Condiciones Generales de Contratación

Versión: 1.0

Actualización: 31 de octubre de 2025

1. Identificación del proveedor del servicio

El presente documento regula las condiciones por las que se rige la contratación del servicio canalseguro.org (en adelante, el Servicio), titularidad de ISABEL MARIN CONSULTORES, SL, con NIF B09547258, domicilio en 28046 Madrid, Paseo de la Castellana 95 planta 28, inscrita en el Registro Mercantil de Madrid, Tomo 37523, Folio 152, Sección 8, Hoja 668906, correo de contacto admin@canalseguro.org y teléfono de soporte 911 126 250 (en adelante, el Proveedor).

2. Objeto y ámbito de aplicación

Estas Condiciones Generales de Contratación (las Condiciones) regulan la relación jurídica entre el Proveedor y la persona física o jurídica que contrata el Servicio (el Cliente) a través del sitio web canalseguro.org y/o canales asociados. El Servicio consiste en una solución SaaS de gestión de canales internos de información y cumplimiento normativo, incluyendo, en su caso, buzones de denuncias y flujos de investigación interna, así como módulos complementarios de cumplimiento (whistleblowing), conforme a la normativa aplicable.

Salvo pacto expreso en contrario, el Servicio se ofrece exclusivamente a clientes profesionales (B2B) y Administraciones o entidades del sector público. Si excepcionalmente contrata un consumidor, se aplicarán las especialidades de la normativa de defensa de consumidores y usuarios.

3. Aceptación de las Condiciones

La contratación electrónica del Servicio implica la lectura y aceptación plena de estas Condiciones, de la Política de Privacidad, de la Política de Cookies y, cuando proceda, del Acuerdo de Encargo de Tratamiento (Anexo I). El contrato se formaliza en castellano.

4. Requisitos de capacidad

El Cliente declara que cuenta con capacidad legal suficiente para contratar y, en su caso, con las autorizaciones internas necesarias. Si actúa por cuenta de una persona jurídica, manifiesta estar debidamente apoderado.

5. Descripción del Servicio

5.1. El Servicio permite al Cliente configurar y operar un sistema interno de información y un canal de denuncias con funcionalidades de recepción, registro, tramitación, seguimiento y archivo de comunicaciones, incluyendo (según plan): formularios web, bandejas de trabajo, flujos y permisos, notificaciones, gestión de plazos, exportación, métricas y evidencias electrónicas.

5.2. El Proveedor podrá ofrecer módulos adicionales que deberán ser contratados expresamente y podrán requerir contratación de terceros.

5.3. La arquitectura, detalles técnicos, versiones y compatibilidades constarán en la Descripción de Servicio vigente publicada en [URL documentación técnica].

5.4. Selector de canal y reencauce. El Servicio ofrece un punto único de entrada con selector de canal (p. ej., SII – Ley 2/2023, LOPIVI y Canal Ético/Compliance). El Cliente podrá habilitar o deshabilitar canales y buzones según plan. Si una comunicación se presenta en un canal no adecuado, el sistema podrá reencauzarla internamente al canal correcto sin revelar la identidad del informante, cuando sea posible y conforme a Derecho; en caso contrario, podrá inadmitirse. Las comunicaciones que encajen en el art. 2 de la Ley 2/2023 se tramitarán por el SII, con preferencia sobre otros.

6. Normativa aplicable y cumplimiento

El Servicio está diseñado para facilitar el cumplimiento, a elección y configuración del Cliente, de las siguientes materias: (i) Ley 2/2023 (Sistema Interno de Información); (ii) LO 3/2007 y normativa laboral en acoso sexual o por razón de sexo/igualdad; (iii) Ley 4/2023 (medidas LGTBI); (iv) LPRL 31/1995 (PRL, incluidos riesgos psicosociales y acoso laboral); (v) PBC/FT para sujetos obligados; y, cuando se contrate el módulo correspondiente, (vi) canales de protección de menores (LOPIVI) en entornos educativos/deportivos.

Los incumplimientos internos no cubiertos por las materias anteriores se pueden canalizar a través de la opción Buzón Ético/Compliance.

Reencauce material. Cuando los hechos descritos encajen en el ámbito del art. 2 de la Ley 2/2023, su tramitación se realizará por el SII, aun cuando la comunicación hubiera sido remitida inicialmente a LOPIVI, PRL, PBC/FT, Igualdad/LGTBI o Canal Ético/Compliance.

En todo caso, se aplican RGPD/LOPDGDD, LSSI y la normativa sectorial que corresponda. La configuración final del canal y su uso conforme a Derecho son responsabilidad del Cliente.

7. Proceso de contratación electrónica (art. 27 LSSI)

7.1. Pasos del proceso: (i) selección del plan; (ii) alta de cuenta y datos de facturación; (iii) revisión de estas Condiciones y, en su caso, del Anexo I; (iv) aceptación mediante casillas y confirmación del pago en Stripe Checkout/Payment Link; (v) confirmación del pedido; (vi) activación de la cuenta.

7.2. Archivo y acceso: el Proveedor archivará el documento electrónico de contratación y lo mantendrá accesible previa solicitud del Cliente.

7.3. Corrección de errores: antes de finalizar la compra, el sistema (y Stripe Checkout) permite revisar y corregir los datos introducidos.

7.4. Confirmación: tras la contratación, el Proveedor enviará en ≤ 24 horas una confirmación en soporte duradero (correo electrónico) con el resumen de pedido y una copia o enlace a la versión de estas Condiciones aceptada. Entre empresarios o profesionales podrá pactarse la exclusión de este acuse (art. 28.3 LSSI). Si el contratante es consumidor, la confirmación incluirá la información del art. 97 TRLGDCU, conforme al art. 98.7.

8. Cuentas, usuarios y administración

8.1. El Cliente es responsable de la veracidad de los datos de alta y de mantenerlos actualizados.

8.2. El acceso es nominativo e intransferible. El Cliente custodiará credenciales y gestionará los permisos de sus usuarios, asumiendo las acciones realizadas con sus cuentas.

8.3. El Cliente mantendrá perfiles de Receptor de Informaciones, con acceso limitado conforme a principios de necesidad de conocer.

9. Planes, precios y facturación

9.1. Los precios y características de los planes se publican en https://canalseguro.org/precios y el precio está en euros, impuestos no incluidos salvo indicación expresa.

9.2. La facturación es mensual o anual por adelantado, según plan seleccionado. El Proveedor emitirá factura conforme a la normativa vigente y, en su caso, a los requerimientos del sistema Veri*factu.

9.3. Los pagos se harán a través de tarjeta bancaria, a través de la plataforma Stripe. El impago faculta a suspender el Servicio transcurridos 15 días desde el vencimiento, previo correo electrónico recordatorio del impago.

9.4. En caso de mora, podrán devengarse intereses de demora y costes de cobro conforme a la Ley de lucha contra la morosidad en operaciones comerciales.

9.5. Los precios podrán actualizarse con un preaviso mínimo de 60 días; la continuidad en el uso tras la entrada en vigor implica aceptación.

10. Duración, renovación y cancelación

10.1. La duración del contrato es la del ciclo de facturación elegido, con renovación automática por períodos sucesivos, salvo cancelación por cualquiera de las partes con 15 días de preaviso al fin del período en curso.

10.2. El Cliente podrá cancelar comunicándolo a admin@canalseguro.org. No se reembolsarán importes del período en curso salvo disposición legal o pacto distinto.

11. Derecho de desistimiento (solo consumidores)

El Servicio se dirige a profesionales. Si excepcionalmente contrata un consumidor, dispondrá de 14 días para desistir. Cuando solicite la activación inmediata del Servicio antes de que finalice dicho plazo, reconoce que, al tratarse de contenido o servicio digital prestado por vía electrónica, pierde el derecho de desistimiento desde que se inicia la ejecución.

12. Nivel de servicio, disponibilidad y mantenimiento

12.1. El Proveedor aplicará medidas razonables para una disponibilidad anual objetivo de 99%, excluidos supuestos de fuerza mayor, fallos de terceros, mantenimiento programado y causas ajenas.

12.2. El mantenimiento programado se notificará con antelación razonable y, cuando sea posible, se realizará fuera de horario laboral.

12.3. El Proveedor realizará copias de seguridad periódicas y dispondrá de procedimientos de recuperación ante desastres proporcionales al plan contratado.

13. Soporte

El Proveedor ofrece soporte funcional y técnico a través de admin@canalseguro.org. Los niveles de respuesta y resolución se detallan en la Política de Soporte vigente, donde se aconseja revisar las dudas más frecuentes.

14. Uso aceptable

14.1. El Cliente se compromete a no utilizar el Servicio para fines ilícitos, difamatorios, infractores, maliciosos o que vulneren derechos de terceros, ni para cargar código malicioso o datos no relacionados con las finalidades de este software.

14.2. En materia de protección de datos, el Cliente se abstendrá de incorporar categorías de datos innecesarias o desproporcionadas, y configurará el canal según el principio de minimización.

14.3. El Proveedor podrá suspender o limitar el Servicio, previa advertencia cuando sea posible, ante uso abusivo o que comprometa la seguridad o el cumplimiento legal.

15. Protección de datos y confidencialidad

15.1. En lo que respecta a datos personales alojados por cuenta del Cliente, este actúa como Responsable del tratamiento y el Proveedor como Encargado, rigiéndose por el Anexo I (Acuerdo de Encargo de Tratamiento).

15.2. El Proveedor implementará medidas técnicas y organizativas adecuadas (cifrado en tránsito y en reposo, control de acceso, registro de actividad, segmentación de entornos, pruebas y auditorías razonables).

15.3. La localización del tratamiento se realizará en el EEE.

15.4. Las comunicaciones de denuncias y la información relacionada se tratarán con confidencialidad reforzada, acceso restringido y trazabilidad. El Cliente definirá y custodiará las políticas de conservación y borrado conforme a la normativa aplicable sobre sistemas internos de información y demás normativa aplicable.

15.5. Confidencialidad por canal. En SII la identidad del informante se conserva reservada y no se comunica a las personas afectadas ni a terceros salvo exigencia legal o autorización del informante. En LOPIVI, el acceso es estrictamente limitado conforme a los protocolos del centro o club. En el Canal Ético/Compliance, la protección frente a represalias de la Ley 2/2023 no se activa automáticamente salvo reencauce al SII por encaje material en su art. 2.

15.6. Ambas partes se obligan a guardar confidencialidad sobre información a la que accedan por razón del contrato, incluso tras su terminación.

16. Seguridad de la información

16.1. El Proveedor sigue prácticas alineadas, de forma proporcional, con estándares reconocidos (p. ej., ISO/IEC 27001/27018 o equivalentes), sin constituir certificación salvo que así se acredite.

16.2. Se aplicarán controles de acceso, registro de eventos, segregación de funciones, gestión de vulnerabilidades y plan de respuesta a incidentes con notificación al Cliente cuando proceda legalmente.

16.3. El Cliente será responsable de la seguridad de los endpoints, redes y credenciales bajo su control.

17. Propiedad intelectual y licencia

17.1. Componentes de terceros. El Servicio puede incorporar componentes de software, bibliotecas u otros recursos titularidad de terceros, que se suministran conforme a sus correspondientes licencias. En la medida en que resulten aplicables al Cliente, este se compromete a respetar dichos términos.

17.2. Capa de valor del Proveedor. Son titularidad del Proveedor los diseños, temas o estilos, plantillas, textos y documentación creados por este; así como las configuraciones, flujos parametrizados y conectores o adaptaciones desarrollados por el Proveedor que no estén sometidos a obligaciones de puesta a disposición impuestas por licencias de terceros. Sobre estos elementos, el Proveedor concede al Cliente una licencia no exclusiva, no transferible y limitada al uso del Servicio durante la vigencia del contrato, con prohibición de cesión, sublicencia y explotación separada.

17.3. Avisos y cumplimiento. Cuando cualquier licencia de terceros exija la inclusión de avisos, atribuciones, condiciones adicionales o la puesta a disposición de código fuente o materiales, el Proveedor los pondrá a disposición a través de www.canalseguro.org o por medios equivalentes, sin que ello implique cesión de derechos adicionales sobre el Servicio.

17.4. Restricciones. Sin perjuicio de lo permitido por la ley imperativa y por las licencias de terceros, queda prohibida la ingeniería inversa y el scraping sobre elementos desarrollados por el Proveedor, así como su explotación separada fuera del marco del Servicio.

17.5. Prevalencia. En caso de conflicto entre estas Condiciones y los términos de una licencia de terceros aplicable a un componente concreto, prevalecerán los términos de dicha licencia respecto de ese componente.

17.6. Marcas y dominios. Las marcas, nombres comerciales y el dominio canalseguro.org son titularidad del Proveedor y no se transmiten al Cliente.

18. Subcontratación y terceros

El Proveedor podrá subcontratar prestaciones auxiliares (hosting, correo, mensajería, analítica, firma, etc.) manteniendo su responsabilidad frente al Cliente. En caso de que el Cliente quiera disponer de una lista de subencargados del tratamiento puede solicitarlo a través de admin@canalseguro.org.

19. Responsabilidad

19.1. El Servicio se presta "tal cual" en el marco del plan contratado. El Proveedor no garantiza la consecución de resultados específicos de cumplimiento, que dependen de la configuración y del uso por el Cliente y, sobre todo, de las actuaciones futuras que haga con los datos que reciba de los denunciantes.

19.2. Salvo dolo o culpa grave, la responsabilidad total del Proveedor frente al Cliente por todos los conceptos derivados del contrato en un período de 12 meses se limita al importe efectivamente pagado por el Cliente por el Servicio en dicho período.

19.3. El Proveedor no será responsable de lucro cesante, pérdida de negocios, daño reputacional o daños indirectos.

19.4. Nada de lo anterior limita responsabilidades no exonerables por la ley aplicable.

19.5. Es muy importante que el Cliente gestione de forma diligente el buzón que se pone a su disposición en el software. El Cliente es el único responsable de mantener e impulsar el procedimiento legal ante las denuncias que se hayan realizado en el buzón.

20. Fuerza mayor

Ninguna de las partes responderá por incumplimientos debidos a causas fuera de su control razonable (p. ej., desastres, conflictos laborales ajenos, caídas generalizadas de Internet, actos gubernativos, incidentes globales de proveedores cloud), debiendo reanudarse la ejecución a la mayor brevedad.

21. Modificación de las Condiciones

El Proveedor podrá modificar estas Condiciones con preaviso mínimo de 30 días cuando afecten sustancialmente al Cliente. Las modificaciones se publicarán en la URL donde están las condiciones advirtiendo del cambio que se opera, pudiendo asimismo remitir un correo con los cambios operados. La continuación en el uso tras la fecha efectiva implica aceptación.

22. Cesión

El Cliente no podrá ceder su posición contractual sin consentimiento del Proveedor. El Proveedor podrá ceder el contrato a entidades de su grupo o terceros en el marco de operaciones corporativas, garantizando el respeto de las presentes Condiciones.

23. Comunicaciones

Las comunicaciones entre partes se realizarán preferentemente por medios electrónicos a las direcciones indicadas en el alta o actualizadas en el panel.

24. Nulidad parcial

Si alguna cláusula fuese nula o inaplicable, no afectará a la validez del resto; en tal caso, se interpretará de forma que se aproxime a la voluntad original y al interés legítimo de las partes.

25. Ley aplicable y jurisdicción

Estas Condiciones se rigen por la ley española. Salvo norma imperativa, cualquier disputa se someterá a los Juzgados y Tribunales de Madrid. Si contratase un consumidor, será competente el tribunal de su domicilio.

26. Prueba y evidencias de aceptación

26.1. La contratación se formaliza mediante el proceso de pago en la pasarela externa (Stripe Checkout/Payment Links). El Cliente acepta estas Condiciones mediante la selección de las casillas habilitadas (p. ej., aceptación de condiciones) y la confirmación del pago, constituyendo firma electrónica a efectos probatorios.

26.2. Para acreditar la compra y el pago, el Proveedor guardará: (a) los registros que genera la pasarela de pago (Stripe) —confirmaciones y números de referencia con fecha y hora—; (b) las notas asociadas a la operación (versión y enlace de estas Condiciones e identificador de cliente); (c) los datos básicos del comprador que facilita la pasarela (nombre, correo y, si procede, datos de facturación); (d) el justificante del pago; (e) la confirmación enviada al Cliente con copia o enlace a las Condiciones aceptadas; y (f) datos técnicos mínimos del acceso usado en el pago (IP y navegador). Estos registros se conservarán de forma segura durante los plazos legales aplicables y solo para acreditar el contrato, el pago y la aceptación de las Condiciones, conforme a la Política de Privacidad.

26.3. El Proveedor conservará las evidencias anteriores durante un plazo mínimo de seis (6) años con fines mercantiles y probatorios, y por los plazos superiores que resulten exigibles o necesarios para la formulación, ejercicio o defensa de reclamaciones. Las evidencias se conservarán en soporte duradero, incorporando sellado temporal y la huella (hash) de la versión aplicable de estas Condiciones.

26.4. Tras la contratación, el Proveedor pondrá a disposición del Cliente una copia o enlace descargable a la versión de estas Condiciones aceptada, incluyendo la referencia de versión y su huella.

27. Resolución de conflictos

Las partes intentarán resolver cualquier controversia derivada de este contrato mediante negociación de buena fe durante 30 días. Si no hay acuerdo, se someterán, con carácter preferente, a mediación civil y mercantil conforme a la Ley 5/2012, administrada por el Colegio de Abogados de Madrid. De persistir el desacuerdo en 60 días desde la solicitud de mediación, la disputa se resolverá definitivamente por arbitraje del Colegio de Abogados de Madrid, con sede en Madrid, un único árbitro, idioma español, y Derecho español aplicable; subsidiariamente, serán competentes los Juzgados de Madrid. La Comisión Europea ofrece una plataforma de resolución de litigios en línea (ODR) para compras por Internet, realizados por consumidores finales. Se excluyen los litigios entre empresas. Puede accederse a través de: https://ec.europa.eu/consumers/odr Si tiene una queja, puede usar esta plataforma y señalar nuestro correo de contacto: admin@canalseguro.org CanalSeguro.org no está obligado a usar entidades de resolución alternativa, salvo que una norma específica así lo imponga; en su caso, lo indicaremos expresamente.

28. Entrada en vigor

Estas Condiciones entran en vigor a partir de la fecha indicada y sustituyen cualesquiera versiones anteriores.

Anexo I. Contrato de Encargado de Tratamiento

Versión: 1.0

Fecha: 29 de octubre de 2025

Partes

El Responsable del tratamiento: la persona física o jurídica que contrata el Servicio, identificada por los datos que consten en el pedido o contrato electrónico y en la factura emitida por el Proveedor (denominación social o nombre y apellidos, NIF/CIF/NIE, domicilio y correo), por su Identificador de Cuenta en canalseguro.org y por el Customer ID de Stripe asociado.

El Encargado del tratamiento: ISABEL MARIN CONSULTORES, SL, NIF B09547258, domicilio 28046 Madrid, Paseo de la Castellana, 95 planta 28.

Identificación por referencia del Responsable. A efectos del art. 28 RGPD, forman parte integrante de este Anexo los datos del Responsable que obren en el pedido o factura y en el Panel del Servicio. La persona que acepta declara y garantiza tener poderes suficientes para obligar a la entidad en cuyo nombre actúa y la veracidad de los datos aportados. El Responsable podrá actualizar sus datos (y, en su caso, los del DPO) desde el Panel; el Encargado archivará una Ficha del Responsable versionada con trazabilidad de cambios.

Aceptación electrónica. Certificación. La aceptación en línea del contrato principal incluye la del presente Anexo. El Encargado generará un Certificado de Aceptación con fecha/hora (UTC), session.id y/o payment_intent.id de Stripe, account_id del Servicio, email del aceptante, versión y hash (SHA-256) de este Anexo e IP/UA capturadas, conservando las evidencias por los plazos legales.

1. Objeto, duración y marco normativo

1.1. Objeto. Este Anexo regula el tratamiento de datos personales por cuenta del Responsable en el marco del Servicio canalseguro.org (el Contrato Principal).

1.2. Duración. Vigente desde la Aceptación Electrónica y mientras dure la prestación de servicios.

1.3. Normativa aplicable: RGPD, LOPDGDD, Ley 2/2023 y demás que resulte aplicable.

2. Naturaleza y finalidades del tratamiento

Alojamiento, conservación, acceso, clasificación, comunicación interna, gestión de plazos, soporte técnico y, en su caso, exportación o portabilidad de comunicaciones en el sistema interno de información o canal de denuncias del Responsable.

3. Categorías de interesados y tipos de datos

3.1. Interesados: personas trabajadoras, extrabajadoras, candidatos, informantes/denunciantes, personas afectadas/investigadas, padres o tutores, testigos y terceros relacionados.

3.2. Datos: identificativos y de contacto; datos contenidos en las comunicaciones y su documentación asociada; metadatos de tramitación. Excepcionalmente, podrán tratarse categorías especiales (art. 9 RGPD) o datos relacionados con infracciones y sanciones (art. 10 RGPD) cuando resulte necesario y proporcionado por obligación legal del Responsable y según configuración de este.

4. Instrucciones documentadas

4.1. El Encargado tratará los datos solo conforme a las instrucciones del Responsable y lo previsto en este contrato y Anexos.

4.2. Si alguna instrucción contraviniera la normativa, el Encargado lo informará sin dilación.

4.3. Para la ruta del canal de denuncias – Ley 2/2023, el Encargado aplicará las limitaciones de acceso, plazos y conservación exigidas por dicha ley. Asimismo tendrá en cuenta el resto de normativa aplicable para el resto de materias.

5. Confidencialidad

5.1. El Encargado y su personal o subencargados guardarán secreto respecto de los datos y de la propia existencia de las comunicaciones, incluso tras la finalización.

5.2. Se comprometerá por escrito a toda persona con acceso a guardar confidencialidad y cumplir las políticas de seguridad.

6. Seguridad de la información

6.1. El Encargado implementará medidas técnicas y organizativas adecuadas conforme al art. 32 RGPD y a lo indicado en el Apéndice A (TOMs). Como mínimo: cifrado en tránsito y reposo, control de acceso basado en roles, registro de actividad, segregación de entornos, gestión de vulnerabilidades, copias de seguridad y plan de respuesta a incidentes.

6.2. Canal de denuncias Ley 2/2023 – Controles para garantizar que en Canal de Denuncias el acceso queda limitado a los sujetos legalmente previstos, con trazabilidad.

7. Subencargados

7.1. Autorización general. El Encargado podrá recurrir a subencargados auxiliares (p. ej., hosting, correo, mensajería, firma, analítica, monitorización, soporte) manteniendo frente al Responsable la plena responsabilidad por su actuación conforme a este Anexo.

7.2. Listado disponible a solicitud. El listado vigente de subencargados no se publica; el Responsable podrá solicitarlo en cualquier momento enviando un correo a admin@canalseguro.org y se facilitará en soporte duradero.

7.3. Cambios y derecho de oposición. El Encargado informará al Responsable de cualquier cambio previsto (altas o sustituciones) con un preaviso ≥ 15 días (salvo urgencia). El Responsable podrá oponerse de forma razonada por motivos vinculados a la protección de datos. Si no fuera posible evitar el cambio propuesto, las partes buscarán una solución; de no alcanzarse, el Responsable podrá resolver el contrato respecto del servicio afectado sin penalización, con prorrateo de importes no devengados.

7.4. Contratos con subencargados. El Encargado suscribirá con cada subencargado un contrato de encargo con obligaciones equivalentes a este Anexo, especialmente en materia de medidas técnicas y organizativas, confidencialidad y asistencia al Responsable.

8. Transferencias internacionales

No se prevén transferencias fuera del EEE. Si, excepcionalmente, fueran necesarias, se realizarán con garantías adecuadas: decisión de adecuación aplicable o, en su defecto, Cláusulas Contractuales Tipo y, cuando proceda, medidas complementarias.

9. Asistencia al Responsable

El Encargado asistirá al Responsable, en la medida de lo razonable, en: (i) atención de derechos; (ii) realización de EIPD y consultas previas; (iii) notificación de brechas; y (iv) atención de requerimientos de autoridades. Cuando la asistencia exceda lo ordinario del Servicio y no sea imputable al Encargado, podrá facturarse como servicio profesional según tarifas vigentes.

10. Violaciones de seguridad

El Encargado notificará sin dilación indebida —y en todo caso con objetivo de ≤ 48 horas desde que tenga constancia— cualquier violación de seguridad que afecte a datos tratados por cuenta del Responsable, aportando información disponible para su gestión (naturaleza, categorías de datos y afectados, posibles consecuencias, medidas adoptadas y de mitigación).

11. Auditorías y evidencias

11.1. El Responsable podrá realizar auditorías razonables (máx. 1 anual salvo incidente), con preaviso y sin afectar a la seguridad o confidencialidad de otros clientes.

11.2. El Encargado podrá aportar informes o certificaciones independientes (p. ej., ISO/IEC 27001/27018, informes de auditoría) como medio suficiente, salvo causa justificada que requiera auditoría in situ.

12. Localización y continuidad

12.1. Los datos se tratarán preferentemente en el EEE. El Encargado mantendrá copias de seguridad y procedimientos de continuidad y recuperación proporcionales al Servicio acordado.

13. Conservación, supresión y devolución

13.A. Sistema interno de información (Ley 2/2023). Los datos del Sistema se conservarán solo el tiempo necesario para gestionar la comunicación e investigación. Transcurridos tres (3) meses desde la recepción sin inicio de actuaciones, se suprimirán, pudiendo mantenerse exclusivamente evidencias anonimizadas del funcionamiento del sistema; en tal caso no resultará de aplicación la obligación de bloqueo del art. 32 LOPDGDD. En ningún caso se conservarán datos por un periodo superior a diez (10) años.

13.B. Resto de tratamientos del Servicio. Para tratamientos no amparados en el párrafo anterior, los datos se conservarán durante los plazos necesarios para la finalidad y, finalizada esta, quedarán bloqueados durante los plazos de prescripción de responsabilidades (art. 32 LOPDGDD) y por los plazos legales específicos que resulten aplicables (p. ej., 6 años para documentación mercantil conforme al art. 30 del Código de Comercio). Tras dichos plazos, el Encargado procederá a la supresión definitiva.

14. Registro de actividades y cooperación

14.1. El Encargado llevará registro de categorías de actividades.

14.2. El Encargado colaborará para atender requerimientos de autoridades de control o judiciales y documentará las actuaciones.

15. Responsabilidad

Cada parte responderá por los daños causados por el incumplimiento de sus obligaciones. El Encargado será responsable de los daños derivados de tratamientos no conformes con este Anexo o con la normativa, incluyendo los realizados por subencargados bajo su encargo. Lo anterior se entiende sin perjuicio de los límites de responsabilidad del Contrato Principal, que no podrán restringir los derechos de los interesados ni las responsabilidades no disponibles por ley.

16. Prevalencia y modificaciones

En caso de conflicto entre este Anexo y el Contrato Principal en materia de protección de datos, prevalecerá este Anexo. Las modificaciones se comunicarán con preaviso razonable; la continuidad en el uso implicará aceptación, sin perjuicio de lo exigido por el art. 28 RGPD.

17. Ley aplicable y jurisdicción

Este contrato se rige por la ley española. Salvo norma imperativa, cualquier disputa se someterá a los Juzgados y Tribunales de Madrid (España).

18. Vigencia

Este Anexo entra en vigor en la fecha indicada y permanecerá vigente mientras el Encargado trate datos por cuenta del Responsable.

Apéndice A — Medidas técnicas y organizativas (TOMs)

A.1 Gobernanza y políticas: políticas de seguridad, clasificación de información y formación periódica.
A.2 Control de acceso (RBAC): cuentas nominativas, mínimos privilegios, revocación al cese; autenticación con MFA opcional.
A.3 Cifrado: TLS 1.2+ en tránsito; cifrado en reposo (p. ej., AES-256); gestión segura de claves.
A.4 Registro y monitorización: logs de acceso y de acciones con retención proporcional; detección de anomalías.
A.5 Desarrollo seguro: revisión de código, análisis de dependencias y gestión de secretos.
A.6 Vulnerabilidades y parches: escaneos periódicos, parcheo en plazos definidos por criticidad.
A.7 Backups y recuperación: copias periódicas, pruebas de restauración; objetivos RTO/RPO según SLA.
A.8 Segregación de entornos: separación de desarrollo/pruebas/producción y aislamiento multi-tenant.
A.9 Gestión de incidentes: plan y procedimientos, cadena de custodia y notificación al Responsable.
A.10 Minimización y retención: controles de retención y borrado; funciones de exportación o portabilidad.
A.11 Proveedor de infraestructura: exigencia de estándares de seguridad equivalentes a los del Encargado.

Anexo II. Descripción técnica resumida (informativa)

Arquitectura: aplicación SaaS multi tenant en cloud europeo; cifrado TLS 1.2+ en tránsito y AES 256 en reposo; backups diarios con retención [7 días]; registro de eventos y acceso; autenticación multifactor opcional; segregación de entornos.

Privacidad desde el diseño: minimización por defecto, perfiles y permisos, control de retención, exportación o portabilidad (CSV/PDF), bitácora de actuaciones.

Accesibilidad y usabilidad: buenas prácticas WCAG en la medida de lo posible.