Condiciones del servicio de Adecuación RGPD

1. Objeto del servicio

El contrato regula la prestación, por parte de Cardeseo (GROOVE FACTORY STUDIOS, S.L.) al cliente, del Servicio anual de Adecuación y Cumplimiento Normativo RGPD/LOPDGDD/LSSI-CE, conforme a lo descrito en la propuesta comercial aceptada por el cliente. Por una sola tarifa anual combina todo lo que tu empresa necesita para estar al día con la normativa de protección de datos y comunicaciones digitales en España: documentación legal completa, implementación en tu web, control horario de empleados y soporte continuo durante todo el año.

Estas condiciones constituyen condiciones generales de contratación a los efectos de la Ley 7/1998 (LCGC). Antes de firmar tienes oportunidad razonable de conocer y, en su caso, negociar individualmente las cláusulas relevantes.

2. Qué incluye

A. Documentación jurídica

• Registro de Actividades del Tratamiento (RAT)
• Informe de cumplimiento normativo y responsabilidad proactiva
• Cláusulas informativas y de consentimiento para formularios
• Contratos de encargo de tratamiento con proveedores y colaboradores
• Manual de Protección de Datos y Compromiso de Confidencialidad del Personal (si tienes empleados con acceso a datos, un ejemplar por empleado)
• Análisis de riesgo
• Evaluación de Impacto en la Protección de Datos (EIPD), cuando proceda conforme al Art. 35 RGPD
• Cláusulas reforzadas sectoriales y EIPD específica, si tu actividad trata categorías especiales de datos del Art. 9 RGPD (tarifa Sectorial)

B. Adaptación web (RGPD + LSSI-CE)

Si tienes sitio web, el servicio incluye:

• Redacción e implementación del Aviso Legal personalizado
• Política de Privacidad adaptada a tu actividad
• Política de Cookies conforme a la Guía de la AEPD
• Configuración técnica del sistema de gestión de consentimiento de cookies
• Verificación e integración de cláusulas de consentimiento en formularios
• Si tu web tiene e-commerce: condiciones generales de contratación y política de devoluciones y desistimiento, con indicación de los mecanismos nacionales de resolución alternativa de litigios (Juntas Arbitrales de Consumo, OMIC)

C. Control horario de empleados

Si tienes empleados, incluido sin coste adicional mientras tu servicio RGPD esté activo:

• Acceso al software de control horario de Cardeseo (fichados.es)
• Gestión de empleados, ausencias y vacaciones
• Informes para Inspección de Trabajo
• Política de registro de jornada conforme al RD-ley 8/2019 y a la Ley 10/2021 de trabajo a distancia
• Soporte por email

D. Soporte y mantenimiento durante toda la vigencia

• Auditoría anual de cumplimiento
• Actualización documental ante cambios normativos
• Actualización sin coste adicional de la documentación afectada (RAT, EIPD, política de privacidad, contratos de encargo) cuando nos notifiques nuevos tratamientos durante la vigencia (instalación de cámaras, lanzamiento de email marketing, apertura de tienda online, recepción de currículums, etc.). Se exceptúan los cambios que impliquen el inicio de actividad en sectores con regulación específica adicional (banca, fintech, criptoactivos, seguros, telecomunicaciones, juego), que serán objeto de presupuesto independiente
• Canal de consultas ilimitado con respuesta en 48 horas hábiles
• Gestión de solicitudes de ejercicio de derechos del titular (acceso, rectificación, supresión, limitación, portabilidad, oposición, revocación del consentimiento y demás derechos del Capítulo III del RGPD)
• Acompañamiento ante la AEPD u otras autoridades de control: asistencia documental para responder a requerimientos informativos, incluyendo la entrega de los documentos del servicio que la autoridad solicite; asesoramiento por email o llamada para preparar la respuesta, con un máximo de 3 horas de jurista por requerimiento; y redacción de la respuesta formal cuando el requerimiento sea de carácter documental
• Gestión y notificación de brechas de seguridad
• Controles de cumplimiento periódicos

Servicios excluidos del precio anual (cotización independiente): representación letrada en procedimientos sancionadores ya iniciados, recursos contencioso-administrativos, asistencia presencial con desplazamiento, defensa en procedimientos judiciales, auditorías web profundas distintas de la auditoría anual incluida, documentos en idiomas distintos al castellano y servicios de canal de denuncias o cumplimiento antifraude/antiblanqueo.

E. Certificado

Emisión del Certificado profesional de adecuación RGPD-LOPDGDD al completar la implementación inicial y en cada renovación anual. Este certificado constituye una declaración profesional de Cardeseo y no es una certificación acreditada en el sentido de los Arts. 42 y 43 RGPD.

3. Alcance de tu tarifa

El precio base cubre el número de empleados que corresponde a tu tarifa y 1 sitio web. Si no tienes web, no se generan política de privacidad, política de cookies ni aviso legal hasta que dispongas de una; el resto de la documentación se entrega íntegro.

Empleados o webs adicionales: si durante la vigencia superas el número de empleados cubierto por tu tarifa o incorporas sitios web adicionales bajo el mismo responsable, acordaremos por escrito el nuevo precio aplicable, conforme a la tabla de tarifas vigente en cada momento.

Tratamientos especiales sobrevenidos durante la vigencia del contrato — tratamiento de categorías especiales de datos del Art. 9 RGPD, decisiones automatizadas a gran escala o designación obligatoria de un Delegado de Protección de Datos certificado — quedan fuera del alcance del precio base de las tarifas generales. En ese caso te informaremos y emitiremos presupuesto especial bajo la tarifa Sectorial o A medida que corresponda.

4. Precio y forma de pago

El precio depende de tu tarifa (Autónomo 249 €, Estándar 349 €, Estándar+ 549 €, Sectorial desde 649 € — siempre + IVA al año, actualmente 21 %) y queda cerrado en el contrato antes de firmar.

Forma de pago: pago único anual al inicio de cada periodo, mediante tarjeta a través de Stripe (recurrencia anual automática) o transferencia bancaria a cuenta de Cardeseo.

Actualización del precio: Cardeseo podrá revisar el precio anual con preaviso mínimo de dos (2) meses antes de la fecha de renovación. La revisión se limita a la variación del IPC interanual publicado por el INE o a una ampliación objetiva y documentada del alcance del servicio. Si no aceptas la nueva tarifa, puedes resolver el contrato sin penalización comunicándolo por escrito antes de la fecha de renovación.

Intereses de demora en operaciones B2B: si eres persona jurídica o empresario, en caso de retraso en el pago se devengan de pleno derecho los intereses de demora del Art. 7 de la Ley 3/2004 de lucha contra la morosidad, junto con la indemnización mínima de 40 € por costes de cobro prevista en su Art. 8.

Impagos: en caso de impago, Cardeseo envía un primer recordatorio. Si transcurridos 15 días naturales no se hubiera regularizado, Cardeseo podrá suspender total o parcialmente la prestación del servicio hasta el cobro efectivo, sin perjuicio de su derecho a reclamar el importe debido y los intereses legales. Queda expresamente excluido de la suspensión el acceso al software de control horario, por su carácter de obligación laboral imperativa conforme al Art. 34.9 ET y al RDL 8/2019.

5. Duración y renovación

El contrato entra en vigor en la fecha de su firma y tiene una duración inicial de 12 meses. Se renueva automáticamente por periodos sucesivos de 12 meses, salvo comunicación en contrario por cualquiera de las partes con preaviso mínimo de 60 días naturales antes de la fecha de renovación. Cardeseo te recordará, con al menos 60 días de antelación a la renovación, la fecha y el precio aplicable; si no recibes este recordatorio, podrás denunciar el contrato sin penalización dentro de los 30 días siguientes a su recepción tardía.

Terminación anticipada:

• Por mutuo acuerdo entre las partes, comunicado por escrito.
• Por incumplimiento grave y reiterado de las obligaciones contractuales por la otra parte, previa comunicación escrita y plazo de 15 días para subsanar.
• En caso de impago no regularizado en plazo.
• A iniciativa del cliente, con preaviso de 30 días naturales: Cardeseo retiene la parte proporcional al periodo efectivamente prestado y al valor de los entregables ya emitidos (RAT, certificado, implementación web, configuración de control horario), reembolsando el resto en el plazo de 14 días naturales.

6. Nuestras obligaciones

Cardeseo se compromete a:

• Prestar el servicio conforme a la propuesta comercial vigente y al detalle técnico-jurídico facilitado.
• Cumplir con los plazos comprometidos: entrega documental en 5-7 días laborables; implementación web en 3-5 días laborables desde que facilites los accesos correspondientes; entrega final de la documentación y certificado en un máximo de 2 semanas desde que se cumplan ambas condiciones.
• Mantener la confidencialidad de toda tu información.
• Atender el canal general de consultas (departamentojuridico@cardeseo.com) en un plazo máximo de 48 horas hábiles.
• Atender tus notificaciones de brechas de seguridad con un plazo de respuesta inicial máximo de 8 horas laborables desde su recepción, prestando la asistencia técnica y jurídica necesaria para preparar, en su caso, la notificación a la AEPD dentro del plazo legal de 72 horas.
• Actualizar sin coste adicional la documentación afectada cuando nos notifiques nuevos tratamientos durante la vigencia.
• Informarte con la mayor antelación posible de cualquier circunstancia que pudiera afectar al servicio.
• Mantener vigente un seguro de Responsabilidad Civil Profesional con cobertura mínima de 1.500.000 €.

7. Tus obligaciones

Como cliente te comprometes a:

• Facilitar a Cardeseo la información necesaria para la prestación del servicio (cuestionario de alta, acceso al panel de la web, datos de proveedores, etc.) de forma veraz y completa.
• Notificar a departamentojuridico@cardeseo.com cualquier cambio relevante en tu actividad que pueda afectar al cumplimiento normativo (nuevos tratamientos, nuevos proveedores con acceso a datos, instalación de videovigilancia, campañas de email marketing, apertura de tienda online, contratación o despido de empleados, cambios sustanciales en la web, etc.), en un plazo máximo de 15 días naturales desde el inicio del nuevo tratamiento.
• Aplicar las medidas de seguridad y formativas indicadas en la documentación entregada (manual de personal, política de registro de jornada, cláusulas informativas en formularios, gestión de consentimientos, según tu caso).
• Si tienes empleados: hacer firmar el Manual de Protección de Datos y Compromiso de Confidencialidad del Personal a cada nuevo empleado o colaborador con acceso a datos personales.
• Reenviar a Cardeseo, sin demora indebida, cualquier solicitud de ejercicio de derechos recibida de un titular de datos.
• Notificar a Cardeseo cualquier sospecha de incidente o brecha de seguridad, sin demora indebida y en todo caso en menos de 24 horas desde su detección, mediante comunicación dirigida a departamentojuridico@cardeseo.com con asunto que incluya «BRECHA DE SEGURIDAD».
• Notificar a Cardeseo cualquier requerimiento, comunicación o inspección de la AEPD u otra autoridad de control, en cuanto la recibas.
• Pagar el precio acordado en plazo.
• Si tienes web: facilitar a Cardeseo, en el plazo máximo de 30 días naturales desde la firma, los accesos necesarios a tu web (panel de administración, credenciales o creación de un usuario administrativo dedicado) para implementar los textos legales y el sistema de gestión de consentimiento de cookies. Transcurrida la anualidad sin haberse podido implementar por causa imputable al cliente, la implementación web se entiende no devengada y se entregan los textos en formato listo para publicar (HTML y Markdown), pasando la implementación a ser responsabilidad exclusiva del cliente, sin que ello altere el resto de prestaciones contratadas ni el precio.

8. Responsabilidad y límites

Cardeseo es responsable de la correcta ejecución del servicio. Su responsabilidad se limita a: (i) la corrección y reentrega, sin coste, de los entregables que presenten errores o defectos; y (ii) la indemnización de los daños y perjuicios efectivamente causados por su actuación negligente, hasta un límite máximo equivalente a la cobertura del seguro de Responsabilidad Civil vigente (1.500.000 €).

Estas limitaciones no se aplican en supuestos de dolo o culpa grave de Cardeseo (Art. 1102 CC), ni a las responsabilidades imperativas no susceptibles de exclusión, ni afectan a la responsabilidad solidaria del Art. 82.4 RGPD frente a los interesados.

Cardeseo no es responsable de:

• Sanciones de la AEPD u otras autoridades derivadas de información incompleta, inexacta o no comunicada por el cliente, o de incumplimientos del cliente respecto de sus obligaciones.
• Daños causados por modificaciones de la web del cliente o de sus sistemas realizadas por terceros sin conocimiento o aprobación de Cardeseo.
• Sanciones derivadas de tratamientos realizados por el cliente fuera del alcance documentado en el RAT.

Régimen de regreso (Art. 82.5 RGPD): si una de las partes resulta sancionada por una autoridad de control como consecuencia, total o parcialmente, de actos u omisiones imputables a la otra parte, esta última deberá indemnizar a la primera por el importe firme de la sanción, las costas y los gastos razonables de defensa, hasta los límites previstos en el contrato.

Fuerza mayor: ninguna de las partes responde por incumplimientos derivados de fuerza mayor o caso fortuito en el sentido del Art. 1105 del Código Civil (catástrofes naturales, conflictos armados o terrorismo, fallos generalizados de telecomunicaciones, ciberataques masivos no imputables a la propia parte, pandemias y decisiones de autoridad pública, entre otros). La parte afectada lo notificará a la otra dentro de los 5 días hábiles siguientes y se suspenderán las obligaciones afectadas mientras dure el suceso. Si la fuerza mayor se prolonga más de 60 días, cualquiera de las partes puede resolver el contrato con liquidación proporcional sin penalización.

Propiedad intelectual sobre los entregables: los derechos de explotación sobre los entregables documentales generados por Cardeseo (RAT, política de privacidad, políticas web, cláusulas informativas, EIPDs, análisis de riesgo, manuales, plantillas de contratos de encargo, etc.) pertenecen a Cardeseo como autor (Texto Refundido de la Ley de Propiedad Intelectual). Cardeseo cede al cliente, en exclusiva y sin límite temporal, una licencia de uso interno y publicación de los entregables en su propia actividad. Los derechos morales de autor (Art. 14 TRLPI) permanecen en Cardeseo. La licencia subsiste tras la terminación del contrato, salvo uso desviado o lesivo de la imagen de Cardeseo.

9. Otros títulos del contrato

Además de las condiciones de prestación que has leído en esta página, el contrato que recibirás por email integra otros tres títulos que se entregan íntegros: el encargo del tratamiento conforme al Art. 28 RGPD (el régimen de protección de datos que cubre a Cardeseo para tratar los datos personales que nos entregues durante la prestación), la declaración responsable del cliente sobre la veracidad de la información facilitada, y la cláusula de confidencialidad recíproca entre las partes junto con la ley aplicable y la jurisdicción.