Acuerdo de Tratamiento de Datos (DPA)

Preámbulo

El presente Acuerdo de Tratamiento de Datos («DPA» — Data Processing Agreement) constituye el anexo contractual exigido por el artículo 28 del Reglamento (UE) 2016/679 de 27 de abril de 2016 («RGPD»). Regula los tratamientos de datos de carácter personal realizados por Axelo por cuenta de un Cliente profesional (B2B) en el marco de los Servicios contratados.

El DPA completa las CGV, las CGS SaaS y la Política de Privacidad. En caso de contradicción en materia de protección de datos, prevalece el DPA.

Artículo 1 — Partes y calificación

Responsable del tratamiento — el Cliente, persona jurídica o física profesional que ha suscrito los Servicios Axelo, que determina los fines y los medios del tratamiento de los datos personales de sus propios usuarios, clientes, empleados o contactos.

Encargado del tratamiento — Axel REGNOULT, que opera bajo el nombre comercial Axelo (SIRET 895 214 989 00017 — 128 rue de la Boétie, 75008 París, Francia — legal@web-agency.app), que trata los datos personales por cuenta del Responsable del tratamiento y exclusivamente conforme a las instrucciones de este.

Artículo 2 — Objeto, naturaleza y duración del tratamiento

• Objeto: prestación de los Servicios Axelo (creación, alojamiento, mantenimiento de sitios web, SaaS, prestaciones de desarrollo, soporte técnico) que implican el tratamiento de datos personales del que el Cliente es Responsable.
• Naturaleza: operaciones de recogida, registro, organización, estructuración, conservación, consulta, modificación, extracción, supresión, copia de seguridad y destrucción de los datos, así como toda operación técnica necesaria para la prestación de los Servicios.
• Finalidad: ejecución del contrato principal y prestación de los Servicios al Responsable del tratamiento.
• Duración: durante toda la duración del contrato principal y hasta el tratamiento de los datos conforme al artículo 11 del presente DPA.

Artículo 3 — Categorías de datos e interesados

Las categorías de datos tratados y de interesados dependen de la configuración de los Servicios por parte del Responsable. A título indicativo, comprenden:

• Interesados: usuarios, clientes, contactos comerciales, empleados, contactos profesionales del Responsable del tratamiento.
• Categorías de datos: identidad (apellido, nombre), datos de contacto (correo electrónico, teléfono, dirección postal), datos de conexión (registros, dirección IP), datos transaccionales, datos de navegación, contenidos introducidos en formularios, metadatos técnicos.
• Categorías especiales: no se trata ningún dato sensible en el sentido del artículo 9 del RGPD salvo instrucción escrita expresa y previa del Responsable, acompañada de una evaluación de impacto (EIPD).

Artículo 4 — Instrucciones documentadas del Responsable

El Encargado trata los datos personales únicamente siguiendo instrucción documentada del Responsable (art. 28.3.a RGPD), inclusive en lo relativo a las transferencias a un país tercero o a una organización internacional.

Las instrucciones iniciales del Responsable se materializan en el contrato principal, las CGV, las CGS SaaS y la configuración elegida de los Servicios. Toda instrucción complementaria se dirige por escrito a legal@web-agency.app.

El Encargado informa inmediatamente al Responsable si, en su opinión, una instrucción constituye una infracción del RGPD o de otras disposiciones del derecho de la Unión o de los Estados miembros en materia de protección de datos.

Artículo 5 — Confidencialidad del personal

El Encargado garantiza que las personas autorizadas a tratar los datos personales están sujetas a una obligación de confidencialidad, contractual o legal (art. 28.3.b RGPD), y que han recibido la formación necesaria en materia de protección de datos.

Artículo 6 — Medidas técnicas y organizativas

De conformidad con el artículo 32 del RGPD, el Encargado aplica las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, en particular:

• Cifrado: TLS 1.2+ en tránsito (HTTPS), AES-256 o equivalente en reposo para los datos almacenados en Google Cloud Platform (Firestore, Cloud Storage);
• Aislamiento: compartimentación lógica de los datos entre Clientes, controles de acceso basados en roles (RBAC), autenticación fuerte (2FA) para las cuentas de administrador;
• Registro: trazas de acceso y de operaciones conservadas durante al menos seis (6) meses para permitir la detección de incidentes y la auditoría;
• Copias de seguridad: copias de seguridad cifradas diarias con retención de treinta (30) días, restauración probada periódicamente;
• Actualizaciones: aplicación regular de los parches de seguridad en todos los componentes de software;
• Resiliencia: infraestructura Google Cloud europe-west4 redundada multi-zona (cf. PCA).

Artículo 7 — Subencargados ulteriores

El Responsable autoriza, mediante el presente, al Encargado a recurrir a subencargados ulteriores para la ejecución de los Servicios. Se trata de una autorización general escrita en el sentido del art. 28.2 del RGPD.

A la fecha del presente acuerdo, los principales subencargados ulteriores son:

• Google Ireland Limited / Google Cloud EMEA Limited (Dublín, Irlanda) — alojamiento, computación, base de datos, almacenamiento (región europe-west4, Países Bajos);
• Cloudflare, Inc. (San Francisco, EE. UU. — entidad UE: Cloudflare Germany GmbH) — CDN, protección DDoS, DNS gestionado;
• Stripe Payments Europe, Ltd. (Dublín, Irlanda) — procesamiento de pagos con tarjeta bancaria;
• Resend, Inc. o prestador equivalente — envío de correos electrónicos transaccionales (región UE).

El Encargado informa al Responsable de todo proyecto de adición o sustitución de un subencargado ulterior mediante notificación escrita con al menos treinta (30) días de antelación a la fecha de efecto. El Responsable dispone de este plazo para formular una objeción motivada. A falta de objeción en el plazo, se considera aceptada la adición. En caso de objeción persistente, el Responsable puede resolver el contrato principal sin penalización en las condiciones previstas por las CGV.

El Encargado impone a cada subencargado ulterior, por contrato, obligaciones de protección de datos equivalentes a las del presente DPA. Sigue siendo plenamente responsable de la ejecución por el subencargado ulterior de sus obligaciones.

Artículo 8 — Derechos de los interesados

El Encargado asiste al Responsable, mediante medidas técnicas y organizativas apropiadas, en la medida de lo posible, para permitir al Responsable atender las solicitudes de ejercicio de los derechos de los interesados (acceso, rectificación, supresión, limitación, portabilidad, oposición, retirada del consentimiento).

Cuando una solicitud se dirige directamente al Encargado, este la transmite sin demora al Responsable y no la responde sin instrucción escrita de este.

Artículo 9 — Notificación de incidentes

De conformidad con el artículo 33.2 del RGPD, el Encargado notifica al Responsable toda violación de datos personales sin dilación indebida y, a más tardar, en un plazo de setenta y dos (72) horas desde que tenga conocimiento de ella.

La notificación se envía por correo electrónico a la dirección de contacto facilitada por el Responsable y precisa, en la medida de lo posible:

• la naturaleza de la violación y las categorías y el número aproximado de personas y registros afectados;
• las consecuencias probables de la violación;
• las medidas adoptadas o propuestas para subsanarla, incluso para mitigar sus eventuales efectos negativos;
• los datos de contacto del punto de contacto para obtener más información.

Artículo 10 — Auditoría

El Encargado pone a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones del artículo 28 del RGPD y permitir la realización de auditorías, incluidas inspecciones, por el Responsable o por un auditor tercero independiente designado por él.

Las auditorías se organizan a petición escrita del Responsable, con un preaviso razonable de al menos treinta (30) días, en los locales o por vía documental, y dentro del límite de una (1) auditoría al año salvo incidente probado. Los costes de la auditoría corren a cargo del Responsable, salvo que la auditoría revele un incumplimiento sustancial del Encargado de sus obligaciones.

El auditor tercero firma previamente un compromiso de confidencialidad. La auditoría no puede menoscabar la confidencialidad de los datos de los demás clientes del Encargado.

Artículo 11 — Destino de los datos al final del contrato

Al finalizar la prestación, y a elección del Responsable formulada por escrito en un plazo de treinta (30) días desde el final del contrato, el Encargado:

• devuelve al Responsable el conjunto de los datos personales en un formato abierto y explotable; o
• suprime de manera irreversible el conjunto de los datos personales y de las copias existentes.

A falta de instrucción escrita del Responsable en el plazo señalado, el Encargado procede a la supresión irreversible. Las copias de seguridad se sobrescriben por rotación según el ciclo definido en la PCA.

El Encargado puede conservar determinados datos estrictamente necesarios para el cumplimiento de una obligación legal (contabilidad, lucha contra el blanqueo, etc.), durante el plazo previsto por la ley.

Artículo 12 — Registro de actividades (RGPD art. 30)

El Encargado lleva un registro de las actividades de tratamiento realizadas por cuenta del Responsable, conforme al artículo 30.2 del RGPD. Este registro se pone a disposición del Responsable y de la autoridad de control (CNIL) a su solicitud escrita.

Artículo 13 — Transferencias fuera de la UE

Los tratamientos principales se realizan en el Espacio Económico Europeo (región Google Cloud europe-west4, Países Bajos).

Las eventuales transferencias hacia los Estados Unidos (Cloudflare, soporte técnico Google, etc.) se rigen por el Data Privacy Framework (DPF) UE — Estados Unidos adoptado en julio de 2023, completado por las Cláusulas Contractuales Tipo (CCT) de la Comisión Europea de 4 de junio de 2021 cuando el subencargado ulterior no esté certificado DPF.

Artículo 14 — Derecho aplicable y jurisdicción

El presente DPA se rige por el derecho francés y por el RGPD. Cualquier litigio relativo a su interpretación o ejecución es competencia exclusiva del Tribunal mercantil de París, no obstante la pluralidad de demandados o el llamamiento en garantía.

Los interesados tienen derecho a presentar una reclamación ante la Comisión Nacional de la Informática y de las Libertades (CNIL).