Peaceful workflow.
Joyful teams
Joyful teams
Fecha de entrada en vigor: 01/01/2025
Objeto
El presente Anexo de Tratamiento de Datos, incluyendo sus Anexos (“DPA”), es celebrado entre Zapp y el Cliente (cada una, una “Parte” y conjuntamente, las “Partes”).
El DPA forma parte integrante del Contrato Principal de Servicios u otro contrato escrito o condiciones generales electrónicas (“Contrato”) entre las Partes.
Salvo modificación expresa por escrito por parte de Zapp, el DPA entrará en vigor en la fecha más temprana entre:
(i) el primer acceso del Cliente a cualquier Servicio a través de un proceso de registro, pedido o provisión en línea; o
(ii) la fecha de vigencia del primer Formulario de Pedido de Servicio aplicable (la “Fecha de entrada en vigor”).
Las obligaciones aquí establecidas solo serán aplicables en la medida en que:
(i) los datos personales estén sujetos a las Leyes de Protección de Datos Aplicables; y
(ii) dichas leyes estén en vigor.
Modificaciones
Zapp podrá modificar este DPA de vez en cuando. Salvo que se indique lo contrario, dichas modificaciones entrarán en vigor para el Cliente al renovar el periodo de suscripción vigente o al firmar un nuevo Formulario de Pedido de Servicio que haga referencia al DPA actualizado.
Zapp hará esfuerzos razonables para notificar al Cliente sobre cualquier cambio a través de la Cuenta del Cliente, correo electrónico u otros medios adecuados.
Aceptación
Al aceptar este DPA o utilizar el Servicio, usted confirma que ha leído, comprendido y aceptado los términos del DPA en nombre del Cliente, y declara que tiene la autoridad legal para vincular al Cliente a dichos términos.
Relación con el Contrato
Salvo que se defina de otro modo en este DPA o en el Contrato, todos los términos en mayúscula tendrán los significados establecidos en la cláusula 10.
En caso de conflicto entre este DPA y el Contrato, el DPA prevalecerá en la medida del conflicto.
En caso de que las Partes utilicen un mecanismo internacional de transferencia de datos, cualquier conflicto entre dicho mecanismo y este DPA se resolverá en favor del mecanismo.
2. Procesamiento de datos
a. Ámbito y roles
Este DPA se aplica a cualquier procesamiento de datos personales realizado por Zapp.
La sección 5 se aplica cuando Zapp actúa como Procesador en nombre del Cliente, que actúa como Responsable del Tratamiento.
La sección 6 se aplica cuando Zapp procesa ciertos datos personales del Cliente o sus usuarios como Responsable independiente, conforme a su política de privacidad disponible en Política de privacidad.
b. Detalles del procesamiento
El Anexo 1 de este DPA establece:
(i) los fines del procesamiento por parte de Zapp, las categorías de datos personales implicadas y las categorías de interesados afectadas; y
(ii) los roles de las Partes bajo las Leyes de Protección de Datos Aplicables.
c. Lugar del procesamiento
Los datos personales procesados por Zapp como Procesador pueden almacenarse dentro o fuera de la Unión Europea, según el producto o servicio utilizado.
Los datos personales procesados por Zapp como Responsable pueden también almacenarse o procesarse dentro o fuera de la Unión Europea.
d. Transferencias internacionales de datos
i. Cuando las Leyes de Protección de Datos Aplicables lo requieran, las Partes acuerdan implementar un mecanismo válido de transferencia internacional de datos (“Mecanismo de Transferencia Internacional”) cuando se transfieran datos personales a una jurisdicción que no proporcione un nivel adecuado de protección.
ii. Si el Mecanismo de Transferencia Internacional utilizado por las Partes es invalidado o sustituido, las Partes cooperarán de buena fe para implementar una solución alternativa adecuada.
iii. El Anexo 4 establece:
(i) obligaciones específicas por jurisdicción; y
(ii) información relativa a transferencias internacionales, incluyendo las Cláusulas Contractuales Tipo.
e. Cumplimiento legal
Cada Parte cumplirá con sus respectivas obligaciones bajo las Leyes de Protección de Datos Aplicables.
f. Notificación de incumplimiento
Zapp notificará al Cliente sin demora indebida si determina que no puede cumplir con sus obligaciones legales aplicables.
3. Obligaciones de Zapp como Procesador
a. Ámbito del procesamiento
Zapp procesará los datos personales únicamente para cumplir con sus obligaciones en virtud del Contrato y conforme a las instrucciones documentadas del Cliente.
b. Instrucciones de procesamiento
i. Este DPA constituye las instrucciones iniciales del Cliente a Zapp.
El Cliente podrá modificar estas instrucciones por escrito en cualquier momento. Zapp cumplirá dichas instrucciones salvo que entren en conflicto con la legislación aplicable o excedan el ámbito del Contrato.
ii. No obstante las restricciones establecidas en este DPA o en el Contrato, el Cliente autoriza a Zapp a procesar datos personales según sea necesario para:
– detectar o responder a incidentes de seguridad de datos;
– prevenir fraudes o actividades ilícitas;
– realizar mantenimiento y reparaciones;
– asegurar la continuidad y mejora de los Servicios.
iii. Las nuevas actividades de procesamiento que estén fuera del ámbito de este DPA deberán ser acordadas por escrito entre las Partes antes de su implementación, pudiendo requerir una modificación contractual.
iv. A petición escrita del Cliente, Zapp corregirá, eliminará o bloqueará los datos personales correspondientes.
v. Zapp notificará por escrito al Cliente sin demora si considera que alguna instrucción infringe las Leyes de Protección de Datos Aplicables, indicando las razones.
vi. Zapp no será responsable por pérdidas derivadas del procesamiento conforme a instrucciones legales del Cliente.
c. Confidencialidad
Zapp asegurará que todo el personal autorizado para procesar datos personales esté sujeto a obligaciones de confidencialidad contractuales o legales.
d. Divulgación a terceros
Zapp no divulgará datos personales a terceros, incluidas autoridades públicas, salvo:
– lo previsto en este DPA;
– con el consentimiento previo y por escrito del Cliente;
– o cuando la ley lo exija.
En caso de obligación legal de divulgación, Zapp:
– notificará previamente al Cliente, salvo prohibición legal;
– tomará medidas razonables para proteger los datos contra divulgaciones indebidas.
e. Solicitudes de los interesados
i. Cuando el Cliente reciba una solicitud de un interesado relacionada con sus datos personales (“Solicitud”), Zapp colaborará plenamente para permitir que el Cliente responda.
ii. Si Zapp recibe directamente una Solicitud, deberá:
– no responder por sí misma;
– reenviar la Solicitud al Cliente dentro de los tres (3) días hábiles siguientes;
– proporcionar asistencia según las instrucciones del Cliente.
f. Asistencia
i. Zapp asistirá al Cliente en la medida razonable para cumplir con los artículos 32 a 36 del RGPD, considerando la naturaleza del procesamiento y la información disponible.
ii. A solicitud, Zapp ayudará al Cliente a realizar evaluaciones de impacto y consultas previas con autoridades de control, si el Cliente no tiene acceso a la información pertinente y esta está disponible para Zapp.
g. Derechos de información y auditoría
i. Zapp proporcionará al Cliente, previa solicitud por escrito, la información necesaria para demostrar cumplimiento con este DPA y las leyes aplicables.
ii. Zapp mantiene certificaciones y auditorías de terceros. Podrá facilitar estos documentos al Cliente bajo obligación de confidencialidad.
iii. Zapp permitirá auditorías razonables por parte del Cliente o un tercero designado (no competidor), con previo aviso escrito y en horario laboral, bajo obligación de confidencialidad.
iv. En caso de auditorías superiores a una por periodo de 12 meses, Zapp podrá facturar costes razonables.
v. Si el Cliente detecta un uso no autorizado de datos por parte de Zapp o sus subprocesadores, podrá tomar medidas razonables tras notificar a Zapp.
4. Obligaciones de Zapp como responsable independiente
Esta sección se aplica únicamente al tratamiento por parte de Zapp de ciertos datos personales del Cliente o sus usuarios, cuando Zapp actúa como responsable independiente conforme a su política de privacidad disponible en Política de privacidad.
a. Zapp reconoce y acepta que es responsable independiente del cumplimiento de las Leyes de Protección de Datos Aplicables cuando actúa como responsable, incluyendo todas las obligaciones correspondientes.
b. Zapp será responsable de proporcionar la información requerida a los interesados, conforme a la ley, y de responder a sus solicitudes de ejercicio de derechos bajo las Leyes de Protección de Datos Aplicables.
c. Si Zapp recibe una solicitud, queja, consulta u otra comunicación (“Solicitud”) de una autoridad gubernamental, legislativa, judicial, regulatoria o de aplicación de la ley relacionada con el tratamiento descrito en el Anexo 1, Zapp deberá:
– notificar al Cliente sin demora indebida y, en todo caso, dentro de los diez (10) días hábiles, salvo prohibición legal;
– proporcionar al Cliente la información y cooperación necesarias para responder o defenderse de dicha Solicitud.
5. Seguridad
a. Zapp implementará y mantendrá medidas técnicas y organizativas apropiadas para proteger los datos personales contra la destrucción accidental o ilegal, la pérdida, alteración, divulgación no autorizada o el acceso no autorizado, conforme a los artículos 32 y 33 del RGPD.
b. Al tomar conocimiento de una violación confirmada de datos personales (“Data Breach”), Zapp deberá:
i. notificar al Cliente sin demora indebida;
ii. realizar esfuerzos razonables para identificar la causa de la violación y remediarla dentro de sus posibilidades;
iii. proporcionar cooperación y asistencia razonables al Cliente para cumplir con sus obligaciones legales en relación con la notificación a las autoridades de control y a los interesados.
6. Modificaciones y disposiciones diversas
a. Modificaciones para cumplimiento
Si se requieren modificaciones a este DPA para asegurar el cumplimiento con las Leyes de Protección de Datos Aplicables o para satisfacer las exigencias de las autoridades competentes, las Partes cooperarán de buena fe para acordar dichas modificaciones a solicitud del Cliente, sin coste adicional para este.
Si no se alcanza un acuerdo, cualquiera de las Partes podrá rescindir el Contrato y este DPA mediante notificación escrita con noventa (90) días de antelación.
b. Limitación de responsabilidad
Las limitaciones de responsabilidad establecidas en el Contrato se aplican a cualquier incumplimiento de este DPA.
c. Ausencia de contraprestación
Ninguna de las Partes recibirá remuneración por el cumplimiento de sus obligaciones bajo este DPA, salvo disposición expresa en este o en el Contrato.
d. Notificaciones
Las notificaciones requeridas en este DPA pueden enviarse por correo electrónico a las personas de contacto indicadas en el Anexo 1.
e. Modificaciones
Zapp podrá modificar este DPA periódicamente. Salvo indicación contraria, dichos cambios entrarán en vigor al renovar el periodo de suscripción vigente o al firmar un nuevo Formulario de Pedido que haga referencia al DPA actualizado.
Zapp realizará esfuerzos razonables para notificar al Cliente de tales cambios mediante su cuenta, correo electrónico u otro medio adecuado.
f. Modificaciones adicionales
Cualquier modificación adicional deberá realizarse por escrito y ser firmada por ambas Partes, salvo disposición en contrario en el Contrato o en este DPA.
g. Cláusula de divisibilidad
Si alguna disposición de este DPA es declarada inválida o inaplicable por un tribunal competente, las demás disposiciones permanecerán en pleno vigor y efecto.
Anexo 1: Descripción del procesamiento
A. Partes
Exportador de datos:
El Cliente según se describe en el Contrato.
Nombre, dirección, nombre, cargo y datos de contacto de la persona responsable figuran en el Contrato o pueden ser proporcionados a solicitud de cualquiera de las Partes.
Actividades relacionadas con los datos transferidos:
Exportación de datos personales en relación con el uso de los servicios del Procesador.
Rol:
Responsable del tratamiento o Procesador, según corresponda.
Importador de datos:
Nombre: Zapp S.L.
Dirección: Calle Asturias 4, 28850 Torrejón de Ardoz, Madrid, España
Persona de contacto: Sandra López, sandra.lopez@ecaldima.com
Actividades relacionadas con los datos transferidos:
Procesamiento de datos personales en nombre del Cliente, en calidad de Procesador.
Rol:
Procesador
B. Descripción de la transferencia
Categorías de interesados:
Los interesados pueden incluir Usuarios, Agentes, Usuarios finales, prospectos, clientes, proveedores, socios comerciales, empleados, contratistas, agentes y asesores del Cliente, todos personas físicas.
Categorías de datos personales:
Pueden incluir, entre otros: nombres, información de contacto (correo electrónico, teléfono, dirección), identificadores únicos (dirección IP), datos de actividad en internet o redes electrónicas (historial de navegación, búsquedas), información de cuentas, datos de usuario, comunicaciones, historial de compras y transacciones, y cualquier inferencia derivada de dichos datos.
Datos sensibles (si procede):
Pueden incluir datos que revelen origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, afiliación sindical, datos de salud, vida sexual u orientación sexual.
Frecuencia de la transferencia:
Continua durante la vigencia del Contrato.
Naturaleza y finalidad del procesamiento:
El procesamiento es necesario para la prestación de los Servicios conforme al Contrato y según las instrucciones del Cliente.
Periodo de conservación:
Los datos se conservarán durante la vigencia del Contrato y de acuerdo con la política de retención establecida.
Subprocesadores:
Los detalles relativos a los subprocesadores figuran en el Anexo 3.
Anexo 2: Medidas técnicas y organizativas (MTO) para garantizar la seguridad de los datos
Zapp implementa y mantiene medidas técnicas y organizativas apropiadas para proteger los datos personales contra la destrucción accidental o ilícita, la pérdida, la alteración, la divulgación no autorizada o el acceso no autorizado.
Estas medidas se revisan y actualizan regularmente para asegurar el cumplimiento continuo con las leyes de protección de datos aplicables.
Entre las medidas implementadas por Zapp se incluyen, sin limitarse a:
A solicitud razonable del Cliente y bajo obligación de confidencialidad, Zapp podrá proporcionar evidencia o certificación de cumplimiento con estas medidas.
Anexo 3: Lista de subprocesadores
El Cliente autoriza expresamente a Zapp a contratar a los subprocesadores que se indican a continuación para asistir en la prestación de los Servicios.
Zapp se compromete a que cada subprocesador esté sujeto a términos contractuales escritos que impongan obligaciones equivalentes a las contenidas en este DPA.
Zapp notificará por escrito al Cliente con al menos quince (15) días naturales de antelación cualquier adición, sustitución o eliminación de subprocesadores.
El Cliente podrá oponerse a dichos cambios notificando por escrito a Zapp dentro del plazo indicado.
En caso de oposición válida, Zapp se abstendrá de contratar al subprocesador propuesto o el Cliente podrá suspender o rescindir los Servicios afectados sin penalización, sujeto al pago de los importes adeudados previos a la suspensión o rescisión.
Subprocesadores actuales:
Anexo 4: Obligaciones específicas por jurisdicción e información sobre transferencias internacionales
A. Disposiciones generales
Las Partes acuerdan que para cualquier jurisdicción no explícitamente listada a continuación, que requiera un mecanismo de transferencia internacional de datos, se regirán por las Cláusulas Contractuales Tipo (“CCT”) o por cualquier otro mecanismo apropiado requerido bajo las Leyes de Protección de Datos Aplicables.
En caso de que dicho mecanismo sea invalidado o sustituido, las Partes cooperarán de buena fe para implementar una alternativa adecuada.
Las Partes reconocen que pueden ser necesarias garantías técnicas, organizativas y/o contractuales adicionales basadas en los resultados de cualquier evaluación de impacto relativa a las transferencias.
B. Cláusulas Contractuales Tipo
Al celebrar este DPA, las Partes también acuerdan estar vinculadas por las Cláusulas Contractuales Tipo anexadas e incorporadas por referencia, que forman parte integrante del Contrato.
El Módulo 2 (Responsable a Procesador) se aplica cuando el Cliente es el Responsable del Tratamiento.
El Módulo 3 (Procesador a Procesador) se aplica cuando el Cliente también actúa como Procesador.
Las Partes reconocen que, para los datos personales transferidos desde jurisdicciones sujetas a las CCT, este DPA y sus Anexos 1 a 4 contienen la información y compromisos pertinentes.
La firma del Contrato por las Partes se considera como la firma de las CCT, aunque estas no se firmen por separado.
C. Unión Europea
Para las transferencias desde la Unión Europea que no estén cubiertas por una decisión de adecuación u otro mecanismo alternativo (como el Marco de Privacidad UE-EE. UU.), las Partes están obligadas por las CCT implementadas por la Comisión Europea (Decisión de Ejecución (UE) 2021/914).
Las Partes acuerdan las siguientes opciones en las CCT:
Cláusula 7 (Cláusula de acoplamiento) – Aplicación opcional;
Cláusula 9(a) (Uso de subprocesadores) – Opción 2 (con derechos de notificación y oposición);
Cláusula 11(a) (Recursos legales) – No se aplica la cláusula opcional;
Cláusula 17 (Ley aplicable) – Opción 1 (Derecho español);
Cláusula 18(b) (Jurisdicción y foro) – Las Partes se someten a la jurisdicción exclusiva de los tribunales de Madrid, España.
D. Suiza
Para las transferencias desde Suiza que no estén cubiertas por una decisión de adecuación u otro mecanismo alternativo, las Partes adoptarán las CCT modificadas según lo establecido por las autoridades suizas de protección de datos, incluyendo adaptaciones sobre la autoridad competente y los derechos de los interesados.
E. Reino Unido
Para las transferencias desde el Reino Unido, las Partes incorporan el Acuerdo Internacional de Transferencia de Datos del Reino Unido (“UK IDTA”), actualizado periódicamente por el Comisionado de Información del Reino Unido.
El UK IDTA es coextensivo con este DPA.
Incluye, entre otros, la ley aplicable (Inglaterra y Gales), la jurisdicción (Inglaterra y Gales), y los derechos y obligaciones bajo el UK GDPR
Joyful teams.