Acuerdo de procesamiento de datos

El presente Acuerdo de Tratamiento de Datos (en lo sucesivo, el Acuerdo de Tratamiento de Datos) forma parte integrante de las Condiciones de servicio (en adelante, el Acuerdo) con el Usuario y se aplica al tratamiento de datos personales (en adelante, los Datos Personales) cuando el Usuario utiliza la Plataforma.

La Administración proporciona al Usuario la Plataforma, que puede ser utilizada por el Usuario para procesar Datos Personales.

El procesamiento y almacenamiento de los Datos Personales procesados (incluyendo recopilados, almacenados y publicados) por los Usuarios en los sitios web creados por ellos utilizando la Plataforma se llevará a cabo legalmente, durante un período determinado por el propio Usuario y será llevado a cabo por la Administración sobre la base de este Acuerdo de Procesamiento de Datos, que es una base legal para el procesamiento de los Datos Personales por parte de la Administración.

Si el Usuario no está de acuerdo con los términos del Acuerdo de Tratamiento de Datos, no podrá utilizar la Plataforma para trabajar con los Datos Personales. El hecho de utilizar la Plataforma para trabajar con Datos Personales se reconoce como consentimiento a los términos y condiciones del Acuerdo de Tratamiento de Datos.

Este documento consta de las siguientes secciones:
Términos y Definiciones
Objeto del Acuerdo de Tratamiento de Datos
Declaraciones y garantías del Responsable del Tratamiento
Derechos, obligaciones y responsabilidades del encargado del tratamiento
Derechos, obligaciones y responsabilidades del responsable del tratamiento
Privacidad y seguridad
Violación de la seguridad de la información
Legislación aplicable y resolución de litigios

Términos y definiciones

A los efectos del presente Acuerdo de Procesamiento de Datos, los términos se utilizarán en el sentido que se especifica a continuación:

Responsable del Tratamiento es el Usuario, tal y como se define en el Acuerdo, una persona que es Responsable del Tratamiento de Datos Personales en términos del Decreto Federal de los EAU núm. 45/2021 sobre Protección de Datos Personales o el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos, RGPD) (en adelante, colectivamente, la Ley).
Encargado del tratamiento es la Administración, tal y como se define en el Acuerdo, que trata Datos Personales por cuenta del Responsable del tratamiento y que es Encargado del tratamiento en los términos de la Ley.
Sujeto de los Datos Personales es una persona física a la que se refieren los Datos Personales, tal y como se define en la Ley.
Datos Personales son todos los datos relativos a una persona física identificada o que pueda ser identificada directa o indirectamente mediante la vinculación de los datos con un identificador, como su nombre, voz, imagen, número de identificación, identificador electrónico, ubicación geográfica o una o varias características físicas, fisiológicas, culturales o sociales, tal como se definen en la Ley, y tratados por el Responsable a través de la Plataforma.
Datos de Usuario es la información que puede contener Datos Personales, descargada o tratada por el Responsable mediante la Plataforma.
Datos Personales Sensibles es cualquier información que revele directa o indirectamente la raza, etnia, opiniones políticas o filosóficas, creencias religiosas, antecedentes penales, datos biométricos o cualquier dato relativo a la salud de dicha persona, como su estado físico, psicológico, mental, corporal, genético o sexual, incluida cualquier información relativa a la prestación de servicios de atención sanitaria a dicha persona que revele su estado de salud, tal y como se define en la Ley.
LosDatos Personales Biométricos son cualquier Dato Personal obtenido como resultado de un tratamiento técnico especial relativo a las características físicas, fisiológicas o de comportamiento del Titular de los Datos Personales que identifique o confirme la identificación única del Titular de los Datos Personales, como los datos de imagen facial o de huellas dactilares, tal como se definen en la Ley.

El Acuerdo de Tratamiento de Datos puede utilizar otros términos no definidos anteriormente, que se interpretarán de conformidad con el Acuerdo y la Ley.

1. Objeto del acuerdo de tratamiento de datos

1.1. El Responsable del tratamiento instruye, y el Encargado del tratamiento asume la obligación de llevar a cabo acciones para tratar los Datos Personales de los clientes (visitantes de los Sitios Web) del Responsable del tratamiento, que son tratados o serán tratados por el Responsable del tratamiento utilizando la Plataforma.

1.2. Disposiciones básicas relativas al tratamiento de Datos Personales:

Datos Personales; El contenido, la lista y el volumen de los Datos Personales serán determinados por el Responsable y no serán controlados por el Encargado. Al mismo tiempo, el Procesador no procesará Datos Personales sensibles y biométricos. Motivos para el tratamiento de Datos Personales; El tratamiento se llevará a cabo como parte del cumplimiento de las obligaciones contractuales, en nombre del Controlador Tipos de procesamiento de Datos Personales; Estructuración y almacenamiento (en este caso, el Procesador no proporciona servicios de alojamiento, la estructuración y el almacenamiento de Datos Personales se llevan a cabo en instalaciones alquiladas por el Procesador). Transferencia (Llevada a cabo por la Plataforma mediante la transmisión de datos introducidos por los visitantes de los Sitios Web a través de formularios web en los Sitios Web a herramientas de recopilación de datos conectadas por el Responsable a los Sitios Web (incluido en el subsistema de Formularios de la Plataforma y/o en Tilda CRM). Para garantizar la fiabilidad durante dicha transferencia y gestionar los casos de indisponibilidad de los servicios de recepción, los datos pueden almacenarse en caché en los servidores de la Plataforma con la posterior eliminación de la caché después de la transferencia con éxito. Además, en este caso, la Plataforma y/o el Procesador no registrarán, sistematizarán, almacenarán, modificarán ni utilizarán los Datos Personales utilizando bases de datos de Datos Personales, sino que únicamente realizarán la función de transmitir datos de los formularios web en los que los visitantes de los Sitios Web los introduzcan, a las herramientas de recopilación de datos conectadas a ellos por el Controlador. El periodo de almacenamiento de datos en caché por defecto será de 30 días y podrá ser configurado por el Responsable de forma independiente. Difusión (La realiza el Responsable de forma independiente mediante la publicación de los Datos Personales en los Sitios Web, en este caso el cumplimiento de los requisitos de la Ley en cuanto a la obtención de los consentimientos necesarios de los titulares de los Datos Personales será responsabilidad del Responsable). El Responsable del tratamiento facilitará el acceso a los Datos Personales mediante el uso de las funciones y la configuración de la Plataforma (el Responsable del tratamiento facilitará y gestionará el acceso a terceros de forma independiente mediante la función "Colaboradores" de la Plataforma, en cuyo caso será responsable de garantizar la existencia de motivos legales para dicho acceso). El tratamiento se llevará a cabo ubicando la Plataforma en instalaciones alquiladas por el Responsable en centros de tratamiento de datos proporcionados por colaboradores con los que se hayan celebrado acuerdos que garanticen la seguridad de los Datos Personales tratados por ellos: Hetzner y GCore Periodo de conservación de los Datos Personales; Los Datos Personales se conservarán durante el periodo especificado por el Responsable del Tratamiento, pero no más allá del periodo de validez del Acuerdo, salvo que la legislación de los Emiratos Árabes Unidos disponga lo contrario. Supresión de los Datos Personales; Será llevada a cabo por el Controlador de forma independiente durante el periodo de validez de los Emiratos Árabes Unidos, y tras su expiración será llevada a cabo por el Procesador una vez alcanzados los objetivos del procesamiento de Datos Personales y cumpliendo los requisitos de la legislación de los Emiratos Árabes Unidos Duración del Acuerdo de Procesamiento de Datos; Durante todo el período de uso de la Plataforma por parte del Responsable del Tratamiento de conformidad con el Acuerdo, incluido el período de bloqueo de la Cuenta

Datos Personales; Correo electrónico (la recopilación será configurada por el Usuario, procesada si es recopilada por el Usuario), teléfono (la recopilación será configurada por el Usuario, procesada si es recopilada por el Usuario), nombre (la recopilación será configurada por el Usuario, procesada si es recopilada por el Usuario), otros datos que el Controlador de la Plataforma desee recopilar (excepto Datos Personales Sensibles y Biométricos). Motivos para el tratamiento de Datos Personales; El tratamiento se llevará a cabo como parte del cumplimiento de las obligaciones contractuales, en nombre del Controlador Tipos de tratamiento de Datos Personales; La recogida tiene lugar en el Sitio Web creado en la Plataforma, a través de la transmisión de datos a los servicios de recogida de datos conectados. Estructuración (en este caso, el Procesador no proporciona servicios de alojamiento, la estructuración y el almacenamiento de Datos Personales se llevarán a cabo en instalaciones alquiladas por el Procesador, el subsistema "Formularios" de la Plataforma se utilizará para organizar el almacenamiento). Los Datos Personales serán utilizados por el Responsable en la cuenta personal del Responsable en (si el Responsable habilita el subsistema "Formularios" como servicio de recogida de datos). La distribución (transmisión) de los datos se realizará a servicios de terceros habilitados por el Responsable en la cuenta personal. La transferencia (acceso) se llevará a cabo por el Responsable del tratamiento mediante el uso de las funciones y la configuración de la Plataforma (el Responsable del tratamiento llevará a cabo y gestionará de forma independiente el acceso a terceros mediante la función "Colaboradores" de la Plataforma, en cuyo caso será responsabilidad del Responsable del tratamiento garantizar la existencia de motivos legales para dicho acceso). Periodo de conservación de los Datos Personales; los Datos Personales se conservarán durante el periodo especificado por el Responsable, pero no superior a 30 días y al periodo de validez del Acuerdo, salvo que la legislación de los Emiratos Árabes Unidos disponga lo contrario. Supresión de los datos personales; los datos personales pueden ser suprimidos por el responsable del tratamiento o automáticamente dentro del plazo establecido por el responsable del tratamiento, pero no más tarde de 30 días a partir de la fecha de recepción de los datos, a menos que se disponga otra cosa en los requisitos de la legislación de los Emiratos Árabes Unidos. Duración del Acuerdo de tratamiento de datos; Durante todo el periodo de uso de la Plataforma por parte del Responsable del tratamiento de conformidad con el Acuerdo, incluido el periodo de bloqueo de la Cuenta.

Datos Personales; Procesados antes del pago de la entrega: correo electrónico (la recopilación será configurada por el Usuario, procesada si es recopilada por el Usuario), teléfono (la recopilación será configurada por el Usuario, procesada si es recopilada por el Usuario), nombre (la recopilación será configurada por el Usuario, procesada si es recopilada por el Usuario), otros datos que el Controlador desee recopilar (excepto Datos Personales sensibles y biométricos). Tratados si se requiere entrega: dirección (si es necesario entregar la mercancía) Tratados si se requiere pago: otros datos que el Responsable del tratamiento desee recopilar (excepto Datos Personales sensibles y biométricos), 4 últimos dígitos de la tarjeta, fecha de caducidad de la tarjeta. Motivos para el tratamiento de Datos Personales; El tratamiento se llevará a cabo como parte del cumplimiento de obligaciones contractuales, y en nombre del Controlador Tipos de tratamiento de Datos Personales; La recogida tiene lugar en el Sitio Web creado en la Plataforma (si el Responsable habilita el subsistema "Formularios" como servicio para la recogida de datos). Estructuración, almacenamiento - tiene lugar en los subsistemas "Formularios", "Catálogo" y "Entrega" de la Plataforma (si el Responsable habilita estos subsistemas). Los Datos Personales serán utilizados por el Responsable en la cuenta personal del Responsable en la sección "Leads" (si el Responsable habilita el subsistema "Formularios" como servicio de recogida de datos). El uso (visualización) de los Datos Personales anonimizados estará disponible en el Panel Administrativo para resolver las incidencias de los Clientes del Responsable. La distribución (transmisión) de datos se realizará a servicios de terceros habilitados por el Responsable en la Cuenta Personal, así como a servicios habilitados en el subsistema "Catálogo". La distribución (provisión de acceso) será realizada por el Responsable a través del uso de las funciones y configuraciones de la Plataforma (La provisión de acceso a terceros será realizada y gestionada por el Responsable de forma independiente utilizando la función "Colaboradores" de la Plataforma, en este caso garantizar la existencia de motivos legales para dicho acceso será responsabilidad del Responsable). Periodo de conservación de los Datos Personales; los Datos Personales se conservarán durante toda la vigencia del contrato/durante los periodos establecidos por la legislación vigente de los Emiratos Árabes Unidos, excepto en el caso del subsistema "Formularios", en el que los Datos Personales se conservarán durante un máximo de 30 días, salvo que la legislación de los Emiratos Árabes Unidos disponga lo contrario. Supresión de los datos personales; el responsable del tratamiento suprimirá los datos personales una vez cumplidos los fines del tratamiento, a menos que la legislación de los Emiratos Árabes Unidos disponga otra cosa. La supresión de los datos del subsistema "Formularios" se produce automáticamente en el plazo establecido por el Responsable del tratamiento, pero a más tardar 30 días después de la fecha de recepción de los datos. La supresión de los datos de los subsistemas "Entrega" y "Catálogo" se produce tras la expiración del contrato y la supresión de la cuenta. Duración del Acuerdo de procesamiento de datos; Durante todo el periodo de uso de la Plataforma por parte del Responsable del tratamiento de conformidad con el Acuerdo, incluido el periodo de bloqueo de la Cuenta.

2. Declaraciones y garantías del interventor

2.1. El Responsable del tratamiento declara y garantiza que
1) Recibió los Datos Personales por medios legales;
2) Dispone de fundamentos jurídicos para el tratamiento de Datos Personales (incluido el consentimiento de los sujetos de los Datos Personales u otro fundamento jurídico para la transferencia de Datos Personales, incluida la transfronteriza), confiar el tratamiento de Datos Personales al Responsable del Tratamiento y a sus socios (incluidos los situados fuera de los Emiratos Árabes Unidos) y la distribución de Datos Personales mediante la Plataforma, si se lleva a cabo dicha distribución);
c) Cumple los principios y normas de tratamiento de Datos Personales previstos en la legislación de los Emiratos Árabes Unidos;
d) No utiliza ni utilizará la Plataforma para el tratamiento de Datos Personales sensibles y biométricos.

2.2. El Responsable del tratamiento garantiza que cualquier persona autorizada por el Responsable del tratamiento y que procese Datos personales utilizando la Plataforma actúa en nombre del Responsable del tratamiento y de acuerdo con sus instrucciones. En este caso, el Responsable del tratamiento será responsable ante el Encargado del tratamiento si la persona especificada infringe los términos del Acuerdo de tratamiento de datos.

2.3. Las declaraciones y garantías del Responsable del tratamiento especificadas en la cláusula 2.1 serán fiables en cualquier momento/período de tratamiento de Datos Personales en el marco del Acuerdo de Tratamiento de Datos.

2.4. El Responsable del tratamiento reconoce y comprende el hecho del tratamiento de Datos Personales al utilizar la Plataforma.

3. Derechos, deberes y responsabilidades del encargado del tratamiento

3.1. El Encargado del tratamiento se compromete a respetar la finalidad y las limitaciones del tratamiento de los Datos personales especificadas en el Acuerdo de tratamiento de datos.

3.2. El Procesador se compromete a ejecutar el Acuerdo de Procesamiento de Datos de forma independiente, así como con la participación de terceros especificados en el sitio web del Procesador en la Política de Privacidad, siendo responsable ante el Controlador del cumplimiento de sus obligaciones en virtud del Acuerdo de Procesamiento de Datos.

3.3. El Encargado del Tratamiento estará obligado a mantener la confidencialidad y garantizar la seguridad de los Datos Personales de acuerdo con los requisitos de la legislación aplicable.

3.4. El Encargado del tratamiento se compromete a cooperar de buena fe con el Responsable del tratamiento y a prestarle una asistencia razonable en el examen y la resolución de las solicitudes (quejas, demandas) relativas al Acuerdo de tratamiento de datos. En particular, el Encargado del tratamiento, una vez recibida una solicitud de este tipo, estará obligado a notificarla al Responsable del tratamiento en el plazo de cinco (5) días laborables desde que se produzca el hecho especificado, enviando la notificación correspondiente a la dirección de correo electrónico especificada por el Responsable del tratamiento al registrarse en la Cuenta personal.

3.5. El Procesador será responsable ante el Controlador por la ejecución del Acuerdo de Procesamiento de Datos, incluso por las acciones (inacción) de sus empleados que obtuvieron acceso a los Datos Personales procesados bajo el Acuerdo de Procesamiento de Datos del Controlador, lo que resultó en la divulgación de dichos Datos Personales, dentro del monto del daño real confirmado por documentos, pero en cualquier caso, la responsabilidad patrimonial total de la Administración ante el Controlador no puede exceder el monto del costo de la Tarifa pagada por el Controlador y válida durante el período de ocurrencia de los eventos que son la base para la ocurrencia de la responsabilidad patrimonial de la Administración.

4. Derechos, obligaciones y responsabilidad del responsable del tratamiento

4.1. The Controller shall be responsible to the Personal Data subject for the actions performed by the Processor when executing the Data Processing Agreement.

4.2. The Controller shall make its own decision and be responsible for determining whether the Platform is suitable for processing Personal Data in accordance with United Arab Emirates law, as well as for using the Platform in accordance with the Controller’s legal obligations.

4.3. The Controller shall, independently and at its own expense, develop and place on the Websites it uses all documents required by the applicable law regarding the collection and processing of Personal Data by the Controller, and shall be responsible for their correctness and completeness.

4.4. The Controller shall independently select service providers and data collection systems and services enabled by the Controller to the fields of web forms on the Websites and used by the Controller to collect Personal Data, and shall also be independently responsible for fulfilling the requirements of the Law when organizing the collection of Personal Data using such systems and services.

4.5. The Controller shall be entitled, no more than once a year, to request from the Processor documents and other information confirming the adoption of measures and compliance with the requirements established in the Data Processing Agreement for the purpose of executing the Controller’s Data Processing Agreement.

4.6. The Controller shall be responsible for the security of the means of protection of access to the Platform he/she has chosen, and also independently ensure their confidentiality.

4.7. The Controller shall be responsible for all actions, as well as their consequences, when using the Platform, while all actions performed in the Account shall be considered to have been carried out by the Controller themselves.

4.8. The Controller shall be responsible for responding to requests from Personal Data subjects and third parties regarding the Controller’s use of the Platform for the purpose of Personal Data processing.

4.9. The Controller shall be responsible for considering requests from Personal Data subjects related to the exercise of their rights, including in cases where the use of the Platform by the Controller affects the rights of these persons.

4.10. The Controller undertakes to provide the Processor with confirmation of the existence of legal grounds for processing Personal Data and the fact of proper notification of the Personal Data subject about their transfer, within five (5) calendar days from the date of receipt of the corresponding request from the Processor.

4.11. In the event that the Processor is presented with claims and demands from third parties, including from Personal Data subjects and authorized bodies, in connection with the execution of the Data Processing Agreement, including in the event of a claim about the unlawfulness of the Processor’s processing of Personal Data processed by the Controller using the Platform, the Controller shall be obliged to settle independently such claims on its own and at its own expense, to protect the Processor from possible losses and participation in the consideration of claims, demands and possible litigation. If it becomes necessary for the Processor to participate in resolving the above-mentioned claims and/or demands, the Processor shall be entitled to demand from the Controller compensation for losses and expenses incurred in connection with such participation, including, but not limited to, the costs of a representative, negotiations and other expenses.

4.12. In the event of claims being made against the Processor from third parties, including from Personal Data subjects and authorized bodies, in connection with the execution of the Data Processing Agreement, including in the event of a claim about the unlawfulness of the Processor’s processing of Personal Data processed by the Controller using the Platform, which will result in a court order on the collection of funds from the Processor, which has entered into legal force, the latter shall be entitled to demand from the Controller compensation to the Processor for expenses incurred in the process of resolving a legal dispute and in execution of a court decision, as well as all legal costs and losses incurred by the Processor in full.

4.13. The Controller shall bear the risk of being unable to use the Website and/or Platform arising as a result of the Processor’s fulfilling the obligation to stop processing the Personal Data on the basis of the Controller’s Data Processing Agreement.

5. Confidencialidad y seguridad

5.1. El Responsable del Tratamiento se compromete a establecer los requisitos de protección de los Datos Personales tratados de conformidad con la Ley, a partir de ahí, esta obligación se aplica exclusivamente al Responsable del Tratamiento y no debe interpretarse como el establecimiento de requisitos de protección de los Datos Personales tratados determinados por el Responsable del Tratamiento al Encargado del Tratamiento.

5.2. El Encargado del Tratamiento adoptará las medidas de confidencialidad y seguridad necesarias al ejecutar el Acuerdo de Tratamiento de Datos utilizando herramientas de automatización de conformidad con los requisitos especificados en la Ley. Encontrará información más detallada en la Política de Privacidad.

6. Violación de la seguridad de la información

6.1. El Responsable del tratamiento adoptará las medidas necesarias y suficientes, incluidas la supervisión y la gestión del acceso a la Plataforma, para evitar violaciones de la seguridad de la información al tratar Datos personales utilizando la Plataforma. La responsabilidad de elegir las medidas de protección y seguridad necesarias, así como la suficiencia y fiabilidad de dichas medidas, recae en el Responsable del Tratamiento. En caso de que se produzca una violación de la seguridad de la información debido a la acción u omisión del Responsable del tratamiento, éste se compromete a notificarlo inmediatamente al Encargado del tratamiento, a más tardar en un plazo de cuarenta y ocho (48) horas a partir de la fecha de detección del hecho, y el Encargado del tratamiento quedará exonerado de la responsabilidad relativa a la seguridad y confidencialidad de los datos tratados en el marco del Acuerdo de tratamiento de datos.

6.2. Si el procesador tiene conocimiento de cualquier violación de la seguridad que conduzca a la transferencia accidental o ilegal (suministro, distribución, acceso) de datos personales (en lo sucesivo, "violación de la seguridad de la información") y conlleve riesgos para la privacidad, confidencialidad y seguridad de los sujetos de datos personales, cuyos datos personales se han visto afectados por una violación de la seguridad (tal como se define en el artículo 34 de la Ley), el procesador deberá, inmediatamente después de tener conocimiento de ello (1) notificar al controlador de la violación de la seguridad de la información y (2) tomar medidas razonables para mitigar las consecuencias y minimizar cualquier o daño resultante de la violación de la seguridad de la información.

6.3. El encargado del tratamiento facilitará al responsable del tratamiento la información y el apoyo necesarios y suficientes en relación con dicho suceso que el responsable del tratamiento pueda necesitar para cumplir sus obligaciones en virtud de la Ley, así como para reducir las consecuencias negativas que puedan derivarse de dicho suceso.

6.4. Obligación del encargado del tratamiento de notificar la violación de la seguridad de la información La obligación del Responsable del tratamiento de notificar o responder a dicha Vulneración de la seguridad de la información de conformidad con la presente sección no constituirá una admisión por parte del Responsable del tratamiento de culpa o responsabilidad alguna en relación con la Vulneración de la seguridad de la información.

7. Ley aplicable y resolución de litigios

7.1. El presente Acuerdo se regirá y estará sujeto a interpretación de conformidad con la legislación de los Emiratos Árabes Unidos.

7.2. Todas las controversias que puedan surgir entre las Partes en el curso de la ejecución del Acuerdo se resolverán mediante negociaciones.

7.3. El Responsable del tratamiento se reserva el derecho a modificar y/o completar unilateralmente los términos y condiciones del Acuerdo de tratamiento de datos publicando el texto modificado en Internet en el siguiente enlace: https://tilda.cc/dpa/. 7.4. Con cada uso efectivo de la Plataforma para el tratamiento de Datos Personales, el Responsable confirma su conformidad con los términos y condiciones del Acuerdo de Tratamiento de Datos en la versión vigente en el momento del uso efectivo de la Plataforma para el tratamiento de Datos Personales.

La versión actual del Acuerdo de Procesamiento de Datos está fechada el 31.05.2024