Acuerdo de Procesamiento de Datos (APD) - TRACE.App

§ 1 Objeto del tratamiento

1. El presente contrato regula el tratamiento de datos personales por parte de la Encargada del Tratamiento por encargo del Responsable del Tratamiento en el marco del uso de TRACE.App como cuenta empresarial. El objeto es, en particular, el tratamiento de datos de empleados (p. ej., datos de consumo de energía, comportamiento de uso, datos de comunicación) en el marco del uso corporativo de la app.
2. Las actividades de tratamiento se describen en el Anexo A de este contrato, que forma parte integrante del mismo.
3. Este APD prevalece sobre todos los acuerdos anteriores entre las partes sobre el tratamiento por encargo en el marco de TRACE.App.
4. Este APD está disponible en trace-electricity.com/es/dpa-app/.
5. Este APD se aplica exclusivamente al tratamiento en el marco de la suscripción empresarial de TRACE.App. Para TRACE.Parser y TRACE.Configurador/Studio se aplican acuerdos separados.

§ 2 Duración del tratamiento

1. El tratamiento de datos personales se lleva a cabo durante la vigencia de la suscripción empresarial de TRACE.App entre el Responsable del Tratamiento y la Encargada del Tratamiento.
2. Tras la finalización de la suscripción, se aplicarán las disposiciones del § 8 de este contrato sobre la eliminación y devolución de datos.
3. Las obligaciones legales de conservación de la Encargada del Tratamiento no se verán afectadas.

§ 3 Vinculación a instrucciones y prohibición de tratamiento propio

1. La Encargada del Tratamiento trata los datos personales exclusivamente según instrucciones documentadas del Responsable del Tratamiento (del cliente empresarial), salvo que esté obligada a tratar los datos por el Derecho de la Unión Europea o de los Estados miembros. En tal caso, la Encargada del Tratamiento informará al Responsable de dichos requisitos legales antes del tratamiento, salvo que dicho Derecho prohíba tal información.
2. Prohibición de tratamiento propio: El tratamiento de los datos de empleados transmitidos en el marco de este APD para fines propios de la Encargada del Tratamiento queda expresamente excluido. Las estadísticas de uso anonimizadas, no referibles a personas individuales (p. ej., tasas de uso agregadas de la app a nivel empresarial) quedan excluidas de esta prohibición.
3. Las instrucciones se imparten habitualmente por escrito (también por correo electrónico a privacy@trace-electricity.com). Las instrucciones verbales se confirman por escrito sin demora. La Encargada del Tratamiento documenta las instrucciones recibidas y su ejecución.
4. El Responsable del Tratamiento tiene derecho a dar instrucciones adicionales en cualquier momento. La Encargada del Tratamiento debe informar al Responsable sin demora si considera que una instrucción infringe las disposiciones de protección de datos aplicables.
5. Derecho de suspensión (ante instrucciones ilegales): Si el cliente comitente imparte una instrucción que, a juicio de TRACE Electricity, infringe el RGPD u otras disposiciones de protección de datos aplicables, TRACE Electricity está facultada y obligada a suspender inmediatamente la ejecución de dicha instrucción e informar al cliente por escrito. TRACE Electricity solo ejecutará la instrucción tras la confirmación escrita del cliente de que la instrucción es lícita y de que TRACE Electricity queda exonerada de cualquier responsabilidad derivada.
6. El Responsable del Tratamiento se asegura de que existe una base jurídica adecuada para la transmisión de datos de empleados a TRACE (p. ej., el § 26 BDSG para empleados o un consentimiento informado conforme al Art. 6(1)(a) RGPD).

§ 4 Categorías de datos personales y de personas afectadas

Categorías de personas afectadas

• Empleados del Responsable del Tratamiento que utilizan TRACE.App en el marco de la suscripción empresarial
• En su caso, otras personas invitadas por el Responsable (p. ej., autónomos, becarios)

Categorías de datos personales

• Datos de identificación: Nombre, dirección de correo electrónico, hash de contraseña, datos de perfil
• Datos de consumo energético: Mediciones de consumo, costes de energía, recomendaciones de ahorro, datos del hogar (en la medida en que el empleado los haya introducido en la app)
• Datos de uso: Tiempos de uso de la app, funciones consultadas, datos de sesión, información del dispositivo
• Datos de comunicación: Notificaciones push (AWS SNS / servicio push), mensajes en la app
• Datos de registro técnicos: Dirección IP (anonimizada antes del almacenamiento permanente; no se persiste ninguna dirección IP completa), tiempos de acceso, informes de errores (máx. 90 días, después eliminación automática)

Las categorías especiales de datos personales conforme al Art. 9 RGPD no están comprendidas en el objeto de este contrato y el Responsable del Tratamiento no puede tratarlas a través de la app.

§ 5 Obligaciones de la Encargada del Tratamiento

La Encargada del Tratamiento se compromete frente al Responsable del Tratamiento, en particular, a:

1. Tratar los datos personales exclusivamente según instrucciones documentadas del Responsable del Tratamiento (§ 3 de este contrato).
2. Obligar a las personas que participen en el tratamiento a guardar confidencialidad o garantizar que estén sujetas a una obligación legal de secreto adecuada.
3. Adoptar todas las medidas técnicas y organizativas necesarias conforme al Art. 32 RGPD para garantizar la seguridad del tratamiento. La documentación completa de MTO (Medidas Técnicas y Organizativas TRACE.App (TOM)) tiene el carácter de Anexo B de este APD. La Encargada del Tratamiento está facultada para adaptar las MTO siempre que no se reduzca el nivel de protección; los cambios sustanciales se comunicarán al Responsable.
4. Garantizar medidas de seguridad específicas de AWS, en particular: cifrado de todos los datos en tránsito (TLS 1.2+) y en reposo (AES-256) en AWS eu-central-1 (Fráncfort); políticas IAM y basadas en recursos para el control de acceso; gestión segura de tokens a través de Auth0 (tenant UE) y AWS Cognito; revisión periódica de las reglas de seguridad y derechos de acceso.
5. Asistir al Responsable del Tratamiento en el cumplimiento de sus obligaciones de respuesta a las solicitudes de las personas afectadas (§ 7).
6. Asistir al Responsable del Tratamiento en el cumplimiento de las obligaciones establecidas en los Art. 32 a 36 RGPD, en particular ante una posible evaluación de impacto sobre la protección de datos (§ 14).
7. A elección del Responsable del Tratamiento, suprimir o devolver todos los datos personales tras la conclusión de la prestación de los servicios de tratamiento (§ 8).
8. Poner a disposición del Responsable del Tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el Art. 28 RGPD y permitir auditorías, incluidas inspecciones (§ 9).

§ 6 Subencargados del tratamiento

1. El Responsable del Tratamiento otorga por el presente la autorización general para el uso de los siguientes subencargados del tratamiento:

2. Sobre cualquier intención de incorporar nuevos subencargados del tratamiento o de sustituir a los existentes, la Encargada del Tratamiento informará al Responsable del Tratamiento con suficiente antelación (al menos 30 días) por correo electrónico a la dirección de contacto registrada del Responsable.
3. El Responsable del Tratamiento tiene derecho a oponerse a la modificación. Si el Responsable no se opone en el plazo de 30 días desde la recepción de la notificación, la modificación se considerará aprobada. En caso de oposición fundada, se concederá al Responsable un derecho de resolución extraordinaria. La Encargada del Tratamiento examinará en ese caso si el subencargado en cuestión puede ser sustituido por un proveedor equivalente. En caso de resolución tras oposición fundada, la Encargada del Tratamiento garantizará que los datos personales del Responsable ya tratados por el nuevo subencargado sean suprimidos o devueltos conforme al § 8 con efecto inmediato a la efectividad de la resolución.
4. La Encargada del Tratamiento obliga contractualmente a sus subencargados a las mismas obligaciones de protección de datos que las pactadas en el presente contrato, en particular en lo que respecta a la garantía de medidas técnicas y organizativas adecuadas.
5. Nota: GA4, Hotjar y LinkedIn Insight Tag son utilizados por TRACE Electricity GmbH como responsables autónomos del tratamiento para fines de marketing en el sitio web y no son objeto de este APD. Los detalles se regulan en el Aviso de Privacidad - TRACE.App.

§ 7 Derechos de las personas afectadas

1. La Encargada del Tratamiento asistirá al Responsable del Tratamiento en el cumplimiento de sus obligaciones de respuesta a las solicitudes de las personas afectadas (empleados) conforme a los Art. 15 a 22 RGPD, en particular en solicitudes de acceso, rectificación, supresión, limitación, portabilidad y oposición.
2. Si empleados del Responsable del Tratamiento dirigen solicitudes sobre sus datos tratados en TRACE.App directamente a la Encargada del Tratamiento, ésta las reenviará sin demora al Responsable sin pronunciarse sobre el fondo. El Responsable del Tratamiento, como responsable en materia de protección de datos, es el competente para responder.
3. En la medida en que los derechos de los afectados puedan ejercerse directamente mediante funciones de autoservicio en la cuenta de la app (p. ej., supresión de datos, actualización del perfil), la implementación organizativa corresponde al Responsable del Tratamiento. Para asistencia técnica adicional, deberá contactarse con privacy@trace-electricity.com.
4. Los servicios de asistencia que excedan el alcance contractual de la prestación se remuneran adecuadamente según el trabajo realizado.

§ 8 Supresión y devolución de datos

1. Tras la rescisión o finalización definitiva de la suscripción empresarial de TRACE.App, la Encargada del Tratamiento suprimirá irrevocablemente todos los datos personales del Responsable (datos de empleados) de todos los sistemas de AWS y servicios asociados en un plazo de 30 días desde la finalización del contrato.
2. A petición del Responsable del Tratamiento, la Encargada proporcionará los datos tratados antes de la supresión en un formato legible por máquina (JSON o CSV). La exportación de datos se facilitará en un plazo de 14 días tras la solicitud; el enlace de descarga estará activo durante 30 días. Tras el vencimiento del plazo o tras la confirmación del Responsable de que no desea exportación, comenzará el plazo de supresión de 30 días.
3. La supresión se extiende a todas las copias realizadas en el marco del tratamiento por encargo, incluidas las copias de seguridad, salvo que existan obligaciones legales de conservación. Los datos de facturación se conservarán conforme al § 147 AO y al § 257 HGB hasta 10 años; para estos datos el tratamiento quedará limitado hasta el vencimiento del plazo de conservación.
4. A petición, la Encargada del Tratamiento confirmará la supresión completa por escrito mediante correo electrónico.
5. Plazos de supresión: La supresión se realiza en un plazo de 30 días naturales tras la finalización del contrato o a petición escrita del cliente comitente. Los datos de registro del sistema se suprimen tras un máximo de 90 días; los registros de auditoría de seguridad se conservan con carácter divergente durante 12 meses (Art. 6(1)(c) RGPD en relación con §§ 147 AO, 257 HGB), salvo que una obligación legal de conservación requiera un almacenamiento más prolongado. TRACE Electricity confirma al cliente comitente la supresión completa por escrito a petición.

§ 9 Pruebas y controles

1. El Responsable del Tratamiento tiene derecho a controlar en cualquier momento el cumplimiento de las disposiciones de protección de datos y de los acuerdos del presente contrato en la Encargada del Tratamiento y en los posibles subencargados.
2. Los controles pueden realizarse mediante:
   • Solicitud de información y documentación (p. ej., Medidas Técnicas y Organizativas MTO - TRACE.App actuales, lista de subencargados)
   • Entrevistas con el delegado de protección de datos o con los empleados designados
   • Inspecciones in situ (con aviso previo razonable de al menos 14 días naturales, en su caso tras la firma de un acuerdo de confidencialidad). Las auditorías se realizarán como máximo una vez al año; las certificaciones actuales presentadas [ISO 27001 — certificación prevista para el T4 2026] se considerarán prueba equivalente.
3. En lugar de una inspección in situ, la Encargada del Tratamiento podrá transmitir al Responsable certificaciones actuales, informes de auditoría (p. ej., certificación ISO 27001 (en preparación, prevista para el T4 2026). Hasta la certificación se aplicarán los requisitos esenciales de ISO 27001 como marco de seguridad interno), o pruebas equivalentes (p. ej., declaración propia sobre el estado de las MTO), siempre que éstas cubran el objeto del control.
4. Los costes de las inspecciones in situ corren a cargo del Responsable del Tratamiento, salvo que la Encargada del Tratamiento sea responsable de incumplimientos sustanciales del contrato o de protección de datos.
5. La Encargada del Tratamiento lleva, conforme al Art. 30(2) RGPD, un registro de todas las categorías de actividades de tratamiento realizadas por encargo de responsables. El registro se pondrá a disposición a petición del Responsable o de una autoridad de control competente.

§ 10 Violaciones de seguridad y obligaciones de notificación

1. La Encargada del Tratamiento notificará al Responsable del Tratamiento las violaciones de la seguridad de los datos personales (brechas de seguridad) conforme al Art. 33(2) RGPD sin demora indebida, y en todo caso dentro de las 24 horas siguientes al conocimiento de la violación. La notificación se realizará por correo electrónico a la dirección de contacto registrada del Responsable. La responsabilidad de notificar a la autoridad de control competente (Art. 33(1) RGPD, plazo: 72 horas) y de informar a las personas afectadas (Art. 34 RGPD) corresponde al Responsable del Tratamiento. La información que falte o que aún no esté completamente disponible se entregará sin demora, a más tardar 72 horas después de la primera notificación (Art. 33(2) RGPD).
2. La primera notificación deberá contener como mínimo:
   • Una descripción de la naturaleza de la violación (en la medida de lo conocido), incluidos los servicios de AWS afectados y los SDK utilizados
   • El número aproximado de personas afectadas (empleados) y conjuntos de datos
   • Las consecuencias probables de la violación
   • Las medidas ya adoptadas o propuestas para remediar la violación y minimizar los riesgos
3. Las solicitudes de las autoridades de control relativas al tratamiento por encargo del Responsable del Tratamiento serán remitidas por la Encargada del Tratamiento sin demora al Responsable sin pronunciarse sobre el fondo, salvo que esté obligada a ello por el Derecho aplicable.
4. Las modificaciones sustanciales de este contrato, en particular los cambios en la lista de subencargados, se comunicarán al Responsable del Tratamiento conforme al § 6(2).

§ 11 Finalización del encargo

1. Tras la finalización del encargo, la Encargada del Tratamiento deberá, a elección del Responsable, devolver o suprimir previa confirmación todos los documentos en su posesión, los resultados de tratamiento y uso creados, y los conjuntos de datos relacionados con la relación de encargo (§ 8).
2. La Encargada del Tratamiento está obligada a mantener la confidencialidad de los datos que se le han confiado también tras la finalización del contrato.
3. La Encargada del Tratamiento deberá conservar la documentación que sirva como prueba del tratamiento correcto de los datos durante los plazos de conservación legalmente establecidos más allá de la finalización del contrato, y podrá entregarla al Responsable a petición.

§ 12 Disposiciones finales

1. El presente contrato se rige por el Derecho de la República Federal de Alemania con exclusión de la Convención de Viena sobre los Contratos de Compraventa Internacional de Mercancías. El fuero exclusivo para todos los litigios derivados o relacionados con este contrato es Hamburgo, Alemania, salvo que las disposiciones legales se opongan a ello.
2. Si alguna disposición de este contrato resultara total o parcialmente nula o deviniese nula, ello no afectará a la validez de las demás disposiciones. Las partes se comprometen a sustituir la disposición inválida por una válida que se aproxime en la mayor medida posible al fin económico de la disposición inválida.
3. Las modificaciones y adiciones a este contrato y a sus anexos requieren la forma de texto (basta el correo electrónico). Esto se aplica también a la derogación de este requisito de forma.
4. En la medida en que las disposiciones de este contrato sean incompatibles con los requisitos del RGPD, prevalecerán los requisitos del RGPD.
5. Cada parte responderá por las infracciones de protección de datos que sean imputables a ella. En la medida en que una persona afectada exija indemnización conforme al Art. 82 RGPD a una parte que no haya causado o no haya causado únicamente el daño, la otra parte estará obligada a exonerar a la parte que haya satisfecho la indemnización en la relación interna en proporción a la culpa respectiva.
6. TRACE Electricity GmbH designa como interlocutor para cuestiones de protección de datos: privacy@trace-electricity.com. Para más información, véase el Aviso de Privacidad - TRACE.App y la Política de Privacidad general.

§ 13 Transferencias a terceros países

1. El almacenamiento y tratamiento primario de datos se realiza en la infraestructura de AWS en la región eu-central-1 (Fráncfort, Alemania) y está sujeto por tanto al Derecho de la Unión Europea. No está prevista ninguna transferencia a terceros países en el sentido del Art. 44 y ss. RGPD para el funcionamiento regular.
2. Auth0 (Okta EMEA Limited) se opera exclusivamente en el tenant UE (eu.auth0.com, AWS eu-west-1, Irlanda). No se produce ninguna transferencia a terceros países para el tratamiento de autenticación.
3. Cloudflare Germany GmbH actúa como entidad de la UE; no es necesaria ninguna transferencia a terceros países a través de Cloudflare para la prestación de los servicios CDN. En el caso de que Cloudflare, Inc. (EE.UU.), como sociedad matriz, tenga acceso a datos, también se han acordado las CCT UE 2021/914 y el EU-U.S. DPF (Cloudflare, Inc. está certificada) como garantías.
4. La Encargada del Tratamiento informará sin demora al Responsable sobre cambios sustanciales en las salvaguardas de transferencia a terceros países.

Disposición de reserva (Decisión de adecuación DPF): En la medida en que exista una decisión de adecuación de la Comisión Europea para países destinatarios concretos (en particular el EU-U.S. Data Privacy Framework para EE.UU.), la transmisión se realizará preferentemente sobre esta base. Si una decisión de adecuación dejara de ser válida, las cláusulas contractuales tipo antes citadas se aplicarán automáticamente como garantía alternativa (fallback). En tal caso, las partes cooperarán sin demora para acordar garantías de transferencia alternativas adecuadas.

§ 14 Asistencia en la evaluación de impacto sobre la protección de datos (EIPD)

1. Conforme al Art. 28(3)(f) RGPD, la Encargada del Tratamiento asistirá al Responsable del Tratamiento en la realización de una evaluación de impacto sobre la protección de datos (EIPD) conforme al Art. 35 RGPD, siempre que el Responsable la considere necesaria para el uso corporativo de TRACE.App.
2. La asistencia comprende en particular:
   • Proporción de información sobre los procesos de tratamiento en TRACE.App (incluida la infraestructura de AWS, flujos de datos, subencargados utilizados)
   • Proporción de la documentación de MTO (Medidas Técnicas y Organizativas MTO - TRACE.App) como base para la evaluación de riesgos
   • Respuesta a preguntas sobre el alcance del tratamiento, las categorías de datos y la infraestructura de tratamiento
   • Asistencia en la evaluación de la necesidad de una consulta previa a la autoridad de control conforme al Art. 36 RGPD
3. Los servicios de asistencia que vayan más allá de una simple proporción de información se remunerarán según el trabajo realizado previa concertación.
4. Las solicitudes de asistencia para la EIPD deben dirigirse a: privacy@trace-electricity.com.

§ 15 — Medidas Técnicas y Organizativas (Anexo B)

Las medidas técnicas y organizativas adoptadas por el Encargado del Tratamiento para proteger los datos personales (Art. 32 RGPD) se describen en detalle en el Anexo B de este contrato. El Anexo B forma parte integrante de este Acuerdo de Procesamiento de Datos. El Encargado del Tratamiento está facultado para desarrollar las medidas siempre que no se reduzca el nivel de protección acordado. Los cambios sustanciales se comunicarán sin demora al cliente comitente. Las MTO actuales pueden consultarse en: trace-electricity.com/es/tom-app/

§ 16 — Cese de actividades e insolvencia

(1) En caso de insolvencia, liquidación o cese definitivo de las actividades del Encargado del Tratamiento, todos los datos personales del cliente comitente almacenados en el Encargado del Tratamiento serán devueltos al cliente comitente sin demora, y en todo caso en un plazo máximo de 30 días naturales, en un formato legible por máquina (JSON o CSV), o suprimidos irrevocablemente según instrucción documentada del cliente comitente.

(2) El Encargado del Tratamiento informará al cliente comitente sin demora sobre un inminente cese de actividades, a fin de posibilitar una migración ordenada de los datos.

(3) Esta disposición se aplica complementariamente a las cláusulas contractuales tipo (cláusula 8.5 de las SCC 2021/914).

§ 17 Responsabilidad

(1) Las disposiciones de responsabilidad del contrato principal (Términos y Condiciones de TRACE.App) se aplican correspondientemente a este APD.

(2) Si ambas partes son consideradas responsables por la misma infracción de protección de datos (Art. 82 RGPD), cada parte asumirá la responsabilidad en proporción a su grado de culpa respectivo. Las partes se exoneran mutuamente de la responsabilidad que exceda su parte.

(3) El Encargado del Tratamiento (TRACE) responderá ante el Responsable por los daños causados por incumplimientos probadamente culpables de las obligaciones derivadas de este APD. El límite máximo de responsabilidad corresponde a la remuneración pagada en los últimos 12 meses.

Anexo A — Descripción de la actividad de tratamiento

Este anexo describe conforme al Art. 28(3) RGPD el objeto del tratamiento por encargo en el marco de TRACE.App (suscripciones empresariales).