Skip to content
DPA

Acuerdo de Tratamiento de Datos

Las condiciones del artículo 28 del RGPD en virtud de las cuales Alpha Analytics s.r.o. trata datos personales por cuenta de sus clientes al prestar los servicios de Carsdata.com.

Última actualización9 de junio de 2026

Ámbito de aplicación y funciones de las partes

El presente Acuerdo de Tratamiento de Datos (el «DPA») forma parte del acuerdo entre el cliente (el «Responsable del tratamiento») y Alpha Analytics s.r.o. (el «Encargado del tratamiento») para el uso de los servicios de Carsdata.com (los «Servicios»). Regula el tratamiento de datos personales que el Encargado del tratamiento lleva a cabo por cuenta del Responsable del tratamiento y se aplica siempre que dicho tratamiento esté sujeto al Reglamento (UE) 2016/679 (el «RGPD»).

El Responsable del tratamiento determina los fines y los medios del tratamiento de datos personales y es responsable de la licitud de dicho tratamiento. El Encargado del tratamiento trata los datos personales únicamente por cuenta del Responsable del tratamiento y siguiendo sus instrucciones documentadas. Cuando el Encargado del tratamiento determine los fines y los medios del tratamiento para sus propias actividades, actuará como responsable del tratamiento y dicho tratamiento se regirá por la Política de Privacidad y no por el presente DPA.

En caso de conflicto entre el presente DPA y el resto del acuerdo entre las partes en relación con el tratamiento de datos personales, prevalecerá el presente DPA.

Definiciones

Los términos como «datos personales», «tratamiento», «responsable del tratamiento», «encargado del tratamiento», «subencargado del tratamiento», «interesado», «violación de la seguridad de los datos personales» y «autoridad de control» tienen el significado que les atribuye el RGPD. Por «legislación aplicable en materia de protección de datos» se entiende el RGPD y cualesquiera otras leyes de protección de datos o de privacidad aplicables al tratamiento de datos personales en virtud del acuerdo.

Objeto, duración, naturaleza y finalidad del tratamiento

El objeto del tratamiento es la prestación de los Servicios. El Encargado del tratamiento trata los datos personales durante la vigencia del acuerdo y durante el tiempo posterior que sea necesario para cumplir sus obligaciones legales o según se establezca de otro modo en el presente DPA.

La naturaleza y la finalidad del tratamiento consisten en la operación y prestación de los Servicios al Responsable del tratamiento, incluidos el alojamiento, el almacenamiento, el análisis y las operaciones técnicas necesarias para poner los Servicios a disposición. El Encargado del tratamiento trata las categorías de datos personales e interesados que el Responsable del tratamiento envía a los Servicios, o pone a disposición a través de ellos —normalmente los datos de identificación y de contacto de los representantes y usuarios autorizados del Responsable del tratamiento, y cualesquiera datos personales contenidos en los registros que el Responsable del tratamiento decida tratar a través de los Servicios.

Obligaciones del Encargado del tratamiento

El Encargado del tratamiento se compromete a:

  • tratar los datos personales únicamente siguiendo las instrucciones documentadas del Responsable del tratamiento, inclusive en lo que respecta a las transferencias de datos personales a un tercer país, salvo que esté obligado a ello por ley —en cuyo caso el Encargado del tratamiento informará al Responsable del tratamiento de dicho requisito legal antes del tratamiento, salvo que la ley prohíba dicha información por razones importantes de interés público;
  • informar inmediatamente al Responsable del tratamiento si, en su opinión, una instrucción infringe la legislación aplicable en materia de protección de datos;
  • garantizar que las personas autorizadas para tratar los datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación legal de confidencialidad adecuada;
  • aplicar y mantener las medidas de seguridad técnicas y organizativas descritas en el presente DPA;
  • respetar las condiciones para la contratación de subencargados del tratamiento establecidas en el presente DPA;
  • asistir al Responsable del tratamiento, teniendo en cuenta la naturaleza del tratamiento, en la respuesta a las solicitudes de los interesados que ejerzan sus derechos;
  • asistir al Responsable del tratamiento en el cumplimiento de sus obligaciones relativas a la seguridad del tratamiento, la notificación de violaciones, las evaluaciones de impacto relativas a la protección de datos y la consulta previa, teniendo en cuenta la naturaleza del tratamiento y la información a disposición del Encargado del tratamiento;
  • a elección del Responsable del tratamiento, suprimir o devolver todos los datos personales tras la finalización de la prestación de los Servicios, y suprimir las copias existentes salvo que la ley exija su conservación;
  • poner a disposición del Responsable del tratamiento la información necesaria para demostrar el cumplimiento de las obligaciones de un encargado del tratamiento, y permitir y contribuir a las auditorías según se establece en el presente DPA.

Obligaciones del Responsable del tratamiento

El Responsable del tratamiento es responsable de garantizar que dispone de una base jurídica válida para el tratamiento de datos personales a través de los Servicios, que ha facilitado cualesquiera informaciones y obtenido cualesquiera consentimientos requeridos de los interesados, y que sus instrucciones al Encargado del tratamiento cumplen la legislación aplicable en materia de protección de datos. El Responsable del tratamiento no debe enviar a través de los Servicios ningún dato personal que no esté facultado para tratar.

Confidencialidad

El Encargado del tratamiento trata todos los datos personales como confidenciales y garantiza que el acceso se limite al personal que lo necesite para prestar los Servicios. Dicho personal está sujeto a obligaciones de confidencialidad por escrito y recibe formación adecuada en materia de protección de datos y seguridad.

Seguridad del tratamiento

Teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como el riesgo para los derechos y libertades de los interesados, el Encargado del tratamiento aplica medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, de conformidad con el artículo 32 del RGPD. Estas medidas se describen en el resumen de Seguridad e incluyen, según proceda, el cifrado de los datos personales, la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas de tratamiento, la capacidad de restaurar la disponibilidad y el acceso de manera oportuna tras un incidente, y un proceso para verificar y evaluar periódicamente la eficacia de dichas medidas.

Subencargados del tratamiento

El Responsable del tratamiento otorga al Encargado del tratamiento una autorización general para contratar subencargados del tratamiento que respalden la prestación de los Servicios (por ejemplo, proveedores de infraestructura y almacenamiento en la nube). El Encargado del tratamiento mantiene una lista actualizada de subencargados del tratamiento e informa al Responsable del tratamiento de cualquier cambio previsto relativo a la incorporación o sustitución de subencargados del tratamiento, dando al Responsable del tratamiento la oportunidad de oponerse por motivos razonables de protección de datos.

El Encargado del tratamiento impone a cada subencargado del tratamiento, mediante contrato, obligaciones de protección de datos no menos protectoras que las establecidas en el presente DPA, y sigue siendo plenamente responsable ante el Responsable del tratamiento del cumplimiento de las obligaciones de cada subencargado del tratamiento.

Asistencia con los derechos de los interesados

Teniendo en cuenta la naturaleza del tratamiento, el Encargado del tratamiento asiste al Responsable del tratamiento, mediante medidas técnicas y organizativas apropiadas y en la medida de lo posible, en el cumplimiento de la obligación del Responsable del tratamiento de responder a las solicitudes de los interesados que ejerzan sus derechos de acceso, rectificación, supresión, limitación, portabilidad y oposición. Cuando el Encargado del tratamiento reciba una solicitud directamente de un interesado, la trasladará sin dilación indebida al Responsable del tratamiento y no la responderá por sí mismo salvo que el Responsable del tratamiento le instruya para ello.

Notificación de violaciones de la seguridad de los datos personales

El Encargado del tratamiento notifica al Responsable del tratamiento sin dilación indebida tras tener conocimiento de una violación de la seguridad de los datos personales que afecte a datos personales tratados por cuenta del Responsable del tratamiento. La notificación incluye, en la medida en que esté disponible, una descripción de la naturaleza de la violación, las consecuencias probables, las medidas adoptadas o propuestas para hacerle frente y un punto de contacto para obtener más información. El Encargado del tratamiento asiste al Responsable del tratamiento en el cumplimiento de sus propias obligaciones de notificación y comunicación de violaciones a las autoridades de control y a los interesados.

Evaluaciones de impacto relativas a la protección de datos

El Encargado del tratamiento presta una asistencia razonable al Responsable del tratamiento con cualesquiera evaluaciones de impacto relativas a la protección de datos y consultas previas a las autoridades de control que el Responsable del tratamiento considere razonablemente necesarias en virtud de los artículos 35 o 36 del RGPD, en cada caso únicamente en relación con el tratamiento de datos personales por parte del Encargado del tratamiento por cuenta del Responsable del tratamiento y teniendo en cuenta la información a disposición del Encargado del tratamiento.

Transferencias internacionales de datos

El Encargado del tratamiento trata y almacena principalmente los datos personales dentro de la Unión Europea / el Espacio Económico Europeo. El Encargado del tratamiento no transfiere datos personales a un país situado fuera del EEE que no se beneficie de una decisión de adecuación salvo que haya establecido un mecanismo de transferencia apropiado reconocido en virtud del RGPD, como las Cláusulas Contractuales Tipo de la Comisión Europea, junto con cualesquiera medidas complementarias necesarias para garantizar un nivel de protección adecuado.

Auditorías e inspecciones

El Encargado del tratamiento pone a disposición del Responsable del tratamiento la información razonablemente necesaria para demostrar el cumplimiento del presente DPA y permite y contribuye a las auditorías, incluidas las inspecciones, realizadas por el Responsable del tratamiento o por un auditor mandatado por él. Las auditorías se realizan con un preaviso razonable, durante el horario laboral normal, no más de una vez al año (salvo cuando lo exija una autoridad de control o tras una violación de la seguridad de los datos personales), y de un modo que no perturbe las operaciones del Encargado del tratamiento ni comprometa la confidencialidad de los datos de otros clientes. El Encargado del tratamiento puede atender las solicitudes de auditoría proporcionando informes de auditoría o certificaciones pertinentes de terceros cuando estén disponibles.

Devolución y supresión de los datos

A la terminación o expiración de los Servicios, el Encargado del tratamiento, a elección del Responsable del tratamiento, suprimirá o devolverá todos los datos personales tratados por cuenta del Responsable del tratamiento y suprimirá las copias existentes, salvo que la legislación aplicable exija su conservación continuada. Las copias de seguridad ordinarias del sistema se suprimen de conformidad con el ciclo de conservación documentado del Encargado del tratamiento.

Responsabilidad, vigencia y ley aplicable

La responsabilidad de cada parte en virtud del presente DPA está sujeta a las limitaciones y exclusiones de responsabilidad establecidas en el acuerdo entre las partes. El presente DPA surte efecto en la fecha de entrada en vigor del acuerdo y permanece vigente mientras el Encargado del tratamiento trate datos personales por cuenta del Responsable del tratamiento. El presente DPA se rige por la ley de la República Checa, salvo que el acuerdo entre las partes disponga otra cosa, y sin perjuicio de las disposiciones imperativas del RGPD.

Para solicitar una copia refrendada del presente DPA, o para tratar disposiciones específicas en materia de protección de datos, póngase en contacto con nosotros en info@carsdata.com.

Datos de la empresa
Alpha Analytics s.r.o.
Domicilio social
Gustav Mahlerplein 2
1082 MA Amsterdam
Países Bajos
Identificación de la empresa (IČO)
228 01 154
Registro mercantil
Krajský soud v Ústí nad Labem
N.º de expediente C 32406

¿Tiene preguntas sobre este documento? Escríbanos a info@carsdata.com.