Skip to Content
Go back
BAS-IP / ANEXO DE PROCESAMIENTO DE DATOS

Última actualización: [10.12.2025]

Este Anexo de Procesamiento de Datos (en adelante ‘DPA‘) se firma entre usted (en adelante el ‘Cliente‘, ‘usted‘, ‘suyo‘) y BAS-IP DISTRIBUTION LTD (en adelante la ‘Empresa‘, ‘BAS-IP‘, ‘nosotros‘, ‘nosotros‘ o ‘nuestro‘), en adelante denominados individualmente como ‘Parte‘ o juntos como los ‘Fiestas. Esta DPA complementa los Términos y Condiciones (en adelante, el ‘Acuerdo‘), celebrados entre las Partes.

Este DPA regula el tratamiento de los datos personales que el Cliente proporciona a BAS-IP en relación con el uso de los productos y servicios de BAS-IP (en conjunto los ‘Servicios‘), así como cualquier dato personal que BAS-IP obtenga durante la realización de los Servicios para el Cliente.

Salvo que se defina lo contrario en esta DPA, todos los términos en mayúscula utilizados en esta DPA tendrán los significados establecidos en el Acuerdo. Esta DPA permanecerá en vigor hasta la finalización del Acuerdo entre usted y nosotros que regula su uso de los Servicios. En caso de cualquier conflicto entre esta DPA y el Acuerdo, prevalecerán las disposiciones de esta DPA respecto al tratamiento de datos personales.

1. Definiciones

A efectos de esta DPA, se aplicarán las siguientes definiciones:

«Datos del Cliente» significa cualquier dato personal que el Cliente suba, transmita o proporcione de otro modo a BAS-IP en relación con los Servicios, así como cualquier dato personal que BAS-IP procese durante la realización de los Servicios.

«Leyes de Protección de Datos» significa todas las leyes y regulaciones aplicables relacionadas con el tratamiento de Datos de Clientes, incluidas las de la Unión Europea, el Espacio Económico Europeo y sus Estados miembros, el Reino Unido, tales como:

  • el Reglamento General de Protección de Datos de la UE (GDPR de la UE);
  • el Reglamento General de Protección de Datos del Reino Unido (RGPD del Reino Unido);
  • la Ley de Protección de Datos de 2018;
  • la Ley de Uso y Acceso de Datos de 2025 (DUAA);
  • cualquier otra ley y reglamento aplicable de protección de datos, en la medida en que sea aplicable a las Partes y las actividades de tratamiento bajo esta DPAcualquier otra ley y reglamento aplicable.

«Mecanismo de Transferencia de Datos» significa cualquier mecanismo, instrumento o marco legalmente reconocido que permita la transferencia de Datos de Clientes de una jurisdicción a otra en cumplimiento con las Leyes de Protección de Datos aplicables, incluyendo, sin limitación, las Cláusulas Contractuales Estándar de la UE y el Anexo del Reino Unido.

SCCs de la UE» significa las Cláusulas Contractuales Estándar de la UE para la transferencia de Datos de Clientes a terceros conforme al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo aprobadas por la Decisión de Ejecución (UE) 2021/914 de la Comisión Europea de 4 de junio de 2021, tal como se establece en https://eurlex.europa.eu/eli/dec_impl/2021/914/oj.

«Reglamento General de Protección de Datos (RGPD)» significa el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 sobre la protección de las personas físicas en lo relativo al tratamiento de datos personales y la libre circulación de dichos datos, y que deroga la Directiva 95/46/CE.

«Transferencia Internacional de Datos» significa cualquier transferencia de Datos de Cliente desde un país en el que se recopilan los datos a un país fuera de esa jurisdicción, donde las Leyes de Protección de Datos aplicables requieren las salvaguardas adecuadas para dicha transferencia.

«Autoridad Pública» significa una agencia gubernamental o autoridad de aplicación de la ley, incluidas las autoridades judiciales.

«Datos sensibles de clientes» significa datos de clientes que revelan origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, membresía sindical, datos genéticos o biométricos con el propósito de identificar de forma única a una persona natural, datos sobre salud, vida sexual u orientación sexual de una persona, o datos relacionados con condenas y delitos penales.

«Servicios» significa los servicios que la Compañía presta al Cliente.

«Autoridad Supervisora» significa una autoridad pública independiente responsable de supervisar la aplicación de la legislación de protección de datos.

«Medidas de Seguridad Técnica y Organizacional» se refieren a las medidas destinadas a proteger los datos personales contra la destrucción no intencionada o la pérdida, alteración, divulgación o acceso no autorizado, especialmente cuando el procesamiento implica la transmisión de datos a través de una red, y contra todas las demás formas ilegales de tratamiento.

«RGPD del Reino Unido» significa la versión conservada del Reglamento General de Protección de Datos de la UE, tal como forma parte de la legislación del Reino Unido, junto con cualquier enmienda realizada por la Ley de Protección de Datos de 2018 y cualquier otra legislación aplicable del Reino Unido que regule el tratamiento de datos personales.

«Anexo del Reino Unido» significa Anexo de Transferencia Internacional de Datos a las Cláusulas Contractuales Estándar de la UE que ha sido emitido por el Comisario de Información para las Partes que realizan Transferencias Restringidas en el sentido de las Leyes de Protección de Datos del Reino Unido, tal como se establecen actualmente en https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf.

«Responsable«, «Procesador«, «Subprocesador«, «Persona Sujeta«, «Datos Personales» y «Trámite» tienen los significados dados en la Ley de Protección de Datos.

2. Roles y responsabilidades

Cuando BAS-IP procesa Datos de Cliente en su nombre en relación con Servicios, usted reconoce y acepta que, en relación con el tratamiento de Datos de Clientes, usted es un controlador o procesador, y nosotros somos un procesador o subprocesador (según lo definido por las Leyes de Protección de Datos) actuando en su nombre. Una descripción de dicho procesamiento se establece en el Anexo 1 de esta DPA. Esta DPA se aplicará en consecuencia a los roles establecidos y no a situaciones en las que actuemos como responsables de la Privacidad de BAS-IP.

Si el Cliente es un procesador, el Cliente garantiza a BAS-IP que las instrucciones y acciones del Cliente respecto a datos personales, incluyendo el nombramiento de BAS-IP como subprocesador y, cuando corresponda, concluir los SCCs de la UE o cualquier otro Adenda bajo la Sección 9 de esta DPA (incluyendo en medida que puedan ser modificados en la Sección 9 a continuación), han sido (y serán,  durante la vigencia de esta DPA, continúan estando) autorizadas por el responsable responsable del procedimiento correspondiente.

3.Instrucciones

Las Partes acuerdan que esta DPA y el Acuerdo aplicable constituyen las instrucciones completas y definitivas documentadas del Cliente respecto al tratamiento de los Datos del Cliente (en adelante, las ‘Instrucciones‘) cuando el Cliente actúa como controlador o procesador y BAS-IP actúa como procesador o subprocesador bajo las Leyes de Protección de Datos.

Cualquier instrucción adicional o alternativa debe ser acordada por escrito por las Partes y será coherente con esta DPA y el Acuerdo.

4. Descripción del procesamiento

El procesamiento de datos del cliente en nombre del cliente en relación con los servicios se describe en el Anexo 1 de esta DPA. Nos reservamos el derecho de actualizar la descripción del procesamiento de forma periódica para reflejar nuevas funcionalidades que forman parte de los Servicios.

5. Obligaciones del cliente

5.1. Obligaciones del controlador

Dentro del alcance de la DPA, cuando el Cliente actúa como responsable, será responsable de cumplir con todos los requisitos que se apliquen al Cliente como responsable responsable de la Ley de Protección de Datos.

Cuando actúes como controlador, debes:

(a) mantener la exactitud, calidad, confidencialidad y seguridad de los Datos del Cliente;

(b) cumplir y cumplir con sus obligaciones conforme a las Leyes de Protección de Datos, incluyendo en lo relativo a los derechos del sujeto de datos, la seguridad y la confidencialidad, y asegurarse de contar con una base legal adecuada para el tratamiento de datos personales;

(c) proporcionar a BAS-IP solo los datos del cliente que hayan sido obtenidos legalmente y asegurar que dichos datos sean adecuados, relevantes y proporcionados a los fines previstos;

(d) asegurar que sus Instrucciones a BAS-IP sobre el tratamiento de los Datos del Cliente cumplan con las Leyes de Protección de Datos, incluyendo los principios de minimización de datos, limitación de propósito y limitación de almacenamiento.

5.2. Obligaciones del procesador

Dentro del alcance de la DPA, cuando el Cliente actúa como procesador, será responsable de cumplir con todos los requisitos que se apliquen al Cliente como procesador bajo las Leyes de Protección de Datos.

Al actuar como Procesador, debes:

(a) proporcionar solo BAS-IP instrucciones de procesamiento que reflejen con precisión las instrucciones documentadas del controlador respectivo;

(b) proporcionar solo a BAS-IP los datos del cliente que hayan sido obtenidos legalmente del responsable correspondiente y que sean adecuados, relevantes y limitados a lo necesario para los fines permitidos;

(c) mantener la transparencia con el controlador respectivo respecto al compromiso de BAS-IP y cualquier subprocesador;

(d) cumplir con todas las obligaciones previstas en las Leyes de Protección de Datos aplicables en su calidad de procesador;

(e) asegurarse de que su personal o cualquier tercero que acceda a los Datos del Cliente cumpla con esta DPA y el Acuerdo.

6. Obligaciones BAS-IP

6.1. Obligaciones generales

Cuando BAS-IP actúa como procesador/subprocesador, debemos:

(a) procesar los datos del cliente según sus instrucciones y exclusivamente para los fines especificados;

(b) informarle si, según la opinión razonable de BAS-IP:

(i) tus Instrucciones violan o pueden violar las leyes de protección de datos aplicables; o

(ii) BAS-IP no puede cumplir con sus Instrucciones;

(c) implementar y mantener las medidas técnicas y organizativas adecuadas para garantizar la confidencialidad de los datos de los clientes;

(d) cumplir con todas las leyes de protección de datos aplicables, incluidas las obligaciones relativas a los derechos del sujeto de datos, la seguridad de los datos y la confidencialidad;

(e) asegurar, mediante contratos escritos u otros medios legalmente vinculantes, que cualquier subprocesador encargado de procesar los Datos del Cliente en nombre de BAS-IP esté sujeto a obligaciones equivalentes de protección de datos establecidas en esta DPA y el Acuerdo;

(f) mantener registros precisos de todas las actividades de procesamiento realizadas en su nombre bajo esta DPA y proporcionarle dichos registros a petición;

(g) notificarle sin demora injustificada si BAS-IP toma conocimiento de que cualquier Datos del Cliente proporcionados por usted es inexacto, incompleto o desactualizado;

(g) aplicar salvaguardas o restricciones apropiadas y necesarias al tratar Datos Sensibles de Clientes, tal y como lo exigen las Leyes de Protección de Datos o las Instrucciones;

(h) proporcionarle toda la información razonablemente necesaria para demostrar el cumplimiento de BAS-IP con sus obligaciones conforme a las Leyes de Protección de Datos aplicables.

6.2. Avisos a un cliente

Al enterarnos, le informaremos de cualquier solicitud legalmente vinculante de divulgación de datos de clientes por parte de una Autoridad Pública, salvo que la ley nos prohíba informar al Cliente, por ejemplo, para preservar la confidencialidad de una investigación realizada por una Autoridad Pública. Le informaremos si BAS-IP toma conocimiento de algún aviso, consulta o investigación por parte de una Autoridad Supervisora respecto al tratamiento de Datos de Clientes bajo esta DPA realizado entre usted y nosotros.

6.3. Confidencialidad

No accederemos ni utilizaremos ni divulgaremos a ningún tercero ningún Datos del Cliente, excepto, en cada caso, cuando sea necesario para mantener o proporcionar los Servicios o para cumplir con obligaciones contractuales y legales o una orden vinculante de un organismo público (como una citación judicial u orden judicial).

Nos aseguraremos de que cualquier empleado/contratista al que autoricemos para acceder a los Datos de los Clientes en nuestro nombre esté sujeto a las obligaciones de confidencialidad, contractuales o obligaciones legales correspondientes respecto a los Datos del Cliente.

6.4. Medidas de seguridad

Implementaremos y mantendremos las medidas técnicas y organizativas adecuadas para proteger los Datos de los Clientes frente a cualquier brecha de datos, como destrucción, pérdida, alteración, divulgación no autorizada o acceso no autorizado a los Datos de los Clientes transmitidos, almacenados o procesados de otro modo (en adelante, los ‘Incidentes de Seguridad‘) de acuerdo con nuestros estándares de seguridad establecidos en el Anexo 2 de esta DPA.

Reconoce que las medidas de seguridad están sujetas a un progreso técnico, por lo que podamos modificar o actualizar el Anexo 2 de esta DPA a nuestra exclusiva discreción, siempre que dicha modificación o actualización no suponga una degradación sustancial de las medidas de seguridad ofrecidas por el Anexo 2 de esta DPA.

6.5. Incidente de seguridad

Al enterarnos de un incidente de seguridad, debemos:

  • notificarle sin demora indebida una vez que tengamos conocimiento del Incidente de Seguridad;
  • proporcionar información oportuna relacionada con el Incidente de Seguridad (el tipo de datos personales, las categorías y el número potencial de personas o registros afectados) según se conozca o según sea razonablemente solicitado por usted; y
  • Toma medidas razonables para contener e investigar cualquier Incidente de Seguridad para que puedas notificar a las autoridades competentes y/o a los Sujetos de Datos afectados sobre el Incidente de Seguridad.

Nuestra notificación o respuesta a un Incidente de Seguridad no se interpretará como un reconocimiento por nuestra parte de ninguna culpa o responsabilidad relacionada con el Incidente de Seguridad.

6.6. Devolución o eliminación de datos del cliente

Al finalizar o expirar el Acuerdo concluido entre tú y nosotros, eliminaremos o devolveremos todos los datos de los clientes en nuestra posesión o control. Este requisito no se aplicará en la medida en que la ley aplicable o las obligaciones contractuales correspondientes nos exijan conservar algunos o todos los datos del cliente.

6.7. Asistencia razonable

Aceptamos proporcionar una asistencia razonable al cliente en lo relativo:

(a) cualquier solicitud de un persona interesada en relación con el acceso o la rectificación, borrado, restricción, portabilidad, bloqueo o eliminación de los datos del cliente que procesemos en nombre del cliente. En caso de que un persona envie dicha solicitud directamente a nosotros, se aplicará la Sección 7 de esta DPA;

(b) la investigación del Incidente de Seguridad y la comunicación de las notificaciones necesarias sobre dichos Incidentes de Seguridad, sujeta a la Sección 6.5 de esta Ley de Seguridad;

(c) la preparación de evaluaciones de impacto en protección de datos (las ‘DPIA‘) y, cuando sea necesario, la consulta del Cliente con la Autoridad Supervisora conforme a los artículos 35 y 36 del RGPD.

6.8 Auditoría y certificación

6.8.1 Auditoría de la Autoridad de Supervisión

Si una Autoridad Supervisora requiere una auditoría de nuestras instalaciones de procesamiento de datos que usamos para procesar los datos del cliente y así determinar o supervisar el cumplimiento del cliente con las Leyes de Protección de Datos, cooperaremos con la auditoría. El Cliente es responsable de todos los costes y honorarios relacionados con dicha auditoría, incluyendo todos los costes y tarifas razonables por cualquier tiempo que dediquemos a dicha auditoría, además de las tarifas por los servicios prestados por nosotros.

6.8.2 Auditorías

El Cliente podrá, antes del inicio del procesamiento y a intervalos regulares posteriormente, auditar las medidas técnicas y organizativas que adoptemos. Si el Cliente es el responsable responsable de los datos personales tratados por nosotros en su nombre, bajo un acuerdo razonable y oportuno y previo, durante el horario laboral habitual y sin interrupción de nuestras operaciones comerciales, podremos proporcionar al Cliente toda la información necesaria para demostrar el cumplimiento de sus obligaciones establecidas en el Artículo 28 del RGPD y permitir y contribuir a auditorías,  incluyendo inspecciones, realizadas por el Cliente u otro auditor encargado por el Cliente respecto a dicho procesamiento.

A petición por escrito del Cliente y dentro de un plazo razonable, proporcionaremos al Cliente toda la información necesaria para dicha auditoría, en la medida en que dicha información esté bajo nuestro control y no estemos impedidos de divulgarla por la ley aplicable, un deber de confidencialidad o cualquier otra obligación que deba a un tercero.

7. Solicitudes de sujetos de datos

En caso de que un sujeto de datos se ponga en contacto con nosotros respecto al ejercicio de sus derechos bajo las Leyes de Protección de Datos (en particular, solicitudes de acceso, rectificación o eliminación de los datos del cliente), haremos todo lo razonable posible para reenviarle dichas solicitudes. Si estamos legalmente obligados a responder a dicha solicitud, le notificaremos inmediatamente y le proporcionaremos una copia de la misma solicitud, salvo que se nos esté prohibido hacerlo por la ley.

8. Subprocesadores

BAS-IP cuenta con la autorización general por escrito del Cliente para el compromiso de subprocesadores de una lista acordada. BAS-IP acepta informar al Cliente de cualquier cambio previsto en esa lista relativo a la adición o sustitución de subprocesadores al menos 10 días antes del compromiso del subprocesador en cuestión, dando así al Cliente la oportunidad de objetar dichos cambios. BAS-IP proporcionará al Cliente la información necesaria para que el Cliente pueda ejercer el derecho a oponerse.

Si se aplica la Sección 9 de esta DPA, el procedimiento para contratar subprocesadores estará regulado por las disposiciones pertinentes de la Sección 9 de esta DPA. En tal caso, prevalecerán las disposiciones del artículo 9.

La lista acordada de subprocesadores se establece en el Anexo 3 de esta DPA.

9. Transferencias de datos de clientes

9.1. General

Reconoces y aceptas que el uso de los servicios BAS-IP puede implicar transferir los datos del cliente a otras jurisdicciones, en cumplimiento con las leyes aplicables de protección de datos.

Cuando dichas transferencias requieran salvaguardas adecuadas, se utilizarán los Mecanismos de Transferencia de Datos aplicables, como los SCC de la UE y el Anexo del Reino Unido. Estos Mecanismos de Transferencia de Datos están incorporados y forman parte integral de esta DPA, como se describe más en la Sección 9.2. y 9,3.

En caso de cualquier conflicto entre las disposiciones de esta DPA y los Mecanismos de Transferencia de Datos aplicables, prevalecerán únicamente las disposiciones del Mecanismo de Transferencia de Datos correspondiente en la medida de dicho conflicto.

9.2. Transferencias bajo el RGPD

Cuando el tratamiento de Datos de Clientes en su nombre en relación con los Servicios constituye una «transferencia» bajo el RGPD, se aplicarán las Cláusulas Contractuales Estándar.

Cuando usted es controlador y nosotros somos procesadores, se aplicará el Módulo Dos de los SCC de la UE, y cuando usted sea procesador y nosotros un subprocesador, se aplicará el Módulo Tres de los SCC de la UE.

Para los fines de los SCC de la UE, BAS-IP es un «Importador de Datos» y tú eres un «Exportador de Datos».

Las disposiciones relevantes contenidas en los SCC de la UE se incorporan por referencia y forman parte integral de este DPA. Las cláusulas y anexos de los SCC de la UE se consideran completados de la siguiente manera:

(i) en la Cláusula 7, la cláusula opcional de acoplamiento no se aplicará;

(ii) en la Cláusula 9, se aplicará la Opción 2 (Autorización general por escrito). A efectos de la Cláusula 9(a), el plazo para informar al Exportador de Datos será de 10 días;

(iii) en la Cláusula 11, la disposición opcional no se aplica;

(iv) en la Cláusula 13, se aplicará una opción particular según el caso concreto;

(v) en la Cláusula 17, se aplicará la Opción 1. Los SCC de la UE estarán regidos por la ley de la República Federal de Alemania;

(vi) en la Cláusula 18(b), las disputas serán resueltas por los tribunales de la República Federal de Alemania;

(vii) El Anexo I de los SCC de la UE se considera completado con la información recogida en el Anexo 1 de este DPA;

(viii) El Anexo II de los SCC de la UE se considera completado con la información recogida en el Anexo 2 de este DPA.

9.3. Transferencias bajo el Marco de Protección de Datos del Reino Unido

Cuando el tratamiento de Datos de Clientes en tu nombre en relación con los Servicios constituye una «transferencia restringida» según las Leyes de Protección de Datos del Reino Unido, se aplicará el Anexo del Reino Unido.

Cuando usted es controlador y BAS-IP es procesador, se aplicará el Módulo Dos de los SCC de la UE, y cuando usted sea procesador, y nosotros un subprocesador, se aplicará el Módulo Tres de los SCC de la UE, tal como se completa en el apartado 9.2. de este DPA.

A efectos del Anexo del Reino Unido, BAS-IP es un «Importador» y tú eres un «Exportador».

Las disposiciones relevantes contenidas en el Anexo del Reino Unido se incorporan por referencia y forman parte integral de esta DPA. Las tablas del Anexo del Reino Unido se consideran completadas de la siguiente manera:

(i) La Tabla 1 de la Parte 1 se considera completada con la información establecida en el Anexo 1 de este DPA, y el número oficial de registro del Importador es 328138502, y el número oficial de registro del Exportador está contenido en la cuenta del Cliente, si lo hay;

(ii) La Tabla 2 de la Parte 1 se considera completada en consecuencia con la información establecida en el apartado 9.2. de este DPA;

(iii) Se considera que la Tabla 3 de la Parte 1 está completada con la información establecida en los Anexos 1, 2 y 3 de esta DPA;

(iv) en la Tabla 4 de la Parte 1, ninguna de las partes podrá finalizar este Anexo tal como se establece en la Sección 19 del Anexo del Reino Unido.

ANEXO 1 – DESCRIPCIÓN DEL PROCESAMIENTO

LISTA DE PARTIDOS

Cliente (exportador de datos)

Nombre: Tú, ‘Cliente’

Dirección: la información relevante está contenida en la cuenta del cliente.

Nombre, posición y datos de contacto de la persona de contacto: la información relevante está contenida en la cuenta del cliente.

Actividades relevantes para los datos transferidos bajo estas Cláusulas: prestación de los Servicios.

Firma y fecha: las Partes acuerdan que la ejecución del Acuerdo por parte del Exportador de Datos constituirá la ejecución de este DPA tanto por parte del Importador de Datos como del Exportador de Datos. La fecha de registro de la cuenta en la Plataforma se considerará la fecha de emisión de este DPA.

Rol: controlador o procesador

BAS-IP DISTRIBUTION LTD (Importador de datos)

Nombre: BAS-IP DISTRIBUTION LTD

Dirección: Crown House 27 Old Gloucester Street, Londres, Inglaterra

Nombre, puesto y datos de contacto de la persona de contacto: [por favor, inserte nombre, puesto y datos de contacto, por ejemplo, correo electrónico]

Actividades relevantes para los datos transferidos bajo estas Cláusulas: prestación de los Servicios.

Firma y fecha: las Partes acuerdan que la ejecución del Acuerdo por parte del Exportador de Datos constituirá la ejecución de este DPA tanto por parte del Importador de Datos como del Exportador de Datos. La fecha de registro de la cuenta en la Plataforma se considerará la fecha de emisión de este DPA.

Rol: procesador o subprocesador

DESCRIPCIÓN DE LA TRANSFERENCIA

1. Categorías de sujetos cuyos datos personales son transferidos:

  • Clientes del cliente;
  • otros sujetos cuyos datos personales se transfieren durante los servicios que la Compañía presta al Cliente.

2. Categorías de datos personales transferidos:

  • datos personales relacionados con los clientes del cliente;
  • otros datos personales que puedan ser transferidos durante los servicios que la Compañía presta al Cliente.
  • Datos sensibles transferidos (si proceden) y aplicados restricciones o salvaguardas que tengan plenamente en cuenta la naturaleza de los datos y los riesgos implicados:

El Importador de Datos solo puede acceder a datos sensibles cuando dichos datos sean proporcionados por el Cliente y únicamente en la medida necesaria para el desempeño de los Servicios. En tales casos, el Importador de Datos implementa las medidas técnicas y organizativas establecidas en el Anexo 2, junto con cualquier otra salvaguardia o restricción adecuada y necesaria, teniendo en cuenta la naturaleza de los datos sensibles y los riesgos asociados a su tratamiento, en cumplimiento de las leyes y normativas aplicables.

  • La frecuencia de la transferencia:

Los datos personales se transfieren de forma continua.

  • Naturaleza del procesamiento:

El tratamiento de datos personales consiste en lo siguiente: recogida, registro, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, alineación o combinación, restricción, borrado o destrucción.

  • Propósito(s) de la transferencia de datos y procesamiento posterior:

El propósito del procesamiento de datos bajo estas Cláusulas es la prestación de servicios para el Exportador de Datos por parte del Importador de Datos bajo el Acuerdo celebrado entre el Importador y el Exportador de Datos.

  • El periodo durante el cual se conservarán los datos personales o, si no es posible, el criterio utilizado para determinar ese periodo:

Los datos personales se almacenarán durante la duración de este acuerdo de datos acordados entre el Importador y el Exportador de Datos, salvo que se acorde lo contrario por escrito o que la ley aplicable obligue al Importador de Datos a conservar parte o la totalidad de los datos personales transferidos.

  • Para transferencias a (sub)procesadores, también especifique el asunto, la naturaleza y la duración del procesamiento:

Tema: La prestación de servicios

Naturaleza: Colección, registro, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, alineación o combinación, restricción, borrado o destrucción.

duración: la prestación de los servicios para el Importador de Datos por parte del (sub)procesador bajo el acuerdo de servicio celebrado entre el Importador de Datos y el (sub)procesador.

AUTORIDAD SUPERVISORA COMPETENTE

De acuerdo con la Cláusula 13, la autoridad supervisora competente bajo estas Cláusulas se determina en función de la versión de la Cláusula 13(a) aplicable al Exportador de Datos.

ANEXO 2 – MEDIDAS TÉCNICAS Y ORGANIZATIVAS

MEDIDAS TÉCNICAS Y ORGANIZATIVAS, INCLUYENDO MEDIDAS TÉCNICAS Y ORGANIZATIVAS PARA GARANTIZAR LA SEGURIDAD DE LOS DATOS

Descripción de las medidas técnicas y organizativas implementadas por el(los) Importador(es) de datos para garantizar un nivel adecuado de seguridad, teniendo en cuenta la naturaleza, alcance, contexto y propósito del tratamiento y los riesgos para los derechos y libertades de las personas naturales:

  • Data Importer está comprometido a preservar la confidencialidad, integridad, disponibilidad y resiliencia de todos los datos personales en cuestión a lo largo de sus actividades de procesamiento y a garantizar que los datos personales estén protegidos contra pérdidas y destrucciones mediante la implementación de políticas, procedimientos internos de seguridad de la información y otras medidas apropiadas.
  • Data Importer concede acceso a datos personales estrictamente en función de la necesidad de saber, y dichos datos solo son accesibles para personal autorizado.
  • Data Importer ha implementado listas de control de acceso basadas en roles y de control de acceso para imponer una estricta separación de los derechos de acceso de los usuarios.
  • Los procedimientos de seguridad de la información de Data Importer están sujetos a revisiones periódicas.
  • Data Importer utiliza proveedores de servicios fiables y supervisa las medidas técnicas y organizativas que tienen implementadas para garantizar que los datos personales estén protegidos en todo momento.
  • Data Importer ha implementado medidas diseñadas para proteger la confidencialidad e integridad de los datos personales durante las transferencias de datos.
  • Data Importer ha implementado medidas técnicas y organizativas diseñadas para contener incidentes de seguridad y prevenir más pérdidas y daños de datos.

ANEXO 3 – SUBPROCESADORES

El controlador ha autorizado el uso de los siguientes subprocesadores:

Subprocesador 1

Nombre: Hetzner Online GmbH / Hetzner Finlandia Oy

Dirección: Industriestr. 25, 91710 Gunzenhausen, Alemania / Huurrekuja 10, 04360 Tuusula (Helsinki / Tuusula), Finlandia

Nombre, puesto y datos de contacto de la persona de contacto: [email protected] 

Descripción del procesamiento: alojamiento de los datos en los servidores de Hetzner Online GmbH / Hetzner Finlandia Oy

Subprocesador 2

Nombre: DigitalOcean, LLC

Dirección: 105 Edgeview Drive, Ste. 425, Broomfield, CO 80021, Estados Unidos

Nombre, puesto y datos de contacto de la persona de contacto: [email protected] 

Descripción del procesamiento: alojamiento de los datos en los servidores de DigitalOcean, LLC