El presente Anexo de Protección de Datos (en lo sucesivo, el "Anexo" o el "APD") forma parte del Contrato de Licencia relativo al uso de la aplicación del Proveedor por parte de los proveedores de productos y/o servicios (en lo sucesivo, el "Contrato" o el "Contrato Principal") entre: (i) el Proveedor (en lo sucesivo, el "Proveedor" o el "Responsable del Tratamiento") y (ii) el proveedor de productos y/o servicios (el "proveedor de productos y/o servicios" o el "Responsable del Tratamiento").
El presente Anexo de Protección de Datos (en lo sucesivo, el "Anexo" o el "APD") forma parte del Contrato de Licencia relativo al uso de la aplicación del Proveedor por parte de los proveedores de productos y/o servicios (en lo sucesivo, el "Contrato" o el "Responsable del Tratamiento").
Los términos utilizados en el presente Addendum tendrán el significado que se establece en el mismo. Los términos en mayúsculas que no se definan de otro modo en el presente tendrán el significado que se les atribuye en el Contrato Principal. Excepto por lo modificado a continuación, los términos del Acuerdo Principal permanecerán en pleno vigor y efecto.
En consideración a las obligaciones mutuas aquí establecidas, las partes acuerdan por el presente que los términos y condiciones establecidos a continuación se añadirán como un Addendum al Acuerdo Principal. Salvo que el contexto requiera lo contrario, las referencias en este Addendum al Acuerdo Principal son al Acuerdo Principal modificado por, e incluyendo, este Addendum.
1. Definiciones
1.1. En este Addendum, los siguientes términos tendrán el significado que se establece a continuación y los términos afines se interpretarán en consecuencia:
1.1.1. "Datos Personales del Responsable" significa cualquier Dato Personal tratado por el Encargado del Tratamiento en nombre del Responsable del Tratamiento de conformidad con la APD o en relación con la misma;
Datos Personales del Responsable del Tratamiento Datos Personales del Responsable del Tratamiento.
1.1.2. "Encargado del tratamiento" significa el Proveedor o un Subencargado del tratamiento;
1.1.3. "Leyes de protección de datos" se refiere a las leyes de protección de datos de la UE y, en la medida aplicable, a las leyes de protección de datos o privacidad aplicables de cualquier otro país;
1.1.4. "Leyes de protección de datos de la UE" significa el GDPR y las leyes que implementan o complementan el GDPR;
1.1.5. "GDPR" significa Reglamento general de protección de datos de la UE 2016/679;
1.1.6. "Subprocesador" significa cualquier persona contratada por el Proveedor para Tratar Datos Personales en nombre del Responsable en relación con el Acuerdo Principal y el APD;y
1.2. Los términos, "Encargado del tratamiento", "Responsable del tratamiento", "Sujeto de los datos", "Estado miembro", "Vulneración de datos personales", "Tratamiento" y "Autoridad de control" tendrán el mismo significado que en el RGPD, y sus términos afines se interpretarán en consecuencia.
1.2. Tratamiento de datos personales.
1.3. La palabra "incluir" se interpretará en el sentido de incluir sin limitación, y los términos afines se interpretarán en consecuencia.
2. El objeto del tratamiento de los Datos Personales del Responsable
2.1.El objeto del presente APD es definir las condiciones en las que el Encargado del Tratamiento llevará a cabo, por cuenta del Responsable, el tratamiento de los Datos Personales del Responsable.
2.2. El Procesador procesará en nombre del Controlador los Datos Personales del Controlador, a saber, los datos personales de los clientes (en lo sucesivo también denominados los â clientesâ o los "sujetos de datos" ) que solicitan productos y/o servicios al Controlador a través de la solución del Proveedor.
2.3. En el marco de sus relaciones contractuales, las partes se comprometen a cumplir también las Leyes de Protección de Datos de la UE, según y si fuera el caso.
3. Duración del tratamiento
El Encargado del Tratamiento tratará por cuenta del Responsable los Datos Personales del Responsable durante el periodo de vigencia del Contrato Principal.
El Encargado del Tratamiento tratará por cuenta del Responsable los Datos Personales del Responsable durante el periodo de vigencia del Contrato Principal.
4. Descripción del tratamiento
4.1. La naturaleza del tratamiento de los Datos Personales del Responsable
Los Datos Personales del Responsable se recogerán, organizarán, estructurarán, almacenarán, consultarán, utilizarán y divulgarán, incluso mediante transmisión.
4.2. Los Datos Personales del Responsable del Tratamiento serán tratados por el Encargado del Tratamiento con el fin de celebrar un contrato entre el cliente y el Encargado del Tratamiento en relación con los productos y/o servicios solicitados por el cliente y con el fin de ejecutar dicho contrato, así como con fines de comunicaciones de marketing directo, según proceda, tal como se menciona en la presente APD y/o de otro modo acordado por el Encargado del Tratamiento.
Los Datos Personales del Responsable del Tratamiento serán recogidos, organizados, estructurados, almacenados, consultados, utilizados y divulgados, incluida su transmisión.
4.3. Los Datos Personales del Responsable que serán tratados por el Procesador son los datos personales facilitados por los interesados al utilizar la solución del Proveedor y solicitar productos/y o servicios al Responsable [por ejemplo, Nombre, apellidos, dirección (de entrega), nº de teléfono, dirección de correo electrónico, datos de (geo)localización, direcciones IP, así como cualquier otro dato que los clientes que realizan el pedido hayan facilitado, excepto los datos de la tarjeta de crédito, que serán capturados directamente por los procesadores de pagos a través de un iFrame conforme a la PCI, en caso de que el responsable del tratamiento decidiera aceptar pagos en línea y, en consecuencia, activara la comunicación directa conforme a la PCI a través de API con su cuenta de comerciante abierta con uno de los proveedores de cuentas de comerciante conformes a la API,]
.
4.4. Los clientes que están encargando productos y/o servicios al Responsable del tratamiento a través de la solución del Proveedor constituyen la categoría de los interesados cuyos datos personales serán objeto de tratamiento.
4.5. El Procesador procesará los Datos Personales del Controlador de acuerdo con los mencionados en el presente DPA, así como en otras instrucciones documentadas del Controlador; En aras de la claridad, a los efectos del presente DPA, las "instrucciones documentadas del Controlador" significan el presente DPA, cualquier instrucción que pueda realizarse a través de la configuración de la aplicación del Procesador y cualquier otra instrucción previamente acordada por el Procesador. El Responsable del tratamiento podrá rescindir el presente APD si el Encargado del tratamiento se niega a seguir las instrucciones del Responsable del tratamiento, sin penalización alguna para ninguna de las Partes. En la medida máxima permitida por la normativa legal vigente, el Encargado del Tratamiento no será responsable en modo alguno, en caso de que una instrucción infrinja el GDPR u otras disposiciones de protección de datos de la Unión o de los Estados miembros
.
4.6. El Procesador procesará los Datos Personales del Controlador con el fin de celebrar un contrato entre el cliente y el Controlador en relación con los productos y / o servicios solicitados por el cliente y con el fin de ejecutar dicho contrato, así como para los fines de comunicaciones de marketing directo, de la siguiente manera:
4.6.1. El Procesador, en nombre del Controlador, recopilará de los clientes los Datos Personales del Controlador también con el fin de celebrar un contrato entre el cliente y el Controlador
4.6.2. El Procesador, en nombre del Controlador, almacenará los Datos Personales del Controlador recopilados para el Controlador en una base de datos.
4.6.3. El encargado del tratamiento, en nombre del responsable del tratamiento, enviará comunicaciones a los clientes en la pantalla web del navegador o en la pantalla de la aplicación nativa, por correo electrónico (y por SMS si es técnicamente posible y a petición del responsable del tratamiento) en relación con la información sobre la confirmación o el rechazo del pedido o sobre los pedidos no realizados y sobre la entrega del pedido y/o cualquier otro detalle importante y necesario en relación con el pedido, según el caso, que incluya los detalles completos del pedido, incluidos los datos personales del responsable del tratamiento.
4.6.4. El encargado del tratamiento, en nombre del responsable del tratamiento, almacenará los datos personales del responsable del tratamiento recopilados en una base de datos.
4.6.4. El Responsable, en nombre del Responsable, realizaremos informes y almacenaremos datos del historial de pedidos, incluidos los Datos Personales del Responsable relacionados con dichos pedidos (o cargados por el Responsable, si es técnicamente posible, según el caso).
4.6.5. El Procesador, en nombre del Controlador, si es técnicamente posible y solo con una aprobación o una solicitud o con una instrucción documentada del Controlador, enviará/pondrá a disposición/facilitará el acceso a los datos completos de los pedidos de los clientes del Controlador, incluidos los Datos Personales del Controlador, para otros procesadores de datos que actúen en nombre del Controlador y/o terceros relevantes para la aceptación o el cumplimiento/procesamiento de los pedidos de los clientes.El Responsable del tratamiento es plenamente responsable de garantizar que las entidades adicionales a las que nos encargue que demos acceso a los datos de los pedidos, incluidos los Datos personales del Responsable del tratamiento, cumplan el GDPR , según proceda. Dicho acceso (enviar / poner a disposición / facilitar el acceso) que un Controlador puede requerir o puede aprobar o puede instruir documentadamente al Procesador, puede incluir, pero no se limita a:
.
i. el envío de correos electrónicos de notificación adicionales, algunos de los cuales contienen los detalles del pedido del cliente , incluidos los Datos personales del Responsable del tratamiento para su posterior procesamiento relacionado con el cumplimiento del pedido;
ii. conexión de software de terceros para recibir los detalles del pedido a través de API, incluidos los Datos Personales del Responsable para el tratamiento posterior relacionado con el cumplimiento del pedido, según el Responsable pueda requerir o aprobar o pueda instruir documentalmente al Procesador, como: software y/o riders de entrega de pedidos, sistemas POS, soluciones de impresión, plataformas de fidelización, pasarelas de pago compatibles con PCI, herramientas de análisis, software de facturación y/o contabilidad, soluciones de mensajería que utilice el Responsable, etc.
iii. conceder acceso multiusuario a empleados, representantes, socios o colaboradores adicionales del Responsable al área de administración del Responsable, especialmente al historial de pedidos o a la lista de clientes, incluido el acceso a los Datos Personales del Responsable.
4.6.6. El Encargado del Tratamiento, por cuenta del Responsable, enviará a los Clientes comunicaciones comerciales directas, según y si procede. Para el envío de dichas comunicaciones de marketing directo, el Responsable es plenamente responsable de garantizar que el consentimiento de los clientes para la realización de dichas comunicaciones se haya obtenido correctamente, en pleno cumplimiento del GDPR y demás normativa aplicable.
4.6.7..
4.6.7. El Encargado del tratamiento, por cuenta del Responsable, tramitará las solicitudes de los Clientes (solicitudes de ejercicio de derechos del Titular), especialmente la "solicitud de baja" de las comunicaciones de marketing directo y la solicitud de borrado de los datos personales, todas ellas únicamente en relación con la base de datos con los Datos Personales del Responsable que el Encargado del tratamiento conserva por cuenta del Responsable, y en caso de solicitud de borrado de los datos personales, el Encargado del tratamiento informará al Responsable del tratamiento sobre dichas solicitudes y tomará las medidas razonables para informar a los demás Encargados del tratamiento del Responsable del tratamiento (en concreto, aquellos a los que el Encargado del tratamiento -con una aprobación o una solicitud o con una instrucción documentada del Responsable del tratamiento â haya facilitado el acceso a través de API o correo electrónico y el Socio del Responsable del tratamiento que tuviera acceso en el área de administración de la solución) que estén tratando los datos personales, de que el interesado ha solicitado la supresión de cualquier enlace a dichos datos personales, o copia o réplica de los mismos.
4.6.8. El Encargado del tratamiento, en nombre del Responsable del tratamiento, suprimirá, a petición del Responsable del tratamiento, los datos personales del Responsable del tratamiento indicados por este.
4.6.9. El Procesador, en nombre del Controlador, eliminará a la terminación del Acuerdo, la base de datos con los Datos Personales del Controlador que el Procesador mantiene en nombre del Controlador.
5. Seguridad del Tratamiento
5.1. Teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del Tratamiento, así como el riesgo de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el Encargado del Tratamiento aplicará, en relación con los Datos Personales del Responsable del Tratamiento, las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado a dicho riesgo, incluidas, según proceda y sea necesario, las medidas a que se refiere el artículo 32, apartado 1, del RGPD.
5.2. Al evaluar el nivel de seguridad adecuado, el Encargado del tratamiento tendrá en cuenta, en particular, los riesgos que presenta el Tratamiento, en particular de una violación de los Datos personales.
6. Subtratamiento
6.1. El Responsable otorga al Encargado a través de la presente APD la autorización general por escrito para que los Encargados contraten a cualesquiera Subencargados para el tratamiento de los Datos Personales del Responsable, respetando la legislación de protección de datos de la UE y sin cumplir ningún trámite previo.
6.2. Sin perjuicio de la generalidad de lo anterior y en aras de la claridad, el Responsable acepta que el Encargado trate los Datos Personales del Responsable también a través de los siguientes Subencargados, según se indica a continuación:
6.2..
6.2.1. La información relativa a las cuentas y/o las tarjetas de pago de los clientes se transmitirá a las partes respectivas que estén procesando los pagos, con el fin de procesar los pagos.
6.2.2. Adicionalmente, la siguiente información, será transmitida a las siguientes categorías de Subprocesadores, para los siguientes fines y procesamiento:
6.2.2.1. Los datos del cliente, a saber: apellidos, nombre, dirección de correo electrónico, número de teléfono, dirección de entrega (si procede), proporcionados junto con los detalles del pedido, de forma electrónica (excluyendo los datos de la tarjeta de pago, si el cliente ha elegido el proceso de pago en línea) serán (re)transmitidos a través de operadores de mensajería de correo electrónico (en el momento de la presente versión siendo Sendgrid Inc. y/o Peaberry Software Inc. d/b/a Customer IO y/o el servicio Amazon SES de Amazon.com Inc.) al Controlador y de vuelta a la dirección de correo electrónico del cliente, con el fin de procesar el pedido y con el fin de ofrecer al cliente las notificaciones pertinentes relativas a la información sobre la confirmación o el rechazo del pedido o sobre los pedidos perdidos y sobre la entrega del pedido.
Correo electrónico.
6.2.2. Si es posible, los datos del cliente, a saber: apellidos, nombre, dirección de correo electrónico, número de teléfono, dirección de entrega (si procede), facilitados junto con los datos del pedido, por vía electrónica (excluidos los datos de la tarjeta de pago, si el cliente ha elegido el proceso de pago en línea) serán (re)transmitidos a través de operadores de mensajería SMS (en la versión actual Twilio Inc.) al Responsable del Tratamiento y de vuelta al cliente, por SMS, con el fin de procesar el pedido y con el fin de ofrecer al cliente las notificaciones pertinentes en relación con la información sobre la confirmación o el rechazo del pedido o sobre los pedidos perdidos y sobre la entrega del pedido.
6.2.2.3. Si el cliente ha elegido el método de pago en línea, los datos de contacto del cliente, a saber: apellidos, nombre, dirección de correo electrónico, número de teléfono, dirección de entrega (si procede) proporcionados junto con los detalles de su pedido, por vía electrónica, se transmitirán junto con: sesión del pedido IP de origen, nombre del titular de la tarjeta, fecha de caducidad de la tarjeta, número de tarjeta Cvv (si es necesario); que pueden ser capturados directamente a través del iFrame de los procesadores de pago pertinentes (en el momento de la presente versión es Spreedly Inc.) en pleno cumplimiento de la normativa PCI, con el fin de procesar el pago al proveedor de productos y/o servicios relacionados con su pedido y con el fin de ofrecerle las notificaciones pertinentes relativas a la información sobre la confirmación o el rechazo del pedido o sobre los pedidos perdidos y sobre la entrega de su pedido.
Spreedly Inc.
6.2.2.4. Así mismo, los Datos Personales del Responsable serán enviados para ser almacenados por los proveedores de almacenamiento de datos (siendo en el momento de la presente versión Amazon) .
7. Transferencias de los Datos Personales del Responsable a terceros países El Responsable otorga al Encargado a través de la presente APD la autorización general por escrito para que los Encargados transfieran los Datos Personales del Responsable a terceros países para ser tratados por los Subencargados, respetando las Leyes de Protección de Datos de la UE y sin cumplir ninguna formalidad previa.Sin perjuicio de la generalidad de lo anterior y en aras de la claridad, el Responsable acepta que el Encargado transfiera los siguientes Datos Personales del Responsable a los siguientes países, que pueden ser considerados terceros países de acuerdo con el GDPR, de la siguiente manera: 7.1. Transferencias de Datos Personales del Responsable a terceros países.
A. Apellidos, nombre, dirección de correo electrónico, número de teléfono, dirección de entrega (si procede) se enviarán a Sendgrid Inc, con sede en Denver Colorado- EE.UU., con el fin de procesar el pedido y poder ofrecer al cliente las notificaciones pertinentes en relación con la información sobre la confirmación o el rechazo del pedido o sobre los pedidos perdidos y sobre la entrega del pedido. A..
B. Apellidos, nombre, dirección de correo electrónico, número de teléfono, dirección de entrega (si procede) serán enviados a Peaberry Software Inc. d/b/a Customer IO con sede en Nueva York â EE.UU., con el fin de procesar el pedido y con el fin de ofrecer al cliente las notificaciones pertinentes relativas a la información sobre la confirmación o el rechazo del pedido o sobre los pedidos perdidos y sobre la entrega del pedido. B.
C. Apellidos, nombre, dirección de correo electrónico, número de teléfono, dirección de entrega (si procede) serán enviados a Twilio Inc. en San Francisco, California - EE.UU., con el fin de procesar el pedido y con el fin de ofrecer al cliente las notificaciones pertinentes relativas a la información sobre la confirmación o el rechazo del pedido o sobre los pedidos perdidos y sobre la entrega del pedido. C..
D. Apellidos, nombre, dirección de correo electrónico, número de teléfono y dirección de entrega (en su caso) IP de origen de la sesión de pedido, así como cualquier otro dato que los clientes ordenantes hayan facilitado (excepto la información de la tarjeta de crédito), serán enviados a Amazon.com Inc. en Oregon â USA , con el fin de ser almacenados y/o con el fin de procesar el pedido y con el fin de ofrecer al cliente las notificaciones pertinentes en relación con la información sobre la confirmación o rechazo del pedido o sobre los pedidos perdidos y sobre la entrega del pedido. D.
E. Si el responsable del tratamiento ha decidido aceptar pagos en línea y, en consecuencia, ha activado la comunicación directa a través de la API conforme a la PCI con su cuenta de comerciante abierta con uno de los proveedores de cuentas de comerciante conformes a la API, se enviarán los apellidos, nombre, dirección de correo electrónico, número de teléfono y dirección de entrega (si procede) del cliente junto con la IP de origen de la sesión del pedido, el nombre del titular de la tarjeta, la fecha de caducidad de la tarjeta, el número de tarjeta y el Cvv (si procede), que serán capturados directamente por la API conforme a la PCI de Spreedly Inc. con sede / en Durham Carolina del Norte EE.UU, con el fin de procesar el pedido y con el fin de ofrecer al cliente las notificaciones pertinentes relativas a la información sobre la confirmación o el rechazo del pedido o sobre los pedidos perdidos y sobre la entrega del pedido. Spreedly Inc.
8. Violación de datos personales 8.1. El Procesador notificará al Controlador sin demoras indebidas cuando el Procesador o cualquier Subprocesador tenga conocimiento de una Violación de Datos Personales del Controlador que afecte los Datos Personales del Controlador, proporcionando al Controlador información suficiente para permitir que el Controlador cumpla con cualquier obligación de reportar o informar a los Sujetos de Datos de la Violación de Datos Personales en virtud de las Leyes de Protección de Datos. 8.2. El Procesador cooperará con el Controlador y tomará las medidas comerciales razonables que le indique el Controlador para ayudar en la investigación, mitigación y remediación de cada una de dichas Violaciones de Datos Personales. 9. Otras obligaciones del Encargado del tratamiento El Encargado del Tratamiento: .
b) garantiza que las personas autorizadas para tratar los Datos Personales del Responsable se han comprometido a mantener la confidencialidad o están sometidas a una obligación legal adecuada de confidencialidad; c) adopta todas las medidas relativas a la Seguridad del Tratamiento mencionadas en la DPA; d) respeta las condiciones mencionadas en la presente APD para contratar a otro encargado del tratamiento; e) teniendo en cuenta la naturaleza del tratamiento, asiste al Responsable del tratamiento mediante medidas técnicas y organizativas apropiadas, en la medida en que ello sea posible, para el cumplimiento de la obligación del responsable del tratamiento de responder a las solicitudes de ejercicio de los derechos del interesado f) ayuda al Responsable del tratamiento a garantizar el cumplimiento de las obligaciones en materia de Seguridad del tratamiento y Consulta previa teniendo en cuenta la naturaleza del tratamiento y la información de que dispone el encargado del tratamiento; g) a elección del Responsable, suprime o devuelve todos los Datos Personales del Responsable una vez finalizada la prestación de servicios relativos al tratamiento, y suprime las copias existentes a menos que la legislación de la Unión o de los Estados miembros exija la conservación de los datos personales; h) pone a disposición del Responsable del tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo y permitir y contribuir a las auditorías necesarias y razonables, incluidas las inspecciones, realizadas por el Responsable del tratamiento u otro auditor encargado por el Responsable del tratamiento. i) informará al Responsable de la imposibilidad de cumplir las instrucciones y el Beneficiario tendrá derecho a suspender o cesar el APD sin penalización alguna para ninguna de las Partes. 10. Otras obligaciones del Responsable del tratamiento El Responsable del Tratamiento: A. Documentar, por escrito, cualquier instrucción que tenga relación con el tratamiento de datos por parte del Encargado del Tratamiento B. Garantizará, antes y durante el tratamiento, el cumplimiento de las obligaciones establecidas en el Reglamento General de Protección de Datos por parte del Encargado del Tratamiento, en su caso. 11. Condiciones generales 11.1. Los términos utilizados en el presente APD tendrán el significado definido en el APD, en el RGPD y en el Acuerdo, a menos que el contexto requiera lo contrario o se disponga lo contrario en el presente documento. 11.2. En caso de conflicto o incoherencia entre las disposiciones de la presente Adenda y cualesquiera otros acuerdos entre las partes, incluido el Acuerdo Principal, en relación con el tratamiento de los Datos Personales del Responsable, prevalecerán las disposiciones de la presente Adenda. 11.3. En caso de que cualquier disposición de este Addendum sea inválida o inaplicable, el resto del Addendum seguirá siendo válido y vigente. La disposición inválida o inaplicable será (i) modificada en la medida necesaria para garantizar su validez y aplicabilidad, preservando las intenciones de las partes en la medida de lo posible o, si esto no fuera posible, (ii) interpretada como si la parte inválida o inaplicable nunca hubiera estado contenida en la misma. 11.4.