CONTRATISTA y CONTRATANTE en el sentido de este acuerdo son las partes del contrato para el uso del Nexaro HUB y los servicios proporcionados para la gestión y control de dispositivos (en adelante denominado Nexaro HUB) basado en las Condiciones Generales de Uso para el Nexaro HUB (hub.nexaro.com) de Nexaro GmbH (en adelante ANB). La parte designada como CLIENTE allí es el CONTRATANTE, y Nexaro GmbH es el CONTRATISTA de este acuerdo.

La ejecución del contrato implica el procesamiento de datos personales, por lo que las partes complementan el contrato con los contenidos requeridos según el Art. 28, párrafo 3 del RGPD. Para cumplir con estos requisitos, las partes celebran el siguiente acuerdo complementario de procesamiento por encargo:

§1 Ámbito de aplicación y componentes del contrato

1. Este acuerdo complementa el contrato para el uso del Nexaro HUB, de modo que su contenido se convierte en parte de dicho contrato. Este acuerdo puede seguir siendo válido más allá de la finalización de ese contrato, siempre que así se derive de las disposiciones siguientes.
2. Los siguientes anexos forman parte de este acuerdo complementario:

   Número de anexo	Descripción
   1	Categorías de interesados y datos
   2	Subcontratistas autorizados
   3	Medidas técnicas y organizativas

3. Las disposiciones de este acuerdo prevalecen sobre las disposiciones de las ANB en caso de contradicciones.

§2 Detalles sobre los procesamientos

1. El CONTRATISTA presta servicios al CONTRATANTE en el ámbito de la provisión del Nexaro HUB y los servicios y funcionalidades asociados, basándose en las ANB. En el marco del uso del Nexaro HUB, el CONTRATISTA tiene acceso a datos personales y los procesa por encargo y bajo las instrucciones del CONTRATANTE. La duración del procesamiento corresponde a la duración de la prestación de los servicios contractuales.
2. La naturaleza y el propósito del procesamiento de datos por parte del CONTRATISTA se derivan de las Condiciones Generales de Uso (ANB) y las descripciones de servicios correspondientes.

§3 Derecho de instrucción

1. El CONTRATISTA solo puede procesar datos en el marco del contrato para el uso del Nexaro HUB y de acuerdo con las instrucciones del CONTRATANTE. Si el CONTRATISTA está autorizado por la legislación de la Unión Europea o de los Estados miembros a los que está sujeto para realizar procesamientos adicionales, puede llevarlos a cabo (por ejemplo, para cumplir con obligaciones legales que le correspondan). Antes de realizar dichos procesamientos, que se basan en una base legal pero están fuera del encargo del CONTRATANTE, el CONTRATISTA informará al CONTRATANTE sobre los requisitos legales antes del procesamiento, salvo que dicha notificación esté prohibida por ley.
2. Las instrucciones del CONTRATANTE se establecen inicialmente en este contrato y pueden ser modificadas, complementadas o reemplazadas posteriormente por el CONTRATANTE mediante instrucciones individuales por escrito o en formato de texto (Instrucción individual). El CONTRATANTE tiene derecho en todo momento a emitir instrucciones correspondientes. Esto incluye instrucciones sobre la realización de procesamientos en casos individuales, en particular si se debe realizar o no un procesamiento. El derecho de instrucción no abarca la selección de los medios de procesamiento ni las medidas técnicas u organizativas de protección. Tales cambios deben acordarse mutuamente, y el CONTRATISTA no rechazará injustificadamente las solicitudes de cambio del CONTRATANTE.
3. Todas las instrucciones emitidas deben ser documentadas por el CONTRATANTE. Las instrucciones que excedan el servicio contractual acordado se tratarán como solicitudes de modificación del servicio.
4. Si el CONTRATISTA considera que una instrucción del CONTRATANTE infringe las disposiciones de protección de datos, deberá informar al CONTRATANTE de inmediato. El CONTRATISTA está autorizado a suspender la ejecución de dicha instrucción hasta que el CONTRATANTE la confirme o modifique. El CONTRATISTA puede rechazar la ejecución de una instrucción claramente ilegal. La confirmación o modificación de una instrucción solo será válida si se realiza por escrito o en formato de texto (por ejemplo, carta, correo electrónico o fax).

§4 Tipo de datos procesados, grupo de afectados

En el marco de la ejecución del contrato para el uso del Nexaro HUB, el CONTRATISTA tendrá acceso a los datos personales especificados en el Anexo 1. El grupo de personas afectadas también se detalla en el Anexo 1.

§5 Medidas de protección

1. El CONTRATISTA organizará internamente su estructura de manera que cumpla con los requisitos especiales de protección de datos. El CONTRATISTA adoptará las medidas técnicas y organizativas necesarias para proteger adecuadamente los datos del CONTRATANTE conforme al Art. 32 del RGPD, garantizando la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas y servicios relacionados con el procesamiento de datos de forma continua. El CONTRATANTE conoce las medidas técnicas y organizativas adoptadas según lo establecido en el Anexo 3 y es responsable de que estas proporcionen un nivel de protección adecuado a los riesgos de los datos a procesar.
2. El CONTRATISTA se reserva el derecho de modificar las medidas de seguridad adoptadas, asegurando que el nivel de protección acordado al momento de la firma del contrato no se vea reducido.
3. Está prohibido que las personas empleadas en el procesamiento de datos por parte del CONTRATISTA procesen datos personales sin autorización. El CONTRATISTA obligará a todas las personas encargadas por él de la gestión y cumplimiento de este contrato (en adelante denominadas empleados) a cumplir con esta obligación (obligación de confidencialidad, Art. 28, párrafo 3, letra b del RGPD) y supervisará con el debido cuidado el cumplimiento de esta obligación.
4. El CONTRATISTA ha designado un delegado de protección de datos interno:
   
   Nexaro GmbH
   El delegado de protección de datos
   Blombacher Bach 3, 42287 Wuppertal
   Alemania
   
   

   El CONTRATISTA publica los datos de contacto del delegado de protección de datos en su sitio web y los comunica a la autoridad supervisora. La publicación y comunicación serán acreditadas por el CONTRATISTA a petición del cliente de manera adecuada.

§6 Obligaciones de información

1. En caso de violación de la protección de datos personales, el CONTRATISTA informará al CLIENTE sin demora, siempre que se vean afectados datos procesados por encargo del CLIENTE.
2. El CONTRATISTA tomará medidas inmediatas para asegurar los datos y mitigar posibles consecuencias negativas para las personas afectadas.
3. Si los datos del CLIENTE en poder del CONTRATISTA se ven amenazados por embargo o incautación, por un procedimiento de insolvencia o acuerdo, o por otros eventos o medidas de terceros, el CONTRATISTA deberá informar al CLIENTE sin demora, salvo que una orden judicial o administrativa se lo prohíba. En este contexto, el CONTRATISTA informará inmediatamente a todas las autoridades competentes que la autoridad decisoria sobre los datos reside exclusivamente en el CLIENTE como "responsable" según el RGPD.

§7 Derechos de control del cliente

1. El CLIENTE tiene el derecho de realizar controles en el CONTRATISTA, incluyendo inspecciones in situ. El objeto del derecho de control es el cumplimiento de las disposiciones de este contrato así como las del Art. 28 del RGPD. El CONTRATISTA colaborará en los controles, por ejemplo, proporcionando información, presentando certificados de peritos, certificaciones o auditorías internas existentes, o poniendo a disposición las medidas técnicas y organizativas tras coordinación previa durante el horario comercial habitual para su verificación, la cual el CLIENTE podrá realizar personalmente o a través de un tercero experto, siempre que este tercero no compita con el CONTRATISTA. El CLIENTE realizará los controles solo en la medida necesaria y sin perturbar desproporcionadamente las operaciones del contratista.
2. El CONTRATISTA se compromete a proporcionar al CONTRATANTE, a petición oral o escrita y dentro de un plazo razonable, toda la información y pruebas necesarias para llevar a cabo un control de las medidas técnicas y organizativas.
3. El CONTRATANTE documentará el resultado del control y lo comunicará al CONTRATISTA. En caso de errores o irregularidades que el CONTRATANTE detecte especialmente al revisar los resultados del encargo, deberá informar al CONTRATISTA sin demora.

§8 Uso de subcontratistas

1. El CONTRATISTA está generalmente autorizado a emplear a terceros como encargados del tratamiento adicionales para la prestación del servicio.
2. Se aprueba expresamente con la firma del contrato la participación de los subcontratistas mencionados en Anexo 2.
3. El CONTRATISTA informará al CONTRATANTE sobre cualquier cambio previsto respecto a la incorporación o sustitución de otro encargado del tratamiento. El CONTRATANTE tiene derecho a oponerse al nuevo ENCARGADO DEL TRATAMIENTO dentro de los 5 días hábiles siguientes a la recepción de dicha información. Si las partes no llegan a un acuerdo sobre la incorporación prevista del nuevo encargado, esta no se llevará a cabo.
4. El CONTRATISTA conoce y cumple las obligaciones legales derivadas del artículo 28, apartados 2 y 4 del RGPD.

§9 Obligaciones de apoyo

1. El CONTRATISTA apoyará al CONTRATANTE en el marco de los servicios acordados con las medidas técnicas y organizativas incluidas para cumplir con las obligaciones relativas a los derechos de las personas afectadas.
2. Además, el CONTRATISTA apoyará al CONTRATANTE, teniendo en cuenta la naturaleza del tratamiento y la información disponible, en el cumplimiento de sus obligaciones derivadas de los artículos 32 a 36 del RGPD, siempre que y en la medida en que tales apoyos sean razonables para el CONTRATISTA y esenciales para el cumplimiento de las obligaciones del CONTRATANTE. El CONTRATANTE y el CONTRATISTA colaborarán con la autoridad supervisora en el cumplimiento de sus tareas cuando se les solicite.
3. Si un interesado ejerce derechos, como el derecho a obtener información, rectificación o supresión respecto a sus datos, directamente frente al CONTRATISTA, este remitirá al interesado sin demora al CONTRATANTE.

§10 Responsabilidad

1. En caso de daños sufridos por un interesado debido a un tratamiento o uso de datos no permitido o incorrecto según las leyes de protección de datos en el marco del procesamiento por encargo, el responsable frente al interesado en la relación interna con el CONTRATISTA es únicamente el CONTRATANTE. Esto no se aplica si el CONTRATISTA no ha cumplido con sus obligaciones en materia de protección de datos como encargado del tratamiento conforme al RGPD o ha actuado en contra de las instrucciones legalmente dadas por el CONTRATANTE o sin tenerlas en cuenta.
2. Las partes se eximen mutuamente de responsabilidad si una parte demuestra que, conforme al apartado 1, no es responsable en la relación interna. Lo mismo se aplica en caso de una posible contribución de culpa compartida.

§11 Finalización del contrato para el uso del Nexaro HUB

1. El CONTRATISTA devolverá al CLIENTE todos los datos personales tras la finalización del contrato para el uso del Nexaro HUB o en cualquier momento a petición de este, y eliminará las copias restantes o, a petición del CLIENTE, las eliminará. No existe obligación de eliminar si, conforme al derecho de la Unión o al derecho de la República Federal de Alemania, el CONTRATISTA está obligado a conservar los datos personales.
2. El CONTRATISTA está obligado a tratar de forma confidencial los datos que le hayan sido conocidos en relación con el contrato para el uso del Nexaro HUB incluso después de la finalización del contrato. El presente acuerdo seguirá siendo válido después de la finalización del contrato para el uso del Nexaro HUB mientras el CONTRATISTA no haya devuelto los datos personales procesados anteriormente por encargo o los haya eliminado a petición del CLIENTE.

Anexo núm. 1

«Categorías de interesados y datos»

 

Anexo núm. 2

«Subcontratistas autorizados»

 

Anexo núm. 3

«Medidas técnicas y organizativas»

El encargado del tratamiento llevará a cabo las siguientes medidas técnicas y organizativas para proteger los datos personales. Las categorías individuales no son exhaustivas y pueden ser complementadas si es necesario.

1. Confidencialidad (Artículo 32 (1) (b) RGPD)

1. Control físico de acceso
   El encargado del tratamiento asegura que en todos los lugares donde se procesan datos personales, ya sean oficinas o centros de datos, se implementen controles físicos de acceso para evitar accesos no autorizados.
2. Seguridad del edificio
   Todos los edificios están protegidos por sistemas de control de acceso.
   
   En centros de datos o salas de procesamiento de datos se implementan controles adicionales como sistemas de detección de humedad o incendios, fuentes de alimentación ininterrumpida y dispositivos para protección contra sobretensiones o subtensiones.
   
   Todos los visitantes deben registrarse en la recepción y ser acompañados durante la visita a una ubicación del procesador.
3. Control electrónico de acceso
   Para evitar el uso no autorizado de los sistemas de procesamiento y almacenamiento de datos, el encargado del tratamiento ha implementado varias capas o dispositivos de protección, según el dispositivo, los permisos y la ubicación.
   
   Por defecto, todos los ordenadores y dispositivos móviles, así como los soportes de datos y medios de almacenamiento, están cifrados. Los sistemas se bloquean automáticamente tras un tiempo determinado y requieren contraseñas seguras para desbloquearse.
   
   Para poder acceder a los dispositivos de procesamiento del encargado del tratamiento, todos los empleados deben tener cuentas personalizadas.
4. Control interno de acceso (permisos para derechos de usuario para acceder y modificar datos)

   El encargado del tratamiento ha implementado un concepto de acceso basado en roles.

5. Separación 

   Los sistemas están diseñados para ser multiinquilino.

2. Pseudonimización (Artículo 32 (1) (a) RGPD; Artículo 25 (1) RGPD)

El procesamiento de datos personales se realiza de tal manera que los datos no puedan asociarse con una persona afectada específica sin el apoyo de información adicional, siempre que esta información adicional se almacene por separado y esté sujeta a medidas técnicas y organizativas adecuadas, siempre que así lo exija el responsable del tratamiento y sea compatible con las actividades de procesamiento de datos.

1. Control de aislamiento: El procesamiento aislado de datos recopilados para diferentes propósitos

3. Integridad (Artículo 32 (1) (B) RGPD)

1. Control de transferencia de datos
   Para proteger los datos contra la lectura, copia, modificación o eliminación no autorizadas, el encargado del tratamiento ha implementado controles para el cifrado de datos durante la transmisión y soporta los estándares de cifrado de correo electrónico X.509 y PGP.
2. Control de entrada de datos
   El encargado del tratamiento ha implementado sistemas o forma parte de soluciones de sistemas de información para verificar si y quién introduce, modifica o elimina datos personales en un sistema de procesamiento de datos.
   
   Los archivos de registro están estructurados para proporcionar evidencia de quién añadió, modificó o eliminó datos y cuándo, así como para identificar errores de entrada y abusos.

4. Disponibilidad y resiliencia (Artículo 32 (1) RGPD)

El encargado del tratamiento ha adoptado diversas medidas para garantizar la disponibilidad y resiliencia de los datos, especialmente de los datos personales, y protegerlos contra eventos accidentales o intencionados como destrucción, cortes de energía, rayos, así como daños por fuego y agua.

1. Control de disponibilidad
   Para proteger contra la pérdida de datos, el encargado del tratamiento ha desarrollado e implementado una estrategia de respaldo para realizar copias de seguridad regularmente. Los soportes de backup se almacenan en un lugar físico distinto al del sistema.
   
   Además, los sistemas de seguridad de la información del encargado del tratamiento están protegidos contra ataques.

5. Procedimientos para la revisión, evaluación y valoración periódica (Artículo 32 (1) (d) RGPD; Artículo 25 (1) RGPD)

1. Gestión de protección de datos
   El encargado del tratamiento ha implementado procesos y procedimientos para asegurar que las tareas se ejecuten a tiempo y que los datos puedan ser respaldados y restaurados.
2. Gestión de respuesta a incidentes
   Para estar preparado ante cualquier incidente, el encargado del tratamiento ha establecido un centro de operaciones de seguridad para gestionar la respuesta a incidentes. Además, ha desarrollado, implementado y probado un plan transversal de respuesta a incidentes de seguridad de la información para manejar y gestionar incidentes de seguridad de la información.
3. Control del encargo
   Sin instrucciones adecuadas del encargado del tratamiento, por ejemplo, acuerdos claros y precisos, gestión formalizada de encargos, controles estrictos en la selección del proveedor, obligación de evaluación previa, controles regulatorios posteriores, no está permitido el tratamiento de datos por terceros según el artículo 28 del RGPD.

6. Organización

1. Nombramiento de un delegado de protección de datos
   El encargado del tratamiento cuenta con un delegado de protección de datos (interno/externo). Nombrado para cumplir funciones de asesoramiento y control. Los datos de contacto están disponibles en cualquier momento en la página web de la empresa del encargado del tratamiento.
2. Medidas adicionales
   El encargado del tratamiento realiza formaciones regulares a sus empleados. Todos los empleados están instruidos en protección de datos y obligados a garantizar el manejo conforme a la normativa de los datos personales.

Fecha: 01 de enero de 2026

El contrato de procesamiento de datos (AVV) también está disponible para descargar: Nexaro AVV