Acuerdo de Procesamiento de Datos (DPA)

1. Definiciones

• «Legislación de Protección de Datos» significa UK GDPR y Data Protection Act 2018, EU GDPR y demás legislación aplicable de protección de datos, en la redacción vigente.
• «Datos Personales», «Responsable», «Encargado», «Interesado», «Tratamiento» tienen el significado otorgado por la Legislación de Protección de Datos.
• «Datos Personales del Cliente» significa los datos personales tratados por Thrones por cuenta del Cliente en relación con el Servicio.
• «Subencargado» (Sub-processor) significa un tercero contratado por Thrones para tratar los Datos Personales del Cliente.

2. Ámbito y roles

Respecto de los Datos Personales del Cliente, el Cliente es el Responsable y Thrones es el Encargado. El objeto, la duración, la naturaleza y la finalidad del tratamiento, los tipos de Datos Personales y las categorías de Interesados se describen en el Anexo de este DPA.

3. Instrucciones del Cliente

Thrones trata los Datos Personales del Cliente únicamente conforme a las instrucciones documentadas del Cliente, incluidas las transferencias a un tercer país o a una organización internacional, salvo que Thrones esté obligado a actuar de otro modo por ley. En este último caso, Thrones informará al Cliente de dicho requisito legal antes del tratamiento, salvo que la ley lo prohíba por motivos de interés público.

Se consideran instrucciones documentadas los Términos del Servicio, el presente DPA, las opciones de configuración disponibles en el Servicio y cualesquiera instrucciones adicionales por escrito razonablemente acordadas entre las partes. Si Thrones considera que una instrucción infringe la Legislación de Protección de Datos, informará de ello al Cliente.

4. Confidencialidad

Thrones garantiza que el personal autorizado a tratar los Datos Personales del Cliente está sujeto a obligaciones de confidencialidad contractuales o legales adecuadas.

5. Medidas de seguridad

Thrones implementa y mantiene medidas técnicas y organizativas adecuadas al riesgo, incluidas las medidas establecidas en el Artículo 32 del UK/EU GDPR. Un resumen de las medidas vigentes se encuentra en el Anexo. Thrones puede actualizar las medidas siempre que el nivel de seguridad no se vea sustancialmente reducido.

6. Subencargados

El Cliente otorga a Thrones una autorización general por escrito para contratar Subencargados a fin de prestar el Servicio. La lista actualizada de Subencargados se publica en la Política de Privacidad de Thrones (sección «Destinatarios y subencargados») y se mantiene al día; también está disponible previa solicitud en privacy@thrones.ai.

Thrones impone a cada Subencargado obligaciones de protección de datos sustancialmente no menos protectoras que las del presente DPA, y responde ante el Cliente por los actos y omisiones de sus Subencargados.

Thrones notificará al Cliente con antelación los cambios previstos en la lista de Subencargados para dar al Cliente una oportunidad razonable de oponerse. Si el Cliente se opone de forma motivada por razones de protección de datos y las partes no pueden resolverlo, el Cliente podrá rescindir la parte afectada del Servicio sin penalización; no se reembolsarán los períodos ya consumidos.

7. Asistencia al Cliente

Teniendo en cuenta la naturaleza del tratamiento, Thrones asiste al Cliente con medidas técnicas y organizativas apropiadas, en la medida de lo posible, para cumplir su obligación de responder a las solicitudes de los Interesados. Si Thrones recibe directamente una solicitud de un Interesado, la remite sin dilación indebida al Cliente y no responde de otro modo al Interesado.

Thrones asiste al Cliente en el cumplimiento de las obligaciones relativas a la seguridad, la notificación de violaciones, las evaluaciones de impacto en la protección de datos (DPIAs) y las consultas previas con las autoridades de control, teniendo en cuenta la naturaleza del tratamiento y la información de que disponga Thrones.

• Derecho de acceso, rectificación, supresión, limitación del tratamiento, portabilidad de los datos y derecho de oposición: Thrones proporciona al Cliente, a través del panel y sus funciones de exportación y supresión, los medios para localizar, exportar y suprimir los datos de un Interesado, de modo que el Cliente pueda dar efecto a estos derechos.
• Retirada del consentimiento y oposición a la mercadotecnia directa: las gestiona el Cliente como Responsable; Thrones actúa únicamente conforme a las instrucciones documentadas del Cliente y no contacta a los Interesados por cuenta propia.

8. Incidentes con datos personales

Thrones notificará al Cliente sin dilación indebida y, en todo caso, en un plazo de 72 horas desde el conocimiento, cualquier incidente que afecte a los Datos Personales del Cliente. La notificación contendrá la información que Thrones pueda proporcionar razonablemente en ese momento, con actualizaciones posteriores a medida que esté disponible.

9. Transferencias internacionales

El Cliente autoriza a Thrones y a sus Subencargados a transferir los Datos Personales del Cliente fuera del Reino Unido y del Espacio Económico Europeo en relación con la prestación del Servicio. Tales transferencias se realizan bajo garantías apropiadas: Cláusulas Contractuales Tipo de la Comisión Europea, UK International Data Transfer Addendum y — cuando proceda — EU-US Data Privacy Framework y UK Extension.

Cuando se apliquen las Cláusulas Contractuales Tipo, se entenderá que las partes las han suscrito del siguiente modo: el Cliente como exportador de datos (responsable), Thrones como importador de datos (encargado), Módulo 2 para transferencias de responsable a encargado, con la cláusula de adhesión y las cláusulas opcionales cuando lo permita el derecho local. El UK Addendum se aplica cuando el UK GDPR sea aplicable a la transferencia.

10. Auditoría

Thrones pondrá a disposición del Cliente la información razonablemente necesaria para demostrar el cumplimiento de este DPA y permitirá auditorías realizadas por el Cliente o un auditor mandatado por él, con sujeción a requisitos razonables de confidencialidad y seguridad. Las auditorías se realizarán como máximo una vez cada doce meses (salvo que lo requiera una autoridad de control o después de un incidente), con al menos 30 días de preaviso por escrito, en horario laboral y a cargo del Cliente. Los informes de auditores independientes (como SOC 2 o ISO 27001, cuando estén disponibles) se facilitarán en lugar de auditorías in situ cuando aborden adecuadamente las cuestiones del Cliente.

11. Supresión y devolución

Tras la rescisión o expiración del Servicio, Thrones — a elección del Cliente — suprimirá o devolverá todos los Datos Personales del Cliente y destruirá las copias existentes, salvo que la ley aplicable exija su conservación. Por defecto, si no se realiza una elección, los datos se suprimen en un plazo de 90 días desde la rescisión. Las copias de seguridad que contengan Datos Personales del Cliente se sobrescriben en el curso ordinario de la rotación de backups.

12. Responsabilidad

La responsabilidad de cada parte en virtud de o en relación con este DPA está sujeta a las limitaciones y exclusiones de responsabilidad previstas en los Términos del Servicio. Nada en este DPA afecta a la responsabilidad que no pueda limitarse conforme al derecho aplicable.

13. Prelación

En caso de conflicto entre este DPA y los Términos del Servicio en lo relativo al tratamiento de los Datos Personales del Cliente, prevalecerá este DPA.

14. Anexo — Descripción del tratamiento

Objeto y duración: tratamiento de los Datos Personales del Cliente para la prestación del Servicio durante la vigencia de la suscripción del Cliente y el plazo acordado de supresión posterior a la terminación.