Contact Us

CONTRATO DE

ENCARGO DEL TRATAMIENTO

Código: ET-5

Cala Ratjada, 9 de junio de 2025

Reunidos de una parte, Mero Diving, S.L., como Responsable del tratamiento, con NIF B077905383 y

domicilio social situado en Calle Eleonor Servera 54 – 07590 Cala Ratjada , en adelante, RESPONSABLE.

Y de otra parte, ASSESSORS TBT, S.L., como Encargado del tratamiento, con NIF B75511188 y

domicilio social situado en Elionor Servera, 54 Pral. – 07590 Cala Rajada (Illes Balears), en adelante,

ENCARGADO.

Ambas partes se reconocen recíprocamente la capacidad legal necesaria para suscribir el presente contrato

de prestación de servicios con acceso a datos personales y

MANIFIESTAN

1. Que ambas partes tratarán los datos personales objeto de este contrato, conforme a lo dispuesto en el

Reglamento (UE) 2016/679, de 27 de abril de 2016 (GDPR), y la Ley Orgánica 3/2018, de 5 de diciembre

(LOPDGDD).

2. Que el RESPONSABLE ha contratado los servicios del ENCARGADO consistentes en:

Servicios prestados: Asesoramiento laboral, elaboración de nóminas.

Duración del contrato: vinculada al tiempo establecido en dicho contrato de servicios.

3. Que para el cumplimiento de dichos servicios, al ENCARGADO le resulta necesario el tratamiento de los datos personales responsabilidad del RESPONSABLE.

4. Que, para regular dicho tratamiento, y sustituyendo cualquier clausulado anterior relativo a este

particular, ambas partes acuerdan el otorgamiento del presente contrato, que se regirá por las siguientes

ESTIPULACIONES

1. Objeto, naturaleza y finalidad del encargo

El presente contrato tiene por objeto definir las condiciones conforme a las cuales el ENCARGADO llevará a

cabo el tratamiento de datos personales necesario para la correcta prestación del servicio proporcionado al

RESPONSABLE, que se detalla a continuación:

Finalidad del encargo: Prestación de servicio de asesoramiento laboral, elaboración de nóminas..

Deber de informar el tratamiento al interesado: corresponderá exclusivamente al RESPONSABLE.

Ubicación del tratamiento: en los locales del ENCARGADO, con autorización del RESPONSABLE para incorporar los datos a sus sistemas.

2. Tipo de datos personales y categoría de interesados

Tipo de datos personales a los que tendrá acceso el ENCARGADO: DNI/NIF/NIE/Pasaporte, Nombre y

apellidos, Dirección postal o electrónica, Teléfono, Firma manual, Núm. de SS o mutualidad

Otros tipos de datos: Características personales, Académicos y profesionales, Detalles de empleo,

Económicos, financieros y de seguro, Transacciones de bienes y servicios.

Categorías de interesados: Empleados.

Operaciones de tratamiento autorizadas: las estrictamente necesarias para alcanzar la finalidad del

encargo.

3. Obligaciones y derechos del RESPONSABLE

El RESPONSABLE garantiza que los datos facilitados al ENCARGADO se han obtenido lícitamente y que son

adecuados, pertinentes y limitados a los fines del tratamiento.

El RESPONSABLE pondrá a disposición del ENCARGADO cuanta información sea necesaria para ejecutar las prestaciones objeto del encargo.

4. Obligaciones y derechos del ENCARGADO

El Encargado del Tratamiento se compromete a cumplir las siguientes obligaciones:

1. Cumplir el deber de información conforme a las instrucciones que le sean facilitadas por el Responsable

de Tratamiento, en el caso de que la prestación de los Servicios implique la recogida de datos personales.

2. Tratar los datos personales, únicamente, para llevar a cabo la prestación de los Servicios, ajustándose a las instrucciones que, en cada momento, le indique, por escrito, el Responsable del Tratamiento (salvo que exista una normativa que obligue a tratamientos complementarios; en tal caso, el encargado informará al Responsable del Tratamiento de esa exigencia legal previa al tratamiento, excepto cuando que esté prohibido por razones de interés público). En caso de que el Encargado del Tratamiento considere que alguna de las instrucciones de Responsable del Tratamiento infringe la normativa vigente de protección de datos, lo notificará de forma inmediata a Responsable del Tratamiento por el medio y a la persona de contacto indicados por ésta.
3. Mantener el deber de secreto respecto a los datos de carácter personal a los que tenga acceso, incluso

después de finalizada la relación contractual, así como a garantizar que las personas a su cargo se hayan

comprometido por escrito a mantener la confidencialidad de los datos personales tratados.

4. Garantizar, teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el

alcance, el contexto, y los fines del tratamiento, así como los riesgos de probabilidad y gravedad variables

para los derechos y libertades de las personas físicas, la aplicación de medidas técnicas y organizativas

apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:

• la seudonimización y el cifrado de datos personales;
• la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los

sistemas y Servicios de tratamiento;

• la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
• un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y

organizativas para garantizar la seguridad del tratamiento.

Al evaluar la adecuación del nivel de seguridad tendrá particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

5. Guardar bajo su control y custodia los datos personales a los que acceda con motivo de la prestación del Servicio y a no divulgarlos, transferirlos, o de cualquier otra forma comunicarlos, ni siquiera para su

conservación a otras personas ajenas al mismo y a la prestación de los Servicios.

Con carácter general, queda prohibida la subcontratación con terceros de los servicios que impliquen el

acceso y/o tratamiento, parcial o total, de datos personales, salvo que el Encargado del Tratamiento cuente con la autorización previa, expresa y por escrito de Responsable del Tratamiento. En ese caso, el Encargado del Tratamiento deberá comunicar a Responsable del Tratamiento los datos identificativos (nombre, domicilio social completo y NIF) del subcontratista o subencargado del tratamiento, así como los Servicios subcontratados, con una antelación mínima de un (1) mes al comienzo de prestación de los Servicios.

El Encargado del Tratamiento informará del mismo modo a Responsable del Tratamiento de cualquier

cambio previsto en la incorporación o sustitución de los Subcontratistas, dando así a Responsable del

Tratamiento la oportunidad de oponerse a dichos cambios.

En caso de hacer uso de la facultad reconocida en el párrafo anterior, el Encargado del Tratamiento queda obligado a trasladar y comunicar al Subcontratista el conjunto de las obligaciones que para el Encargado del Tratamiento se derivan del presente contrato y, en particular, la prestación de garantías suficientes de que aplicará medidas técnicas y organizativas apropiadas, de manera que el tratamiento se conforme con la normativa aplicable.

En cualquier caso, queda autorizado el acceso a los datos que realicen las personas físicas que presten sus Servicios al Encargado del Tratamiento actuando dentro del marco organizativo de éste en virtud de una relación mercantil y no laboral. Asimismo, queda autorizado el acceso a los datos a las empresas y

profesionales que el Encargado del Tratamiento tenga contratados en su ámbito organizativo interno para

que le presten Servicios generales o de mantenimiento (Servicios informáticos,asesoramiento, auditorías,

etc.), siempre que dichas tareas no hayan sido concertadas por el Encargado del Tratamiento con la

finalidad de subcontratar con un tercero todo o parte de los Servicios que presta al Responsable del

Tratamiento.

6. Suprimir o devolver al Responsable del Tratamiento, a su elección, todos los datos personales a los que haya tenido acceso para prestar el Servicio. Asimismo, el Encargado del Tratamiento se obliga a suprimir las copias existentes, a menos que exista una norma jurídica que exija la conservación de los datos personales. No obstante, el Encargado del Tratamiento deberá conservar los datos, debidamente bloqueados, en tanto pudieran derivarse responsabilidades de su relación con el Responsable del Tratamiento.
7. Notificar al Responsable del Tratamiento, sin dilación indebida y en un plazo máximo de 72 horas, las

violaciones de la seguridad de los datos personales de las que tenga conocimiento, dando apoyo al

Responsable del Tratamiento en la notificación a la Agencia Española de Protección de Datos u otra

Autoridad de Control competente y, en su caso, a los interesados, de las violaciones de seguridad que se

produzcan, así como a dar apoyo a Responsable del Tratamiento, cuando sea necesario, en la realización de evaluaciones de impacto de privacidad y en la consulta previa a la Agencia Española de Protección de Datos u otra Autoridad de Control competente, cuando proceda.

8. Asistir a Responsable del Tratamiento para que éste pueda cumplir con la obligación de dar respuesta a las solicitudes de ejercicio de derechos. En caso de que un interesado ejercite sus derechos directamente ante el Encargado del Tratamiento, éste se compromete a notificarlo a Responsable del Tratamiento, en el plazo de 72 horas desde la recepción de la solicitud. El Encargado del Tratamiento no responderá al interesado salvo que cuente con la autorización previa de Responsable del Tratamiento.
9. Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por

cuenta del Responsable del Tratamiento.

10. Cooperar con la Agencia Española de Protección de Datos u otra Autoridad de Control, en los supuestos que así se le solicite.
11. Poner a disposición del Responsable del Tratamiento toda la información necesaria para demostrar el

cumplimiento de las obligaciones establecidas en este Acuerdo y para permitir y contribuir a la realización

de auditorías, incluidas las inspecciones, por parte del Responsable del Tratamiento o un tercero autorizado por él. La falta de acreditación de que el Encargado del Tratamiento esté cumpliendo correctamente las obligaciones asumidas en esta estipulación, será causa de resolución del contrato.

12. Tener designado un delegado de protección de datos, en el caso de que sea necesario.

Si el Encargado del Tratamiento o cualquiera de sus Subcontratistas infringe la presente estipulación o

alguna normativa al determinar los fines y medios del tratamiento, será considerado responsable de dicho

tratamiento.

5. Personal autorizado para realizar el tratamiento

El ENCARGADO garantiza que el personal autorizado para realizar el tratamiento se ha comprometido de

forma expresa y por escrito a respetar la confidencialidad de los datos o que está sujeto a una obligación

legal de confidencialidad de naturaleza legal.

El ENCARGADO tomará medidas para garantizar que cualquier persona que actúe bajo su autoridad y tenga acceso a datos personales solo pueda tratarlos siguiendo las instrucciones del RESPONSABLE o esté obligada a ello en virtud de la legislación vigente.

El ENCARGADO garantiza que el personal autorizado para realizar el tratamiento ha recibido la formación necesaria para asegurar que no se pondrá en riesgo la protección de datos personales.

6. Medidas de seguridad

El ENCARGADO manifiesta estar al corriente en lo que concierne a las obligaciones derivadas de la

normativa de protección de datos, especialmente en lo que se refiere a la implantación de las medidas de

seguridad para las diferentes categorías de datos y de tratamiento establecidas en el artículo 32 del GDPR. El ENCARGADO garantiza que se implementarán adecuadamente dichas medidas de seguridad y ayudará al RESPONSABLE a cumplir las obligaciones establecidas en los artículos del 32 al 36 del GDPR, teniendo en cuenta la naturaleza del tratamiento y la información a disposición del ENCARGADO.

El RESPONSABLE realizará un análisis de los posibles riesgos derivados del tratamiento para determinar las medidas de seguridad apropiadas para garantizar la seguridad de la información tratada y los derechos de los interesados y, si determinara que existen riesgos, trasladará al ENCARGADO un informe con la evaluación de impacto para que proceda a la implementación de medidas adecuadas para evitarlos o mitigarlos.

El ENCARGADO, por su parte, deberá analizar los posibles riesgos y otras circunstancias que puedan incidir en la seguridad que le sean atribuibles, debiendo informar, si los hubiere, al RESPONSABLE para evaluar su impacto.

De todas formas, el ENCARGADO garantiza que, teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, implementará medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo que entrañe el tratamiento, que en su caso incluya, entre otros: Seudonimización y cifrado de datos personales.

Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y

servicios de tratamiento.

Restaurar la disponibilidad y el acceso a datos de forma rápida en caso de incidente físico o técnico.

Procedimientos de verificación, evaluación y valoración regulares de la eficacia de las medidas

técnicas y organizativas para garantizar la seguridad del tratamiento.

7. Violación de la seguridad

Las violaciones de seguridad de que tenga conocimiento el ENCARGADO deberán notificarse sin dilación

indebida al RESPONSABLE para su conocimiento y aplicación de medidas para remediar y mitigar los efectos ocasionados. No será necesaria la notificación cuando sea improbable que comporte un riesgo para los derechos y las libertades de las personas físicas.

La notificación de una violación de seguridad deberá contener, como mínimo, la siguiente información:

Descripción de la naturaleza de la violación. Categorías y el número aproximado de interesados afectados. Categorías y el número aproximado de registros de datos afectados.

Posibles consecuencias. Medidas adoptadas o propuestas para remediar o mitigar los efectos.

Datos de contacto donde pueda obtenerse más información (DPO, responsable de seguridad, etc.).

8. Comunicación de los datos a terceros

El ENCARGADO no podrá comunicar los datos a terceros destinatarios, salvo que hubiera obtenido una

autorización previa y por escrito del RESPONSABLE; la cual, de existir, se anexará al presente contrato.

La transmisión de datos a autoridades públicas en el ejercicio de sus funciones públicas no son consideradas comunicaciones de datos, por lo que no se precisará la autorización del RESPONSABLE si dichas transmisiones son necesarias para alcanzar la finalidad del encargo.

9. Transferencias internacionales de datos

El ENCARGADO no podrá realizar transferencias de datos a terceros países u organizaciones internacionales

no establecidos en el EEE, salvo que hubiera obtenido una autorización previa y por escrito del

RESPONSABLE; la cual, de existir, se anexará al presente contrato..

10. Subcontratación del tratamiento de datos

El ENCARGADO no podrá subcontratar a un tercero la realización de ningún tratamiento de datos que le

hubiera encomendado el RESPONSABLE, salvo que este lo autorice de manera previa y por escrito, y quede constancia anexando la autorización al presente contrato.

11. Derechos de los interesados

El ENCARGADO creará, siempre que sea posible y teniendo cuenta la naturaleza del tratamiento, las

condiciones técnicas y organizativas necesarias para asistir al RESPONSABLE en su obligación de responder a las solicitudes de los derechos del interesado.

En caso de que el ENCARGADO reciba una solicitud para el ejercicio de estos derechos, debe comunicarlo al RESPONSABLE de forma inmediata y, en ningún caso, más allá del día laborable siguiente al de la recepción de la solicitud, adjuntando otras informaciones que puedan ser relevantes para resolverla.

12. Responsabilidad

El Encargado del Tratamiento asumirá la total reparación de los daños y perjuicios causados y dejará

indemne a Responsable del Tratamiento frente a toda reclamación que traiga causa de acciones judiciales y/o extrajudiciales derivadas de cualquier incumplimiento por parte del Encargado del Tratamiento de las obligaciones contenidas en el presente Acuerdo o de la normativa que le resulte de aplicación en su calidad de encargado de tratamiento. El Responsable del Tratamiento podrá repercutir directamente contra el Encargado del Tratamiento cualquier sanción económica que pueda imponerle la autoridad de protección de datos competente como consecuencia de dicho incumplimiento.

13. Legislación y fuero aplicable.

El presente Acuerdo se regirá de acuerdo con la normativa española y europea en materia de Protección de Datos de Carácter Personal, así como las resoluciones y directrices de la Agencia Española de Protección de Datos u otra Autoridad de Control competente. Para dirimir cualquier discrepancia con respecto a la interpretación y/o ejecución de lo establecido en el presente Acuerdo, ambas Partes se someten a la jurisdicción de los Juzgados y Tribunales del domicilio del responsable, con renuncia expresa de cualquier otra legislación o fuero que les pudiera corresponder.

Y para que así conste y surta efectos, en señal de conformidad y otorgamiento, firman el

presente Acuerdo, en el mismo lugar y fecha indicados en el encabezado.