Acuerdo de Tratamiento de Datos
1. Introducción
Este Acuerdo de Tratamiento de Datos (“DPA”) forma parte del acuerdo entre Godfrey Engineering Ltd (“Encargado del Tratamiento”, “nosotros”) y la entidad o persona que lo acepta (“Responsable del Tratamiento”, “usted”) para la prestación de servicios tal como se describe en los Términos de Servicio (“Acuerdo”).
Este DPA se aplica únicamente en la medida en que Godfrey Engineering trata datos personales en nombre del Responsable del Tratamiento en el curso de la prestación de los Servicios, y dichos datos personales están sujetos a la Normativa General de Protección de Datos del Reino Unido (UK GDPR), la Normativa General de Protección de Datos de la Unión Europea (EU GDPR), o cualquier otra legislación aplicable en materia de protección de datos.
Los términos utilizados en este DPA tienen los significados que se dan en la UK GDPR a menos que se definan de otra manera en el presente.
2. Definiciones
- “Ley Aplicable de Protección de Datos” significa todas las leyes y reglamentos relativos al tratamiento de datos personales, incluidos la UK GDPR, la Data Protection Act 2018, la EU GDPR, y la Privacy and Electronic Communications Regulations 2003 (PECR), según corresponda.
- “Responsable del Tratamiento” significa la entidad que determina los fines y los medios del tratamiento de datos personales.
- “Interesado” significa la persona física a la que se refieren los datos personales.
- “Datos Personales” significa cualquier información relativa a una persona física identificada o identificable.
- “Tratamiento” significa cualquier operación o conjunto de operaciones realizadas sobre datos personales, incluida la recopilación, almacenamiento, uso, divulgación y supresión.
- “Encargado del Tratamiento” significa la entidad que trata datos personales en nombre del Responsable del Tratamiento.
- “Subencargado del Tratamiento” significa un tercero contratado por el Encargado del Tratamiento para tratar datos personales en nombre del Responsable del Tratamiento.
- “Incidente de Seguridad” significa un incumplimiento de la seguridad que resulte en la destrucción accidental o ilegal, pérdida, alteración, divulgación no autorizada de, o acceso a, datos personales.
3. Alcance y Propósito del Tratamiento
3.1 Materia
El Encargado del Tratamiento tratará datos personales en nombre del Responsable del Tratamiento con el propósito de prestar los Servicios descritos en el Acuerdo, incluyendo:
- Alojamiento y entrega de los datos de cuenta y aplicación del Responsable del Tratamiento
- Procesamiento de cálculos e análisis de ingeniería mediante ChainSolve
- Envío de comunicaciones transaccionales en nombre del Responsable del Tratamiento
- Prestación de atención al cliente
3.2 Categorías de Interesados
- Empleados y representantes del Responsable del Tratamiento
- Usuarios finales y clientes del Responsable del Tratamiento
- Cualquier otra persona física cuyos datos personales sean enviados a los Servicios por el Responsable del Tratamiento
3.3 Tipos de Datos Personales
- Nombres e información de contacto (direcciones de correo electrónico, números de teléfono)
- Credenciales de cuenta (contraseñas hasheadas)
- Datos de uso (páginas visitadas, funcionalidades utilizadas, marcas de tiempo)
- Datos de ingeniería (entradas y salidas de cálculos)
- Información de pago y facturación (procesada por Stripe)
- Contenido de comunicaciones (mensajes de soporte, envíos de formularios de contacto)
3.4 Duración del Tratamiento
El Encargado del Tratamiento tratará datos personales durante la duración del Acuerdo, a menos que se acuerde de otra manera por escrito. Tras la terminación del Acuerdo, el Encargado del Tratamiento tratará los datos personales de conformidad con la Sección 10 de este DPA.
4. Obligaciones del Encargado del Tratamiento
El Encargado del Tratamiento deberá:
- Tratar datos personales únicamente según las instrucciones documentadas del Responsable del Tratamiento, a menos que lo exija la ley. En tal caso, el Encargado del Tratamiento informará al Responsable del Tratamiento del requisito legal antes de proceder, a menos que la ley le prohíba hacerlo.
- Garantizar que las personas autorizadas para tratar datos personales se han comprometido a guardar confidencialidad o están sujetas a una obligación estatutaria apropiada de confidencialidad.
- Implementar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, tal como se describe en la Sección 7.
- No contratar otro Encargado del Tratamiento (Subencargado del Tratamiento) sin la previa autorización escrita del Responsable del Tratamiento, sujeto a la Sección 6.
- Asistir al Responsable del Tratamiento en asegurar el cumplimiento de las obligaciones relativas a la seguridad del tratamiento, notificación de incidentes de seguridad, evaluaciones de impacto en la protección de datos, y consulta previa con autoridades de supervisión.
- A elección del Responsable del Tratamiento, eliminar o devolver todos los datos personales tras la terminación de los Servicios, y eliminar copias existentes a menos que la ley aplicable requiera su almacenamiento.
- Poner a disposición del Responsable del Tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en este DPA y permitir y contribuir a auditorías e inspecciones realizadas por el Responsable del Tratamiento o su auditor autorizado.
5. Obligaciones del Responsable del Tratamiento
El Responsable del Tratamiento deberá:
- Garantizar que el tratamiento de datos personales conforme a este DPA es lícito, justo y transparente de conformidad con la Ley Aplicable de Protección de Datos.
- Proporcionar al Encargado del Tratamiento instrucciones documentadas para el tratamiento de datos personales, y garantizar que tales instrucciones cumplen con la Ley Aplicable de Protección de Datos.
- Garantizar que los Interesados han sido informados de, y han dado su consentimiento necesario para, el tratamiento de sus datos personales por el Encargado del Tratamiento.
6. Subencargados del Tratamiento
6.1 Subencargados Autorizados
El Responsable del Tratamiento proporciona autorización escrita general para que el Encargado del Tratamiento contrate los siguientes Subencargados del Tratamiento:
| Subencargado | Propósito | Ubicación de Datos |
|---|---|---|
| Cloudflare, Inc. | Alojamiento, CDN, seguridad | Global (EU/US) |
| Supabase, Inc. | Base de datos, autenticación | EU (Frankfurt) |
| Stripe, Inc. | Procesamiento de pagos | EU |
| Resend, Inc. | Correo electrónico transaccional | US (with SCCs) |
| PostHog, Inc. | Análisis del producto | EU (Frankfurt) |
6.2 Cambios en Subencargados
El Encargado del Tratamiento notificará al Responsable del Tratamiento con al menos 14 días de anticipación cualquier cambio previsto en sus Subencargados (adiciones o sustituciones). El Responsable del Tratamiento puede objetar tales cambios dentro de 14 días desde la notificación. Si el Responsable del Tratamiento objeta y las partes no pueden resolver la objeción, el Responsable del Tratamiento puede terminar el Acuerdo.
6.3 Obligaciones de Subencargados
El Encargado del Tratamiento garantizará que cada Subencargado del Tratamiento está vinculado por obligaciones de protección de datos no menos protectoras que las establecidas en este DPA.
7. Medidas de Seguridad
El Encargado del Tratamiento implementará y mantendrá las siguientes medidas técnicas y organizativas:
- Cifrado en tránsito: TLS 1.3 para todos los datos en tránsito
- Cifrado en reposo: Cifrado AES-256 para datos almacenados
- Controles de acceso: Control de acceso basado en roles con principio de menor privilegio
- Autenticación: Autenticación multifactor para todo acceso administrativo
- Hashing de contraseñas: bcrypt con factor de trabajo de 12
- Monitoreo: Monitoreo continuo mediante Cloudflare para seguridad de infraestructura y observabilidad a nivel de solicitud
- Copias de seguridad: Copias de seguridad automatizadas regulares de datos de aplicación con cifrado
- Respuesta a incidentes: Procedimientos de respuesta a incidentes documentados con roles definidos y rutas de escalada
8. Incidentes de Seguridad
8.1 Notificación
El Encargado del Tratamiento notificará al Responsable del Tratamiento sin dilación indebida, y en cualquier caso dentro de 48 horas, después de tener conocimiento de un Incidente de Seguridad que afecte a los datos personales del Responsable del Tratamiento.
8.2 Contenido de la Notificación
La notificación incluirá:
- Una descripción de la naturaleza del Incidente de Seguridad, incluyendo las categorías y número aproximado de Interesados y registros de datos personales afectados
- El nombre y datos de contacto del punto de contacto del Encargado del Tratamiento
- Una descripción de las consecuencias probables del Incidente de Seguridad
- Una descripción de las medidas adoptadas o propuestas para abordar el Incidente de Seguridad
8.3 Cooperación
El Encargado del Tratamiento cooperará con el Responsable del Tratamiento y tomará las medidas razonables para asistir en la investigación, mitigación y remediación del Incidente de Seguridad.
9. Transferencias Internacionales de Datos
Donde el Encargado del Tratamiento transfiere datos personales a un Subencargado del Tratamiento ubicado fuera del Reino Unido o el Espacio Económico Europeo, el Encargado del Tratamiento garantizará que una de las siguientes salvaguardas está en vigencia:
- Una decisión de adecuación del Secretario de Estado del Reino Unido o la Comisión Europea
- El Acuerdo Internacional de Transferencia de Datos del Reino Unido (IDTA) o las Cláusulas Contractuales Tipo de la UE (SCCs)
- Certificación conforme a un mecanismo de transferencia aprobado (p.ej., Marco de Privacidad de Datos EU-US)
Los detalles de las salvaguardas de transferencia para cada Subencargado del Tratamiento están disponibles bajo solicitud.
10. Devolución y Supresión de Datos
10.1 Tras la Terminación
Tras la terminación del Acuerdo, el Encargado del Tratamiento deberá, a elección del Responsable del Tratamiento:
- Devolver todos los datos personales al Responsable del Tratamiento en un formato estructurado, comúnmente utilizado y legible por máquina (JSON o CSV); o
- Eliminar de forma segura todos los datos personales y certificar tal eliminación por escrito
10.2 Excepciones de Retención
El Encargado del Tratamiento puede retener datos personales en la medida requerida por la Ley Aplicable de Protección de Datos, siempre que el Encargado del Tratamiento garantice la confidencialidad de tales datos y los trate únicamente con el propósito de cumplir con la obligación legal.
11. Auditorías
11.1 Derecho de Auditoría
El Responsable del Tratamiento tendrá derecho a auditar el cumplimiento del Encargado del Tratamiento con este DPA, sujeto a notificación razonable (al menos 30 días) y durante horas comerciales normales.
11.2 Alcance de la Auditoría
Las auditorías pueden incluir inspección de las instalaciones, sistemas y registros del Encargado del Tratamiento relativos al tratamiento de datos personales, y entrevistas con el personal del Encargado del Tratamiento.
11.3 Costos
El Responsable del Tratamiento soportará los costos de cualquier auditoría, a menos que la auditoría revele un incumplimiento material de este DPA por parte del Encargado del Tratamiento.
12. Responsabilidad
La responsabilidad de cada parte conforme a este DPA estará sujeta a las limitaciones y exclusiones de responsabilidad establecidas en el Acuerdo.
13. Ley Aplicable
Este DPA se regirá por las leyes de Inglaterra y Gales. Cualquier disputa que surja de o en conexión con este DPA estará sujeta a la jurisdicción exclusiva de los tribunales de Inglaterra y Gales.
14. Contacto
Para preguntas sobre este DPA o para solicitar una copia firmada, por favor contacte:
- Correo electrónico: legal@godfreyengineering.com
- Sitio web: www.godfreyengineering.com
Godfrey Engineering Ltd
United Kingdom