01 Antecedentes y relación
Este Acuerdo de Tratamiento de Datos («DPA») complementa los Términos de Servicio entre el Cliente («Responsable») y EDMA Group («Encargado») y refleja el acuerdo de las partes sobre el tratamiento de datos personales llevado a cabo por EDMA en nombre del Responsable en relación con el Servicio.
Este DPA está diseñado para satisfacer el Artículo 28 del Reglamento General de Protección de Datos de la UE y del RU («GDPR») y los requisitos equivalentes bajo la ley de protección de datos aplicable. Cuando las Cláusulas Contractuales Tipo de la Comisión Europea (Módulo 2: Responsable a Encargado) se apliquen a una transferencia de datos personales, dichas Cláusulas se incorporan por referencia a este DPA y prevalecen en la medida de cualquier conflicto.
02 Definiciones
Los términos usados en este DPA tienen los significados dados en el GDPR (incluidos «datos personales», «tratamiento», «interesado», «responsable», «encargado», «subprocesador», y «violación de datos personales») y, cuando corresponda, los términos equivalentes en el GDPR del RU, la Ley de Privacidad del Consumidor de California («CCPA») y otras leyes aplicables.
Datos del Cliente tiene el significado dado en los Términos de Servicio. Datos Personales del Cliente significa Datos del Cliente que constituyen datos personales bajo la ley aplicable.
03 Objeto y naturaleza del tratamiento
Objeto
EDMA trata los Datos Personales del Cliente para proporcionar el Servicio al Responsable de acuerdo con los Términos.
Duración
Durante la vigencia de los Términos de Servicio y la ventana de exportación de datos posterior a la terminación establecida en los Términos, más cualquier retención requerida por ley.
Naturaleza y finalidad del tratamiento
Alojamiento, almacenamiento, transmisión, visualización, consulta, indexación, búsqueda, análisis, cálculo (incluidas las cascadas de liquidación), y enrutamiento de datos personales entre contrapartes en el inquilino del Responsable, para las funciones operativas, financieras y asistidas por IA del Servicio.
Tipos de datos personales
- datos de identificación (nombres, correos de trabajo, cargos, organizaciones) de los empleados, proveedores, clientes, financiadores y otras contrapartes del Responsable;
- datos de contacto (números de teléfono, direcciones);
- datos comerciales (detalles de pedidos, datos de envío, metadatos de documentos, registros financieros);
- datos de comunicaciones (mensajes intercambiados a través de los portales);
- datos de autenticación (credenciales de cuenta, direcciones IP, identificadores de sesión).
El Servicio no está diseñado para tratar categorías especiales de datos personales bajo el Artículo 9 del GDPR (p. ej., datos de salud, biométricos, raciales, religiosos) ni datos de condenas penales. El Responsable acuerda no introducir tales datos en el Servicio salvo cuando sea estrictamente necesario y solo con las salvaguardas apropiadas.
Categorías de interesados
- empleados, contratistas y Usuarios autorizados del Responsable;
- personas en los proveedores, clientes, proveedores de logística y financiadores del Responsable;
- cualquier otra persona cuyos datos personales el Responsable elija introducir en el Servicio.
04 Obligaciones del Responsable
El Responsable es responsable de:
- establecer una base legal para el tratamiento de los Datos Personales del Cliente, incluida la obtención de los consentimientos necesarios y la provisión de los avisos requeridos a los interesados;
- la exactitud, calidad, legalidad e integridad de los Datos Personales del Cliente;
- configurar los controles de acceso, los permisos de usuario, y los ajustes de visibilidad de portal dentro del Servicio para reflejar los requisitos de protección de datos del Responsable;
- responder a las solicitudes de los interesados cuando EDMA las reenvíe bajo el §9, y cuando el Responsable sea el responsable competente;
- cumplir con la ley de protección de datos aplicable como responsable.
05 Obligaciones de EDMA
EDMA, actuando como Encargado, hará lo siguiente:
- tratar los Datos Personales del Cliente solo siguiendo instrucciones documentadas del Responsable, incluidas las instrucciones implícitas en el uso por el Responsable de las funciones del Servicio, y según lo requiera la ley aplicable (en cuyo caso EDMA informará al Responsable de ese requisito legal antes del tratamiento, salvo que la ley prohíba dicho aviso por motivos importantes de interés público);
- asegurar que las personas autorizadas a tratar los Datos Personales del Cliente estén sujetas a obligaciones de confidencialidad apropiadas;
- implementar las medidas técnicas y organizativas de seguridad descritas en el §7 (el Anexo II de las SCC se satisface mediante el §7);
- contratar subprocesadores solo según lo establecido en el §6;
- asistir al Responsable en el cumplimiento de sus obligaciones relativas a las solicitudes de los interesados, la seguridad, las notificaciones de violaciones, las evaluaciones de impacto de protección de datos, y la consulta previa, teniendo en cuenta la naturaleza del tratamiento y la información disponible para EDMA;
- a elección del Responsable, eliminar o devolver todos los Datos Personales del Cliente al final del Servicio, según lo establecido en el §12;
- poner a disposición del Responsable la información necesaria para demostrar el cumplimiento de este DPA, sujeto al §11.
Si EDMA cree que una instrucción del Responsable infringe la ley de protección de datos aplicable, EDMA informará al Responsable sin demora indebida.
06 Subprocesadores
El Responsable autoriza a EDMA a contratar los subprocesadores listados abajo para tratar los Datos Personales del Cliente. EDMA impondrá a cada subprocesador obligaciones de protección de datos no menos protectoras que este DPA.
Subprocesadores actuales
| Subprocesador | Propósito | Región |
|---|---|---|
| Amazon Web Services | Alojamiento, cómputo, almacenamiento, bases de datos | EU (Fráncfort o Irlanda) |
| Cloudflare | CDN, WAF, gestión de bots | Red de borde global |
| Resend | Entrega de correo transaccional | US / EU |
| Anthropic | Inferencia de IA (Atlas, IA de Contabilidad) — endpoints enterprise de Retención Cero de Datos | US |
| OpenAI | Respaldo de inferencia de IA — endpoints enterprise de Retención Cero de Datos | US |
| Google Cloud (Vertex AI / Gemini) | Respaldo de inferencia de IA | EU / US |
| Stripe | Procesamiento de pagos | EU / US |
| Sentry | Monitorización de errores, depurada de datos personales en origen | EU / US |
La lista autorizada en vivo se mantiene en edma.trade/legal/dpa (esta página). EDMA puede contratar subprocesadores adicionales con al menos treinta (30) días de aviso previo a los contactos de administrador del Responsable. El Responsable puede objetar a un nuevo subprocesador por motivos razonables de protección de datos durante el periodo de aviso; si EDMA no puede acomodar la objeción, el Responsable puede terminar el Periodo de Suscripción afectado con reembolso prorrateado de las cuotas no usadas.
07 Medidas de seguridad
EDMA implementa las siguientes medidas técnicas y organizativas (las «TOM»), que forman el Anexo II de las SCC cuando corresponde.
Cifrado
- TLS 1.2+ para todos los datos en tránsito entre cliente y servidor, servidor y subprocesador;
- cifrado AES-256 (o más fuerte) para los datos en reposo en el almacenamiento primario y de copia de seguridad;
- instantáneas de base de datos cifradas; gestión de claves vía el KMS gestionado del proveedor de alojamiento con política de rotación.
Control de acceso
- autenticación multifactor para todo el personal de EDMA con acceso a los entornos de producción;
- control de acceso basado en roles con valores por defecto de mínimo privilegio;
- elevación justo a tiempo para operaciones sensibles, con registro de auditoría;
- separación lógica por inquilino; el acceso entre inquilinos se deniega en la capa de aplicación.
Red y perímetro
- WAF y protección DDoS frente a los endpoints públicos;
- conectividad de red privada entre las capas de aplicación y datos;
- controles de egreso sobre el tráfico saliente de producción.
Desarrollo de software
- revisión de código requerida para todos los cambios de producción;
- escaneo de dependencias y remediación de vulnerabilidades bajo SLA definidos;
- gestión de secretos vía el almacén de secretos del proveedor de alojamiento; sin secretos en el código fuente.
Operacional
- registro estructurado con redacción de campos sensibles en origen;
- monitorización y alertas continuas para eventos de seguridad;
- pruebas de penetración anuales por terceros;
- procedimientos de respuesta a incidentes con roles y rutas de escalado definidos;
- procedimientos de copia de seguridad y recuperación ante desastres con RPO/RTO documentados.
Personas
- comprobaciones de antecedentes del personal con acceso a producción cuando sea lícito;
- formación de concienciación en seguridad en la contratación y al menos anualmente después;
- obligaciones contractuales de confidencialidad sobre el personal y los contratistas;
- acceso revocado con prontitud al cese.
08 Transferencias internacionales
Cuando los datos personales se transfieren desde el EEA, el RU o Suiza a un país que no se considera que proporciona protección adecuada, las partes se basan en:
- las Cláusulas Contractuales Tipo de la Comisión Europea (2021/914, Módulo 2: Responsable a Encargado) y la adenda del RU cuando se aplica el GDPR del RU;
- las medidas técnicas y organizativas del §7 como salvaguardas suplementarias;
- la evaluación por el Responsable de los riesgos de la transferencia, teniendo en cuenta la ley y la práctica del país de destino.
Cuando EDMA contrate a un subprocesador ubicado fuera del EEA, EDMA asegura que las mismas salvaguardas o equivalentes se apliquen a la transferencia ulterior.
09 Derechos del interesado
Si EDMA recibe una solicitud directamente de un interesado relativa a los Datos Personales del Cliente (p. ej., acceso, rectificación, supresión, restricción, portabilidad, oposición), EDMA, sin demora indebida, reenviará la solicitud al Responsable y no responderá a la solicitud directamente salvo que el Responsable lo indique o lo requiera la ley.
EDMA asistirá al Responsable, teniendo en cuenta la naturaleza del tratamiento y la información disponible para EDMA, a responder a las solicitudes de los interesados dentro de los plazos legales aplicables. La asistencia incluye proporcionar mecanismos técnicos para acceder, exportar o eliminar datos personales dentro del Servicio.
10 Violación de datos personales
EDMA notificará al Responsable sin demora indebida, y en cualquier caso dentro de 72 horas de que EDMA tenga conocimiento de una violación de datos personales que afecte a los Datos Personales del Cliente. La notificación incluirá, en la medida en que se conozca entonces:
- la naturaleza de la violación, incluidas las categorías y el número aproximado de interesados y registros afectados;
- las consecuencias probables;
- las medidas tomadas o propuestas para abordar la violación y mitigar sus efectos;
- datos de contacto para más información.
EDMA proporcionará más actualizaciones a medida que avance la investigación y cooperará con las obligaciones de respuesta a violaciones del Responsable bajo la ley aplicable. La notificación de EDMA al Responsable no es un reconocimiento de culpa ni responsabilidad.
11 Auditorías e inspecciones
EDMA pondrá a disposición del Responsable, ante solicitud razonable y no más de una vez en cualquier periodo de 12 meses (salvo cuando lo requiera una autoridad de control o tras una violación de datos personales), la información necesaria para demostrar el cumplimiento de este DPA. EDMA satisfará esta obligación proporcionando:
- este DPA y la última versión publicada de las medidas de seguridad;
- resúmenes de informes de auditoría independientes de terceros cuando estén disponibles;
- respuestas a un cuestionario de seguridad razonable.
Cuando lo anterior sea insuficiente, podrá realizarse una auditoría in situ sujeta a (a) aviso razonable; (b) compromisos de confidencialidad; (c) que las auditorías se realicen durante horas hábiles y no perturben irrazonablemente las operaciones de EDMA; y (d) que el Responsable asuma sus propios costes salvo que la auditoría revele una violación material. Las auditorías pueden ser realizadas por un auditor independiente externo acordado por ambas partes.
12 Devolución y eliminación
A la terminación del Periodo de Suscripción, EDMA proporcionará una ventana de exportación de 30 días durante la cual el Responsable podrá recuperar los Datos Personales del Cliente en un formato estructurado, de uso común y legible por máquina. Tras esa ventana, EDMA eliminará los Datos Personales del Cliente de los sistemas activos dentro de 30 días y de las copias de seguridad de acuerdo con el ciclo documentado de retención de copias de seguridad de EDMA (típicamente dentro de 90 días), salvo cuando la retención sea requerida por ley.
A solicitud escrita del Responsable antes de que expire la ventana de exportación, EDMA proporcionará una certificación escrita de eliminación.
13 Responsabilidad y precedencia
La responsabilidad de cada parte bajo o en relación con este DPA está sujeta a la limitación de responsabilidad de los Términos de Servicio. En la medida en que cualquier límite de responsabilidad se aplique por separado a la responsabilidad de protección de datos, se establece en los Términos.
En caso de conflicto entre este DPA y los Términos, este DPA prevalece en materia de protección de datos. Cuando se incorporan las Cláusulas Contractuales Tipo, las Cláusulas prevalecen en la medida del conflicto.
Este DPA puede actualizarse para reflejar cambios en la ley aplicable, los subprocesadores, o las medidas técnicas. Los cambios materiales se notificarán a los contactos de administrador del Responsable con al menos treinta (30) días antes de que surtan efecto.