Acuerdo de procesamiento de datos

Copiar la URL del artículo actual Compartir por correo electrónico

Este artículo (PDF) Documentación completa (PDF)

Fecha de entrada en vigor: 26 de noviembre de 2025

De acuerdo con los requisitos de la Regulación (UE) 2016/679 del Parlamento Europeo y del Consejo del 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por la que se deroga la Directiva 95/46/CE (en adelante, denominada "RGPD"), así como con las leyes en materia de protección de datos vigentes en el Reino Unido de Gran Bretaña e Irlanda del Norte, ESET (en adelante el «Encargado del tratamiento») y el Cliente (en adelante, el «Responsable del tratamiento») entablan una relación contractual de procesamiento de datos para definir los términos y condiciones del procesamiento de datos personales, la forma de su protección y para definir otros derechos y obligaciones de ambas partes en relación con el procesamiento de datos personales de los interesados en nombre del Controlador durante la ejecución del objeto de los Términos como contrato principal.

Datos personales. Para prestar los Servicios de conformidad con los Términos, puede resultar necesario que el Procesador procese información relativa a una persona física identificada o identificable (en adelante, "Datos personales") en nombre del Controlador.
Autorización. El Responsable del tratamiento autoriza al Encargado del tratamiento a tratar los Datos personales, incluidas las siguientes instrucciones:
1. "Propósito del procesamiento" hará referencia a la prestación de los Servicios solicitados, según se definen en los Anexos, de conformidad con los Términos.
2. "Período de procesamiento" hará referencia al período durante el cual se prestarán los Servicios.
3. El "alcance y categorías de Datos personales" incluye todo Dato personal proporcionado o puesto a disposición por el Controlador durante la prestación de los Servicios, en particular, cualquier Dato personal presentado en las solicitudes de Servicio o durante el proceso de tramitación de cualquier solicitud de Servicio, o bien todo Dato personal que pueda ser accesible o estar disponible para el Procesador en caso de que el Controlador concediera acceso temporal o permanente a sus Productos o dispositivos en el transcurso de la prestación de los Servicios.
4. "Interesado" hace referencia a cualquier persona física que sea usuario autorizado de los dispositivos del Controlador o bien empleado o contratista del Controlador y, en su caso, de sus entidades afiliadas, así como cualquier persona cuyos datos puedan ser brindados o puestos a disposición por el Controlador al Procesador en el transcurso de la prestación de los Servicios.
5. "Operaciones de procesamiento" hace referencia a toda operación necesaria a los efectos del procesamiento.
6. "Instrucciones documentadas" hace referencia a las instrucciones para el procesamiento de Datos personales descritas en los Términos, sus Anexos, la documentación del Servicio o las solicitudes de prestación del Servicio.
Obligaciones del Encargado del tratamiento. El Procesador tiene las siguientes obligaciones:
1. Procesar los Datos personales con el fin de prestar los Servicios de conformidad con los Términos y únicamente a partir de fundamentos de Instrucciones documentadas, incluso con respecto a las transferencias de Datos personales a un tercer país, a menos que así lo exija la ley de la UE o de los Estados miembros o la ley del Reino Unido; en tales casos, el Procesador informará al Controlador dicho requisito legal antes del procesamiento, a menos que esa ley prohíba dicha información por motivos importantes de interés público.
2. Indicar a las personas autorizadas para procesar los Datos personales (en lo sucesivo, "Personas autorizadas") sus derechos y deberes de conformidad con la GDPR, su responsabilidad en caso de incumplimiento de los deberes y garantizar que las Personas autorizadas para procesar los Datos personales se hayan comprometido a guardar la confidencialidad y a acatar las instrucciones documentadas.
3. Tomar todas las medidas relacionadas con la seguridad del procesamiento según lo dispuesto en el Artículo 32 de la GDPR, habida cuenta del estado de la técnica, los costes de implementación y la naturaleza, el alcance, el contexto y los fines del procesamiento, así como el riesgo de probabilidad y gravedad variables para los derechos y las libertades de las personas físicas, a fin de garantizar un nivel de seguridad al procesar los Datos personales del Controlador que resulte adecuado para el riesgo.
4. Habida cuenta de la naturaleza del procesamiento, ayudar al Controlador mediante medidas técnicas y organizativas adecuadas, en la medida de lo posible, para el cumplimiento de la obligación del Controlador de responder a las solicitudes de ejercicio de los derechos del Interesado establecidos en el Capítulo III de la GDPR.
5. Cuando se solicite, proporcionar asistencia razonable al Controlador para garantizar el cumplimiento de las obligaciones de conformidad con los Artículos 32 a 36 de la GDPR, habida cuenta de la naturaleza del procesamiento y la información disponible para el Procesador. El Encargado del tratamiento debe informar al Responsable del tratamiento de cualquier infracción del tratamiento de los Datos personales o de la seguridad de los datos personales inmediatamente después de tener constancia de dicha infracción. El Encargado del tratamiento deberá colaborar, en la medida de lo posible, en la investigación y corrección de dicha infracción, y adoptará medidas razonables para limitar otras implicaciones negativas.
6. A elección del Controlador, eliminar o devolver todos los Datos personales procesados en nombre del Controlador en un plazo de 30 (treinta) días hábiles después de la finalización de la prestación de los Servicios relativos al procesamiento y eliminar las copias existentes, a menos que la legislación de la UE o de los Estados miembros de la UE exijan la conservación de dichos Datos personales. El Responsable del tratamiento se compromete a informar al Encargado del tratamiento de su decisión en el plazo de diez (10) días después de la finalización del Periodo de tratamiento. Esta disposición no afectará al derecho del Procesador a conservar los Datos personales en la medida necesaria para fines de archivo en términos de la legislación especial o para el establecimiento, el ejercicio o la defensa de reclamos legales.
7. Mantener un registro actualizado de todas las categorías de actividades de tratamiento realizadas en nombre del Responsable del tratamiento.
8. Poner a disposición del Controlador toda la información necesaria para demostrar el cumplimiento como parte de los Términos, sus Anexos y la documentación de los Servicios y, si resultara estrictamente necesario, permitir la realización de auditorías por parte del Controlador o de otro auditor encargado por el Controlador en relación con el procesamiento realizado en el ámbito del presente Acuerdo. En caso de auditoría o control del tratamiento de los Datos personales por parte del Responsable del tratamiento, el Responsable del tratamiento está obligado a informar al Encargado del tratamiento por escrito con una antelación mínima de diez (10) días antes de la auditoría o el control planificados.
Participación de otro Encargado del tratamiento. En general, el Procesador tiene derecho a contratar a otro Procesador (en adelante, "Subprocesador") para que lleve a cabo actividades de procesamiento específicas de conformidad con los Términos, principalmente, el presente Acuerdo y la documentación de los Servicios. El Procesador se asegurará de que dicho Subprocesador esté sujeto a las mismas obligaciones que se establecen en este Acuerdo. Incluso en este caso, el Procesador seguirá siendo plenamente responsable ante el Controlador del procesamiento de los Datos personales por parte del Subprocesador. A los efectos de la prestación de los Servicios, el Procesador contrata al Distribuidor como Subprocesador. El Procesador está obligado a informar al Controlador todo cambio previsto en relación con la adición o la sustitución de otros Subprocesadores y, de este modo, brindará al Controlador la oportunidad de oponerse a dichos cambios. Toda objeción a un nuevo Subprocesador deberá recibirse en el plazo de siete (7) días hábiles después de la notificación; de lo contrario, el nuevo Subprocesador se considerará aceptado por el Controlador. Si el Controlador se opone de forma justificada a un nuevo Subprocesador y la objeción no puede resolverse satisfactoriamente en un plazo razonable, el Controlador podrá rescindir el presente Acuerdo sin sanción alguna mediante aviso por escrito al Procesador con 30 (treinta) días de anticipación. Si la objeción del Controlador sigue sin resolverse 30 (treinta) días después de haberse planteado y no se ha recibido un aviso de rescisión, se considerará que el Controlador acepta al nuevo Subprocesador.
Territorio del tratamiento. El Procesador garantiza que el procesamiento se llevará a cabo en el Espacio Económico Europeo o en un país designado como seguro por la Comisión Europea, en función de la decisión del Controlador. Las Cláusulas contractuales tipo (disponibles aquí: Las Cláusulas contractuales | Servicios de ESET | Ayuda en línea de ESET) se aplicarán en el caso de que se produzcan transferencias y actividades de procesamiento de Datos personales fuera del Espacio Económico Europeo o de un país designado como seguro por decisión de la Comisión Europea.
Seguridad. Encargado del tratamiento cuenta con la certificación ISO 27001 y usa el marco de referencia ISO 27001 para implementar una estrategia de seguridad por Capas al aplicar controles de seguridad en las capas de red, sistemas operativos, bases de datos, aplicaciones, personal y procesos operativos. El cumplimiento de los requisitos normativos y contractuales se evalúa y revisa con regularidad, de forma similar a lo que sucede con otros procesos e infraestructuras del Encargado del tratamiento, y se dan los pasos necesarios para garantizar dicho cumplimiento en todo momento. El Procesador ha organizado la seguridad de los datos a través del Sistema de Gestión de la Seguridad de la Información (ISMS), en función de la norma ISO 27001. La documentación sobre seguridad incluye principalmente políticas sobre seguridad de la información, protección física y seguridad del equipamiento, gestión de incidentes, gestión de pérdida de datos e incidentes de seguridad, etc.
Medidas técnicas y organizativas. El Encargado del tratamiento protegerá los Datos personales contra daños y destrucción, pérdidas, cambios, acceso y revelación no autorizadas de los Datos personales. A tal fin, el Encargado del tratamiento deberá adoptar las medidas técnicas y organizativas adecuadas correspondientes al modo de tratamiento y al riesgo que presenta el tratamiento para los derechos de los Interesados, de acuerdo con los requisitos que marca el RGPD. Una descripción detallada de las medidas técnicas y organizativas se indica en la documentación de seguridad relacionada al Producto específico.
Datos de contacto del Encargado del tratamiento. Todas las notificaciones, solicitudes, demandas y demás comunicaciones relativas a la protección de Datos personales deben dirigirse a ESET, spol. s.r.o., attention of: Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.

˄˅