Tratamiento de datos

Centro de confianza -- Tratamiento de datos

Nuestro Acuerdo de Procesamiento de Datos (DPA) describe cómo tratamos los datos en nombre de nuestros clientes cuando nos transfieren información.

Puedes solicitar una versión firmada poniéndote en contacto con nosotros.

Pide tu acuerdo firmado aquí

Acuerdo de procesamiento de datos, versión 3.1, 4 de septiembre de 2023

Cláusulas contractuales estándar

Acuerdo de procesamiento de datos entre el Cliente (el “controlador de datos”) y BetterNow (el “procesador de datos”) (cada uno una ‘parte’; conjuntamente ‘las partes’), con el fin de cumplir con los requisitos del Artículo 28(3) del GDPR (Reglamento 2016/679) y garantizar la protección de los derechos del titular de los datos.

1. Índice

1. Índice
2. Preámbulo    
3. Derechos y obligaciones del controlador de datos
4. El procesador de datos actúa conforme a instrucciones   
5. Confidencialidad
6. Seguridad del procesamiento
7. Uso de subencargados  
8. Transferencia de datos a terceros países u organizaciones internacionales
9. Asistencia al controlador de datos
10. Notificación de violaciones de datos personales
11. Eliminación de datos 
12. Auditoría e inspección
13. Acuerdo de las partes sobre otros términos
14. Inicio y terminación
Apéndice A Información sobre el procesamiento
Apéndice B Subencargados autorizados
Apéndice C Instrucciones relacionadas con el uso de datos personales
Apéndice D Términos de acuerdo de las partes sobre otros temas

2. Preámbulo      

1. Estas Cláusulas Contractuales (las "Cláusulas") establecen los derechos y obligaciones del controlador de datos y del procesador de datos al procesar datos personales en nombre del controlador de datos.

2.  Las Cláusulas han sido diseñadas para garantizar el cumplimiento por parte de las partes del Artículo 28(3) del Reglamento 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 sobre la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos – GDPR).

3. En el contexto de la prestación de servicios descritos en el Acuerdo de Servicios entre las partes (el “PLA”), el procesador de datos procesará datos personales en nombre del controlador de datos conforme a las Cláusulas.

4. Las Cláusulas tendrán prioridad sobre cualquier disposición similar contenida en otros acuerdos entre las partes.

5. Se adjuntan cuatro apéndices a las Cláusulas, los cuales forman parte integral de las mismas.

6. El Apéndice A contiene detalles sobre el tratamiento de datos personales, incluyendo el propósito y la naturaleza del tratamiento, el tipo de datos personales, las categorías de titulares de los datos y la duración del tratamiento.

7. El Apéndice B contiene las condiciones del controlador de datos respecto al uso de subencargados por parte del procesador de datos, así como una lista de los subencargados autorizados por el controlador de datos.

8. El Apéndice C contiene las instrucciones del controlador de datos relativas al tratamiento de datos personales, las medidas mínimas de seguridad que debe implementar el procesador de datos y el procedimiento para la realización de auditorías tanto al procesador de datos como a cualquier subencargado.

9. El Apéndice D contiene disposiciones sobre otras actividades que no están cubiertas por las Cláusulas.

10. Las Cláusulas, junto con los apéndices, deberán ser conservadas por escrito, incluyendo su forma electrónica, por ambas partes.

11. Las Cláusulas no eximen al procesador de datos de las obligaciones a las que esté sujeto en virtud del Reglamento General de Protección de Datos (GDPR) u otra legislación aplicable.

3. Derechos y obligaciones del controlador de datos

1. El controlador de datos es responsable de garantizar que el tratamiento de datos personales se realice en cumplimiento del GDPR (véase el Artículo 24 del GDPR), de las disposiciones de protección de datos aplicables de la UE o de los Estados miembros, y de las Cláusulas.

2. El controlador de datos tiene el derecho y la obligación de tomar decisiones sobre los fines y los medios del tratamiento de datos personales.

3. El controlador de datos será responsable, entre otras cosas, de garantizar que el tratamiento de datos personales que el procesador de datos tiene instrucciones de realizar cuente con una base legal.

4. El procesador de datos actúa conforme a instrucciones

1. El procesador de datos solo podrá tratar datos personales siguiendo instrucciones documentadas del controlador de datos, salvo que esté obligado a hacerlo en virtud del Derecho de la Unión o de los Estados miembros al que esté sujeto. Dichas instrucciones estarán especificadas en los Apéndices A y C. El controlador de datos podrá emitir instrucciones posteriores durante toda la duración del tratamiento de datos personales, pero tales instrucciones deberán ser siempre documentadas y conservadas por escrito, incluida su forma electrónica, junto con las Cláusulas.

2. El controlador de datos será responsable, entre otras cosas, de garantizar que el tratamiento de datos personales que el procesador de datos tiene instrucciones de realizar cuente con una base legal.

5. Confidencialidad

1. El procesador de datos solo concederá acceso a los datos personales tratados en nombre del controlador de datos a personas bajo su autoridad que se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación legal de confidencialidad, y únicamente cuando dicho acceso sea necesario.La lista de personas a quienes se haya concedido acceso será revisada periódicamente. Con base en esta revisión, el acceso podrá ser retirado si ya no resulta necesario, y en tal caso, dichas personas dejarán de tener acceso a los datos personales.

2. El procesador de datos deberá, a solicitud del controlador de datos, demostrar que las personas bajo su autoridad están sujetas a la obligación de confidencialidad mencionada.

6. Seguridad del tratamiento

1. El Artículo 32 del GDPR establece que, teniendo en cuenta el estado de la técnica, los costes de aplicación, así como la naturaleza, el alcance, el contexto y los fines del tratamiento, y el riesgo de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el controlador de datos y el procesador de datos deberán aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. El controlador de datos evaluará los riesgos para los derechos y libertades de las personas físicas inherentes al tratamiento y aplicará medidas para mitigar dichos riesgos. Según su relevancia, estas medidas podrán incluir:

  1. Seudonimización y cifrado de datos personales;
  2. Capacidad para garantizar la confidencialidad, integridad, disponibilidad y resiliencia continuas de los sistemas y servicios de tratamiento;
  3. Capacidad para restaurar la disponibilidad y el acceso a los datos personales de manera oportuna en caso de un incidente físico o técnico;
  4. Un proceso para probar, evaluar y valorar regularmente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

2. Conforme al Artículo 32 del GDPR, el procesador de datos también deberá —de manera independiente al controlador de datos— evaluar los riesgos para los derechos y libertades de las personas físicas inherentes al tratamiento y aplicar medidas para mitigar dichos riesgos.A tal efecto, el controlador de datos proporcionará al procesador de datos toda la información necesaria para identificar y evaluar estos riesgos.

3. Asimismo, el procesador de datos deberá asistir al controlador de datos en el cumplimiento de sus obligaciones conforme al Artículo 32 del GDPR, proporcionando, entre otros, información sobre las medidas técnicas y organizativas ya implementadas en cumplimiento del Artículo 32 del GDPR, junto con toda otra información necesaria para que el controlador de datos pueda cumplir con sus obligaciones.

Si posteriormente —a criterio del controlador de datos— la mitigación de los riesgos identificados requiere la implementación de medidas adicionales por parte del procesador de datos, más allá de las ya aplicadas conforme al Artículo 32 del GDPR, el controlador de datos especificará dichas medidas adicionales a implementar en el Apéndice C.

7. Uso de subencargados

1. El procesador de datos deberá cumplir con los requisitos establecidos en los Artículos 28(2) y 28(4) del GDPR para poder contratar a otro procesador (un subencargado).

2. Por tanto, el procesador de datos no podrá contratar a un subencargado para el cumplimiento de las Cláusulas sin la autorización previa, general y por escrito del controlador de datos.

3. El procesador de datos cuenta con la autorización general del controlador de datos para la contratación de subencargados. El procesador de datos deberá informar por escrito al controlador de datos sobre cualquier cambio previsto con respecto a la incorporación o sustitución de subencargados con al menos treinta (30) días hábiles de antelación, dando así al controlador de datos la oportunidad de oponerse a dichos cambios antes de que se efectúe la contratación del subencargado correspondiente. Plazos de notificación más amplios para servicios específicos de subencargados podrán establecerse en el Apéndice B. La lista de subencargados ya autorizados por el controlador de datos se encuentra en el mismo Apéndice B.

4. Cuando el procesador de datos contrate a un subencargado para llevar a cabo actividades específicas de tratamiento en nombre del controlador de datos, deberá imponerle —mediante contrato u otro acto jurídico conforme al Derecho de la UE o de los Estados miembros— las mismas obligaciones en materia de protección de datos que se establecen en las Cláusulas. En particular, deberá garantizarse que el subencargado proporcione suficientes garantías de que aplicará medidas técnicas y organizativas apropiadas de forma que el tratamiento cumpla los requisitos de las Cláusulas y del GDPR. El procesador de datos será responsable de exigir que el subencargado, como mínimo, cumpla con las obligaciones que le corresponden conforme a las Cláusulas y al GDPR.

5. A solicitud del controlador de datos, se deberá facilitar una copia del acuerdo con el subencargado y de sus modificaciones posteriores, de forma que el controlador de datos pueda verificar que el subencargado está sujeto a las mismas obligaciones en materia de protección de datos previstas en las Cláusulas. No será necesario facilitar las cláusulas relacionadas con aspectos comerciales que no afecten al contenido jurídico en materia de protección de datos del acuerdo con el subencargado.

6. El procesador de datos deberá acordar con el subencargado una cláusula de beneficiario tercero que, en caso de quiebra del procesador de datos, permita al controlador de datos actuar como beneficiario tercero del acuerdo con el subencargado y ejercer los derechos derivados de dicho acuerdo. Por ejemplo, podrá instruir al subencargado para que elimine o devuelva los datos personales.

7. Si el subencargado no cumple con sus obligaciones en materia de protección de datos, el procesador de datos seguirá siendo plenamente responsable ante el controlador de datos por el cumplimiento de dichas obligaciones por parte del subencargado. Esto no afectará los derechos de los titulares de los datos conforme al GDPR, en particular los previstos en los Artículos 79 y 82, frente al controlador de datos y al procesador de datos, incluido el subencargado.

8. Transferencia de datos a terceros países u organizaciones internacionales

1. Cualquier transferencia de datos personales a terceros países u organizaciones internacionales por parte del procesador de datos solo podrá realizarse sobre la base de instrucciones documentadas del controlador de datos y deberá cumplir siempre con lo establecido en el Capítulo V del GDPR.

2. En caso de que una transferencia a un tercer país o a una organización internacional, que no haya sido instruida por el controlador de datos, sea exigida conforme al Derecho de la Unión o de los Estados miembros al que esté sujeto el procesador de datos, este deberá informar al controlador de datos sobre dicho requisito legal antes de realizar el tratamiento, salvo que la ley prohíba proporcionar dicha información por motivos importantes de interés público.

3. Por tanto, sin instrucciones documentadas del controlador de datos, el procesador de datos no podrá, dentro del marco de las Cláusulas:

  1. transferir datos personales a un controlador o a un procesador de datos en un tercer país o en una organización internacional
  2. transferir el tratamiento de datos personales a un subencargado en un tercer país
  3. realizar el tratamiento de datos personales desde un tercer país

4. Las instrucciones del controlador de datos respecto a la transferencia de datos personales a un tercer país, incluyendo, en su caso, la herramienta de transferencia conforme al Capítulo V del GDPR en que se basen, deberán establecerse en el Apéndice C.6.

5. Las Cláusulas no deben confundirse con las cláusulas tipo de protección de datos en el sentido del Artículo 46(2)(c) y (d) del GDPR, y no podrán ser utilizadas por las partes como herramienta de transferencia conforme al Capítulo V del GDPR.

9. Asistencia al controlador de datos

1. Teniendo en cuenta la naturaleza del tratamiento, el procesador de datos asistirá al controlador de datos mediante la adopción de medidas técnicas y organizativas apropiadas, en la medida de lo posible, para el cumplimiento de las obligaciones del controlador de datos de responder a las solicitudes de ejercicio de los derechos de los titulares de los datos, establecidos en el Capítulo III del GDPR.

Esto implica que el procesador de datos deberá, en la medida de lo posible, asistir al controlador de datos en el cumplimiento de:

  1. el derecho a ser informado al recoger datos personales del titular de los datos
  2. el derecho a ser informado cuando los datos personales no hayan sido obtenidos del titular de los datos
  3. el derecho de acceso del titular de los datos
  4. el derecho de rectificación
  5. el derecho de supresión ("derecho al olvido")
  6. el derecho a la limitación del tratamiento
  7. la obligación de notificación respecto a la rectificación o supresión de datos personales o la limitación del tratamiento
  8. el derecho a la portabilidad de los datos
  9. el derecho de oposición
  10. el derecho a no ser objeto de decisiones basadas únicamente en el tratamiento automatizado, incluida la elaboración de perfiles

2. Además de la obligación del procesador de datos de asistir al controlador de datos conforme a la Cláusula 6.3., el procesador de datos también deberá, teniendo en cuenta la naturaleza del tratamiento y la información de que disponga, asistir al controlador de datos en el cumplimiento de:

  1. la obligación del controlador de datos de notificar sin dilación indebida, y cuando sea posible a más tardar 72 horas después de haber tenido conocimiento de ello, la violación de datos personales a la autoridad de control competente, salvo que sea improbable que dicha violación suponga un riesgo para los derechos y libertades de las personas físicas;
  2. la obligación del controlador de datos de comunicar sin dilación indebida la violación de datos personales al titular de los datos, cuando dicha violación sea probable que resulte en un alto riesgo para los derechos y libertades de las personas físicas;
  3. la obligación del controlador de datos de realizar una evaluación del impacto de las operaciones de tratamiento previstas sobre la protección de datos personales (evaluación de impacto relativa a la protección de datos);
  4. la obligación del controlador de datos de consultar a la autoridad de control competente antes de proceder al tratamiento cuando una evaluación de impacto indique que el tratamiento daría lugar a un alto riesgo si no se adoptan medidas por parte del controlador de datos para mitigar dicho riesgo.

3. Las partes definirán en el Apéndice C las medidas técnicas y organizativas apropiadas mediante las cuales el procesador de datos deberá asistir al controlador de datos, así como el alcance y la extensión de la asistencia requerida. Esto se aplica a las obligaciones previstas en las Cláusulas 9.1. y 9.2.

10. Notificación de violaciones de datos personales

1. En caso de cualquier violación de datos personales, el procesador de datos deberá notificarla sin dilación indebida al controlador de datos tras haber tenido conocimiento de la misma.

2. La notificación del procesador de datos al controlador de datos deberá realizarse, si es posible, dentro de las 48 horas posteriores a la toma de conocimiento de la violación de datos personales, para permitir que el controlador de datos cumpla con su obligación de notificar dicha violación a la autoridad de control competente, conforme al Artículo 33 del GDPR.

3. De acuerdo con la Cláusula 9(2)(a), el procesador de datos deberá asistir al controlador de datos en la notificación de la violación de datos personales a la autoridad de control competente. Esto significa que el procesador de datos deberá colaborar en la obtención de la siguiente información, que, conforme al Artículo 33(3) del GDPR, deberá incluirse en la notificación del controlador de datos:

  1. La naturaleza de los datos personales afectados, incluyendo, cuando sea posible, las categorías y el número aproximado de titulares de datos afectados, así como las categorías y el número aproximado de registros de datos personales afectados;
  2. Las posibles consecuencias de la violación de datos personales;
  3. Las medidas adoptadas o propuestas por el controlador de datos para abordar la violación de datos personales, incluyendo, en su caso, las medidas destinadas a mitigar sus posibles efectos adversos.

4. Las partes definirán en el Apéndice C todos los elementos que deberá proporcionar el procesador de datos al asistir al controlador de datos en la notificación de una violación de datos personales a la autoridad de control competente.

11. Eliminación de datos

1. Al finalizar la prestación de los servicios de tratamiento de datos personales, el procesador de datos estará obligado a eliminar todos los datos personales tratados en nombre del controlador de datos y a certificar ante este que así lo ha hecho, salvo que el Derecho de la Unión o de los Estados miembros exija la conservación de dichos datos personales.

12. Auditoría e inspección

1. El procesador de datos pondrá a disposición del controlador de datos toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el Artículo 28 del GDPR y en las presentes Cláusulas, y permitirá y colaborará en la realización de auditorías, incluidas inspecciones, llevadas a cabo por el propio controlador de datos o por otro auditor designado por este.

2. Los procedimientos aplicables a las auditorías del controlador de datos, incluidas las inspecciones, tanto del procesador de datos como de los subencargados, están especificados en los Apéndices C.7 y C.8.

3. El procesador de datos deberá permitir el acceso a sus instalaciones físicas a las autoridades de control que, conforme a la legislación aplicable, tengan derecho a acceder a las instalaciones del controlador y del procesador de datos, o a los representantes que actúen en su nombre, previa presentación de una identificación adecuada.

13. Acuerdo de las partes sobre otros términos

Las partes podrán acordar otras cláusulas relativas a la prestación del servicio de tratamiento de datos personales, especificando, por ejemplo, cuestiones de responsabilidad, siempre que dichas cláusulas no contradigan directa o indirectamente lo dispuesto en las presentes Cláusulas ni perjudiquen los derechos o libertades fundamentales de los titulares de los datos ni la protección garantizada por el GDPR.

14. Inicio y terminación

1. Las Cláusulas entrarán en vigor cuando el acuerdo de servicios haya sido aceptado por ambas partes.

2. Ambas partes tendrán derecho a solicitar la renegociación de las Cláusulas si los cambios legislativos o la inconveniencia de las mismas dieran lugar a ello.

3. Las Cláusulas se aplicarán durante toda la duración de la prestación de los servicios de tratamiento de datos personales. Durante dicho período, las Cláusulas no podrán ser rescindidas, salvo que las partes acuerden nuevas cláusulas que rijan la prestación de los servicios de tratamiento de datos personales.

4. Si la prestación de los servicios de tratamiento de datos personales se da por terminada, y los datos personales son eliminados o devueltos al controlador de datos conforme a la Cláusula 11.1. y al Apéndice C.4., las Cláusulas podrán ser rescindidas mediante notificación por escrito por cualquiera de las partes.

Apéndice A – Información sobre el tratamiento

Este apéndice está dividido según las dos principales actividades de tratamiento.

A.1 Tratamiento de actividades de donación

A.1.1 El propósito del tratamiento de datos personales por parte del procesador de datos en nombre del controlador de datos es:

El propósito del tratamiento es la prestación de los servicios conforme al Acuerdo de Servicios.

A.1.2. El tratamiento de datos personales por parte del procesador de datos en nombre del controlador de datos consistirá principalmente en (la naturaleza del tratamiento):

Prestación de servicios conforme al Acuerdo de Servicios, que incluye, entre otros, la recopilación, tratamiento (incluyendo análisis), almacenamiento, estructuración y puesta a disposición de datos personales al controlador de datos, así como la eliminación de datos personales. El tratamiento específico incluye:

  • Procesamiento de donaciones: recopilación de información personal de los donantes según lo determine el controlador de datos.
  • Procesamiento de pagos: tratamiento del pago de la donación.
  • Envío de recibos y notificaciones: envío de recibos por correo electrónico al donante y notificaciones en caso de actualizaciones en la página de iniciativa o comentarios de agradecimiento.
  • Monitoreo de fraudes: supervisión de actividades fraudulentas, por ejemplo, el uso de tarjetas de crédito robadas.
  • Monitoreo de uso: permite identificar posibles errores técnicos, errores de pago y problemas de integridad de los datos. También facilita la retroalimentación continua del producto para mejorar la experiencia del usuario y el producto en general.
  • Facilitación de deducciones fiscales, si corresponde: frecuentemente implica la recopilación de números de identificación fiscal.

A.1.3. El tratamiento incluye los siguientes tipos de datos personales sobre los titulares de datos:

La empresa procesa una serie de datos generales sobre las personas registradas (Artículo 6 del Reglamento General de Protección de Datos), incluyendo:

  • Información de identificación, como nombre, direcciones, correo electrónico y número de teléfono
  • Datos sobre visitas, acciones y actividades en la página web
  • Direcciones IP
  • Información relacionada con pagos
  • Registros de correos electrónicos
  • Números de identificación personal, como CPR (Dinamarca), NIF/NIE/CIF (España), Fødselsnummer (Noruega) y Personnummer (Suecia)

A.1.4. El tratamiento incluye las siguientes categorías de titulares de datos:

Los titulares de datos para esta actividad de tratamiento son todas aquellas personas que realicen una donación al controlador de datos a través de la plataforma proporcionada por el procesador de datos, independientemente del lugar de la plataforma donde se realice la donación.

A.1.5. El tratamiento de datos personales por parte del procesador de datos en nombre del controlador de datos podrá iniciarse a partir de la entrada en vigor de las Cláusulas. La duración del tratamiento será la siguiente:

Estas Cláusulas estarán vigentes durante toda la prestación de los servicios conforme al Acuerdo de Servicios y finalizarán automáticamente cuando el procesador de datos deje de tratar datos personales en nombre del controlador de datos como parte de los servicios.

A.2 Tratamiento de todas las demás actividades de usuario

A.2.1 El propósito del tratamiento de datos personales por parte del procesador de datos en nombre del controlador de datos es:

El propósito del tratamiento es la prestación de los servicios conforme al Acuerdo de Servicios.

A.2.2. El tratamiento de datos personales por parte del procesador de datos en nombre del controlador de datos consistirá principalmente en (la naturaleza del tratamiento):

Prestación de servicios conforme al Acuerdo de Servicios, que incluye, entre otros, la recopilación, tratamiento (incluido el análisis), almacenamiento, estructuración y puesta a disposición de datos personales al controlador de datos, así como la eliminación de datos personales. El tratamiento específico incluye:

  • Mantenimiento de un perfil y credenciales de acceso: permite al usuario administrar, editar y eliminar la página de iniciativa o de equipo.
  • Envío de guías e información altamente relevante: se envía comunicación relevante por correo electrónico relacionada con la intención de puede recaudar fondos en momentos pertinentes, siempre que la página de iniciativa o de equipo esté activa. Esto incluye, por ejemplo, notificaciones de donaciones recibidas, consejos para puede recaudar fondos y orientaciones sobre cómo administrar, eliminar y finalizar las páginas de iniciativa y de equipo.
  • Generación de recomendaciones personalizadas para iniciativas: se generan recomendaciones de acciones que pueden mejorar los resultados de las iniciativas. Estas recomendaciones se crean mediante un algoritmo de aprendizaje automático entrenado con datos no personales procedentes de todos los socios de BetterNow.
  • Monitoreo de uso: permite identificar posibles errores técnicos y problemas de integridad de los datos. También facilita la retroalimentación continua para mejorar la experiencia general del usuario y del producto.

A.2.3. El tratamiento incluye los siguientes tipos de datos personales sobre los titulares de datos:

El procesador de datos tratará los tipos de datos personales a los que el controlador de datos le dé acceso, directa o indirectamente.

El procesador de datos solo tratará datos personales "ordinarios" cubiertos por el Artículo 6 del GDPR. Si fuera necesario tratar datos "sensibles", según lo descrito en el Artículo 9 del GDPR, el procesador deberá ser notificado de inmediato y se deberá formalizar un nuevo acuerdo de procesamiento de datos (DPA).

  • Información de identificación, como nombre, dirección, correo electrónico y número de teléfono
  • Credenciales de acceso
  • Datos sobre visitas, acciones y actividades en la página web y durante la sesión iniciada en la solución
  • Direcciones IP
  • Registros de correos electrónicos

A.2.4. El tratamiento incluye las siguientes categorías de titulares de datos:

Los titulares de datos para esta actividad de tratamiento son todas aquellas personas que creen un usuario para crear una página de iniciativa o un equipo, independientemente de si completan exitosamente o no el proceso.

A.2.5. El tratamiento de datos personales por parte del procesador de datos en nombre del controlador de datos podrá iniciarse a partir de la entrada en vigor de las Cláusulas. La duración del tratamiento será la siguiente:

Estas Cláusulas estarán vigentes durante toda la prestación de los servicios conforme al Acuerdo de Servicios y finalizarán automáticamente cuando el procesador de datos deje de tratar datos personales en nombre del controlador de datos como parte de los servicios.

Apéndice B – Subencargados autorizados

B.1. Subencargados aprobados

Al entrar en vigor las Cláusulas, el controlador de datos autoriza la contratación de los siguientes subencargados:

Full company name Address (street, no, city, country) Name of service / tool Description of service Purpose Processing locations
Peaberry Software Inc d/b/a Customer.io 9450 SW Gemini Dr Suite 43920 Beaverton, Oregon 97008-7105, United States Customer.io An automated messaging platform. Email services for fundraisers and team leaders Belgium
Amazon Web Services, Inc. 410 Terry Ave N, Seattle 98109, Washington, USA AWS (Amazon Web Services) hosting AWS on-demand cloud computing platform & hosting We use S3 (content hosting), EC2 (hosting) and SES (for sending transactional emails) Ireland
Salesforce, Inc. (F/K/A Salesforce.com, Inc.) Salesforce Tower 415 Mission Street, 3rd Floor San Francisco, CA 94105, United States Heroku A cloud platform that lets companies build, deliver, monitor and scale apps. Server management Ireland
AppSignal B.V. P.O. Box 10212 1001EE Amsterdam The Netherlands AppSignal AppSignal is application performance monitoring. Error reporting and app monitoring Netherlands
Snowflake Inc. 106 E Babcock St, Suite 3A, Bozeman, MT 59715, Crunchy Data Bridge Crunchy Bridge is a fully managed cloud PostgreSQL service. Server management Ireland
LINK Mobility A/S Flæsketorvet 68, 1 1711 København V, Denmark SMS API MyLink provides an API for sending SMS. SMS services EU
Crisp IM SAS 2 Boulevard de Launay, 44100 Nantes, France Crisp Help Desk Software Support services (through email, AI and chat) Netherlands/Germany

El controlador de datos, al entrar en vigor las Cláusulas, autoriza el uso de los subencargados mencionados anteriormente para el tratamiento descrito para cada uno de ellos. El procesador de datos no estará autorizado —sin la notificación previa correspondiente al controlador de datos— a contratar un subencargado para un tratamiento "diferente" del acordado, ni a sustituir al subencargado previamente aprobado para el tratamiento descrito.

Uso de subencargados con condiciones estándar

Sin perjuicio de lo establecido en la Cláusula 7, se destaca que el procesador de datos utiliza subencargados que prestan sus servicios bajo sus propios términos, los cuales no pueden ser modificados por el procesador de datos. El controlador de datos acepta que los términos estándar de los siguientes subencargados se aplicarán a dicho tratamiento, incluyendo lo relativo a los requisitos de auditoría, control, documentación y responsabilidad:

  • Amazon Web Services Inc.
  • Salesforce.com EMEA Limited

Los términos estándar serán enviados al controlador de datos si este los solicita.

B.2. Notificación previa para la autorización de subencargados: El procesador de datos cuenta con la autorización general del controlador de datos para la contratación de subencargados, conforme a lo establecido en la Cláusula 7.3.

Si el controlador de datos tiene alguna objeción respecto al uso de un subencargado, deberá notificarlo al procesador de datos sin dilación indebida antes de que dicho cambio entre en vigor, tal como se describe en el presente Apéndice B.2. El controlador de datos solo podrá oponerse a dichos cambios si tiene motivos razonables y específicos para hacerlo.

En caso de objeción por parte del controlador de datos, este acepta además que el procesador de datos podría verse impedido de prestar total o parcialmente los servicios acordados conforme al Acuerdo de Servicios. Esta imposibilidad de prestación no se considerará un incumplimiento contractual.

El procesador de datos mantendrá su derecho al cobro de dichos servicios, independientemente de que puedan prestarse al controlador de datos. No obstante, el controlador de datos podrá resolver el Acuerdo de Servicios con un preaviso por escrito de 30 días naturales para que surta efecto al final de un mes, respecto a aquellos aspectos del servicio que no puedan prestarse sin el uso del subencargado. Cualquier pago anticipado correspondiente al periodo restante del Acuerdo de Servicios tras la finalización del plazo de preaviso será reembolsado al controlador de datos.

Asimismo, el controlador de datos podrá resolver la totalidad del Acuerdo de Servicios con un preaviso por escrito de 30 días naturales para que surta efecto al final de un mes, si el procesador de datos se ve impedido de prestar la totalidad de los servicios acordados conforme al Acuerdo de Servicios. En tal caso, cualquier pago anticipado posterior al vencimiento del periodo de preaviso será reembolsado al controlador de datos.

B.3 Beneficiario tercero en relación con los subencargados

Las partes han acordado que no será de aplicación entre ellas la Cláusula 7.6 de las Cláusulas (citada a continuación):

"El procesador de datos deberá acordar una cláusula de beneficiario tercero con el subencargado, en virtud de la cual —en caso de quiebra del procesador de datos— el controlador de datos será considerado beneficiario tercero del acuerdo con el subencargado, y tendrá derecho a hacer cumplir dicho acuerdo frente al subencargado contratado por el procesador de datos, por ejemplo, instruyendo al subencargado para eliminar o devolver los datos personales."

Apéndice C – Instrucciones relativas al uso de datos personales

C.1. Objeto/instrucciones para el tratamiento

El tratamiento de datos personales por parte del procesador de datos en nombre del controlador de datos se llevará a cabo mediante la prestación de los servicios especificados en el Acuerdo de Servicios.

C.2. Seguridad del tratamiento

El nivel de seguridad deberá tener en cuenta que el tratamiento solo implica datos personales sujetos al Artículo 6 del GDPR.

En adelante, el procesador de datos tendrá el derecho y la obligación de tomar decisiones sobre las medidas de seguridad técnicas y organizativas que deben aplicarse para garantizar el nivel de seguridad de los datos necesario (y acordado).

No obstante, en todo caso, el procesador de datos deberá implementar, como mínimo, las siguientes medidas que han sido acordadas con el controlador de datos:

Seguridad del producto

Permisos y accesos

El procesador de datos dispone de roles de acceso globales que permiten a los administradores del procesador de datos establecer niveles de permisos basados en roles para cada cuenta de usuario.

Sin contraseñas

Utilizamos enlaces de acceso enviados al correo electrónico del usuario para iniciar sesión.Estos enlaces son válidos solo por un breve período de tiempo. La seguridad se basa en la protección existente del buzón de correo electrónico del usuario en lugar de añadir una segunda contraseña.La autenticación multifactor (MFA) es obligatoria para todos nuestros empleados en todos los sistemas, así como para los usuarios de nuestros clientes que tengan acceso de nivel administrativo.

Verificación de cuentas de usuarioTodos los usuarios deben validar sus cuentas a través de un enlace proporcionado en un correo electrónico automatizado.

Protección contra ataques
Operamos un proxy delante de la aplicación que bloquea muchas clases de ataques.Además, aplicamos limitaciones de velocidad a todas las solicitudes, con una restricción aún mayor en puntos críticos como el inicio de sesión y la modificación de contraseñas, para proteger contra ataques de tipo credential-stuffing.

Eliminación permanente
Los usuarios pueden eliminar páginas de iniciativa desde la plataforma de autoservicio si disponen de los derechos de acceso apropiados. La plataforma de autoservicio cuenta con todas las funciones necesarias para que los usuarios eliminen datos y cumplan con el GDPR.

Almacenamiento de datos personales
Todos los datos personales se almacenan en la región de la Unión Europea.

Alta disponibilidad
Garantizamos alta disponibilidad mediante pruebas automatizadas y manuales, monitoreo de producción, registro de actividad y alertas, implementaciones continuas rápidas y el uso de infraestructura en la nube conforme a los estándares de la industria.

Seguridad de la infraestructura

Alojamiento y almacenamiento de datos personales

Los servicios y datos del procesador de datos se alojan en las instalaciones de Amazon Web Services en la región de la UE (EU-west-1).

Cifrado de datos personales

Los datos personales se cifran durante la transmisión entre el procesador de datos y el navegador mediante Transport Layer Security (TLS).

  • En reposo: los datos personales tratados en nombre del controlador de datos residen únicamente en el entorno de producción, cifrados con AES-256.
  • En tránsito: la comunicación de red utiliza TLS, estando cifrada y autenticada.

Escaneo de vulnerabilidades y aplicación de parches en producción

El procesador de datos escanea las dependencias en busca de vulnerabilidades conocidas varias veces al día (con cada cambio en la aplicación). Además, actualiza todas las dependencias diariamente incluso para incidencias no relacionadas con la seguridad. El procesador de datos desarrolla y mantiene pruebas automatizadas para detectar problemas de seguridad como inyección SQL, cross-site scripting, entre otros.

Los parches críticos y de alta prioridad se integran y prueban tan pronto como el procesador de datos tiene conocimiento de ellos, incluidos fines de semana y noches.
Los parches de menor prioridad se aplican y prueban durante los días laborables.

Las actualizaciones del sistema operativo en la infraestructura son gestionadas por el proveedor de alojamiento y se aplican diariamente.

Política de copias de seguridad y registro

Los procesos de respaldo del procesador de datos garantizan la consistencia de los datos e información conforme a los más altos estándares.

El procesador de datos utiliza Heroku para realizar copias de seguridad de las bases de datos que contienen datos personales tratados en nombre del controlador de datos.
Los datos se respaldan de forma continua y, adicionalmente, se realizan copias de seguridad externas diarias.

A nivel de aplicación, el procesador de datos almacena registros de actividad en una solución centralizada de gestión de registros.

Respuesta ante incidentes

Actualizamos de manera transparente a nuestros clientes durante los incidentes a través de nuestro sitio web de estado y directamente mediante nuestro sistema de soporte. Seguimos las normas del GDPR para los plazos de notificación en caso de incidentes. La autoridad danesa 'Datatilsynet' será notificada como máximo en un plazo de 72 horas, y los controladores de datos serán notificados tan pronto como sea posible tras la primera evaluación inicial.

Monitoreo, registro y trazabilidad

El procesador de datos registra cada acción realizada por los usuarios en el sistema, generando una trazabilidad completa. Todos los registros se envían a una solución centralizada de gestión de registros que cuenta con detección de anomalías y configuración de alertas.

Entrega continua

El procesador de datos utiliza una metodología ágil de ciclo de vida de desarrollo de software y procedimientos de gestión de cambios de última generación. El método de despliegue del procesador de datos no requiere tiempo de inactividad para la aplicación.

Cumplimiento

VSA

El procesador de datos ha completado el cuestionario principal de autoevaluación de la Vendor Security Alliance (VSA), disponible a solicitud.

Preparación para el GDPR

El cumplimiento del GDPR está integrado en los procesos de negocio, políticas de seguridad y programas de formación de empleados del procesador de datos. La verificación del cumplimiento del GDPR forma parte de la evaluación de riesgos y de las auditorías internas del procesador de datos.

Personal

Acceso basado en roles

Los niveles de acceso de los empleados del procesador de datos se determinan según su rol y siguen el principio de menor privilegio.

Acceso seguro

El procesador de datos utiliza inicio de sesión único (SSO), políticas estrictas de contraseñas y redes privadas virtuales (VPN) para garantizar que los empleados tengan un acceso seguro al sistema.

Autenticación multifactor

El procesador de datos aplica la autenticación multifactor para todo acceso privilegiado y en todos los sistemas críticos.

Seguridad en los dispositivos de los empleados

Todos los dispositivos de los empleados deben estar configurados con cifrado completo de disco, MFA obligatoria y cortafuegos tanto de entrada como de salida. Todos los dispositivos cuentan con configuraciones de bloqueo automático lo más estrictas posible.Además, todos los empleados realizan actualizaciones diarias del sistema operativo y del navegador web.

Confidencialidad

Todos los contratos de empleados y contratistas incluyen una cláusula de confidencialidad.

Proveedores

Selección de proveedores

Todos los proveedores del procesador de datos ofrecen productos líderes en la industria y pasan por una evaluación de seguridad para asegurar que sus prácticas se ajustan a nuestros estándares de seguridad y cumplimiento.

C.3. Asistencia al controlador de datos

El procesador de datos deberá, en la medida de lo posible —dentro del alcance y extensión de la asistencia especificada a continuación—, asistir al controlador de datos conforme a las Cláusulas 9.1 y 9.2., mediante la implementación de las medidas técnicas y organizativas que puedan contribuir a la capacidad del controlador de datos para responder a las solicitudes de ejercicio de los derechos de los titulares de los datos.

El procesador de datos deberá reenviar al controlador de datos, sin dilación indebida, las solicitudes que reciba de los titulares de datos en relación con el ejercicio de sus derechos bajo el Capítulo III del GDPR, salvo que el controlador de datos solicite expresamente lo contrario.

C.4. Período de almacenamiento / Procedimientos de eliminación

Al finalizar la prestación de los servicios de tratamiento de datos personales, el procesador de datos eliminará los datos personales de conformidad con la Cláusula 11.1., salvo que el controlador de datos —tras la firma del contrato— haya modificado su elección original. Cualquier modificación deberá ser documentada y conservada por escrito, incluida en formato electrónico, junto con las Cláusulas.

C.5. Ubicación del tratamiento

El tratamiento de los datos personales objeto de las Cláusulas no podrá realizarse en ubicaciones distintas de las indicadas en la sección B.1, sin la autorización previa y por escrito del controlador de datos.

A solicitud del controlador de datos, el procesador de datos proporcionará documentación relativa a las instalaciones de tratamiento, centros de datos, etc., utilizados por los subencargados del procesador de datos.

El procesador de datos solo podrá transferir datos personales a un país fuera de la Unión Europea o del Espacio Económico Europeo (un “Tercer País”) o a una organización internacional ubicada en un Tercer País conforme a lo especificado a continuación.

Aprobación general para la transferencia de datos personales a Terceros Países seguros:

Aprobación de la transferencia a destinatarios específicos de datos personales en Terceros Países sujetos a garantías adecuadas:

El controlador de datos instruye al procesador de datos a transferir datos personales a Terceros Países cuando sea necesario para que el procesador de datos pueda prestar el servicio de conformidad con el Acuerdo de Servicios, incluyendo mediante el uso de los subencargados listados que transfieren datos personales a Terceros Países, tal como se describe en el Apéndice B. Asimismo, el procesador de datos estará autorizado a transferir datos personales a Terceros Países si las acciones del propio controlador de datos resultan en dicha transferencia.

El procesador de datos solo podrá realizar transferencias de datos a un Tercer País si, antes de la transferencia, ha garantizado que existen las salvaguardias adecuadas para cumplir con el Reglamento General de Protección de Datos aplicable.

Si las Cláusulas Contractuales Tipo de la Comisión Europea se utilizan como base para la transferencia, el procesador de datos será considerado como el "exportador de datos" conforme al Módulo 3 de dichas Cláusulas.

El contenido de estas Cláusulas no se interpretará como una modificación de dichas salvaguardias, incluyendo las Cláusulas Contractuales Tipo de la Comisión Europea.
Si el controlador de datos no proporciona instrucciones documentadas en las Cláusulas o posteriormente respecto a la transferencia de datos personales a un Tercer País, el procesador de datos no estará autorizado, en el marco de las Cláusulas, a realizar tal transferencia.

C.7. Procedimientos para las auditorías del controlador de datos, incluidas inspecciones, sobre el tratamiento de datos personales realizado por el procesador de datos

Autoevaluaciones y cuestionarios:

El procesador de datos deberá completar, una vez al año y a su propio costo, una autoevaluación basada en un cuestionario proporcionado por un tercero independiente, relativa al cumplimiento del GDPR, de las disposiciones de protección de datos aplicables de la UE o de los Estados miembros, y de las presentes Cláusulas.

Las partes acuerdan que podrán utilizarse los siguientes tipos de autoevaluaciones en cumplimiento de las Cláusulas:

  • Cuestionario de autoevaluación principal de la Vendor Security Alliance (VSA). Este cuestionario comprende las preguntas más críticas en materia de seguridad y privacidad de proveedores. La sección de privacidad de la autoevaluación cubre los requisitos de privacidad conforme al GDPR, así como cuestiones de seguridad.
  • Otros cuestionarios que ofrezcan el mismo nivel o un nivel superior de protección.

La autoevaluación deberá ser remitida al controlador de datos sin dilación indebida para su información. El controlador de datos podrá impugnar el alcance y/o la metodología de la autoevaluación y, en tales casos, podrá solicitar una nueva autoevaluación con un alcance revisado y/o una metodología diferente.

Asimismo, el procesador de datos estará obligado a responder, cada 12 meses, un cuestionario GDPR emitido por el controlador de datos, si lo hubiera, con el fin de recopilar información relativa al cumplimiento de las Cláusulas por parte del procesador de datos. El cuestionario GDPR no deberá requerir más de 5 horas para su cumplimentación. En referencia específica a este requisito, el procesador de datos deberá, sin coste adicional, reservar los recursos (tiempo) necesarios para completar dicho cuestionario.

Inspección escrita e inspección física

El controlador de datos podrá optar por llevar a cabo una inspección, ya sea como inspección escrita o como inspección física. La inspección podrá ser realizada por el controlador de datos y/o en cooperación con un tercero. El procesador de datos deberá, sin coste adicional, reservar los recursos (principalmente tiempo) necesarios para permitir al controlador de datos llevar a cabo la inspección.

En base a los resultados de la autoevaluación y/o de la inspección, el controlador de datos podrá solicitar la adopción de medidas adicionales para garantizar el cumplimiento del GDPR, de las disposiciones aplicables de la UE o de los Estados miembros, y de las presentes Cláusulas.

C.8. Procedimientos para las auditorías, incluidas inspecciones, del tratamiento de datos personales realizado por subencargados

Todos los subencargados del procesador de datos ofrecen productos líderes en la industria y pasan por una evaluación de seguridad para garantizar que sus prácticas se ajustan a nuestros estándares de seguridad y cumplimiento. El procesador de datos audita regularmente a sus subencargados utilizando un enfoque basado en el riesgo, conforme a las mejores prácticas generalmente aceptadas para este tipo de auditorías. Dichas auditorías pueden incluir la revisión de informes de auditoría, el uso de cuestionarios y otros medios apropiados. El procesador de datos ha contratado a un tercero (Openli) para colaborar en la auditoría continua de los subencargados, asegurando así que se mantenga siempre información actualizada sobre cada subencargado, junto con sus certificados y auditorías más recientes.

Se pueden consultar más detalles sobre el cumplimiento de los subencargados del procesador de datos en el perfil de privacidad del procesador de datos en Openli: https://openli.com/privacy/betternow

Apéndice D – Términos de acuerdo entre las partes sobre otros temas

D.1 Compensación al procesador de datos

El procesador de datos recibirá una compensación por sus servicios, que generalmente consistirá en servicios de consultoría. Esto incluye los cambios realizados por el procesador de datos en sus actividades de tratamiento, incluidas las medidas de seguridad, solicitados por el controlador de datos, salvo que dichos cambios sean razonablemente exigidos por la legislación aplicable. Asimismo, el procesador de datos tendrá derecho a recibir compensación por el tiempo dedicado a asistir al controlador de datos conforme a las Cláusulas 9.1 y 9.2 c).

La compensación al procesador de datos se facturará por hora y se basará en las tarifas estándar vigentes del procesador de datos en el momento en que se preste la asistencia al controlador de datos. Sin embargo, no se facturará la asistencia que el procesador de datos deba prestar al controlador de datos cuando dicha asistencia sea consecuencia del incumplimiento de estas Cláusulas o del GDPR por parte del procesador de datos.

D.2 Responsabilidad

Las partes no serán responsables de las pérdidas indirectas derivadas del incumplimiento de estas Cláusulas, del GDPR o de otras disposiciones aplicables en materia de protección de datos. Se entenderá por pérdidas indirectas, entre otras, la pérdida de beneficios, pérdidas operativas, interrupciones de negocio, pérdidas de clientes, pérdida de reputación, etc. Esta limitación de responsabilidad no se aplicará si la conducta que dio lugar a la responsabilidad fue debida a negligencia grave o dolo por parte de la parte responsable.

El procesador de datos no será responsable de las pérdidas derivadas del uso indebido o inadecuado por parte del controlador de datos de la Plataforma proporcionada. En cualquier caso, la responsabilidad del procesador de datos no excederá el importe pagado por el controlador de datos al procesador de datos en virtud del Acuerdo de Servicios durante los 12 meses anteriores al hecho que dio lugar a la responsabilidad. Si los términos contractuales entre las partes no hubieran tenido una duración de 12 meses en el momento del hecho, la pérdida se calculará proporcionalmente.

En la medida en que las instrucciones de tratamiento dadas por el controlador de datos al procesador de datos sean ilícitas conforme a la legislación aplicable que afecte al controlador de datos o al procesador de datos, ello constituirá un incumplimiento imputable al controlador de datos. La limitación de responsabilidad establecida anteriormente no será aplicable, y el controlador de datos será plenamente responsable ante el procesador de datos de cualquier pérdida derivada de esta situación.

D.3 Jurisdicción y legislación aplicable

Estas Cláusulas se regirán por las leyes de Dinamarca.

Cualquier disputa que surja de o en relación con estas Cláusulas, incluyendo disputas relativas a su existencia, validez o terminación, será sometida a los tribunales de la Ciudad de Copenhague, salvo que las partes logren resolverla mediante una negociación de buena fe.