encargo del tratamiento
1. Objeto y duración
El encargado del tratamiento (Simon Kappelmeir – Dienstleistung, Weiherbachweg 6, 82216 Maisach, Alemania, support@horticum.com) pone a disposición del responsable el software „Horticum" como aplicación SaaS y trata datos personales exclusivamente por cuenta del responsable conforme al art. 28 RGPD. El presente Acuerdo de tratamiento de datos (DPA) entra en vigor con la celebración del contrato principal (contrato de uso de la app) y finaliza automáticamente con su terminación. El tratamiento se realiza exclusivamente en la UE/EEE o en terceros países cubiertos por una decisión de adecuación o por cláusulas contractuales tipo (SCC).
2. Naturaleza y finalidad del tratamiento
La finalidad del tratamiento es la prestación de las funciones de la aplicación, en particular: • Planificación de bancales, planificación de cultivos, gestión de tareas y plan diario • Registro horario y gestión de ausencias de empleados • Documentación fitosanitaria y de fertilización • Libro de primeros auxilios (conforme a DGUV) • Gestión de contactos (clientes, proveedores, personas de contacto) • Impresión de etiquetas y listas (suscripción Pro+) • Sincronización entre dispositivos • Gestión de cuenta y suscripción
3. Tipos de datos personales
• Datos maestros y de comunicación (nombre, dirección, teléfono, e-mail) • Datos de acceso/cuenta (e-mail, hash de contraseña, token de sesión, direcciones IP) • Datos maestros de empresa (NIF, CIF/IVA, IBAN/BIC) • Datos operativos de planificación y control • Datos de registro horario y ausencias • Categorías especiales conforme al art. 9 RGPD: datos de salud de empleados en el libro digital de primeros auxilios (conservación legal de 5 años según DGUV Regla 1) • Datos de aplicación de productos fitosanitarios (cualificación, nombres de los aplicadores — según § 11 PflSchG, 3 años) • Datos de fertilización (según DüV)
4. Categorías de interesados
• Propietario o dirección del responsable • Empleados y aprendices del responsable • Clientes, proveedores y personas de contacto del responsable • Clientes finales del responsable (si están almacenados en la gestión de contactos)
5. Obligaciones del encargado del tratamiento
El encargado se compromete a tratar los datos personales exclusivamente en el marco del presente acuerdo y conforme a las instrucciones documentadas del responsable (art. 28.3.a RGPD). Todas las personas que intervienen en el tratamiento están obligadas a la confidencialidad (art. 28.3.b, art. 29, art. 32.4 RGPD). El encargado asiste al responsable en la garantía de los derechos de los interesados (art. 12–22 RGPD) y en el cumplimiento de las obligaciones de los art. 32–36 RGPD (evaluación de impacto, consulta previa, notificación de brechas). Las solicitudes manifiestamente dirigidas al responsable se reenvían sin dilación. Persona de contacto en materia de protección de datos: Simon Kappelmeir, support@horticum.com. El nombramiento de un delegado de protección de datos no es actualmente obligatorio por ley.
6. Medidas técnicas y organizativas (TOM)
El encargado adopta todas las medidas técnicas y organizativas necesarias conforme al art. 32 RGPD, en particular: • Control de acceso físico: alojamiento en un centro de datos certificado en Alemania (ISO 27001), control físico y vigilancia 24/7 • Control de acceso al sistema: autenticación e-mail/contraseña, hashes Argon2id/Bcrypt, clave SSH para administrador, limitación de intentos, expiración de sesión • Control de acceso a los datos: separación de inquilinos por empresa mediante equipos de Appwrite, modelo de permisos basado en roles • Control de transmisión: exclusivamente TLS 1.2+ (HTTPS), HSTS activado • Control de entrada: pista de auditoría (createdAt, updatedAt) en todos los registros relevantes • Control del encargo: DPA con todos los subencargados • Control de disponibilidad: copias de seguridad diarias (retención 14 días), monitorización, RTO/RPO < 24 h, cortafuegos, actualizaciones de seguridad periódicas • Control de separación: entornos separados test/desarrollo/producción, separación de inquilinos a nivel de base de datos • Seudonimización: ID internos de cuenta en lugar de nombres reales en los logs del servidor
7. Subencargados del tratamiento
Con la celebración del presente acuerdo, el responsable otorga autorización general para la utilización de los siguientes subencargados (art. 28.2 RGPD): • dogado GmbH (Dortmund, DE) — alojamiento web/correo, proxy de servidor para validación VIES • dogado GmbH o proveedor equivalente (DE) — explotación del servidor Appwrite en Alemania • Stripe Payments Europe Ltd. (Dublín, IE) — procesamiento de pagos para suscripciones Pro/Pro+ (para transferencias a EE. UU.: SCC + DPF) • Apple Distribution International Ltd. (Cork, IE) — procesamiento de pagos iOS/macOS mediante In-App Purchase • fintectura GmbH / openiban.com (Berlín, DE) — validación IBAN • Comisión Europea, DG TAXUD (Bruselas, BE) — verificación VIES de IVA • komoot GmbH (Karlsruhe, DE) — geocodificación Photon • zippopotam.us — búsqueda de código postal → localidad El encargado informa al responsable en forma textual con al menos 30 días de antelación sobre cualquier cambio previsto. El responsable puede oponerse dentro de 14 días por motivos importantes de protección de datos. El encargado responde del cumplimiento de las obligaciones de protección de datos por parte de los subencargados (art. 28.4 RGPD).
8. Evaluación de impacto y consulta previa
El encargado asiste al responsable, en la medida de sus posibilidades, en la realización de una evaluación de impacto sobre la protección de datos (art. 35 RGPD) y de una consulta previa a la autoridad de control (art. 36 RGPD), en particular proporcionando la información necesaria sobre las operaciones de tratamiento, TOM y subencargados.
9. Notificación de brechas
Las brechas de seguridad de los datos personales se comunican al responsable sin dilación, a más tardar dentro de las 48 horas siguientes a su conocimiento, por correo electrónico a la dirección de contacto registrada — para que el responsable pueda cumplir su propio plazo de 72 horas del art. 33 RGPD. La notificación contiene la naturaleza y el alcance de la violación, las categorías de datos y el número aproximado de interesados afectados, las posibles consecuencias y las medidas adoptadas o propuestas.
10. Terminación del tratamiento
A la terminación del contrato principal, el encargado suprime todos los datos personales del responsable en un plazo de 30 días, salvo que exista una obligación legal de conservación. A petición del responsable, los datos se ponen previamente a disposición en un formato legible por máquina (exportación JSON). Los datos sujetos a conservación legal (registros de primeros auxilios: 5 años según DGUV; datos fitosanitarios: 3 años según PflSchG) se mantienen bloqueados hasta el vencimiento del plazo y a continuación se suprimen. La supresión se confirma por escrito cuando se solicite.
11. Pruebas y auditoría
El responsable puede verificar el cumplimiento del presente acuerdo por parte del encargado (art. 28.3.h RGPD). La verificación se realiza prioritariamente mediante la solicitud de pruebas actualizadas (concepto de protección de datos, TOM, lista de subencargados, informes de auditoría). Las inspecciones in situ son posibles una vez al año durante el horario laboral habitual, previa programación con al menos 4 semanas de antelación. El tiempo de acompañamiento se reembolsa según una tarifa horaria acordada previamente.
12. Disposiciones finales
Las modificaciones y los complementos del presente acuerdo requieren forma textual; esto se aplica también a la supresión de esta cláusula. En caso de que disposiciones individuales sean ineficaces, la eficacia de las disposiciones restantes no se verá afectada. La disposición ineficaz será sustituida por una disposición eficaz que más se acerque a la finalidad económica. Se aplica el derecho alemán. El fuero competente es — en la medida en que la ley lo permita — Maisach (sede del encargado). La responsabilidad se rige por el art. 82 RGPD y, en lo restante, por el contrato principal.