Última actualización: 16-04-2026
Acuerdo sobre protección de datos
El presente acuerdo sobre protección de datos rige entre el cliente (responsable, denominado en lo sucesivo cliente) y Vogel Event Solutions GmbH, Max-Planck-Str. 7/9 97082 Würzburg (encargado del tratamiento, denominado en lo sucesivo contratista) en caso de que el cliente encargue al contratista, mediante un contrato principal, la prestación de servicios que formen parte del ámbito de actividad del contratista y determina los derechos y obligaciones de las partes en materia de protección de datos.
El contrato se perfeccionará cuando el cliente otorgue el encargo al contratista, aceptando las condiciones generales de este último.
1. Obeto y duración del contrato
El objeto del encargo se deriva del contrato de prestación de servicios celebrado entre las partes, al que se hace referencia en el presente documento (en lo sucesivo, «el contrato principal»).
El contratista tratará datos personales para el cliente, en el sentido de lo dispuesto en el art. 4, apdo. 2, y el art. 28 del RGPD, sobre la base del presente contrato.
El servicio acordado por contrato será prestado únicamente en un Estado miembro de la Unión Europea o en un Estado adherido al Acuerdo sobre el Espacio Económico Europeo.
Cualquier traslado del servicio o de partes del mismo a un tercer país requerirá la autorización previa del cliente y solo podrá efectuarse si se cumplen los requisitos específicos establecidos en los artículos 44 y ss. del RGPD (p. ej., decisión de adecuación de la Comisión, cláusulas tipo de protección de datos, códigos de conducta autorizados).
La duración de este encargo (vigencia) se corresponde con la vigencia del contrato principal. Esto no afecta a la posibilidad de rescindir el contrato sin previo aviso.
2. Tipo y finalidad del tratamiento, categorías de datos y personas afectadas
Por regla general, el contratista ofrece al cliente la preparación, la realización y el seguimiento de eventos presenciales, digitales y/o híbridos. Los contenidos incluyen gestión de participantes y ponentes, marketing por correo electrónico, seminarios web, conferencias web, grabaciones de vídeo y audio, análisis de eventos, gestión y traspaso de clientes potenciales, incluyendo la elaboración de listas de participantes para el seguimiento posterior de contactos en el contexto de la prevención de infecciones, así como la facilitación de la plataforma técnica de comunicación, incluida la gestión de encuestas y tickets Los servicios contratados en cada caso se desprenden del contrato principal.
Tipo de datos personales (conforme a la definición de los art. 4 apdo. 1, 13, 14 y 15 del RGPD):
El objeto del tratamiento de datos personales podrían ser los siguientes tipos o categorías de datos (enumeración/descripción de las categorías de datos)
Nombre, apellidos, dirección de correo electrónico, mensajes de chat enviados al moderador / a la moderadora o al /a la ponente, dirección postal
Categorías de personas afectadas (conforme a la definición del art. 4, apdo. 1 del RGPD):
Las categorías de personas afectadas por el tratamiento pueden incluir:
empleados del cliente, clientes, personas interesadas
3. Derechos y obligaciones, así como poder directivo del cliente
El cliente es el único responsable de juzgar la licitud del tratamiento conforme al art. 6, apdo. 1 del RGPD, así como de garantizar los derechos de las personas interesadas conforme a los art. 12 a 22 del RGPD.
No obstante, el contratista está obligado a remitir de inmediato al cliente todas aquellas solicitudes que manifiestamente vayan dirigidas solo a este.
Cualquier cambio del objeto del tratamiento y los cambios de procedimiento deberán acordarse conjuntamente entre el cliente y el contratista y ser fijados por escrito o en un formato electrónico documentado.
Por lo general el cliente hará todos los encargos y encargos parciales y dará instrucciones por escrito o en un formato electrónico documentado. Las instrucciones que se den verbalmente deberán ser confirmadas sin demora por escrito o en un formato electrónico documentado.
El cliente tendrá derecho a comprobar, tal y como se establece en el punto 5, antes del inicio del tratamiento y después periódicamente de manera conveniente, que se cumplen las medidas técnicas y organizativas adoptadas por el contratista, así como las obligaciones establecidas en el presente contrato.
El cliente informará de inmediato al contratista si detectara errores o irregularidades al controlar los resultados del encargo.
El cliente está obligado a tratar de forma confidencial toda la información sobre secretos comerciales y medidas para la seguridad de los datos del contratista que haya obtenido en el marco de la relación contractual.
Esta obligación seguirá vigente incluso tras la finalización del presente contrato
4. Obligaciones del contratista
El contratista tratará los datos personales exclusivamente en el marco de lo estipulado y conforme a las instrucciones del cliente, salvo que esté obligado a realizar otro tratamiento en virtud del Derecho de la Unión o de los Estados miembros al que esté sujeto el encargado del tratamiento (por ejemplo, investigaciones policiales o de los cuerpos de seguridad del Estado); en tal caso, el encargado del tratamiento comunicará al responsable dichos requerimientos legales antes del tratamiento, en tanto que la legislación en cuestión no prohíba dicha comunicación por razones de interés público importante (art. 28, apdo. 3, frase 2, letra a) del RGPD).
El contratista no utilizará los datos personales cedidos para su tratamiento para ningún otro fin, en particular no para sus propios fines. No se crearán copias ni duplicados de los datos personales sin el conocimiento del cliente.
El contratista garantiza, en el ámbito del tratamiento de datos personales encargado, la ejecución conforme a contrato de todas las medidas acordadas. Garantiza que los datos tratados para el cliente se mantendrán estrictamente separados de otros conjuntos de datos.
Los soportes de datos que procedan del cliente o se utilicen para él se identificarán como tales. Se documentarán la entrada y la salida, así como el uso en curso.
En el cumplimiento por parte del cliente de los derechos de las personas interesadas conforme a los art. 12 a 22 del RGPD, en la elaboración de los registros de actividades de tratamiento, así como en los análisis de impacto relativos a la protección de datos que el cliente deba realizar, el contratista deberá colaborar en el alcance necesario y, en la medida de lo posible, prestar al cliente apoyo razonable (art. 28, apdo. 3, frase 2, letras e) y f) del RGPD). Deberá remitir sin demora la información necesaria al respecto al departamento del cliente indicado en la solicitud.
El contratista informará sin demora al cliente si, en su opinión, una orden dada por este incumpliera las disposiciones legales (art. 28, apdo. 3, frase 3 del RGPD).
El contratista tendrá derecho a suspender la ejecución de la orden correspondiente hasta que el responsable del cliente la confirme o la modifique tras haberla revisado.
El contratista deberá rectificar o suprimir los datos personales derivados de la relación contractual o limitar el tratamiento de los mismos cuando el cliente lo solicite mediante una orden y ello no se oponga a intereses legítimos del contratista.
El contratista solo podrá facilitar a terceros o a los interesados información sobre los datos personales derivados de la relación contractual previa orden o consentimiento del cliente.
El contratista acepta que el cliente —siempre previa cita— tiene derecho a controlar, por sí mismo o a través de terceros designados por él, el cumplimiento de las normas sobre protección y seguridad de datos, así como de los acuerdos contractuales, en la medida en que sea razonable y necesario, en particular recabando información y accediendo a los datos almacenados y a los programas de tratamiento de datos, así como mediante controles e inspecciones in situ (art. 28, apdo. 3, frase 2, letra h) del RGPD).
El contratista garantiza que, en la medida en que sea necesario, colaborará en dichos controles.
El tratamiento de datos en domicilios particulares (teletrabajo o trabajo a domicilio de los empleados del contratista) solo se permite tras el consentimiento del cliente. En la medida en que los datos se traten en un domicilio particular, deberá garantizarse de antemano por contrato el acceso al domicilio del empleado para fines de control por parte del empleador.
Las medidas previstas en el art. 32 del RGPD también deben garantizarse en este caso.
El contratista confirma que conoce la normativa de protección de datos del RGPD pertinente para el tratamiento por encargo.
Se compromete a respetar también las normas de confidencialidad pertinentes para este encargo, que incumben al cliente y que este le comunicará a su debido tiempo.
El contratista se compromete a mantener la confidencialidad al tratar los datos personales del cliente conforme al contrato.
Esta obligación seguirá vigente incluso tras la finalización del contrato.
El contratista garantiza que, antes de que los empleados que participen en la ejecución de las labores comiencen a desempeñar sus funciones, les familiarizará con las disposiciones de protección de datos que les sean aplicables y les obligará de manera adecuada a mantener la confidencialidad, tanto mientras dure su relación laboral como tras la finalización de la mismal (art. 28, apdo. 3, frase 2, letra b), y art. 29 del RGPD).
El contratista supervisará el cumplimiento de la normativa de protección de datos en su empresa.
Los datos de contacto del delegado de protección de datos del contratista se comunicarán al cliente con el fin de que este pueda ponerse en contacto directamente con él. Cualquier cambio del delegado de protección de datos se comunicará al cliente sin demora. El contratista ha designado como delegado de protección de datos al proveedor de servicios externo TÜV Süd, datenschutz@vogel.de. Cualquier cambio del delegado de protección de datos se ha de comunicar al cliente de inmediato.
El contratista se compromete, en su caso, a informar inmediatamente al cliente sobre la exclusión de las normas de conducta autorizadas conforme al art. 41, apdo. 4 del RGPD y sobre la revocación de una certificación conforme al art. 42, apdo. 7 del RGPD.
5. Obligaciones de notificación del contratista en caso de fallos en el tratamiento y de violaciones de la protección de datos personales
El contratista informará sin demora al cliente de cualquier incidencia, incumplimiento por parte del contratista o de las personas que trabajan en su empresa, así como de cualquier infracción de la normativa en materia de protección de datos o de las estipulaciones acordadas en el contrato, y comunicará cualquier sospecha de violación de la protección de datos o de irregularidades en el tratamiento de datos personales.
Esto se aplica, sobre todo, también a las posibles obligaciones de notificación y comunicación del cliente conforme a los artículos 33 y 34 del RGPD.
El contratista se compromete a prestar al cliente el apoyo conveniente cuando sea necesario para el cumplimiento de sus obligaciones conforme a los art. 33 y 34 del RGPD (art. 28, apdo. 3, frase 2, letra f) del RGPD).
El contratista solo podrá realizar notificaciones conforme a los art. 33 o 34 del RGPD en nombre del cliente tras haber recibido orden previa, según lo regulado en el apartado 4 del presente contrato.
6. Relaciones de subcontratación con subcontratistas (art. 28, apdo. 3, frase 2, letra d) del RGPD)
El contratista solo podrá contratar a subcontratistas para el tratamiento de los datos del cliente con la autorización de este, art. 28, apartado 2, del RGPD, la cual deberá realizarse a través de uno de los canales de comunicación mencionados anteriormente (apartado 4), con excepción de la autorización verbal. El consentimiento solo podrá ser otorgado si el contratista comunica al responsable el nombre y la dirección, así como la actividad prevista del subcontratista.
Además, el contratista deberá velar por seleccionar cuidadosamente al subcontratista, prestando especial atención a la idoneidad de las medidas técnicas y organizativas adoptadas por este último, de conformidad con el art. 32 del RGPD. Los documentos de verificación pertinentes deberán ponerse a disposición del cliente cuando este lo solicite.
Solo se podrá recurrir a subcontratistas de terceros países si se cumplen los requisitos específicos establecidos en los artículos 44 y ss. del RGPD (p. ej., decisión de adecuación de la Comisión, cláusulas tipo de protección de datos, códigos de conducta autorizados).
El contratista deberá garantizar por contrato que las disposiciones acordadas entre el cliente y el contratista se apliquen también a los subcontratistas.
En el contrato con el subcontratista, los datos indicados deberán especificarse de manera tan concreta que las responsabilidades del contratista y del subcontratista queden claramente delimitadas entre sí.
Si se recurre a varios subcontratistas, esto se aplica también a las responsabilidades entre dichos subcontratistas. En particular, el cliente deberá estar facultado para en caso necesario, realizar los controles e inspecciones convenientes, incluso in situ en las sedes de los subcontratistas o encargárselas a terceros designados por él.
El contrato con el subcontratista deberá formalizarse por escrito, lo que también podrá hacerse en formato electrónico (art. 28, apdos. 4 y 9 del RGPD).
La transmisión de datos al subcontratista solo estará permitida cuando este haya cumplido las obligaciones establecidas en el art. 29 y art. 32, apdo. 4 del RGPD en lo referido a sus empleados.
El contratista responderá ante el cliente de que el subcontratista cumpla con las obligaciones de protección de datos que le haya impuesto contractualmente el contratista en consonancia con la presente sección del contrato.
El cliente da su consentimiento a la contratación de los subcontratistas enumerados en este ENLACE, a condición de que se celebre un acuerdo contractual de conformidad con el art. 28, apdos. 2 a 4 del RGPD.
El encargado del tratamiento informará siempre al responsable de cualquier cambio previsto en cuanto a un posible recurso a nuevos subcontratistas o la sustitución de los actuales, lo que dará al cliente la posibilidad de oponerse a dichos cambios (art. 28, apdo. 2, frase 2 del RGPD).
El contratista tiene la facultad general de contratar a subcontratistas, pero está obligado a notificar previamente al cliente cualquier subcontratación. El cliente tiene derecho a oponerse a dicha obligación y, por ley, tiene derecho a presentar objeción contra dicho cambio (art. 28, apdo. 2 del RGPD). Si, tras la exposición de los motivos de la sustitución de un subcontratista, no se acuerda una solución, no será posible designar al subcontratista contra el que se ha presentado objeción.
7. Medidas técnicas y organizativas de conformidad con el art. 32 del RGPD (art. 28, apdo. 3, frase 2, letra c) del RGPD)
Para el tratamiento concreto objeto del encargo se garantiza un nivel de protección adecuado al riesgo para los derechos y libertades de las personas físicas afectadas por el tratamiento. Para ello, se tienen en cuenta los objetivos de protección del art. 32, apdo. 1 del RGPD, tales como la confidencialidad,
la integridad y la disponibilidad de los sistemas y servicios, así como su resiliencia en relación con la naturaleza, el alcance, las circunstancias y la finalidad de los tratamientos, de tal manera que, mediante medidas correctivas técnicas y organizativas adecuadas, se mitigue el riesgo de forma permanente.
Las medidas técnico-organizativas pueden consultarse en el siguiente enlace: https://legal.vogel.de/en/legal-cockpit-2/vcg-vogel-communications-group/clt/tom-eng/
El contratista deberá, cuando proceda, llevar a cabo una revisión, valoración y evaluación de la eficacia de las medidas técnicas y organizativas destinadas a garantizar la seguridad del tratamiento (art. 32, apdo. 1, letra d) del RGPD). El resultado, incluido el informe de auditoría, deberá ser comunicado al cliente.
Las decisiones relevantes para la seguridad relativas a la organización del tratamiento de datos y a los procedimientos aplicados deberán acordarse entre el contratista y el cliente. En la medida en que las medidas que adopte el contratista no satisfagan los requisitos del cliente, este lo notificará al cliente sin demora.
Las medidas adoptadas por el contratista podrán ser adaptadas a los avances técnicos y organizativos a lo largo de la relación contractual, pero no podrán ser inferiores a los estándares acordados.
Cualquier cambio sustancial el contratista lo deberá acordar con el cliente de forma documentada (por escrito, por vía electrónica).
Dichos acuerdos deberán conservarse durante la vigencia del presente contrato.
8. Obligaciones del contratista tras la finalización del encargo, art. 28, apdo. 3, frase 2, letra g) del RGPD
Una vez finalizadas las labores acordadas por contrato, el contratista deberá entregar al cliente todos los datos, documentos y resultados del tratamiento o uso que hayan llegado a su poder o al de los subcontratistas y que estén relacionados con la relación contractual, o bien suprimirlos o destruirlos de conformidad con la normativa de protección de datos.
La supresión o destrucción deberá ser confirmada al cliente por escrito, indicando la fecha, o en un formato electrónico documentado.
9. Remuneración
Se aplicará lo regulado por el contrato de prestación de servicios. Los costes adicionales derivados de la asistencia prestada al cliente en el cumplimiento de sus obligaciones en materia de protección de datos u otras obligaciones se remunerarán convenientemente de acuerdo con las tarifas por hora establecidas en el contrato principal.
10. Responsabilidad
Se hace referencia al art. 82 del RGPD.
11. Varios
Los acuerdos relativos a las medidas técnicas y organizativas, así como los documentos de control y auditoría (también los relativos a los subcontratistas), deberán ser conservados por ambas partes contratantes durante su vigencia y, a continuación, durante tres años naturales completos.
En caso de que la propiedad o los datos personales del cliente a tratar, mientras estén en poder del contratista, se vean amenazados por medidas de terceros (por ejemplo, por embargo o incautación), por un procedimiento de insolvencia o de conciliación o por otras eventualidades, el contratista deberá informar de ello al cliente sin demora.
Queda excluida la excepción del derecho de retención en el sentido del art. 273 del Código Civil alemán (BGB) en lo que respecta a los datos tratados para el cliente y a los soportes de datos correspondientes. En caso de que alguna parte de este contrato fuera ineficaz, ello no afectará a la eficacia del resto del contrato.