Acuerdo de Tratamiento de Datos (ATD)
De conformidad con el Artículo 28 del Reglamento General de Protección de Datos (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD)
Última actualización: Marzo 2026
1. Partes
El presente Acuerdo de Tratamiento de Datos ("Acuerdo") se celebra entre:
- Responsable del Tratamiento: La organización o entidad que contrata el servicio MiemBoxApp ("el Cliente" o "Responsable")
- Encargado del Tratamiento: MiemBoxApp ("el Proveedor del Servicio" o "Encargado"), proveedor de la plataforma SaaS
2. Objeto y Alcance
El Encargado tratará datos personales por cuenta del Responsable únicamente con la finalidad de prestar los servicios de la plataforma SaaS MiemBoxApp, que incluyen:
- Gestión de miembros y servicios de directorio
- Gestión de eventos y seguimiento de asistencia
- Gestión financiera (transacciones, contabilidad, donaciones)
- Servicios de comunicación (mensajería interna, convocatorias)
- Gestión de cuentas de usuario y autenticación
- Generación de informes y exportación de datos
El Encargado no tratará los datos personales para ninguna finalidad distinta de las descritas en este Acuerdo y según las instrucciones del Responsable.
3. Categorías de Interesados
Los datos personales tratados en virtud de este Acuerdo pueden referirse a las siguientes categorías de interesados:
- Miembros de la organización del Responsable
- Donantes y colaboradores financieros
- Usuarios con acceso a la plataforma (administradores, tesoreros, etc.)
- Asistentes y participantes de eventos
- Familiares asociados a los miembros de la organización
4. Tipos de Datos Personales Tratados
| Categoría | Tipos de Datos |
|---|
| Identificación | Nombre, apellidos, fecha de nacimiento, número de identificación fiscal (NIF/CIF) |
| Contacto | Dirección de correo electrónico, número(s) de teléfono, dirección postal, ciudad, provincia, código postal, país |
| Financieros | Importes de donaciones, detalles de transacciones bancarias, códigos de donante, certificados fiscales |
| Organizativos | Fechas de membresía, roles, asignación a grupos, relaciones familiares |
| Autenticación | Nombre de usuario, contraseñas cifradas, marcas de tiempo de inicio de sesión, direcciones IP |
| Actividad | Asistencia a eventos, registros de comunicación, registros de auditoría |
5. Obligaciones del Encargado
El Encargado se compromete a:
- a) Tratar los datos personales únicamente siguiendo instrucciones documentadas del Responsable, inclusive en lo relativo a las transferencias de datos personales a un tercer país, salvo que esté obligado a ello en virtud del Derecho de la Unión o de los Estados miembros
- b) Garantizar que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza legal
- c) Aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo:
- Cifrado de datos personales en tránsito (TLS/HTTPS)
- Cifrado de contraseñas mediante algoritmos de hash estándar de la industria
- Aislamiento multi-inquilino que garantiza la segregación de datos de cada organización
- Controles de acceso basados en roles y gestión de permisos
- Registro de auditoría de accesos y modificaciones de datos
- Actualizaciones de seguridad periódicas y evaluaciones de vulnerabilidades
- d) No recurrir a otro encargado sin la autorización previa por escrito, específica o general, del Responsable. En caso de autorización general por escrito, el Encargado informará al Responsable de cualquier cambio previsto en la incorporación o sustitución de sub-encargados
- e) Asistir al Responsable en la atención de las solicitudes de ejercicio de los derechos de los interesados establecidos en el Capítulo III del RGPD (acceso, rectificación, supresión, portabilidad, limitación y oposición)
- f) Ayudar al Responsable a garantizar el cumplimiento de las obligaciones establecidas en los artículos 32 a 36 del RGPD, teniendo en cuenta la naturaleza del tratamiento y la información de que disponga el Encargado
- g) A elección del Responsable, suprimir o devolver todos los datos personales al Responsable una vez finalizada la prestación de los servicios, y suprimir las copias existentes salvo que el Derecho de la Unión o de los Estados miembros exija la conservación de los datos
- h) Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el artículo 28 del RGPD
6. Sub-encargados
El Encargado utiliza actualmente los siguientes sub-encargados:
| Sub-encargado | Finalidad | Ubicación |
|---|
| Proveedor de alojamiento en la nube | Infraestructura y almacenamiento de datos | UE |
| Proveedor de servicio de correo electrónico | Envío de correos transaccionales | UE/EE.UU. (con garantías adecuadas) |
El Encargado informará al Responsable de cualquier cambio en los sub-encargados, dando al Responsable la oportunidad de oponerse a dichos cambios.
7. Notificación de Violaciones de Seguridad
El Encargado notificará al Responsable sin dilación indebida tras tener conocimiento de una violación de la seguridad de los datos personales. La notificación deberá:
- Describir la naturaleza de la violación de seguridad, incluyendo las categorías y el número aproximado de interesados y registros afectados
- Comunicar el nombre y los datos de contacto del punto de contacto de protección de datos
- Describir las posibles consecuencias de la violación
- Describir las medidas adoptadas o propuestas para poner remedio a la violación
8. Conservación y Supresión de Datos
Los datos personales se conservarán durante la vigencia del acuerdo de servicio. El Encargado implementa mecanismos de eliminación lógica para permitir la recuperación de datos en caso de eliminación accidental. Al finalizar el servicio:
- El Responsable podrá exportar todos los datos utilizando las funciones de exportación de la plataforma antes de la finalización
- El Encargado eliminará permanentemente todos los datos del Responsable en un plazo de 30 días desde la finalización, salvo que existan requisitos legales de conservación aplicables
- Los registros financieros (donaciones, certificados fiscales) pueden estar sujetos a períodos de conservación legal según la legislación fiscal aplicable
9. Transferencias Internacionales de Datos
El Encargado no transferirá datos personales a un tercer país u organización internacional sin el consentimiento previo por escrito del Responsable, salvo que esté obligado a ello en virtud del Derecho de la Unión o de los Estados miembros. Cuando dichas transferencias sean necesarias, el Encargado garantizará que se apliquen las garantías adecuadas, como las Cláusulas Contractuales Tipo (CCT) o decisiones de adecuación.
10. Derechos de los Interesados
La plataforma proporciona herramientas integradas para asistir al Responsable en la atención de solicitudes de los interesados:
- Derecho de Acceso: Las funciones de exportación de datos permiten la extracción de todos los datos personales
- Derecho de Rectificación: Los Responsables pueden editar directamente los registros de miembros, donantes y usuarios
- Derecho de Supresión: Se dispone de funcionalidad de eliminación lógica y eliminación permanente
- Derecho a la Portabilidad: La exportación a Excel está disponible para todos los módulos de datos
- Derecho de Limitación: Los controles de estado (activo/inactivo) permiten restringir el tratamiento
11. Auditorías e Inspecciones
El Encargado permitirá y contribuirá a la realización de auditorías, incluidas inspecciones, por parte del Responsable o de un auditor designado por el Responsable. El Encargado mantiene registros de auditoría completos que registran todos los accesos y modificaciones de datos dentro de la plataforma.
12. Responsabilidad
Cada parte será responsable de los daños causados por el tratamiento que infrinja el RGPD, de conformidad con el artículo 82 del RGPD. El Encargado será responsable de los daños causados por el tratamiento únicamente en los casos en que no haya cumplido las obligaciones específicamente dirigidas a los encargados o cuando haya actuado al margen o en contra de las instrucciones lícitas del Responsable.
13. Vigencia y Terminación
El presente Acuerdo permanecerá vigente mientras el Encargado trate datos personales por cuenta del Responsable. Las obligaciones de confidencialidad y protección de datos sobrevivirán a la terminación del presente Acuerdo.
14. Legislación Aplicable
El presente Acuerdo se regirá e interpretará de conformidad con la legislación de España y de la Unión Europea, en particular el RGPD (UE) 2016/679 y la LOPDGDD (Ley Orgánica 3/2018).
15. Contacto
Para cualquier consulta sobre este Acuerdo de Tratamiento de Datos o cuestiones de protección de datos, puede contactar con el Encargado a través de los canales de soporte de la plataforma.