Acuerdo de Procesamiento de Datos

1. Definiciones

En este DPA, los siguientes términos tienen los significados establecidos a continuación. Los términos no definidos aquí tienen los significados dados en el RGPD o los Términos de servicio.

• "Responsable del tratamiento" se refiere al cliente suscrito a la plataforma BakeWind que determina los fines y medios del tratamiento de Datos Personales
• "Encargado del tratamiento" se refiere a Nicolás di Rago, operating as BakeWind, que trata Datos Personales en nombre del Responsable
• "Datos Personales" se refiere a cualquier información relativa a una persona física identificada o identificable tratada por el Encargado en nombre del Responsable a través del Servicio
• "Tratamiento" se refiere a cualquier operación realizada sobre Datos Personales, incluyendo recopilación, almacenamiento, modificación, consulta, uso, divulgación, supresión o destrucción
• "Interesado" se refiere a la persona física identificada o identificable a la que se refieren los Datos Personales
• "Subencargado" se refiere a cualquier tercero contratado por el Encargado para tratar Datos Personales en nombre del Responsable
• "Violación de Datos" se refiere a una violación de seguridad que ocasione la destrucción accidental o ilícita, pérdida, alteración, divulgación no autorizada o acceso a Datos Personales

2. Objeto y duración

Este DPA se aplica a todo el tratamiento de Datos Personales por parte del Encargado en nombre del Responsable en relación con la prestación de la plataforma de gestión de panadería BakeWind.

La duración de este DPA está vinculada a la suscripción del Responsable al Servicio. Este DPA permanecerá vigente mientras el Encargado trate Datos Personales en nombre del Responsable, incluyendo cualquier período de retención posterior a la terminación según lo especificado en los Términos de servicio.

3. Naturaleza y finalidad del tratamiento

El Encargado trata Datos Personales únicamente con el fin de proporcionar la plataforma de gestión de panadería BakeWind, incluyendo:

• Gestión de registros de clientes (nombres, información de contacto, direcciones de entrega, preferencias de pedido)
• Procesamiento y cumplimiento de pedidos de panadería, incluida la logística de entrega
• Gestión de registros de personal y empleados dentro de la organización del Responsable
• Generación de análisis empresariales e informes operativos
• Envío de comunicaciones transaccionales (confirmaciones de pedidos, notificaciones, alertas)
• Mantenimiento de la seguridad de cuentas y autenticación
• Prestación de servicios de atención al cliente

4. Tipos de Datos Personales

Las siguientes categorías de Datos Personales pueden ser tratadas en virtud de este DPA:

• Datos de identidad: nombres, direcciones de correo electrónico, números de teléfono
• Datos de contacto: direcciones postales, direcciones de entrega
• Datos de cuenta: credenciales de acceso (contraseñas cifradas con hash), preferencias de cuenta
• Datos de transacciones: historial de pedidos, referencias de pago, registros de entrega
• Datos laborales: nombres del personal, cargos, asignaciones de departamento, horarios de trabajo
• Datos de uso: marcas de tiempo de acceso, patrones de uso de funciones, información de sesión
• Datos técnicos: direcciones IP, tipo de navegador, información del dispositivo

5. Categorías de interesados

Los Datos Personales tratados en virtud de este DPA se refieren a las siguientes categorías de interesados:

• Clientes de la panadería del Responsable (personas que realizan pedidos)
• Empleados y personal del Responsable
• Contactos comerciales y proveedores del Responsable
• Usuarios de la cuenta BakeWind del Responsable (gerentes, administradores)

6. Obligaciones del Encargado

El Encargado se compromete a:

• Tratar Datos Personales únicamente siguiendo instrucciones documentadas del Responsable, salvo que lo exija la legislación de la UE o de un Estado miembro. Cuando el Encargado esté obligado por ley a tratar Datos Personales, informará al Responsable del requisito legal antes del tratamiento, salvo que la ley prohíba dicha notificación por motivos importantes de interés público.
• Garantizar que las personas autorizadas para tratar Datos Personales se hayan comprometido a la confidencialidad o estén sujetas a una obligación legal de confidencialidad adecuada
• Implementar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo, entre otras: cifrado de datos sensibles en reposo, cifrado TLS/HTTPS para datos en tránsito, hash de contraseñas robusto, control de acceso basado en roles y evaluaciones de seguridad periódicas. Las medidas técnicas vigentes se describen en el Acuerdo de Nivel de Servicio (Sección 6) y pueden actualizarse a medida que evolucione la tecnología, siempre que el nivel general de seguridad no se reduzca.
• No contratar a otro encargado (Subencargado) sin la autorización previa general por escrito del Responsable, sujeto al procedimiento de notificación y oposición de la Sección 7
• Asistir al Responsable en el cumplimiento de las obligaciones relativas a la seguridad del tratamiento, notificación de violaciones de datos, evaluaciones de impacto y consulta previa con autoridades de control
• A elección del Responsable, suprimir o devolver todos los Datos Personales tras finalizar la prestación del Servicio, y suprimir las copias existentes salvo que la legislación de la UE o de un Estado miembro exija su conservación
• Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de este DPA y permitir y contribuir a auditorías e inspecciones
• Mantener un registro de las actividades de tratamiento realizadas en nombre del Responsable de conformidad con el Art. 30(2) del RGPD

El Encargado informará inmediatamente al Responsable si, en su opinión, una instrucción del Responsable infringe el RGPD u otras disposiciones de protección de datos de la UE o de un Estado miembro.

7. Subencargados

El Responsable otorga una autorización general para que el Encargado contrate Subencargados. El Encargado utiliza actualmente los siguientes Subencargados:

• Hetzner Online GmbH (Falkenstein, Alemania) — Alojamiento de infraestructura y almacenamiento de datos
• Stripe, Inc. (Estados Unidos / UE) — Procesamiento de pagos y facturación de suscripciones
• Mailtrap / Railsware Products, Inc. (Estados Unidos) — Envío de correo electrónico transaccional

El Encargado notificará al Responsable por correo electrónico con al menos 30 días de antelación sobre cualquier incorporación o sustitución prevista de Subencargados. La notificación identificará al nuevo Subencargado, su ubicación y las actividades de tratamiento involucradas.

El Responsable podrá oponerse al nuevo Subencargado mediante notificación por escrito dentro de los 30 días siguientes a la recepción de la notificación. Si el Responsable se opone, el Encargado hará esfuerzos razonables para poner a disposición un Subencargado o configuración alternativa que evite el uso del Subencargado objetado. Si no existe una alternativa razonable, cualquiera de las partes podrá rescindir la parte afectada del Servicio mediante preaviso escrito de 30 días, sin penalización. Si el Responsable no se opone dentro del plazo de 30 días, se considerará que ha aceptado al nuevo Subencargado.

El Encargado impondrá a cualquier Subencargado las mismas obligaciones de protección de datos establecidas en este DPA mediante contrato escrito. Cuando un Subencargado no cumpla con sus obligaciones de protección de datos, el Encargado seguirá siendo plenamente responsable ante el Responsable del cumplimiento de las obligaciones de dicho Subencargado.

8. Transferencias internacionales de datos

El tratamiento principal de Datos Personales se realiza en servidores ubicados dentro de la Unión Europea (Hetzner, Falkenstein, Alemania).

Cuando se transfieran Datos Personales a Subencargados ubicados fuera del EEE, el Encargado garantiza que existen las salvaguardas adecuadas de conformidad con el Capítulo V del RGPD. Los mecanismos de transferencia específicos por Subencargado son:

• Hetzner Online GmbH — Sin transferencia internacional. Todos los datos permanecen dentro de la UE (Falkenstein, Alemania).
• Stripe, Inc. — Stripe está certificado bajo el Marco de Privacidad de Datos UE-EE. UU. (DPF). Las transferencias están adicionalmente cubiertas por Cláusulas Contractuales Tipo (CCT, Decisión de Ejecución 2021/914, Módulo 3: encargado a subencargado). Stripe procesa datos de pago tanto en instalaciones de la UE como de EE. UU.
• Mailtrap / Railsware Products, Inc. — Las transferencias están cubiertas por Cláusulas Contractuales Tipo (CCT, Módulo 3: encargado a subencargado). El contenido de correo electrónico transaccional (dirección de correo del destinatario, asunto, cuerpo) se transfiere a infraestructura en EE. UU. para su entrega.

El Encargado monitorea los desarrollos regulatorios respecto a las transferencias internacionales de datos e implementará medidas complementarias adicionales si así lo exigen las directrices de las autoridades de control o las decisiones judiciales.

9. Derechos de los interesados

El Encargado asistirá al Responsable en la respuesta a solicitudes de los interesados para ejercer sus derechos bajo el RGPD, incluyendo acceso, rectificación, supresión, limitación del tratamiento, portabilidad de datos y derecho de oposición.

Si el Encargado recibe una solicitud directamente de un interesado, la remitirá al Responsable sin demora y no responderá sin instrucciones previas por escrito del Responsable, salvo obligación legal.

10. Notificación de violaciones de datos

El Encargado notificará al Responsable sin dilación indebida, y en cualquier caso dentro de las 24 horas, tras tener conocimiento de una Violación de Datos que afecte a Datos Personales tratados en virtud de este DPA.

La notificación incluirá, en la medida de lo posible:

• Una descripción de la naturaleza de la Violación de Datos, incluyendo las categorías y el número aproximado de interesados y registros de Datos Personales afectados
• El nombre y los datos de contacto del responsable de protección de datos del Encargado
• Una descripción de las consecuencias probables de la Violación de Datos
• Una descripción de las medidas adoptadas o propuestas para remediar la Violación de Datos, incluyendo medidas para mitigar sus posibles efectos adversos

El Encargado cooperará con el Responsable y tomará medidas razonables para asistir en la investigación, mitigación y remediación de cualquier Violación de Datos.

11. Devolución y supresión de datos

Tras la terminación o expiración del contrato de servicio, el Encargado, a elección del Responsable:

• Devolverá todos los Datos Personales al Responsable en un formato estructurado, de uso común y lectura mecánica (JSON o CSV)
• Suprimirá todos los Datos Personales y certificará dicha supresión por escrito

El Responsable puede exportar Datos Personales a través del panel del Servicio en cualquier momento durante la suscripción y durante 30 días tras la terminación. Transcurrido el período de retención de 30 días, todos los Datos Personales serán eliminados permanentemente de los sistemas activos del Encargado dentro de 90 días. Los Datos Personales pueden persistir en respaldos cifrados hasta que estos se roten conforme al ciclo de retención estándar del Encargado (7 diarios, 4 semanales y 12 mensuales), hasta un máximo de 12 meses. Los respaldos están cifrados y con acceso restringido, y los datos contenidos en ellos no se procesan activamente.

El Encargado podrá conservar Datos Personales en la medida requerida por la legislación aplicable de la UE o de un Estado miembro, en cuyo caso garantizará la confidencialidad de dichos datos y los tratará únicamente para los fines requeridos por la ley.

12. Derechos de auditoría

El Responsable tiene derecho a auditar el cumplimiento de este DPA por parte del Encargado. El Encargado pondrá a disposición toda la información necesaria para demostrar el cumplimiento. Como primera opción, el Encargado podrá satisfacer las solicitudes de auditoría proporcionando una evaluación de seguridad independiente actualizada, un informe de certificación o un resumen de cumplimiento. Si dicha documentación resulta insuficiente para abordar las preocupaciones específicas del Responsable, el Responsable podrá solicitar una auditoría o inspección presencial realizada por el Responsable o un auditor independiente designado por el Responsable.

Las auditorías presenciales o remotas se limitan a una por período de doce meses, salvo que se haya producido una Violación de Datos o una autoridad de control solicite una auditoría. Cuando el Encargado opere de forma remota, las auditorías podrán realizarse mediante videoconferencia segura y pantalla compartida. Las auditorías se realizarán con preaviso razonable (al menos 30 días), durante el horario laboral normal y de manera que no interrumpa irrazonablemente las operaciones del Encargado. Los costes de la auditoría serán asumidos por el Responsable, salvo que la auditoría revele un incumplimiento material por parte del Encargado.

13. Modificaciones

El Encargado podrá actualizar este DPA para reflejar cambios en la legislación de protección de datos, directrices regulatorias o disposiciones relativas a Subencargados. Los cambios materiales se comunicarán al Responsable por correo electrónico con al menos 30 días de antelación antes de su entrada en vigor. Si el Responsable no está de acuerdo con los cambios propuestos, podrá rescindir el Servicio de conformidad con los Términos de servicio.

14. Ley aplicable y contacto

Este DPA se regirá por las leyes de la República Federal de Alemania. En caso de conflicto entre este DPA y los Términos de servicio, este DPA prevalecerá en lo que respecta a cuestiones de protección de datos.

Para consultas sobre este DPA, contacta con: