Acuerdo de Procesamiento de Datos
Última actualización: 1 de marzo de 2026
Este Acuerdo de Procesamiento de Datos ("DPA") se celebra entre el usuario del servicio de alertas de ofertas de vuelos de flydeal.es ("Responsable", "usted" o "su") y Back Hills Assets LLC, una empresa constituida y registrada en el Estado de Delaware, Estados Unidos ("Encargado", "flydeal.es", "nosotros" o "nuestro").
Este DPA forma parte integral de los Términos de Servicio (el "Acuerdo") entre el Responsable y el Encargado y rige el procesamiento de datos personales por el Encargado en nombre del Responsable en relación con la prestación del servicio de alertas de ofertas de vuelos de flydeal.es (el "Servicio").
Este DPA está diseñado para garantizar el cumplimiento del Artículo 28 del Reglamento General de Protección de Datos (UE) 2016/679 ("RGPD") y todas las demás leyes de protección de datos aplicables, y se interpretará de conformidad con el RGPD.
Al utilizar el Servicio, el Responsable acepta los términos de este DPA. Si el Responsable no acepta este DPA, no deberá utilizar el Servicio.
1. Definiciones
A los efectos de este DPA, los siguientes términos tendrán los significados que se establecen a continuación. Todos los términos en mayúscula no definidos en el presente tendrán los significados que se les atribuyen en el RGPD o el Acuerdo.
- "Responsable" significa la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o conjuntamente con otros, determine los fines y medios del tratamiento de datos personales, según se define en el Artículo 4(7) del RGPD. En el contexto de este DPA, el Responsable es el usuario del Servicio.
- "Encargado" significa una persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del Responsable, según se define en el Artículo 4(8) del RGPD. En el contexto de este DPA, el Encargado es Back Hills Assets LLC.
- "Datos Personales" significa cualquier información relativa a una persona física identificada o identificable ("Interesado"), según se define en el Artículo 4(1) del RGPD. Una persona física identificable es aquella cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador como un nombre, un número de identificación, datos de localización, un identificador en línea, o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.
- "Tratamiento" significa cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción, según se define en el Artículo 4(2) del RGPD.
- "Interesado" significa la persona física identificada o identificable a la que se refieren los datos personales.
- "Subencargado" significa cualquier tercero contratado por el Encargado (o por cualquier subencargado posterior) para tratar datos personales en nombre del Responsable.
- "Violación de Datos Personales" significa una violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos, según se define en el Artículo 4(12) del RGPD.
- "Autoridad de Control" significa una autoridad pública independiente establecida por un Estado miembro de la UE conforme al Artículo 51 del RGPD. La Autoridad de Control aplicable se determina por el Estado miembro de la UE de la residencia habitual del Interesado, lugar de trabajo o lugar de la presunta infracción.
- "Cláusulas Contractuales Tipo" (CCT) significa las cláusulas contractuales aprobadas por la Comisión Europea conforme al Artículo 46(2)(c) del RGPD para la transferencia de datos personales a países fuera del Espacio Económico Europeo (EEE) que no se benefician de una decisión de adecuación.
- "EEE" significa el Espacio Económico Europeo, que comprende los estados miembros de la Unión Europea más Islandia, Liechtenstein y Noruega.
2. Alcance y Finalidad del Tratamiento
2.1 Alcance
Este DPA se aplica a todo tratamiento de datos personales realizado por el Encargado en nombre del Responsable en relación con la prestación del Servicio. El Encargado tratará los datos personales únicamente en la medida necesaria para cumplir sus obligaciones en virtud del Acuerdo y de conformidad con las instrucciones documentadas del Responsable.
2.2 Finalidad del Tratamiento
El Encargado tratará los datos personales en nombre del Responsable para los siguientes fines específicos:
- Creación, mantenimiento y gestión de cuentas de usuario, incluyendo autenticación, seguridad y recuperación de cuentas.
- Almacenamiento y procesamiento de preferencias de viaje (aeropuertos de salida, preferencias de destino, rangos de presupuesto, flexibilidad de fechas de viaje) para generar alertas personalizadas de ofertas de vuelos.
- Envío de notificaciones y alertas de ofertas de vuelos por correo electrónico.
- Procesamiento de pagos de suscripción y gestión de facturación a través de procesadores de pago autorizados.
- Proporcionar soporte al cliente y responder a consultas relacionadas con el Servicio.
- Generación de análisis anonimizados y agregados para supervisar, mantener y mejorar el Servicio.
- Garantizar la seguridad, integridad y disponibilidad del Servicio y su infraestructura subyacente.
- Cumplir con las obligaciones legales aplicables, incluyendo requisitos fiscales, contables y regulatorios.
2.3 Duración del Tratamiento
El Encargado tratará los datos personales durante la vigencia del Acuerdo, salvo que se acuerde de otro modo por escrito o lo exija la legislación aplicable. A la terminación del Acuerdo, se aplicarán las disposiciones de la Sección 13 (Devolución y Eliminación de Datos).
3. Categorías de Interesados
Los datos personales tratados en virtud de este DPA se refieren a las siguientes categorías de Interesados:
- Usuarios registrados: Personas físicas que han creado una cuenta en la plataforma flydeal.es, incluyendo usuarios del plan Gratuito, plan Basic, plan Pro y plan Ultra.
- Visitantes del sitio web: Personas físicas que visitan el sitio web de flydeal.es y cuyos datos pueden recopilarse a través de cookies y tecnologías similares, como se describe en nuestra Política de Cookies.
- Contactos de soporte al cliente: Personas físicas que contactan a flydeal.es para soporte, consultas o comentarios y cuyos datos personales se procesan en relación con dichas comunicaciones.
4. Tipos de Datos Personales
Las siguientes categorías de datos personales se procesan en virtud de este DPA:
- Datos de identidad: Dirección de correo electrónico (utilizada como identificador de cuenta).
- Datos de contacto: Dirección de correo electrónico.
- Datos de cuenta: Identificador de cuenta, contraseña hash, fecha de creación de cuenta, tipo de plan y estado de cuenta.
- Datos de preferencias de viaje: Aeropuerto(s) de salida preferido(s), preferencias de destino (regiones, países o ciudades específicas), rangos de presupuesto, flexibilidad de fechas de viaje, preferencias de duración del viaje, configuraciones de rutas personalizadas (plan Pro).
- Datos de preferencias de comunicación: Canales de notificación elegidos (correo electrónico), configuración de frecuencia de notificaciones, estado de suscripción a comunicaciones promocionales.
- Datos de pago y suscripción: Tipo de plan, fechas de inicio y fin de suscripción, fechas del ciclo de facturación, identificadores de transacción, últimos cuatro dígitos de la tarjeta de pago, marca de la tarjeta, fecha de vencimiento de la tarjeta, país de facturación. Los datos completos de la tarjeta de pago son procesados exclusivamente por Stripe y no son almacenados por el Encargado.
- Datos de uso: Páginas visitadas, funciones utilizadas, ofertas vistas e interactuadas, alertas abiertas y clicadas, duración de la sesión y marcas de tiempo de interacción.
- Datos técnicos: Dirección IP, tipo y versión del navegador, sistema operativo, tipo de dispositivo, resolución de pantalla, configuración de idioma del dispositivo e identificadores únicos de dispositivo.
- Datos de soporte: Contenido de las consultas de soporte, correspondencia y comentarios proporcionados por el Interesado.
El Encargado no procesa categorías especiales de datos personales (según se definen en el Artículo 9 del RGPD) ni datos personales relativos a condenas e infracciones penales (según se definen en el Artículo 10 del RGPD) en virtud de este DPA.
5. Obligaciones del Encargado
El Encargado deberá:
5.1 Instrucciones de Tratamiento
- Tratar los datos personales únicamente siguiendo las instrucciones documentadas del Responsable, incluidas las relativas a transferencias de datos personales a un tercer país u organización internacional, salvo que esté obligado a hacerlo por el Derecho de la Unión o de los Estados miembros al que esté sujeto el Encargado. En tal caso, el Encargado informará al Responsable de dicho requisito legal antes del tratamiento, salvo que dicho Derecho lo prohíba por razones importantes de interés público.
- Informar inmediatamente al Responsable si, en opinión del Encargado, una instrucción infringe el RGPD u otras disposiciones de protección de datos de la Unión o de un Estado miembro.
5.2 Confidencialidad
- Garantizar que todas las personas autorizadas para tratar datos personales se hayan comprometido con la confidencialidad o estén sujetas a una obligación legal de confidencialidad apropiada.
- Limitar el acceso a los datos personales a aquellos empleados, contratistas y agentes que necesiten acceso para desempeñar sus funciones en relación con el Servicio y que hayan recibido formación sobre obligaciones de protección de datos.
5.3 Seguridad
- Implementar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, de conformidad con el Artículo 32 del RGPD, como se describe en la Sección 8 (Medidas de Seguridad de Datos) de este DPA.
5.4 Subcontratación
- No contratar a otro encargado (subencargado) sin la autorización previa, general o específica, por escrito del Responsable, como se describe en la Sección 7 (Subencargados) de este DPA.
5.5 Asistencia al Responsable
- Asistir al Responsable, teniendo en cuenta la naturaleza del tratamiento, mediante medidas técnicas y organizativas apropiadas, en la medida de lo posible, para el cumplimiento de la obligación del Responsable de responder a las solicitudes de ejercicio de los derechos del Interesado en virtud del Capítulo III del RGPD (derecho de acceso, rectificación, supresión, limitación, portabilidad y oposición).
- Asistir al Responsable en el cumplimiento de las obligaciones en virtud de los Artículos 32 a 36 del RGPD (seguridad del tratamiento, notificación de violaciones de datos personales, comunicación de violaciones de datos personales a los interesados y evaluaciones de impacto en la protección de datos), teniendo en cuenta la naturaleza del tratamiento y la información disponible para el Encargado.
5.6 Demostración de Cumplimiento
- Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el Artículo 28 del RGPD y este DPA, y permitir y contribuir a las auditorías, incluidas las inspecciones, realizadas por el Responsable u otro auditor designado por el Responsable, como se describe en la Sección 10 (Auditorías e Inspecciones) de este DPA.
6. Obligaciones del Responsable
El Responsable deberá:
- Garantizar que tiene una base legal para el tratamiento de datos personales y que todos los consentimientos, autorizaciones y avisos necesarios se han obtenido o proporcionado de conformidad con las leyes de protección de datos aplicables.
- Proporcionar al Encargado instrucciones documentadas sobre el tratamiento de datos personales e informar al Encargado con prontitud de cualquier cambio en dichas instrucciones.
- Garantizar que los datos personales proporcionados al Encargado son exactos, completos y están actualizados.
- Cumplir con sus obligaciones como Responsable en virtud del RGPD y las leyes de protección de datos aplicables.
- Notificar prontamente al Encargado cualquier solicitud del Interesado que se relacione directamente con las actividades de tratamiento del Encargado.
7. Subencargados
7.1 Autorización General
El Responsable otorga por la presente una autorización general por escrito al Encargado para contratar subencargados para el tratamiento de datos personales en virtud de este DPA, sujeta a las condiciones establecidas en esta Sección 7.
7.2 Subencargados Actuales
Los siguientes subencargados están actualmente contratados por el Encargado:
- Amazon Web Services, Inc. (AWS)
Finalidad: Infraestructura en la nube, alojamiento, almacenamiento de datos y servicios de computación.
Datos tratados: Todas las categorías de datos personales enumeradas en la Sección 4, almacenadas y tratadas en la infraestructura de AWS.
Ubicación: Unión Europea (región EU-West, principalmente Irlanda).
Garantías: Anexo de tratamiento de datos RGPD de AWS; certificaciones ISO 27001, ISO 27017, ISO 27018, SOC 1/2/3. - Stripe, Inc.
Finalidad: Procesamiento de pagos para la facturación de suscripciones (planes Basic, Pro y Ultra).
Datos tratados: Datos de tarjeta de pago (procesados directamente por Stripe), información de facturación, identificadores de transacción, metadatos de suscripción.
Ubicación: Unión Europea y Estados Unidos.
Garantías: Acuerdo de tratamiento de datos de Stripe; certificación PCI DSS Nivel 1; Marco de Privacidad de Datos UE-EE.UU.; Cláusulas Contractuales Tipo. - Postmark (ActiveCampaign, LLC)
Finalidad: Entrega de correos electrónicos transaccionales y de notificación, incluidas alertas de ofertas de vuelos y correos electrónicos relacionados con el servicio.
Datos tratados: Dirección de correo electrónico, nombre, contenido del correo (detalles de alertas de ofertas), metadatos de entrega y participación.
Ubicación: Estados Unidos, con compromisos de tratamiento de datos para datos de la UE.
Garantías: Acuerdo de tratamiento de datos; Cláusulas Contractuales Tipo; certificación SOC 2 Tipo II.
7.3 Notificación de Cambios
El Encargado informará al Responsable por escrito (incluido por correo electrónico) de cualquier cambio previsto en la lista de subencargados, incluida la adición o sustitución de subencargados, al menos 14 días naturales antes de que el cambio entre en vigor. La notificación incluirá el nombre del subencargado, la naturaleza del tratamiento y la ubicación del tratamiento de datos.
7.4 Derecho de Oposición
El Responsable podrá oponerse a la contratación de un subencargado nuevo o sustituto notificándolo al Encargado por escrito en un plazo de 14 días naturales a partir de la recepción de la notificación descrita en la Sección 7.3. La oposición deberá basarse en motivos razonables relacionados con la protección de datos. Si el Responsable se opone:
- El Encargado hará esfuerzos razonables para proporcionar al Responsable una solución alternativa que evite el uso del subencargado objetado.
- Si no hay alternativa razonablemente disponible y el Encargado determina razonablemente que el subencargado es necesario para la prestación del Servicio, cualquiera de las partes podrá resolver el Acuerdo mediante un preaviso por escrito de 30 días.
7.5 Obligaciones del Subencargado
Cuando el Encargado contrate a un subencargado, el Encargado deberá:
- Llevar a cabo una diligencia debida adecuada para garantizar que el subencargado es capaz de proporcionar el nivel de protección de datos requerido por este DPA y el RGPD.
- Imponer al subencargado, mediante contrato escrito, las mismas obligaciones de protección de datos establecidas en este DPA, proporcionando en particular garantías suficientes para implementar medidas técnicas y organizativas apropiadas.
- Seguir siendo plenamente responsable ante el Responsable del cumplimiento de las obligaciones del subencargado en virtud del acuerdo de subtratamiento.
8. Medidas de Seguridad de Datos
El Encargado implementará y mantendrá las siguientes medidas de seguridad técnicas y organizativas, de conformidad con el Artículo 32 del RGPD, para proteger los datos personales contra la destrucción, pérdida, alteración, divulgación o acceso accidental o ilícito:
8.1 Medidas Técnicas
- Cifrado en tránsito: Todos los datos transmitidos entre los usuarios y el Servicio están cifrados mediante Transport Layer Security (TLS) 1.3.
- Cifrado en reposo: Todos los datos personales almacenados en servidores y bases de datos están cifrados en reposo mediante cifrado AES-256.
- Hash de contraseñas: Las contraseñas de los usuarios se almacenan utilizando hash criptográfico bcrypt con un factor de coste alto, garantizando que las contraseñas no puedan recuperarse en texto plano.
- Cortafuegos y seguridad de red: Los sistemas de producción están protegidos por cortafuegos y segmentación de red. El acceso a las redes internas está restringido al personal autorizado a través de VPN con autenticación multifactor.
- Detección de intrusiones y monitorización: Se han implementado sistemas de monitorización continua y detección de intrusiones para identificar y responder a posibles amenazas de seguridad en tiempo real.
- Gestión de vulnerabilidades: Se realizan análisis de vulnerabilidades y pruebas de penetración periódicas. Los parches de seguridad se aplican con prontitud a todos los sistemas y software.
- Copias de seguridad automatizadas: Se realizan copias de seguridad automatizadas y cifradas de forma regular. Las copias se almacenan de forma redundante dentro de la UE y se prueban periódicamente para garantizar la restauración de los datos.
- Registro y pistas de auditoría: El acceso a los datos personales se registra y se mantienen pistas de auditoría para detectar accesos no autorizados o actividad anómala.
- Desarrollo seguro: El Servicio se desarrolla siguiendo prácticas de desarrollo de software seguro, que incluyen revisiones de código, análisis estático, escaneo de dependencias y pruebas de seguridad.
8.2 Medidas Organizativas
- Controles de acceso: Se implementa el control de acceso basado en roles (RBAC) siguiendo el principio de mínimo privilegio. El acceso a los datos personales se otorga únicamente al personal que lo necesita para sus funciones designadas.
- Acuerdos de confidencialidad: Todos los empleados y contratistas con acceso a datos personales están vinculados por obligaciones de confidencialidad escritas.
- Formación en protección de datos: El personal involucrado en el tratamiento de datos personales recibe formación regular sobre los principios de protección de datos, el RGPD y las políticas internas de protección de datos del Encargado.
- Plan de respuesta a incidentes: Se mantiene y prueba un plan de respuesta a incidentes documentado para garantizar una respuesta rápida y eficaz a las violaciones de datos personales y otros incidentes de seguridad.
- Continuidad del negocio y recuperación ante desastres: Los planes de continuidad del negocio y recuperación ante desastres se mantienen y prueban periódicamente para garantizar la disponibilidad y resiliencia de los sistemas de tratamiento.
- Gestión de riesgos de proveedores: Los subencargados están sujetos a evaluaciones de diligencia debida y seguimiento continuo para garantizar que mantienen estándares adecuados de protección de datos y seguridad.
9. Notificación de Violaciones de Datos
9.1 Notificación al Responsable
En caso de una Violación de Datos Personales, el Encargado notificará al Responsable sin demora indebida y en cualquier caso a más tardar 48 horas después de tener conocimiento de la violación. La notificación se proporcionará por correo electrónico a la dirección registrada del Responsable e incluirá:
- Una descripción de la naturaleza de la Violación de Datos Personales, incluyendo, cuando sea posible, las categorías y el número aproximado de Interesados afectados y las categorías y el número aproximado de registros de datos personales afectados.
- El nombre y los datos de contacto del punto de contacto de protección de datos del Encargado del que se puede obtener más información.
- Una descripción de las consecuencias probables de la Violación de Datos Personales.
- Una descripción de las medidas adoptadas o propuestas por el Encargado para abordar la Violación de Datos Personales, incluyendo, cuando sea apropiado, medidas para mitigar sus posibles efectos adversos.
9.2 Cooperación continua
Cuando no sea posible proporcionar toda la información simultáneamente, el Encargado la proporcionará por fases sin más demora indebida. El Encargado deberá:
- Cooperar con el Responsable y tomar todas las medidas razonables para asistir en la investigación, mitigación y remediación de la violación.
- Tomar medidas inmediatas para contener y minimizar el impacto de la violación.
- Preservar las pruebas relacionadas con la violación con fines de investigación forense.
- Asistir al Responsable en el cumplimiento de sus obligaciones de notificación a la Autoridad de Control en virtud del Artículo 33 del RGPD y a los Interesados en virtud del Artículo 34 del RGPD, cuando corresponda.
- No realizar declaraciones públicas ni notificaciones sobre la violación sin el consentimiento previo por escrito del Responsable, a menos que lo exija la ley aplicable.
9.3 Mantenimiento de registros
El Encargado mantendrá un registro de todas las Violaciones de Datos Personales, incluyendo los hechos relativos a la violación, sus efectos y las medidas correctivas adoptadas, de conformidad con el Artículo 33(5) del RGPD.
10. Solicitudes de los Interesados
10.1 Asistencia
El Encargado asistirá al Responsable en el cumplimiento de su obligación de responder a las solicitudes de los Interesados para ejercer sus derechos en virtud del Capítulo III del RGPD, incluidos los derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad de datos y oposición.
10.2 Notificación
Si el Encargado recibe una solicitud de un Interesado relativa a datos personales tratados en nombre del Responsable, el Encargado notificará al Responsable con prontitud (y en cualquier caso en un plazo de 5 días hábiles) y no responderá directamente a la solicitud a menos que esté autorizado por el Responsable o lo exija la ley aplicable.
10.3 Medidas Técnicas
El Encargado implementará medidas técnicas y organizativas apropiadas para permitir al Responsable responder eficientemente a las solicitudes de los Interesados, incluyendo la capacidad de buscar, recuperar, exportar, corregir y eliminar datos personales según las instrucciones del Responsable.
11. Auditorías e Inspecciones
11.1 Derecho de auditoría
El Encargado pondrá a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el Artículo 28 del RGPD y este DPA, y permitirá y contribuirá a las auditorías, incluidas inspecciones, realizadas por el Responsable o un auditor independiente designado por el Responsable.
11.2 Procedimientos de auditoría
Las auditorías se realizarán sujetas a las siguientes condiciones:
- El Responsable proporcionará al Encargado un aviso previo por escrito de al menos 30 días naturales de cualquier auditoría prevista.
- Las auditorías se realizarán durante el horario comercial normal y de manera que minimice la interrupción de las operaciones del Encargado.
- El Responsable (o su auditor) cumplirá con los requisitos razonables de seguridad y confidencialidad del Encargado.
- Las auditorías se limitarán a un máximo de una por año natural, a menos que existan motivos razonables para sospechar un incumplimiento material de este DPA o del RGPD, o si una Autoridad de Control requiere una auditoría.
- El Responsable asumirá los costes de la auditoría, a menos que la auditoría revele un incumplimiento material por parte del Encargado, en cuyo caso el Encargado asumirá los costes razonables.
11.3 Certificaciones e Informes
En lugar de una auditoría presencial, el Encargado podrá, a su discreción, proporcionar al Responsable informes de auditoría de terceros relevantes, certificaciones (como ISO 27001 o SOC 2) u otra documentación que demuestre el cumplimiento de los requisitos de protección de datos de este DPA.
12. Transferencias Internacionales de Datos
12.1 Principio general
El Encargado almacenará y procesará datos personales principalmente dentro del Espacio Económico Europeo (EEE). El Encargado no transferirá datos personales a un país fuera del EEE ni a una organización internacional a menos que se hayan implementado las salvaguardias adecuadas de conformidad con el Capítulo V del RGPD.
12.2 Mecanismos de transferencia
Cuando los datos personales se transfieran fuera del EEE (por ejemplo, a subencargados ubicados en los Estados Unidos), el Encargado se asegurará de que una o más de las siguientes salvaguardias estén vigentes:
- Decisión de adecuación: La Comisión Europea ha determinado que el tercer país u organización internacional proporciona un nivel adecuado de protección de datos conforme al Artículo 45 del RGPD.
- Cláusulas Contractuales Tipo: La transferencia está sujeta a las Cláusulas Contractuales Tipo adoptadas por la Comisión Europea de conformidad con el Artículo 46(2)(c) del RGPD, en su versión más actualizada.
- Marco de Privacidad de Datos UE-EE.UU.: Cuando corresponda, el destinatario ha certificado su participación en el Marco de Privacidad de Datos UE-EE.UU., que ha sido reconocido por la Comisión Europea como proveedor de un nivel adecuado de protección.
- Medidas complementarias: Cuando lo requiera la evaluación del nivel de protección en el país destinatario, el Encargado implementará medidas técnicas adicionales (como cifrado y seudonimización) y medidas organizativas para garantizar que los datos transferidos reciban un nivel de protección esencialmente equivalente al garantizado dentro del EEE.
12.3 Evaluación de impacto de la transferencia
El Encargado realizará y documentará una evaluación de impacto de la transferencia para cada transferencia internacional, evaluando las leyes y prácticas del país destinatario para determinar si son necesarias medidas complementarias para garantizar un nivel de protección de datos esencialmente equivalente.
13. Duración y Terminación
13.1 Duración
Este DPA entrará en vigor a partir de la aceptación del Acuerdo por parte del Responsable y permanecerá vigente durante la duración del tratamiento de datos personales por parte del Encargado en nombre del Responsable.
13.2 Supervivencia
Las obligaciones del Encargado en virtud de este DPA sobrevivirán a la terminación del Acuerdo en la medida necesaria para completar la devolución o eliminación de los datos personales y cumplir con la ley aplicable.
14. Devolución y Eliminación de Datos
14.1 Elección del Responsable
Tras la terminación del Acuerdo o a solicitud escrita del Responsable, el Encargado deberá, a elección del Responsable:
- Devolver todos los datos personales al Responsable en un formato estructurado, de uso común y legible por máquina (como JSON o CSV); o
- Eliminar todos los datos personales y todas las copias existentes, a menos que el Derecho de la Unión o de los Estados miembros exija la conservación de los datos personales.
14.2 Plazo
El Encargado completará la devolución o eliminación de los datos personales dentro de los 30 días naturales siguientes a la recepción de la instrucción del Responsable o, en ausencia de instrucciones específicas, dentro de los 30 días naturales siguientes a la terminación del Acuerdo.
14.3 Certificación de Eliminación
Una vez completada la eliminación, el Encargado proporcionará al Responsable una certificación escrita de que todos los datos personales han sido eliminados de forma segura, incluidos los de copias de seguridad y sistemas archivados, excepto cuando la ley aplicable requiera la retención. Cuando se apliquen requisitos de retención legal, el Encargado informará al Responsable de los datos específicos retenidos, la base legal para la retención y el período de retención previsto.
14.4 Eliminación de copias de seguridad
Los datos personales contenidos en los sistemas de copia de seguridad rutinarios se eliminarán de acuerdo con el calendario de rotación de copias de seguridad estándar del Encargado, que no excederá de 90 días naturales. Durante el período de retención, dichos datos de copia de seguridad seguirán estando protegidos de conformidad con este DPA y no serán procesados activamente.
15. Responsabilidad
15.1 Responsabilidad del Encargado
El Encargado será responsable de cualquier daño causado por un tratamiento que no cumpla con las obligaciones del RGPD específicamente dirigidas a los encargados, o cuando el Encargado haya actuado fuera de o en contra de las instrucciones legítimas del Responsable, de conformidad con el Artículo 82 del RGPD.
15.2 Limitación
Las disposiciones de responsabilidad de este DPA están sujetas a las limitaciones establecidas en el Acuerdo, excepto en la medida en que la ley aplicable (incluido el RGPD) no permita dicha limitación.
15.3 Indemnización
Cada parte indemnizará a la otra parte por cualesquiera costes, reclamaciones, daños o gastos incurridos por la otra parte o de los que la otra parte pueda ser responsable debido a cualquier incumplimiento de la primera parte o de sus empleados, agentes o subencargados de cualquiera de sus obligaciones en virtud de este DPA o del RGPD.
16. Enmiendas
Este DPA podrá ser enmendado por el Encargado de vez en cuando para reflejar cambios en las prácticas de procesamiento de datos, subencargados, requisitos legales o medidas de seguridad. El Encargado notificará al Responsable cualquier enmienda material con al menos 30 días naturales de antelación antes de que entren en vigor. Si el Responsable no está de acuerdo con las enmiendas, el Responsable podrá rescindir el Acuerdo conforme a sus términos. El uso continuado del Servicio por parte del Responsable después de la fecha de entrada en vigor de las enmiendas constituye la aceptación del DPA revisado.
17. Relación con el Acuerdo
En caso de conflicto o inconsistencia entre las disposiciones de este DPA y el Acuerdo, las disposiciones de este DPA prevalecerán en lo que respecta a cuestiones de protección de datos. En todos los demás aspectos, los términos del Acuerdo seguirán siendo de aplicación.
18. Ley aplicable
Este DPA se regirá e interpretará de acuerdo con las leyes del Estado de Delaware, Estados Unidos, sin tener en cuenta sus principios de conflicto de leyes, y sujeto a las disposiciones obligatorias del RGPD y otra legislación de protección de datos de la UE aplicable. Cualquier disputa que surja en relación con este DPA estará sujeta a la jurisdicción exclusiva de los tribunales competentes de Delaware, Estados Unidos, sujeto a las disposiciones obligatorias de protección del consumidor del Derecho de la UE.
19. Contacto
Para cualquier pregunta, solicitud o comunicación relativa a este Acuerdo de Procesamiento de Datos, por favor contacte:
- Correo electrónico: [email protected]
- Empresa: Back Hills Assets LLC
- Dirección: 30 N GOULD ST STE R,SHERIDAN, WY 82801,USA
También puede contactar a su Autoridad de Protección de Datos local para cualquier preocupación sobre protección de datos. Puede encontrar su autoridad local en el sitio web del Comité Europeo de Protección de Datos.