Acuerdo de Tratamiento de Datos

1. Definiciones

• «Datos personales» significa cualquier información relativa a una persona física identificada o identificable («Interesado»), tal y como se define en el artículo 4(1) del GDPR.
• «Tratamiento» significa cualquier operación o conjunto de operaciones realizadas sobre datos personales, ya sea por medios automatizados o no, incluida la recogida, registro, organización, estructuración, conservación, adaptación, recuperación, consulta, uso, comunicación por transmisión, difusión, supresión o destrucción.
• «Subencargado» significa cualquier tercero contratado por el Encargado para tratar datos personales en nombre del Responsable.
• «Interesado» significa la persona física identificada o identificable a la que se refieren los datos personales.
• «GDPR» significa el Reglamento General de Protección de Datos (UE) 2016/679 del Parlamento Europeo y del Consejo.
• «Cláusulas Contractuales Tipo» (CCT) significa las cláusulas contractuales aprobadas por la Comisión Europea para la transferencia de datos personales a terceros países.

2. Alcance y finalidad

El Encargado trata los datos personales en nombre del Responsable únicamente para los siguientes fines:

• Proporcionar el servicio INCI API, incluyendo el análisis de ingredientes, la búsqueda de productos, la puntuación de seguridad, la detección de alérgenos y el análisis de compatibilidad cutánea
• Gestión de cuenta, autenticación y autorización
• Seguimiento del uso, limitación de tasa y facturación
• Mejora del servicio, monitorización del rendimiento y analítica
• Atención al cliente y comunicación

El Encargado no tratará datos personales con un fin distinto a los especificados en este DPA o documentados por escrito por el Responsable.

3. Tipos de datos personales tratados

• Datos de cuenta: nombre, dirección de correo electrónico, contraseña con hash
• Datos de uso de la API: registros de solicitudes, marcas de tiempo, direcciones IP, endpoints accedidos, códigos de respuesta, identificadores de claves de API
• Datos de facturación: nivel de suscripción, metadatos del método de pago (los datos de pago completos son tratados exclusivamente por Stripe y nunca se almacenan en nuestros servidores)
• Datos técnicos: tipo de navegador, información del dispositivo, sistema operativo, URL de referencia (recopilados a través de analítica para la mejora del servicio)

El Encargado no trata categorías especiales de datos personales (artículo 9 del GDPR) ni datos personales relativos a condenas penales (artículo 10 del GDPR).

4. Categorías de interesados

Los datos personales tratados en virtud de este DPA se refieren a las siguientes categorías de interesados:

• Empleados y contratistas del Cliente que acceden y utilizan INCI API
• Usuarios finales de las aplicaciones del Cliente que se integran con INCI API (en la medida en que sus datos se transmitan a través de solicitudes a la API)

5. Obligaciones del Encargado

El Encargado deberá:

1. Tratar los datos personales únicamente siguiendo instrucciones documentadas del Responsable, incluso en lo que respecta a las transferencias de datos personales a un tercer país, salvo que esté obligado a hacerlo por la legislación de la Unión o de un Estado miembro a la que esté sujeto el Encargado
2. Garantizar que las personas autorizadas a tratar los datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación legal de confidencialidad apropiada
3. Implementar las medidas técnicas y organizativas de seguridad apropiadas, conforme al artículo 32 del GDPR, para garantizar un nivel de seguridad adecuado al riesgo
4. No contratar a otro encargado (subencargado) sin la autorización previa, específica o general, por escrito del Responsable. En el caso de la autorización general por escrito, el Encargado informará al Responsable de cualquier cambio previsto en relación con la incorporación o sustitución de subencargados, dando al Responsable la oportunidad de oponerse
5. Teniendo en cuenta la naturaleza del tratamiento, asistir al Responsable mediante medidas técnicas y organizativas apropiadas, en la medida de lo posible, para el cumplimiento de la obligación del Responsable de responder a las solicitudes de ejercicio de los derechos del Interesado
6. Asistir al Responsable en el cumplimiento de las obligaciones establecidas en los artículos 32 a 36 del GDPR, teniendo en cuenta la naturaleza del tratamiento y la información de la que disponga el Encargado
7. A elección del Responsable, suprimir o devolver todos los datos personales al Responsable tras la finalización de la prestación de los servicios, y suprimir las copias existentes salvo que la legislación de la Unión o de un Estado miembro exija la conservación de los datos personales
8. Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el artículo 28 del GDPR y permitir y contribuir a la realización de auditorías, incluidas las inspecciones, llevadas a cabo por el Responsable o por otro auditor autorizado por el Responsable

6. Medidas de seguridad

El Encargado implementa las siguientes medidas técnicas y organizativas para proteger los datos personales conforme al artículo 32 del GDPR:

• Cifrado en tránsito: Todos los datos transmitidos entre clientes y servidores se cifran utilizando TLS 1.2 o superior (HTTPS)
• Cifrado en reposo: El almacenamiento de la base de datos utiliza el cifrado en reposo de MongoDB para todos los datos personales almacenados
• Controles de acceso: Autenticación mediante tokens JWT y claves de API; controles de acceso basados en roles; principio de mínimo privilegio
• Seguridad de contraseñas: Las contraseñas de los usuarios se almacenan utilizando hash bcrypt con factores de coste apropiados; las claves de API se almacenan como hashes seguros
• Seguridad de la infraestructura: Infraestructura con cortafuegos (UFW con puertos restringidos), actualizaciones de seguridad y parches periódicos
• Ubicación del servidor: Infraestructura DigitalOcean (actualmente en EE. UU.; migración a un centro de datos UE/EEE prevista)
• Datos de pago: Sin almacenamiento de datos de tarjeta de pago en nuestros servidores. Todo el procesamiento de pagos lo gestiona Stripe, que mantiene la conformidad PCI DSS Nivel 1
• Monitorización: Monitorización, registro y alertas automatizados para eventos de seguridad y anomalías

7. Subencargados

El Responsable concede al Encargado la autorización general para contratar a los siguientes subencargados. El Encargado notificará al Responsable cualquier cambio previsto en relación con la incorporación o sustitución de subencargados con un preaviso por escrito de al menos 30 días, dando así al Responsable la oportunidad de oponerse a tales cambios.

Si el Responsable se opone a un nuevo subencargado por motivos razonables relacionados con la protección de datos, las partes discutirán el asunto de buena fe. Si no se alcanza una solución en un plazo de 30 días, el Responsable podrá rescindir los servicios afectados sin penalización.

8. Transferencias de datos

Los datos personales pueden ser transferidos y tratados en países fuera de la Unión Europea y del Espacio Económico Europeo. Cuando se produzcan tales transferencias, el Encargado garantiza que existan las salvaguardas apropiadas conforme al Capítulo V del GDPR, incluyendo:

• Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea (Decisión de Ejecución (UE) 2021/914)
• Decisiones de adecuación de la Comisión Europea cuando proceda
• Medidas técnicas y organizativas adicionales para complementar los mecanismos de transferencia cuando sea necesario, conforme a la sentencia Schrems II (Asunto C-311/18)

9. Notificación de violaciones de datos

El Encargado notificará al Responsable sin demora indebida y, en cualquier caso, en un plazo de 72 horas tras tener conocimiento de una violación de datos personales según se define en el artículo 4(12) del GDPR. La notificación incluirá:

• Una descripción de la naturaleza de la violación de datos personales, incluidas las categorías y el número aproximado de interesados y registros afectados
• El nombre y los datos de contacto del responsable de protección de datos del que pueda obtenerse más información
• Una descripción de las posibles consecuencias de la violación
• Una descripción de las medidas adoptadas o propuestas para abordar la violación, incluidas las medidas para mitigar sus posibles efectos adversos

El Encargado cooperará con el Responsable y adoptará medidas comerciales razonables para colaborar en la investigación, mitigación y remediación de cada una de dichas violaciones.

10. Derechos de los interesados

El Encargado asistirá al Responsable en el cumplimiento de sus obligaciones para responder a las solicitudes de los Interesados que ejerzan sus derechos en virtud del Capítulo III del GDPR, incluyendo:

• Derecho de acceso (artículo 15)
• Derecho de rectificación (artículo 16)
• Derecho de supresión / derecho al olvido (artículo 17)
• Derecho a la limitación del tratamiento (artículo 18)
• Derecho a la portabilidad de los datos (artículo 20)
• Derecho de oposición (artículo 21)

Si el Encargado recibe una solicitud directamente de un Interesado, lo notificará sin demora al Responsable y no responderá a la solicitud sin la autorización previa por escrito del Responsable, salvo que esté legalmente obligado a hacerlo.

11. Derechos de auditoría

El Responsable podrá auditar el cumplimiento del Encargado con este DPA. Las auditorías estarán sujetas a las siguientes condiciones:

• El Responsable proporcionará un preaviso por escrito de al menos 30 días
• Las auditorías se realizarán como máximo una vez por año natural, salvo que sean exigidas por una autoridad de control o tras una violación de datos personales
• Las auditorías se realizarán durante el horario laboral normal y no interferirán de forma irrazonable en las operaciones del Encargado
• El Responsable asumirá los costes de la auditoría, salvo que la auditoría revele un incumplimiento material por parte del Encargado
• El Responsable podrá contratar a un auditor independiente cualificado, sujeto a obligaciones razonables de confidencialidad

12. Vigencia y terminación

Este DPA permanecerá en vigor durante la vigencia del acuerdo de servicio entre las partes. Tras la terminación del acuerdo de servicio:

• El Encargado, a elección del Responsable, suprimirá o devolverá todos los datos personales en un plazo de 30 días desde la fecha de terminación
• El Encargado suprimirá las copias existentes de datos personales, salvo que la legislación de la Unión o de un Estado miembro exija su conservación (por ejemplo, registros fiscales y financieros conforme a la legislación española)
• El Encargado proporcionará una certificación por escrito de la supresión a petición del Responsable

13. Ley aplicable

Este DPA se regirá e interpretará conforme a las leyes del Reino de España, sin tener en cuenta sus disposiciones sobre conflicto de leyes. El GDPR se aplicará a todos los asuntos relacionados con el tratamiento de datos personales. Cualquier disputa que surja en virtud de este DPA estará sujeta a la jurisdicción exclusiva de los tribunales de las Islas Canarias, España (Santa Cruz de Tenerife).

14. Contacto

Para preguntas, inquietudes o solicitudes relacionadas con este Acuerdo de Tratamiento de Datos, contáctenos: