Acuerdo de procesamiento de datos

El uso de la plataforma implica la recogida y el tratamiento de datos personales. Cuando usted facilita sus datos personales, por ejemplo, durante el registro o el pago de una suscripción, los tratamos de conformidad con la Política de privacidad.

Si publica información sobre personas en el sitio web, utiliza formularios de recogida de datos, el sistema de gestión de relaciones con los clientes, herramientas para crear tiendas en línea o cursos de formación, así como si activa el análisis estadístico avanzado, usted se convierte en responsable del tratamiento de los datos personales de terceros. Nosotros tratamos dichos datos como encargados del tratamiento, actuando en su nombre.

El presente Acuerdo de Tratamiento de Datos (en lo sucesivo, el «DPA») forma parte integrante de las Condiciones del Servicio (en lo sucesivo, el «Acuerdo»). Todos los términos y definiciones utilizados en el DPA tienen el mismo significado que en el Acuerdo. Los términos relacionados con el tratamiento de datos personales se interpretarán según lo dispuesto en la legislación aplicable.

1. Condiciones generales de tratamiento

1.1. Objeto. Con el fin de cumplir las obligaciones derivadas del Acuerdo, el Usuario da instrucciones, y la Administración se compromete a tratar los datos personales de terceros recopilados o tratados de cualquier otra forma a través de las funcionalidades de la Plataforma.

Las disposiciones del DPA constituirán instrucciones documentadas del Usuario en el sentido de la legislación aplicable en materia de protecciónde datos.

1.2. Categorías de interesados. A los efectos del DPA, los terceros pueden incluir a cualquier persona física, incluyendo:
1) empleados , consultores, contratistas, socios comerciales y personas de contacto cuya información se publique o se ponga a disposición de otro modo dentro del Proyecto del Usuario;
2) candidatos , clientes actuales o potenciales o socios del Usuario que envíen datos personales a través de formularios de recogida de datos dentro del Proyecto del Usuario;
3) visitantes del Proyecto del Usuario cuya información se recoja automáticamente.

1.3. Finalidad del tratamiento y categorías de datos personales. La Administración tratará los datos personales en nombre del Usuario dentro del siguiente ámbito:

Objetivo	Categorías de datos personales
Publicación de información sobre personas en los proyectos	La lista la elabora el usuario de forma independiente, basándose en las funcionalidades de la plataforma, y no está controlada por la administración.
El uso de formularios de recopilación de datos, Tilda CRM, la creación de tiendas online y cursos de formación a través de la Cuenta personal, el carrito de la compra, los sistemas de pago y/o los servicios de entrega en los Proyectos	En función de la funcionalidad utilizada y de su configuración, los datos personales tratados pueden incluir: nombre, dirección de correo electrónico, número de teléfono, dirección, los cuatro últimos dígitos de la tarjeta bancaria, fecha de caducidad de la tarjeta bancaria, información sobre pedidos, historial de pedidos e información sobre los productos adquiridos. Cualquier otra lista la determina el usuario de forma independiente en función de las funcionalidades de la plataforma y no está controlada por la administración.
Utilizando las estadísticas internas de los proyectos de la plataforma, siempre que se haya desactivado el modo simplificado en la configuración del proyecto mediante la opción «Usar»	Fuentes de redireccionamiento, direcciones IP, incluyendo el país y la ciudad según la IP. Cookies de estadísticas de la URL anterior, tildasid y tildauid, TILDAUTM
Integración con servicios de terceros, incluidos los servicios de análisis y estadísticas	Cookies determinadas de forma independiente por el usuario y el titular del servicio de terceros
Aplicación de sistemas de protección y seguridad	Direcciones IP, cookies esenciales para proteger el Proyecto contra ataques DDoS — __ddgN, donde N es cualquier número, _ddgid y __ddgmark —, y cookies para impedir el acceso no autorizado

1.4. Restricciones al tratamiento de datos. El usuario evalúa de forma independiente la legalidad del tratamiento de los datos personales en la Plataforma, así como la posibilidad de autorizar a la Administración a tratar dichos datos. El usuario acepta y reconoce que:
1) la Administración no trata datos personales relacionados con la salud, datos genéticos, datos biométricos ni otras categorías especiales de datos personales;
2) tLa función de publicar contenido en los proyectos no está pensada para publicar imágenes que contengan datos personales, incluidas fotografías de personas y copias escaneadas de documentos.

1.5. Duración del tratamiento. La Administración tratará los datos personales de terceros durante la vigencia del Acuerdo o durante cualquier período adicional que sea necesario para cumplir las obligaciones derivadas del mismo, hasta que dichos datos sean suprimidos de conformidad con los procedimientos establecidos en la Ley de Protección de Datos.

2. Responsabilidades, garantías y declaraciones del usuario

2.1. Organización del tratamiento de datos personales en la Plataforma. El Usuario, en su calidad de responsable del tratamiento, organiza de forma independiente el tratamiento de los datos personales de los individuos en la Plataforma. El Usuario determina los fines y los fundamentos del tratamiento de los datos personales, así como su contenido y la lista de acciones y operaciones que se llevarán a cabo.

2.2. Garantía del cumplimiento legal. Al tratar datos personales en el Proyecto, el Usuario deberá garantizar de forma independiente el cumplimiento de la legislación aplicable. En particular, el Usuario, sin la participación de la Administración:
1) establece el procedimiento para recabar los consentimientos para el tratamiento de datos personales en el Proyecto, incluido el uso de formularios de recogida de datos y/o servicios de análisis;
2) publica una política de privacidad o un aviso de privacidad en el Proyecto;
3) designa a las personas responsables y elabora un conjunto de documentos internos que regulan el tratamiento de datos.

2.3. Existencia de una base jurídica. Al tratar datos personales en la Plataforma, el Usuario declara y garantiza que ha obtenido los consentimientos de los interesados u otro fundamento jurídico para el tratamiento de los datos y su transferencia a la Administración en virtud de la DPA.

A petición de la Administración enviada a la dirección de correo electrónico del Usuario especificada en la Cuenta, el Usuario se compromete a proporcionar documentos que confirmen la existencia de fundamentos jurídicos para el tratamiento en un plazo de 24 horas desde la recepción de la solicitud.

2.4. Conexión de servicios de terceros. Al utilizar la Plataforma, se le puede ofrecer al Usuario la posibilidad de conectar servicios de terceros que recopilan o tratan de otro modo datos personales, incluidos servicios de recopilación de datos, sistemas de pago y/o servicios de entrega.

El tratamiento de datos por parte de los servicios de terceros lo realizan sus propietarios, que actúan de forma independiente de la Administración y no en nombre y/o por cuenta de la Administración. La Administración no se hace responsable del tratamiento de datos personales por parte de los propietarios de los servicios de terceros.

El Usuario se compromete a garantizar de forma independiente la licitud del tratamiento de datos personales al conectar Servicios de terceros, incluyendo la emisión de instrucciones separadas para el tratamiento con sus propietarios.

2.5. Transferencias transfronterizas. Al utilizar la funcionalidad de la Plataforma, puede producirse una transferencia transfronteriza de datos personales de terceros por iniciativa del Usuario, en particular, cuando:
1) se cambie el país del perfil del Usuario;
2) al conceder acceso a un Proyecto a un Usuario con otro país de perfil;
3) al transferir un Proyecto a la Cuenta de un Usuario con otro país de perfil.
4) al conectar Servicios de Terceros al Proyecto.

El Usuario se compromete a garantizar de forma independiente la seguridad de la transferencia transfronteriza de datos personales de conformidad con los requisitos de la legislación aplicable.

3. Cesión de datos personales por parte de la Administración

3.1. Cesiones a terceros. La Administración cede datos personales, en virtud de acuerdos de tratamiento de datos, a los siguientes encargados del tratamiento:
1) Hetzner Online GmbH: para el almacenamiento de datos personales en servidores;
2) G-Core Labs SA: para el almacenamiento y la copia de seguridad de los proyectos de los usuarios;
3) Google Cloud EMEA Limited: para garantizar la seguridad de la información de los proyectos.

Por la presente, el usuario concede a la Administración una autorización general por escrito para que recurra a los encargados del tratamiento especificados para el tratamiento de datos personales.

Todos los encargados del tratamiento que traten datos personales en nombre de la Administración se comprometen a cumplir con las medidas de confidencialidad, protección y seguridad exigidas por la legislación aplicable.

Sin perjuicio de las limitaciones de responsabilidad establecidas en el presente documento, la Administración sigue siendo responsable ante el Usuario de los actos y/u omisiones de los encargados del tratamiento contratados.

3.2. Cambios en la lista de encargados del tratamiento contratados. La Administración tiene derecho a involucrar a otros terceros en el tratamiento de datos personales, previa notificación al Usuario. La notificación se envía a la dirección de correo electrónico utilizada para la autorización en la Plataforma, o mediante la publicación de la información pertinente en la Cuenta Personal.

El Usuario tiene derecho a presentar objeciones motivadas al cambio en la lista de encargados del tratamiento en un plazo de 10 días a partir de la fecha de notificación. Al mismo tiempo, el Usuario entiende y reconoce que:
1) la participación de terceros puede ser necesaria para el correcto cumplimiento de las obligaciones de la Administración en virtud del Acuerdo;
2) si se reciben objeciones, la Administración podrá rescindir unilateralmente el Acuerdo de forma extrajudicial.

3.3. Seguridad de las transferencias transfronterizas. La Administración lleva a cabo transferencias transfronterizas de datos personales en el territorio de:
1) Estadosmiembros de la Unión Europea: con fines de almacenamiento y seguridad de la información;
2) Estados Unidos de América: para el almacenamiento y la copia de seguridad de los Proyectos del Usuario.

Antes de iniciar una transferencia transfronteriza, la Administración determinará si el país al que se transfieren los datos personales está reconocido como un país que ofrece un nivel adecuado de protección de datos de conformidad con la legislación aplicable.

Al transferir datos personales a un país que no garantiza el nivel de protección requerido, la Administración se compromete a celebrar cláusulas contractuales tipo con el destinatario o a garantizar la aplicación de normas corporativas vinculantes.

4. Seguridad del tratamiento

4.1. Medidas aplicadas. La Administración velará por la confidencialidad y garantizará la seguridad de los datos personales de conformidad con la legislación aplicable, lo que incluye:
1) el mantenimiento de registros de las actividades de tratamiento;
2) la definición de una lista de personas autorizadas para recabar y tratar datos personales o que tengan acceso a ellos;
3) el establecimiento de procedimientos de control de acceso a los datos personales;
4) el uso de canales de comunicación seguros y de cifrado;
5) aplicación de técnicas de seudonimización, incluido el uso de identificadores en los sistemas internos de la Administración;
6) implementación de mecanismos de identificación y/o autenticación al tratar datos personales;
7) uso de sistemas de copia de seguridad y recuperación;
8) evaluación y gestión de los riesgos de seguridad de la información;
9) inclusión de requisitos de protección y seguridad de los datos en los contratos y/o acuerdos de tratamiento de datos con los proveedores de servicios;
10) realización de auditorías técnicas periódicas.

4.2. Violación de datos personales. En caso de que se detecte una violación de datos personales que dé lugar a la destrucción, pérdida, alteración, divulgación no autorizada y/o acceso a datos personales de terceros de forma accidental o ilícita, la Administración está obligada a notificar al Usuario dicha violación sin demora injustificada.

La notificación deberá incluir una descripción de la naturaleza de la violación, las posibles consecuencias para los interesados y las medidas que la Administración haya tomado y/o tenga previsto tomar para mitigar dichas consecuencias.

Al mismo tiempo, el Usuario entiende y reconoce que la notificación de una violación de datos personales no puede considerarse en ningún caso una admisión de culpa y/o responsabilidad por parte de la Administración.

5. Asistencia al usuario

5.1. Facilitación de información y auditoría. A petición del Usuario, durante la vigencia del DPA, la Administración está obligada a facilitar documentos y otra información que confirme que se han adoptado y se están cumpliendo las medidas necesarias para la ejecución del DPA. No obstante, el Usuario podrá presentar dichas solicitudes como máximo una vez cada tres meses.

Previa solicitud por escrito del Usuario, la Administración se compromete a colaborar en la realización de auditorías o inspecciones, facilitando al Usuario la información necesaria sobre los procedimientos de tratamiento de datos personales.

5.2. Asistencia en el cumplimiento de las obligaciones. Como norma general, el Usuario, en su calidad de responsable del tratamiento de datos personales, deberá garantizar de forma independiente el cumplimiento de los requisitos establecidos por la legislación aplicable.

No obstante, teniendo en cuenta la naturaleza del tratamiento, previa solicitud por escrito del Usuario, la Administración prestará asistencia razonable para el cumplimiento de las obligaciones relacionadas con:
1) garantizar la seguridad del tratamiento;
2) preparar notificaciones de violaciones de datos personales;
3) realizar evaluaciones de impacto en materia de protección de datos;
4) realizar consultas previas con las autoridades de control;
5) tramitar las solicitudes de los interesados mediante la aplicación de medidas técnicas y organizativas adecuadas, en la medida en que sea factible dada la naturaleza del tratamiento.

6. Supresión de datos personales

6.1. Garantía de los derechos de los interesados. El usuario se compromete a tratar los datos personales en la Plataforma hasta que se cumplan los fines del tratamiento. Si se retira el consentimiento para el tratamiento de datos personales, o si desaparecen los motivos que permiten dicho tratamiento, el Usuario deberá garantizar de forma independiente la supresión de los datos personales.

6.2. Procedimiento de devolución o supresión. Tras recibir una solicitud específica, la Administración, a elección del Usuario, suprimirá o devolverá los datos personales recibidos del Usuario en un plazo no superior a 30 días, salvo que la legislación aplicable establezca otro plazo.

La Administración también eliminará los datos personales una vez expirado el plazo de conservación establecido en la Plataforma o determinado de forma independiente por el Usuario. En particular, al utilizar formularios de recogida de datos en el Proyecto, el plazo de conservación de los datos se fijará a través de la configuración correspondiente del Proyecto.

Al mismo tiempo, la Administración tendrá derecho a no eliminar y/o no devolver los datos personales recibidos del Usuario cuando la legislación aplicable prevea el derecho u obligación de conservar dichos datos.

6.3. Bloqueos y restricciones en la Plataforma. En caso de incumplimiento o de sospecha razonable de que el Usuario ha incumplido el Acuerdo y/o la legislación aplicable, la Administración tendrá derecho a bloquear la cuenta del Usuario, así como a adoptar otras medidas previstasen el Acuerdo.

El Usuario entiende y reconoce que, si la Administración adopta medidas administrativas, los datos personales tratados en virtud del DPA podrán ser eliminados sin posibilidad de recuperación posterior.

7. Responsabilidad civil, indemnización por daños y perjuicios

7.1. Responsabilidad de la Administración. La Administración no se hace responsable de las acciones del Usuario en el tratamiento de datos personales en la Plataforma. Cualquier reclamación, demanda o queja de terceros relacionada con el tratamiento de sus datos personales deberá ser resuelta directamente por el Usuario sin la intervención de la Administración.

La Administración tampoco se hace responsable de los actos y/u omisiones relacionados con el tratamiento de datos personales de terceros cuando la Administración haya actuado exclusivamente de conformidad con las instrucciones del Usuario.

En cualquier caso, la responsabilidad de la Administración no excederá el importe del coste del Plan pagado por el Usuario y vigente durante el período en que se produzcan los hechos que dan lugar a la responsabilidad patrimonial de la Administración.

7.2. Responsabilidad del Usuario e indemnización por pérdidas. El Usuario, en su calidad de responsable del tratamiento de datos según la legislación de la Federación de Rusia, es responsable individualmente ante los titulares de los datos personales de la licitud del tratamiento de los datos personales.

En caso de que se inicie un procedimiento judicial y/o administrativo contra la Administración, se interponga una demanda o se presente una reclamación por parte de cualquier tercero debido al incumplimiento por parte del Usuario del procedimiento de tratamiento de datos personales, el Usuario estará obligado a indemnizar a la Administración por todas las pérdidas, incluidos los gastos legales razonables.

8. Varios

8.1. Legislación aplicable. Sin perjuicio de lo dispuesto en el Acuerdo, el tratamiento de datos personales en virtud de las presentes Instrucciones se regirá e interpretará de conformidad con la legislación de los Emiratos Árabes Unidos.

Cuando los interesados cuyos datos personales sean tratados por la Administración se encuentren en un Estado miembro de la Unión Europea y/o del Espacio Económico Europeo, el tratamiento de datos personales también estará sujeto a las disposiciones del Reglamento General de Protección de Datos.

8.2. Cláusulas contractuales tipo. El tratamiento de datos personales de personas ubicadas en la Unión Europea y/o en el Espacio Económico Europeo por parte de la Administración se regirá además por las cláusulas contractuales tipo.

De conformidad con el Reglamento General de Protección de Datos, estas cláusulas contractuales tipo garantizan la licitud de las transferencias de datos personales a los Emiratos Árabes Unidos.

En caso de conflicto entre las presentes Instrucciones y las disposiciones de las cláusulas contractuales tipo, prevalecerán estas últimas.