Acuerdo de Tratamiento de Datos

1. Objeto y duración

El objeto del tratamiento es la prestación de la plataforma digital de exenciones WaiverKit al Responsable del tratamiento. El tratamiento continúa mientras el Responsable del tratamiento mantenga una cuenta activa y durante cualquier periodo de conservación posterior a la terminación descrito en la Sección 11.

2. Naturaleza y finalidad del tratamiento

El Encargado del tratamiento trata datos personales exclusivamente para alojar, entregar, proteger y dar soporte al servicio WaiverKit: recoger y almacenar exenciones firmadas, generar registros en PDF, enviar correos electrónicos transaccionales, autenticar usuarios, procesar pagos y generar analíticas por cuenta del Responsable del tratamiento.

3. Tipos de datos personales y categorías de interesados

Los datos personales tratados pueden incluir:

• Datos de identidad del firmante (nombre, fecha de nacimiento, dirección, correo electrónico, teléfono)
• Imágenes de firma y firmas escritas
• Datos del tutor para firmantes menores de edad
• Datos de cuenta de usuarios empresariales (nombre, correo electrónico, identificadores de autenticación, dirección IP)

Las categorías de interesados incluyen: participantes que firman exenciones, tutores de participantes menores de edad y empleados o usuarios autorizados del Responsable del tratamiento.

4. Obligaciones y derechos del Responsable del tratamiento

El Responsable del tratamiento es responsable de la licitud de la recogida y del tratamiento de los datos personales, de obtener los consentimientos necesarios de los interesados, de la exactitud de las instrucciones dadas al Encargado del tratamiento y de garantizar que las plantillas de exención y los flujos de trabajo que configura cumplen la legislación aplicable. El Responsable del tratamiento conserva todos los derechos sobre los datos personales y puede impartir instrucciones documentadas al Encargado del tratamiento en cualquier momento.

5. Subencargados del tratamiento

El Responsable del tratamiento autoriza al Encargado del tratamiento a contratar a los siguientes subencargados del tratamiento para prestar el servicio:

• Clerk (autenticación, gestión de sesiones y directorio de usuarios).
• Stripe (procesamiento de pagos y facturación de suscripciones).
• Resend (envío de correo electrónico transaccional).
• Cloudflare R2 (almacenamiento de objetos para imágenes de firma y archivos PDF).
• Vercel (alojamiento de la aplicación, red edge y enrutamiento de peticiones).
• Neon (Postgres) (alojamiento de base de datos Postgres gestionada para datos estructurados).

El Encargado del tratamiento notificará al Responsable del tratamiento cualquier incorporación o sustitución prevista de subencargados del tratamiento, con una oportunidad razonable para oponerse por motivos legítimos.

6. Medidas de seguridad

El Encargado del tratamiento aplica medidas técnicas y organizativas apropiadas para proteger los datos personales, entre ellas:

• Cifrado en tránsito (TLS 1.2+) y en reposo para la base de datos y el almacenamiento de objetos
• Controles de acceso basados en roles y IAM de mínimo privilegio en toda la infraestructura
• Aislamiento entre inquilinos aplicado en la capa de aplicación y de consultas
• Registro de auditoría de acciones administrativas y de acceso a datos personales
• Copias de seguridad periódicas, análisis automatizado de dependencias y procedimientos de respuesta ante incidentes

7. Derechos de los interesados

Teniendo en cuenta la naturaleza del tratamiento, el Encargado del tratamiento asistirá al Responsable del tratamiento mediante medidas técnicas y organizativas apropiadas para cumplir la obligación del Responsable del tratamiento de responder a las solicitudes de los interesados que ejerzan sus derechos de acceso, rectificación, supresión, limitación, portabilidad y oposición conforme a los artículos 15 a 22 del RGPD.

8. Notificación de violaciones de seguridad

El Encargado del tratamiento notificará al Responsable del tratamiento sin dilación indebida y, en cualquier caso, en un plazo de 72 horas desde que tenga conocimiento de una violación de la seguridad de los datos personales que afecte a los datos del Responsable del tratamiento. La notificación describirá la naturaleza de la violación, las consecuencias probables, las medidas adoptadas o propuestas y un punto de contacto para obtener más información.

9. Transferencias internacionales

Cuando se transfieran datos personales fuera del Espacio Económico Europeo, el Reino Unido o Suiza a un país sin decisión de adecuación, dichas transferencias se rigen por las Cláusulas Contractuales Tipo (CCT) de la Comisión Europea y, cuando proceda, por el Addendum de Transferencia Internacional de Datos del Reino Unido y el addendum suizo, junto con las medidas complementarias que exija la evaluación de impacto de la transferencia.

10. Derechos de auditoría

El Encargado del tratamiento pondrá a disposición del Responsable del tratamiento toda la información razonablemente necesaria para demostrar el cumplimiento de este DPA y permitirá y contribuirá a las auditorías, incluidas las inspecciones, realizadas por el Responsable del tratamiento o por un auditor designado por él, sujeto a obligaciones razonables de confidencialidad y no más de una vez por año natural, salvo en caso de un incidente de seguridad documentado o de un requerimiento regulatorio.

11. Terminación, devolución y supresión

A la terminación del contrato, el Encargado del tratamiento, a elección del Responsable del tratamiento, suprimirá o devolverá todos los datos personales tratados por cuenta del Responsable del tratamiento, y suprimirá las copias existentes, salvo que la legislación aplicable exija su conservación. Las copias de seguridad que contengan datos personales se suprimirán en el curso ordinario del ciclo de conservación de las copias de seguridad.