Acuerdo de Tratamiento de Datos (DPA)

Objeto y Duración del Tratamiento

El presente Contrato de Encargado de Tratamiento (en adelante, "DPA") regula las condiciones en las que MÉNDEZ EUROLEFESA S.L.U. (en adelante, "el Encargado") trata datos personales por cuenta del Cliente (en adelante, "el Responsable") en el marco de la prestación de los servicios de la plataforma DOKO.

El tratamiento de datos personales tendrá la misma duración que la relación contractual entre el Responsable y el Encargado. Una vez finalizada la relación, el Encargado procederá a la supresión o devolución de los datos personales conforme a las instrucciones del Responsable, salvo que exista una obligación legal de conservación.

Este DPA complementa las Condiciones Generales de Uso (Términos de Servicio) de DOKO y se celebra conforme al artículo 28 del Reglamento (UE) 2016/679 (RGPD).

Naturaleza y Finalidad del Tratamiento

El Encargado tratará los datos personales con la única finalidad de prestar los servicios contratados por el Responsable a través de la plataforma DOKO, que incluyen:

• Gestión de documentos de transporte digitales (eCMR, carta de porte, DCA y otros documentos de transporte).
• Procesamiento de firmas electrónicas en documentos de transporte.
• Almacenamiento y consulta de documentos de transporte y sus datos asociados.
• Operación como futura plataforma eFTI certificada conforme al Reglamento (UE) 2020/1056 para la información electrónica sobre el transporte de mercancías.

El Encargado no tratará los datos personales para finalidades distintas a las indicadas en este DPA, salvo instrucción expresa del Responsable o cuando así lo exija una obligación legal.

Tipos de Datos Personales Tratados

En el marco de la prestación de los servicios, el Encargado podrá tratar los siguientes tipos de datos personales:

• Nombre y apellidos de conductores, destinatarios, remitentes y firmantes de documentos de transporte.
• Documento de identidad (DNI/NIF/pasaporte) de los intervinientes en documentos de transporte.
• Firma (electrónica o digitalizada) de conductores, destinatarios y firmantes.
• Datos de contacto (teléfono, email, dirección) de conductores, destinatarios y firmantes.

El Encargado no tratará categorías especiales de datos personales (datos sensibles) salvo que el Responsable los incluya en los documentos de transporte bajo su exclusiva responsabilidad.

Categorías de Interesados

Los datos personales tratados corresponden a las siguientes categorías de interesados:

• Conductores: personas físicas encargadas del transporte de mercancías.
• Destinatarios: personas físicas que reciben las mercancías transportadas.
• Remitentes: personas físicas que envían las mercancías.
• Firmantes de documentos: cualquier persona física que firma o interviene en un documento de transporte gestionado a través de la plataforma.

Obligaciones del Encargado (DOKO)

El Encargado se compromete a:

• Tratar los datos personales únicamente conforme a las instrucciones documentadas del Responsable, incluyendo las transferencias de datos a terceros países u organizaciones internacionales, salvo que esté obligado a ello en virtud del Derecho de la Unión o de los Estados miembros.
• Garantizar que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria.
• Implementar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo cifrado de datos, capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas, y capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente.
• Notificar al Responsable sin dilación indebida, y en cualquier caso en un plazo máximo de 72 horas, cualquier violación de la seguridad de los datos personales de la que tenga conocimiento.
• Asistir al Responsable en el cumplimiento de sus obligaciones relativas a la seguridad del tratamiento, la notificación de violaciones de seguridad, las evaluaciones de impacto y las consultas previas a la autoridad de control.
• A elección del Responsable, suprimir o devolver todos los datos personales una vez finalice la prestación de los servicios, y suprimir las copias existentes salvo que el Derecho de la Unión o de los Estados miembros exija la conservación de los datos.

Derechos del Responsable (Cliente)

El Responsable tiene derecho a:

• Realizar auditorías e inspecciones para verificar el cumplimiento de las obligaciones del Encargado conforme al presente DPA y al RGPD. El Encargado pondrá a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones.
• Dar instrucciones documentadas al Encargado sobre el tratamiento de datos personales. El Encargado informará inmediatamente al Responsable si, en su opinión, una instrucción infringe el RGPD u otras disposiciones de protección de datos.
• Solicitar la supresión o devolución de todos los datos personales al finalizar la relación contractual, conforme a lo establecido en la sección 5 del presente DPA.

Subencargados del Tratamiento

El Responsable autoriza al Encargado a recurrir a los siguientes subencargados del tratamiento para la prestación de los servicios:

El Encargado informará al Responsable de cualquier cambio previsto en la incorporación o sustitución de subencargados, dando al Responsable la oportunidad de oponerse a dichos cambios. Los subencargados estarán sujetos a las mismas obligaciones de protección de datos establecidas en el presente DPA.

Acceso de Autoridades Competentes (Reglamento eFTI)

El Responsable reconoce y acepta que DOKO opera como plataforma eFTI (actual y futura certificada) conforme al Reglamento (UE) 2020/1056 del Parlamento Europeo y del Consejo, relativo a la información electrónica sobre el transporte de mercancías.

En virtud de dicho Reglamento, los datos de transporte almacenados en la plataforma, incluidos los datos personales contenidos en documentos de transporte (conductores, destinatarios, firmantes), podrán ser accedidos por autoridades competentes durante inspecciones y procesos de verificación legal. Dicho acceso constituye una obligación legal conforme al Reglamento (UE) 2020/1056 y la legislación nacional aplicable, y no se basa en el consentimiento del interesado.

DOKO, como plataforma eFTI, facilitará a las autoridades competentes acceso inmediato y sin coste a la información de transporte conforme a lo dispuesto en el Reglamento eFTI.

Para más detalle sobre las obligaciones del operador económico en relación con el acceso de autoridades competentes, se remite a la cláusula eFTI contenida en las Condiciones Generales de Uso (Términos de Servicio) de DOKO.

Registro de Operaciones (Operations Log)

El Encargado mantiene un registro de operaciones automatizado (Operations Log) que registra de forma inmutable y no repudiable cada operación realizada sobre documentos de transporte en la plataforma (creación, edición, firma, lectura). Este registro constituye un tratamiento de datos personales necesario para el cumplimiento de obligaciones legales conforme al Reglamento (UE) 2020/1056 (eFTI).

Las identidades de los usuarios en el Operations Log estarán seudonimizadas por motivos de privacidad. No obstante, el Encargado tiene la obligación legal de resolver dichas identidades seudonimizadas (revelar la identidad real del usuario que realizó la operación) cuando una autoridad competente lo solicite de forma justificada en el marco de una inspección o verificación legal.

Registro de Actividades de Tratamiento por Acceso de Autoridades

Las actividades de tratamiento de datos personales derivadas del acceso de autoridades competentes a la información de transporte almacenada en la plataforma se registrarán en los logs de operación de la plataforma conforme al Reglamento (UE) 2020/1056.

Dicho registro incluirá, como mínimo, la identificación de la autoridad que accedió a los datos, la fecha y hora del acceso, y los datos o documentos consultados, garantizando la trazabilidad y transparencia del tratamiento.