1. General
Esta Política de Procesamiento de Datos Personales es efectiva a partir del 1 de enero del 2025.
Esta Política se aplica cuando y en la medida en que la Compañía actúe como procesador o proveedor de servicios de datos personales en nombre del cliente bajo los 1.Términos y Condiciones Generales. Si hubiera algún conflicto entre lo dispuesto en esta Política y los Términos y Condiciones Generales, prevalecerán las disposiciones de esta Pollita en la medida de dicho conflicto.
2. Definiciones
Los términos siguientes tendrán los siguientes significados:
a.»Sujeto de Datos» es una persona identificada o identificable cuyos Datos Personales son procesados.
b.“Datos Personales del Cliente”: Estos son los determinados y controlados por el Cliente e incluyen:
i.Credenciales de acceso;
ii.Datos de contacto (nombre, correo electrónico, teléfono);
iii.Cualquier otro dato personal que el Cliente incluyan en los Contenidos en el Servicio;
iv.Datos confidenciales transferidos;
v.Cualquier dato confidencial incluido por el Cliente en los Contenidos en el Servicio, según lo determine el Cliente.
c.»Leyes de privacidad aplicables» se refiere a todas las normativas y leyes globales de protección de datos y privacidad relevantes para los Datos Personales en cuestión, incluidas, cuando sea aplicable:
(i) las Leyes de privacidad europeas;
d. Las «Leyes de privacidad europeas» incluyen:
(i) el Reglamento 2016/679 del Parlamento Europeo y del Consejo sobre la protección de datos personales y su libre circulación (Reglamento General de Protección de Datos o «RGPD»);
(ii) la Directiva 2002/58/CE de la UE sobre privacidad y comunicaciones electrónicas;
(iii) cualquier ley nacional derivada de las anteriores, modificadas o sustituidas periódicamente.
e. «Violación de datos personales» se refiere a una brecha de seguridad en la Compañía que resulta en la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilícito a los datos.
f. «Datos Personales» se refiere a cualquier información relacionada con una persona identificada o identificable, o cualquier otra información definida como ‘datos personales’ o ‘información personal’ en las Leyes de Privacidad Aplicables.
g. «Transferencia restringida» significa:
(i) bajo el RGPD de la UE, una transferencia de Datos Personales desde el EEE a un país fuera del EEE que no tenga una decisión de adecuación de la Comisión Europea;
h. «Cláusulas contractuales estándar (CCS)» se refiere a las cláusulas contractuales estándar anexas a la Decisión (UE) 2021/914 de la Comisión Europea del 4 de junio de 2021, modificadas o reemplazadas periódicamente.
i. Los términos «Controlador», «Procesador», «Sujeto de Datos» y «Procesamiento» tendrán los significados definidos en las Leyes de Privacidad Aplicables o, si no se definen allí, en el RGPD (y «procesar», «procesos» y «procesado» se interpretarán en consecuencia), mientras que «Empresa» y «Proveedor de Servicios» tendrán los significados definidos en la CCPA.
j. Todos los términos en mayúsculas que se utilicen pero no se definan en esta Política tendrán los significados que se les asignen en los 1.Términos y Condiciones Generales.
k. “Finalidad Permitida”: se refiere al propósito específico y autorizado para el cual se permite procesar los datos personales de acuerdo con 1.Términos y Condiciones Generales y sus documentos vinculados. Este término asegura que el procesamiento de los datos personales se limite exclusivamente a los objetivos previamente establecidos y documentados, evitando cualquier uso no autorizado o fuera del alcance definido.
2. Tratamiento de datos personales
a. El Cliente actúa como el Responsable del Tratamiento o la Empresa, según corresponda, de los Datos Personales descritos en el apartado b de 2. Definiciones («Datos Personales del Cliente»), y la Compañía procesará dichos datos únicamente como Procesador o Proveedor de Servicios en nombre del Cliente. Tanto la Compañía como el Cliente cumplirán con las obligaciones establecidas por las Leyes de Privacidad Aplicables y seguirán las orientaciones adicionales de las autoridades de protección de datos para ese procesamiento. Si los conceptos de Responsable del Tratamiento y Procesador no están contemplados específicamente en las Leyes de Privacidad Aplicables, las obligaciones de las partes se alinearán lo más posible con esos roles dentro de las leyes aplicables.
b. La Compañía procesará los Datos Personales del Cliente únicamente según sea necesario para cumplir con los 1.Términos y Condiciones Generales incluyendo esta Política, y de acuerdo con las instrucciones documentadas del Cliente, referidas como la «Finalidad Permitida». La Compañía no conservará, usará, divulgará ni procesará los Datos Personales del Cliente para ningún otro fin, salvo cuando lo requiera la ley. Si la Compañía detecta que las instrucciones del Cliente violan las Leyes de Privacidad Aplicables, lo informará, aunque no está obligada a supervisar activamente el cumplimiento del Cliente.
c. Si la Compañía transfiere los Datos Personales del Cliente a un país fuera del lugar donde se recopilaron, tomará medidas para asegurar que la transferencia cumpla con las Leyes de Privacidad Aplicables, como el uso de cláusulas contractuales estándar o contratos adecuados que aseguren la protección de esos datos según las leyes aplicables.
d. Si la transferencia de Datos Personales implica una «Transferencia Restringida», las Cláusulas Contractuales Estándar (SCC) se incorporarán y regirán la transferencia.
e. El Cliente autoriza a la Compañía a contratar subprocesadores externos, sin necesidad de notificación al Cliente. El Cliente puede objetar, y si la Compañía decide continuar utilizando ese subprocesador, el Cliente puede optar por rescindir el acuerdo.
f. La Compañía se asegurará de que todas las personas autorizadas a procesar los Datos Personales del Cliente estén sujetas a un deber de confidencialidad y solo procesen los datos conforme a la Finalidad Permitida.
g. La Compañía implementará medidas técnicas y organizativas adecuadas para proteger los Datos Personales del Cliente contra incidentes de seguridad. Estas medidas pueden actualizarse periódicamente, siempre que no se degraden los estándares de seguridad.
h. La Compañía proporcionará al Cliente asistencia para responder a solicitudes de los titulares de los datos, como derechos de acceso, corrección, eliminación y portabilidad. Si la Compañía recibe una solicitud directamente, notificará al Cliente de inmediato.
i. La Compañía ofrecerá la asistencia razonable necesaria al Cliente para realizar evaluaciones de impacto de protección de datos y consultas con las autoridades de protección de datos si es necesario.
j. Si la Compañía tiene conocimiento de una violación de datos, lo notificará de inmediato al Cliente y tomará las medidas necesarias para mitigar sus efectos. El Cliente deberá informar a la Compañía si tiene que comunicar dicha violación a las autoridades o partes afectadas.
h. Al término del acuerdo, el Cliente puede solicitar la devolución o destrucción de los Datos Personales, a menos que la Compañía esté legalmente obligada a conservarlos.
3. Medidas Técnicas y Organizativas.
A continuación se definen las medidas técnicas para garantizar la seguridad de los Datos:
a. Medidas de encriptación y seudonimización de datos personales. La Compañía utiliza el protocolo TLS 1.2 o superior para cifrar los datos transmitidos entre sus clientes y la aplicación a través de redes públicas. Los datos almacenados en sus servidores están cifrados mediante AES 256 o una tecnología más avanzada.
b. Medidas para asegurar la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas La Compañía tiene personal asignado para supervisar la seguridad y privacidad, con responsables específicos en estos temas, además de un Comité de Seguridad de la Información que se reúne cada trimestre para revisar los riesgos en estas áreas.
c. Medidas para restaurar la disponibilidad y acceso a datos en caso de incidentes Para garantizar la disponibilidad del servicio, la Compañía usa el escalado automático de AWS, zonas de disponibilidad de AWS y monitoreo constante. Además, mantiene copias de seguridad de los datos en ubicaciones separadas y cuenta con un Plan de Respuesta a Incidentes documentado.
d.Procedimientos para evaluar la eficacia de las medidas de seguridad La Compañía contrata evaluadores externos para realizar pruebas de penetración anuales y ejecuta un programa de recompensas por detección de errores.
e.Medidas de autenticación y autorización de usuarios Las contraseñas de los clientes se almacenan con funciones de hash y sal, además de admitir el inicio de sesión único (SSO) con SAML.
f.Medidas para proteger los datos en tránsito Como se mencionó, la transmisión de datos entre los clientes y la aplicación está encriptada con TLS 1.2 o superior.
g.Medidas para proteger los datos en almacenamiento Los datos almacenados en los servidores de la Compañía están encriptados utilizando AES 256 o más fuerte.
h.Medidas de seguridad física de los centros de datos La Compañía utiliza centros de datos de AWS, confiando en los controles físicos y de seguridad de esta infraestructura. Además, revisa las certificaciones de AWS periódicamente.
i. Medidas de registro de eventos Se mantienen registros de auditoría que se analizan regularmente para detectar actividad sospechosa.
j.Medidas de configuración del sistema La infraestructura de los servidores sigue estándares de seguridad, con actualizaciones regulares de parches según el procedimiento de gestión de vulnerabilidades.
k.Medidas de gestión interna de TI y seguridad El acceso del personal está limitado según el principio de privilegio mínimo. El acceso remoto requiere autenticación multifactor y el personal está sujeto a obligaciones de confidencialidad y formación en seguridad y privacidad.
l.Medidas de certificación de procesos y productos La Compañía mantiene la certificación ISO 27001, se somete a auditorías externas periódicas y sigue una política de seguridad de la información conforme a esta norma.
m.Medidas para la minimización de datos La Compañía solo solicita los datos estrictamente necesarios para prestar los servicios y permite el uso anónimo de ciertas funcionalidades.
n.Medidas para garantizar la calidad de los datos La Compañía verifica los correos electrónicos al registrarse y permite a los usuarios actualizar su información cuando sea necesario.
ñ.Medidas para la conservación limitada de los datos La Compañía tiene una Política de Retención de Datos que establece los plazos de conservación conforme a requisitos legales y necesidades comerciales.
o.Medidas para garantizar la responsabilidad La Compañía ha designado representantes en Europa y el Reino Unido, realiza evaluaciones de impacto sobre la protección de datos y lleva registros de sus actividades de procesamiento.
p.Medidas para la portabilidad y eliminación de datos La Compañía permite la eliminación de datos bajo solicitud en un plazo de 28 días y facilita la portabilidad de los mismos a otros proveedores de servicios
4. Subprocesadores externos.
El Cliente ha autorizado el uso de los subprocesadores indicados a continuación:
| Realizado por: | Revisado por: | Aprobado por: |
| Rubén Martinez | Eugenio Mercol | Anssi Ilmari |
| COO – Chief Operating Officer | CTO – Chief Technology Officer | CEO – Chief Executive Officer |
| En Madrid a 1 enero 2025 | En Valencia a 1 enero 2025 | En Murcia a 1 enero 2025 |