Acuerdo de Tratamiento de Datos

Este Acuerdo de Tratamiento de Datos ("ATD") forma parte de los Términos del Servicio entre Aktis SL ("Encargado", "nosotros") y el Cliente ("Responsable", "tú") que se haya suscrito al Servicio Euphania. Regula el tratamiento de datos personales que realizamos por tu cuenta en el contexto del uso del Servicio.

Este ATD se ha redactado para cumplir con el Reglamento General de Protección de Datos (Reglamento (UE) 2016/679, "RGPD"), el UK GDPR y normativas de protección de datos comparables.

1. Definiciones

Los términos "datos personales", "interesado", "tratamiento", "responsable", "encargado" y "autoridad de control" tienen el significado que les atribuye el RGPD.

2. Objeto y duración

Tratamos datos personales por tu cuenta durante la vigencia de tu Suscripción al Servicio. A la resolución, eliminaremos o devolveremos los Datos del Cliente en el plazo de 30 días, salvo obligación legal de conservación.

3. Naturaleza y finalidad del tratamiento

Tratamos datos personales para prestar el Servicio: auditar catálogos de producto, generar sugerencias de contenido con IA, publicar los cambios aprobados en plataformas conectadas, facturación y soporte.

4. Categorías de interesados

Los datos personales tratados bajo este ATD pueden referirse a:

• Personal tuyo que accede al Servicio en tu nombre.
• En casos puntuales, personas cuyo nombre aparezca en descripciones o metadatos de producto importados de tu tienda.

El Servicio no está diseñado para tratar datos de tus clientes finales. No accedemos a pedidos, registros de clientes ni métodos de pago de las tiendas conectadas.

5. Categorías de datos personales

• Datos de identificación: nombres, direcciones de email.
• Datos de cuenta: rol, metadatos de acceso.
• Datos de facturación: tratados por nuestro Merchant of Record.
• Datos de uso: logs de aplicación, marcas de tiempo.

6. Obligaciones del Encargado

Nos comprometemos a:

• Tratar los datos personales únicamente conforme a tus instrucciones documentadas.
• Asegurar que el personal autorizado para tratar datos personales esté sujeto a obligaciones de confidencialidad.
• Aplicar medidas técnicas y organizativas apropiadas (ver Sección 9).
• Asistirte para dar respuesta a solicitudes de interesados en la medida razonable.
• Asistirte en evaluaciones de impacto y consultas a autoridades de control.
• Notificarte sin dilación indebida (en 72 horas cuando sea posible) al conocer una brecha de datos personales.
• Poner a tu disposición la información necesaria para demostrar el cumplimiento de este ATD.

7. Subencargados

Nos autorizas a contratar subencargados. Seguimos siendo responsables por los actos y omisiones de nuestros subencargados como si fueran propios.

Subencargados actuales:

• Railway Corp. — alojamiento de la aplicación — EEUU
• Anthropic, PBC — inferencia de IA (API Claude) — EEUU
• Lemon Squeezy / Stripe, Inc. — Merchant of Record, procesamiento de pagos — EEUU
• Resend — envío de emails transaccionales — EEUU
• Netlify, Inc. — alojamiento de la web — EEUU

Te daremos un preaviso mínimo de 30 días antes de añadir o sustituir subencargados. Puedes oponerte por motivos razonables de protección de datos; si no podemos atender tu oposición, podrás resolver tu Suscripción como única medida.

8. Transferencias internacionales

Cuando transferimos datos personales fuera del Espacio Económico Europeo o del Reino Unido, nos apoyamos en alguno de los siguientes mecanismos legales:

• Decisiones de adecuación adoptadas por la Comisión Europea.
• Cláusulas Contractuales Tipo (UE 2021/914) y UK International Data Transfer Addendum.
• Otras garantías apropiadas exigidas por la normativa aplicable.

9. Medidas de seguridad

Aplicamos las siguientes medidas técnicas y organizativas:

• Cifrado de datos personales en tránsito (TLS 1.2+) y en reposo.
• Controles estrictos de acceso, basados en la necesidad de conocer.
• Autenticación robusta en todos los sistemas administrativos.
• Entornos de producción y desarrollo aislados.
• Revisiones de seguridad y actualizaciones periódicas de dependencias.
• Logging y monitorización de los accesos a producción.
• Procedimientos de respuesta a incidencias.
• Copias de seguridad periódicas y procedimientos probados de restauración.

10. Derechos de los interesados

Te prestaremos asistencia razonable para responder a solicitudes de interesados (acceso, rectificación, supresión, etc.). Si un interesado nos contacta directamente, le informaremos de que debe dirigirse a ti.

11. Devolución y eliminación

A la resolución, eliminaremos todos los datos personales tratados por tu cuenta en el plazo de 30 días, salvo obligación legal de conservación. A petición y en el mismo plazo, podemos exportar tus datos de producto en un formato legible por máquina comúnmente utilizado.

12. Derechos de auditoría

Con preaviso razonable, pondremos a tu disposición la información necesaria para demostrar el cumplimiento de este ATD. Las auditorías in situ podrán realizarse una vez por año natural, a tu cargo, en horario laboral y sujetas a nuestros requisitos de confidencialidad.

13. Responsabilidad

Las limitaciones de responsabilidad establecidas en los Términos del Servicio aplican a este ATD.

14. Modificaciones

Podemos actualizar este ATD para reflejar cambios legales, prácticas o de subencargados. Los cambios sustanciales se notificarán con al menos 30 días de antelación.

15. Contacto

Para consultas o para designar un punto de contacto en protección de datos, escribe a info@aktisandorra.com.