Anexo de Tratamiento de Datos (DPA) conforme al RGPD
Última actualización:
1. Partes
Este Anexo de Tratamiento de Datos (DPA) forma parte del acuerdo o de los términos entre who-called Media ("Proveedor") y la persona física o jurídica que utiliza o adquiere los servicios ("Cliente"). A efectos del RGPD, el Cliente suele ser el Responsable y who-called Media actúa como Encargado (o, cuando who-called Media determine los fines y medios, como Responsable independiente para esas actividades específicas).
2. Objeto y Duración
Este DPA regula el Tratamiento de Datos Personales en relación con los servicios prestados a través de https://who-called.com.tw. Permanece vigente mientras el Proveedor Procese Datos Personales en nombre del Cliente o hasta que la eliminación/devolución se haya completado.
3. Definiciones
"RGPD" significa el Reglamento (UE) 2016/679. "Datos Personales", "Tratamiento", "Responsable", "Encargado", "Interesado", "Autoridad de Control" y "Violación de Datos Personales" tienen los significados establecidos en el RGPD.
4. Roles
El Cliente instruye al Proveedor a Tratar Datos Personales únicamente para prestar, mantener, asegurar, optimizar, soportar y mejorar los servicios y según se documente adicionalmente en las instrucciones escritas del Cliente (incluyendo configuración o llamadas API). El Proveedor informará con prontitud al Cliente si una instrucción infringe el RGPD.
5. Categorías de Datos y de Interesados (Típicas)
- Interesados: usuarios finales, titulares de cuentas, visitantes del sitio, clientes, solicitantes de soporte.
- Datos Personales: identificadores (nombre, nombre de usuario, correo electrónico, IP, metadatos de dispositivo/navegador), preferencias de la cuenta, registros de uso, metadatos transaccionales limitados, comunicaciones de soporte. El Cliente puede aportar datos opcionales adicionales mediante campos de texto libre.
- No se realiza intencionalmente Tratamiento de categorías especiales; el Cliente no debe enviar datos sensibles salvo acuerdo expreso.
6. Responsabilidades del Cliente
El Cliente garantiza una base jurídica, proporciona los avisos requeridos y (cuando proceda) obtiene los consentimientos para el Tratamiento por parte del Proveedor.
7. Obligaciones del Proveedor
El Proveedor: (a) Tratará solo conforme a instrucciones documentadas; (b) implementará medidas técnicas y organizativas apropiadas; (c) asegurará compromisos de confidencialidad; (d) asistirá con las solicitudes de los Interesados; (e) asistirá con Evaluaciones de Impacto (DPIA) cuando proceda (proporcionado de forma proporcional al nivel del servicio); (f) mantendrá los registros requeridos por el RGPD.
8. Confidencialidad
El personal está sujeto a obligaciones de confidencialidad y recibe formación adecuada en privacidad/seguridad.
9. Seguridad
El Proveedor emplea medidas apropiadas al riesgo, incluyendo (según corresponda y evolucione):
- Controles de acceso y privilegio mínimo
- Hashing de contraseñas / protección de credenciales
- Cifrado en tránsito (HTTPS/TLS) y en reposo (cuando sea viable)
- Cortafuegos / filtrado de red y de aplicaciones
- Registro y monitorización de actividad anómala
- Gestión regular de vulnerabilidades y aplicación de parches
- Procedimientos de copia de seguridad y recuperación
- Segregación de entornos (producción vs. pruebas)
El Cliente es responsable de la configuración del acceso de usuarios finales (por ejemplo, contraseñas robustas, controles basados en roles) dentro del servicio.
10. Subencargados
El Cliente autoriza al Proveedor a contratar Subencargados para hosting, analítica, comunicaciones o servicios auxiliares. El Proveedor impondrá obligaciones de protección de datos no menos protectoras que este DPA. Se puede solicitar una lista o resumen actual a través de [email protected]. El Cliente puede objetar (por motivos razonables) dentro de 10 días desde la notificación; si no se resuelve, el Cliente puede discontinuar los servicios afectados.
11. Transferencias Internacionales
Cuando los Datos Personales se transfieran fuera del EEE/Reino Unido/Suiza, el Proveedor asegura un mecanismo de transferencia apropiado (p.ej., decisión de adecuación, Cláusulas Contractuales Tipo u otro instrumento lícito). Se implementarán salvaguardias suplementarias cuando sea requerido.
12. Solicitudes de Interesados
El Proveedor, en la medida legalmente permitida, asistirá al Cliente mediante medidas técnicas y organizativas apropiadas en la respuesta a solicitudes (acceso, rectificación, supresión, limitación, portabilidad, oposición). El Cliente sigue siendo principalmente responsable de verificar al solicitante y de cumplir obligaciones no exclusivamente asumidas por el Proveedor.
13. Notificación de Violación de Datos Personales
Al tener conocimiento de una Violación de Datos Personales que afecte a Datos Personales del Cliente, el Proveedor notificará sin demora indebida al Cliente, proporcionando los detalles conocidos y la cooperación. El Cliente es responsable de cualquier notificación regulatoria o a Interesados requerida salvo acuerdo en contrario.
14. Auditorías e Información
El Proveedor pondrá a disposición información razonablemente necesaria para demostrar el cumplimiento (p.ej., descripciones resumidas de seguridad o informes de certificaciones de terceros). Las auditorías presenciales formales requieren al menos 30 días de preaviso, no ocurrirán más de una vez al año (salvo mandato de una Autoridad de Control o tras una infracción material confirmada) y deben proteger la confidencialidad. Cada parte asume sus propios costes (salvo que se encuentre un incumplimiento material del Proveedor).
15. Conservación, Devolución, Eliminación
Tras la terminación o previa solicitud escrita, el Proveedor eliminará o devolverá los Datos Personales (a elección del Cliente) salvo que la conservación sea requerida por ley, seguridad, resolución de disputas o integridad de copias de seguridad (en cuyo caso los datos se aislarán y eliminarán de forma segura conforme a los ciclos estándar de depuración).
16. Responsabilidad
La responsabilidad bajo este DPA está sujeta a las limitaciones y exclusiones establecidas en el acuerdo subyacente. Nada limita la responsabilidad donde no lo permita la legislación aplicable (p.ej., conducta dolosa).
17. Modificaciones
El Proveedor puede actualizar este DPA para reflejar cambios legales u operativos. Los cambios materiales serán notificados (p.ej., a través del sitio o correo electrónico). El uso continuado tras la fecha de entrada en vigor constituye aceptación.
18. Ley Aplicable
Este DPA se rige por la misma ley y jurisdicción que el acuerdo subyacente, salvo que el RGPD exija lo contrario.
19. Conflicto
Si existe un conflicto entre este DPA y otros términos, este DPA prevalece respecto a cuestiones de protección de datos.
20. Contacto
Consultas sobre protección de datos: [email protected] o visita https://who-called.com.tw.
Al continuar utilizando los servicios, el Cliente reconoce y acepta este DPA.