Acuerdo de encargado de tratamiento (DPA - Art. 28 RGPD)

Entre:
Responsable: [Cliente]
Encargado: Alejandro Grau Pérez (NIF/NIPC 322906750), Avenida Vasco da Gama 182, Póvoa de Varzim, Portugal, info@b2mktplace.com

1. Objeto, duración y naturaleza

Prestación de servicios de consultoría/gestión de cuenta Amazon. Duración: mientras dure el contrato principal.

2. Categorías de datos y afectados

Contactos profesionales (nombre, cargo, email, teléfono); datos operativos de las cuentas del Cliente (incluida PII de compradores de Amazon solo si es imprescindible para el servicio contratado). Afectados: personal del Cliente y, en su caso, compradores finales de Amazon.

3. Obligaciones del Encargado

• Tratar solo según instrucciones documentadas del Responsable.

• Garantizar confidencialidad y formar al personal.

• Aplicar medidas técnicas y organizativas adecuadas (ver Anexo Seguridad).

• No subcontratar sin autorización previa del Responsable; en caso de subencargados, imponer obligaciones equivalentes.

• Asistir al Responsable en el ejercicio de derechos RGPD y evaluaciones de impacto.

• Notificar violaciones de seguridad sin dilación indebida con la información disponible.

• Suprimir/devolver todos los datos tras la finalización y suprimir copias salvo obligación legal.

• Poner a disposición la información necesaria para demostrar el cumplimiento y permitir/participar en auditorías razonables.

4. Transferencias internacionales

Solo con autorización del Responsable y con garantías adecuadas (SCC u otras).

5. Anexo Seguridad (resumen)

RBAC + MFA; cifrado en tránsito y reposo; EDR/antimalware; parcheo; registro de accesos; retención ≤ 30 días de PII de Amazon salvo obligación legal (offline cifrada); borrado seguro.

Firmas:
Responsable: _____________________
Encargado: _____________________