Acuerdo de tratamiento de datos.

Este acuerdo de tratamiento de datos (“DPA”) forma parte de, y se incorpora por referencia a, las Condiciones del servicio de Confir (el “Acuerdo”) entre Confir OÜ y el Cliente. Rige el tratamiento de Datos Personales por parte de Confir OÜ por cuenta del Cliente en relación con el Servicio. Los términos en mayúscula no definidos aquí tienen el significado que se les atribuye en el Acuerdo.

Este DPA refleja los requisitos del artículo 28 del RGPD. Al aceptar el Acuerdo, el Cliente también acepta este DPA en su propio nombre y, en su caso, en nombre de los responsables del tratamiento a los que representa.

1. Definiciones

1.1 En este DPA:

• “Confir”, “nosotros” significa Confir OÜ, código de registro [Código de registro], domicilio social [Dirección registrada], Estonia, actuando como Encargado del tratamiento.
• “Cliente”, “usted” significa la entidad que ha celebrado el Acuerdo, actuando como Responsable del tratamiento (o, cuando sea aplicable la Sección 2.3, como Encargado del tratamiento por cuenta de un Responsable del tratamiento tercero).
• “Datos Personales del Cliente” significa los Datos Personales contenidos en los Datos del Cliente que Confir Trata por cuenta del Cliente en virtud del Acuerdo, según se describe con más detalle en el Anexo I.
• “Legislación de Protección de Datos” significa todas las leyes y reglamentos aplicables al Tratamiento de Datos Personales en virtud del Acuerdo, incluidos el RGPD, la Ley estonia de protección de datos personales (Isikuandmete kaitse seadus) y las normas de la UE en materia de privacidad electrónica (ePrivacy), en cada caso según se modifiquen o sustituyan periódicamente.
• “RGPD” significa el Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos).
• “Transferencia Restringida” significa una transferencia de Datos Personales del Cliente desde Confir (o un Subencargado del tratamiento) a un país o destinatario fuera del Espacio Económico Europeo (EEE) que no esté sujeto a una decisión de adecuación con arreglo al artículo 45 del RGPD.
• “Cláusulas Contractuales Tipo” o “CCT” significa las cláusulas contractuales tipo establecidas en la Decisión de Ejecución (UE) 2021/914 de la Comisión, de 4 de junio de 2021, según se modifiquen o sustituyan.
• “Subencargado del tratamiento” significa cualquier tercero contratado por Confir para Tratar Datos Personales del Cliente.
• “Responsable del tratamiento”, “Encargado del tratamiento”, “Interesado”, “Datos Personales”, “Violación de la Seguridad de los Datos Personales”, “Tratamiento”, “Categorías Especiales de Datos Personales” y “Autoridad de Control” tienen el significado que se les atribuye en el RGPD.

2. Funciones y ámbito del Tratamiento

2.1 Funciones. Entre las partes, el Cliente es el Responsable del tratamiento y Confir es el Encargado del tratamiento de los Datos Personales del Cliente. Confir Tratará los Datos Personales del Cliente únicamente como Encargado del tratamiento que actúa por cuenta del Cliente.

2.2 Objeto y detalles. El objeto, la duración, la naturaleza y la finalidad del Tratamiento, los tipos de Datos Personales y las categorías de Interesados se describen en el Anexo I.

2.3 Cliente que actúa como Encargado del tratamiento. Cuando el propio Cliente sea un Encargado del tratamiento que actúa por cuenta de un Responsable del tratamiento tercero, Confir actúa como Subencargado del tratamiento. En ese caso, el Cliente garantiza que cuenta con la autorización del Responsable del tratamiento tercero para contratar a Confir en los términos de este DPA y para dar las instrucciones aquí establecidas, y que trasladará al Responsable del tratamiento tercero cualquier aviso o información que Confir facilite en virtud de este DPA.

2.4 Responsabilidades del Cliente como Responsable del tratamiento. El Cliente es responsable de la licitud del Tratamiento, incluido el establecimiento de una base jurídica válida, la provisión de cualquier aviso requerido a los Interesados y la garantía de que tiene derecho a transferir los Datos Personales del Cliente a Confir para su Tratamiento. El Cliente no instruirá a Confir para que Trate Datos Personales infringiendo la Legislación de Protección de Datos.

2.5 Sin Categorías Especiales por defecto. El Servicio no está diseñado para Tratar Categorías Especiales de Datos Personales. El Cliente no debe enviar Categorías Especiales de Datos Personales a través del Servicio salvo que se acuerde expresamente por escrito y se respalde con las garantías adecuadas.

3. Tratamiento conforme a instrucciones documentadas

3.1 Instrucciones. Confir Tratará los Datos Personales del Cliente únicamente conforme a las instrucciones documentadas del Cliente, incluso en lo relativo a las Transferencias Restringidas, salvo que el Derecho de la UE o de un Estado miembro de la UE al que esté sujeto Confir le obligue a actuar de otro modo. Cuando se aplique tal requisito legal, Confir informará al Cliente de dicho requisito antes del Tratamiento, salvo que la ley lo prohíba por razones importantes de interés público.

3.2 Alcance de las instrucciones. Las instrucciones completas y documentadas del Cliente son: (a) el Acuerdo y este DPA; (b) la configuración y el uso del Servicio por parte del Cliente conforme a la Documentación; y (c) cualquier otra instrucción escrita acordada por las partes. Las instrucciones adicionales fuera de este alcance requieren un acuerdo previo por escrito y pueden estar sujetas a tarifas.

3.3 Instrucciones ilícitas. Confir informará al Cliente si, en su opinión, una instrucción infringe la Legislación de Protección de Datos. Confir no está obligado a realizar una revisión jurídica de la licitud de las instrucciones del Cliente.

4. Confidencialidad

Confir garantizará que las personas autorizadas a Tratar Datos Personales del Cliente estén sujetas a obligaciones de confidencialidad adecuadas (ya sean contractuales o legales), estén informadas del carácter confidencial de los datos y los Traten únicamente en la medida necesaria para prestar el Servicio.

5. Seguridad del Tratamiento

5.1 Medidas de seguridad. Teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del Tratamiento, así como los riesgos para los Interesados, Confir aplicará y mantendrá medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad apropiado al riesgo, según se describe en el Anexo II.

5.2 Actualizaciones. Confir podrá actualizar sus medidas de seguridad periódicamente, siempre que las actualizaciones no reduzcan de forma material el nivel general de protección de los Datos Personales del Cliente.

5.3 Función del Cliente. El Cliente es responsable de evaluar si las medidas del Anexo II satisfacen sus requisitos y de proteger sus propios sistemas, credenciales y opciones de configuración dentro del Servicio.

6. Subencargados del tratamiento

6.1 Autorización general. El Cliente otorga a Confir una autorización general para contratar Subencargados del tratamiento que Traten Datos Personales del Cliente, con sujeción a esta Sección. Los Subencargados del tratamiento contratados a la fecha de entrada en vigor se enumeran en el Anexo III (y en confir.eu/legal/subprocessors).

6.2 Obligaciones en cascada. Confir impondrá a cada Subencargado del tratamiento, mediante contrato escrito, obligaciones de protección de datos no menos protectoras que las de este DPA, en particular ofreciendo garantías suficientes para aplicar medidas técnicas y organizativas adecuadas. Confir sigue siendo plenamente responsable frente al Cliente del cumplimiento de las obligaciones de cada Subencargado del tratamiento.

6.3 Cambios y oposición. Confir dará al Cliente un aviso previo de al menos treinta (30) días (por correo electrónico o a través del Servicio, o actualizando la lista referida en el Anexo III con un mecanismo de notificación) de la incorporación o sustitución de cualquier Subencargado del tratamiento, dando al Cliente una oportunidad razonable dentro de dicho plazo para oponerse por motivos razonables relacionados con la protección de datos. Si el Cliente se opone razonablemente y las partes no pueden acordar una solución, el Cliente podrá, como único y exclusivo recurso, rescindir la parte afectada del Servicio mediante aviso por escrito, y Confir reembolsará las tarifas prepagadas correspondientes al resto no utilizado del periodo en curso.

7. Asistencia al Cliente

7.1 Solicitudes de los Interesados. Teniendo en cuenta la naturaleza del Tratamiento, Confir asistirá al Cliente mediante medidas técnicas y organizativas adecuadas, en la medida de lo posible, para cumplir la obligación del Cliente de responder a las solicitudes de los Interesados que ejerzan sus derechos con arreglo al Capítulo III del RGPD. Si Confir recibe una solicitud de un Interesado relativa a Datos Personales del Cliente, la remitirá sin demora al Cliente, cuando sea lícito, y no responderá directamente salvo conforme a las instrucciones documentadas del Cliente.

7.2 Asistencia en materia de cumplimiento. Teniendo en cuenta la naturaleza del Tratamiento y la información de que disponga Confir, Confir asistirá al Cliente para garantizar el cumplimiento de sus obligaciones con arreglo a los artículos 32 a 36 del RGPD, a saber, la seguridad del Tratamiento, la notificación de Violaciones de la Seguridad de los Datos Personales, la comunicación de violaciones a los Interesados, las evaluaciones de impacto relativas a la protección de datos y la consulta previa a una Autoridad de Control.

7.3 Costes. Confir prestará una asistencia razonable en virtud de esta Sección. Confir podrá cobrar una tarifa razonable por la asistencia que exceda la funcionalidad estándar del Servicio o que requiera un esfuerzo material, habiéndolo notificado previamente al Cliente.

8. Violación de la Seguridad de los Datos Personales

8.1 Notificación. Confir notificará al Cliente sin demora indebida tras tener conocimiento de una Violación de la Seguridad de los Datos Personales que afecte a los Datos Personales del Cliente.

8.2 Información. La notificación incluirá, en la medida en que se conozca y a medida que esté disponible, una descripción de la naturaleza de la violación, las categorías y el número aproximado de Interesados y de registros afectados, las consecuencias probables, las medidas adoptadas o propuestas y un punto de contacto para obtener más información.

8.3 Sin reconocimiento. La notificación o respuesta de Confir ante una Violación de la Seguridad de los Datos Personales no constituye un reconocimiento de culpa o responsabilidad. El Cliente es responsable de cualquier notificación a las Autoridades de Control o a los Interesados que le corresponda como Responsable del tratamiento.

9. Transferencias internacionales

9.1 Ubicación por defecto. Confir Tratará los Datos Personales del Cliente dentro del EEE, salvo lo establecido en el Anexo III o lo acordado de otro modo.

9.2 Transferencias Restringidas. En la medida en que Confir o un Subencargado del tratamiento realice una Transferencia Restringida de Datos Personales del Cliente, garantizará la aplicación de un mecanismo de transferencia adecuado conforme al Capítulo V del RGPD, que podrá ser: (a) una decisión de adecuación; (b) el Marco de Privacidad de Datos UE-EE. UU. (EU-U.S. Data Privacy Framework), cuando el importador esté certificado y la transferencia entre dentro de su ámbito; o (c) las Cláusulas Contractuales Tipo.

9.3 Incorporación de las CCT. Cuando las CCT se apliquen a una Transferencia Restringida entre el Cliente (como exportador de datos) y Confir (como importador de datos), las CCT quedan por la presente incorporadas a este DPA por referencia y se completan del siguiente modo: (a) el Módulo Dos (Responsable a Encargado) se aplica cuando el Cliente es Responsable del tratamiento, y el Módulo Tres (Encargado a Encargado) se aplica cuando el Cliente actúa como Encargado del tratamiento conforme a la Sección 2.3; (b) en la Cláusula 7, se aplica la cláusula opcional de acoplamiento (docking clause); (c) en la Cláusula 9, se aplica la Opción 2 (autorización general por escrito), con el plazo de aviso especificado en la Sección 6.3; (d) en la Cláusula 11, no se aplica el texto opcional de resolución independiente de litigios; (e) en la Cláusula 17, las CCT se rigen por la legislación de Estonia; (f) en la Cláusula 18, los litigios se resolverán ante los tribunales de Estonia; y (g) los Anexos I, II y III de este DPA completan los Anexos correspondientes de las CCT. Cuando Confir transfiera datos a un Subencargado del tratamiento que sea importador, Confir garantizará que el módulo adecuado de las CCT (u otro mecanismo válido) esté en vigor con ese Subencargado del tratamiento.

9.4 Conflicto. En caso de conflicto entre las CCT y el resto de este DPA o del Acuerdo en relación con una Transferencia Restringida, prevalecerán las CCT.

10. Auditorías y registros

10.1 Demostración del cumplimiento. Confir pondrá a disposición del Cliente la información razonablemente necesaria para demostrar el cumplimiento del artículo 28 del RGPD y de este DPA. Confir podrá satisfacer esta obligación facilitando resúmenes de políticas, documentación de seguridad o informes o certificaciones de auditorías de terceros cuando estén disponibles.

10.2 Auditorías. Confir permitirá y contribuirá a las auditorías, incluidas las inspecciones, realizadas por el Cliente o por un auditor mandatado por el Cliente, con sujeción a lo siguiente: (a) el Cliente da un aviso previo por escrito de al menos treinta (30) días; (b) las auditorías se realizan como máximo una vez cada doce (12) meses, salvo que lo requiera una Autoridad de Control o tras una Violación de la Seguridad de los Datos Personales; (c) las auditorías se realizan durante el horario laboral, con la mínima perturbación, y el auditor está sujeto a confidencialidad; (d) el Cliente asume sus propios costes razonables y los de Confir derivados de la auditoría; y (e) la auditoría no exige a Confir revelar información que comprometa la seguridad o confidencialidad de otros clientes o de terceros.

10.3 Registros. Cada parte mantendrá registros del Tratamiento según lo exigido por el artículo 30 del RGPD.

11. Devolución y supresión de los Datos Personales del Cliente

11.1 A la resolución. A la expiración o resolución del Acuerdo, Confir, a elección del Cliente, suprimirá o devolverá todos los Datos Personales del Cliente y suprimirá las copias existentes, salvo que el Derecho de la UE o de un Estado miembro de la UE exija su conservación.

11.2 Ventana de exportación. Durante el Plazo de Suscripción y durante treinta (30) días después de la resolución, el Cliente podrá exportar los Datos del Cliente utilizando la funcionalidad del Servicio. Transcurrido ese periodo, Confir podrá suprimir los Datos Personales del Cliente en el curso ordinario.

11.3 Datos conservados. Confir podrá conservar los Datos Personales del Cliente en la medida y durante el periodo exigidos por la ley, o cuando se conserven en copias de seguridad rutinarias, en cuyo caso seguirán estando sujetos a las obligaciones de confidencialidad y seguridad de este DPA y se suprimirán en el ciclo ordinario de rotación de copias de seguridad.

12. Responsabilidad

12.1 Límite y exclusiones. La responsabilidad de cada parte derivada de o relacionada con este DPA, ya sea contractual, extracontractual o de otro tipo, está sujeta a las exclusiones y limitaciones de responsabilidad establecidas en el Acuerdo (incluido el límite de responsabilidad agregada). Cualquier referencia en el Acuerdo a la responsabilidad de una parte «en virtud del Acuerdo» incluye la responsabilidad en virtud de este DPA.

12.2 Sin efecto sobre los derechos de los interesados. Nada en este DPA o en el Acuerdo limita ninguna responsabilidad que no pueda limitarse con arreglo a la Legislación de Protección de Datos, incluida la responsabilidad frente a los Interesados en virtud del artículo 82 del RGPD.

13. Vigencia, prevalencia y disposiciones generales

13.1 Vigencia. Este DPA entra en vigor en la fecha de entrada en vigor y continúa durante todo el tiempo en que Confir Trate Datos Personales del Cliente en virtud del Acuerdo. Las disposiciones que por su naturaleza deban sobrevivir a la resolución sobrevivirán.

13.2 Prevalencia. En caso de conflicto relativo al Tratamiento de Datos Personales, se aplicará el siguiente orden de prevalencia: (a) las CCT (para Transferencias Restringidas); (b) este DPA; y (c) el resto del Acuerdo.

13.3 Ley aplicable y jurisdicción. Este DPA se rige por las leyes de la República de Estonia, y los tribunales de Estonia (el Tribunal del condado de Harju, Harju Maakohus, como tribunal de primera instancia) tienen jurisdicción, de forma coherente con el Acuerdo, salvo que las CCT dispongan otra cosa para una Transferencia Restringida.

13.4 Cambios. Confir podrá modificar este DPA cuando sea necesario para reflejar cambios en la Legislación de Protección de Datos, orientaciones de una Autoridad de Control o las CCT, con un aviso razonable, siempre que la modificación no reduzca de forma material la protección de los Datos Personales del Cliente.

13.5 Divisibilidad. Si alguna disposición de este DPA se considera inválida o inaplicable, el resto continuará en vigor, y la disposición inválida se modificará en la medida mínima necesaria para que sea válida y aplicable conservando su intención.

Anexo I — Descripción del Tratamiento

A. Lista de partes

Exportador de datos / Responsable del tratamiento: El Cliente, según se identifica en el Acuerdo y en el momento de la compra. Contacto: los datos del administrador de la cuenta facilitados en la cuenta. Función: Responsable del tratamiento (o Encargado del tratamiento cuando sea aplicable la Sección 2.3).

Importador de datos / Encargado del tratamiento: Confir OÜ, código de registro [Código de registro], [Dirección registrada], Estonia. Contacto para asuntos de protección de datos: privacy@confir.eu. Función: Encargado del tratamiento.

B. Descripción del Tratamiento

Categorías de Interesados:

• Los Usuarios Autorizados y el personal del Cliente (p. ej., empleados, contratistas) que acceden al Servicio o que se mencionan en él;
• Cualquier persona física cuyos Datos Personales el Cliente decida incluir en los Datos del Cliente (por ejemplo, personal nombrado en la documentación de sistemas de IA o en los registros de cumplimiento del Cliente).

Categorías de Datos Personales:

• Datos de cuenta e identidad: nombre, dirección de correo electrónico profesional, cargo y datos de contacto profesional similares;
• Datos de autenticación y uso: credenciales de inicio de sesión, dirección IP, datos de dispositivo y de registro, y registros de actividad dentro del Servicio;
• Datos de contenido: cualquier Dato Personal que el Cliente incluya en la información que envía sobre sus sistemas de IA, productos, procesos, organización y documentación de cumplimiento.

Categorías Especiales de Datos Personales: Ninguna prevista (véase la Sección 2.5). El Cliente no debe enviar Categorías Especiales de Datos Personales salvo que se acuerde expresamente por escrito.

Naturaleza y finalidad del Tratamiento: Alojamiento, almacenamiento, organización, estructuración, recuperación, consulta, uso y supresión de los Datos Personales del Cliente en la medida necesaria para prestar el Servicio —a saber, una plataforma de evaluación y documentación del cumplimiento de la Ley de IA de la UE—, incluida la generación de Resultados a partir de los datos facilitados, la prestación de soporte, la garantía de la seguridad y el cumplimiento de las obligaciones legales.

Frecuencia del Tratamiento: Continua, durante la vigencia del Plazo de Suscripción.

Duración del Tratamiento: Durante la vigencia del Acuerdo, más los periodos de exportación y supresión establecidos en la Sección 11.

C. Autoridad de Control competente

La Autoridad de Control competente de Confir es la Inspección de Protección de Datos de Estonia (Andmekaitse Inspektsioon, AKI), Tatari 39, 10134 Tallin, Estonia. Cuando se apliquen las CCT, la Autoridad de Control competente se determinará de conformidad con la Cláusula 13 de las CCT (en general, la autoridad del lugar de establecimiento del exportador de datos).

Anexo II — Medidas técnicas y organizativas

• Control de acceso y autenticación. Acceso basado en roles según el principio de mínimo privilegio; cuentas de usuario únicas; autenticación multifactor para el acceso administrativo; revocación inmediata del acceso en caso de cambio de rol o de baja.
• Cifrado. Cifrado de los Datos Personales del Cliente en tránsito (p. ej., TLS 1.2+) y en reposo mediante algoritmos conformes a los estándares del sector.
• Seguridad de red e infraestructura. Cortafuegos y segmentación de red; configuraciones reforzadas; uso de proveedores de infraestructura en la nube de reconocido prestigio con certificaciones reconocidas (p. ej., ISO/IEC 27001); véase el Anexo III.
• Seudonimización y minimización. Minimización de datos en el diseño del Servicio; seudonimización o agregación cuando proceda, incluida la analítica.
• Registro y supervisión. Registro, supervisión y alertas de seguridad; conservación de los registros durante un periodo razonable.
• Desarrollo seguro. Prácticas de desarrollo seguro de software; revisión de código; gestión de dependencias y vulnerabilidades; separación de los entornos de producción y no producción; ningún uso de Datos Personales de producción en entornos de prueba sin garantías.
• Resiliencia y copias de seguridad. Copias de seguridad cifradas periódicas; procedimientos de restauración documentados; medidas para garantizar la confidencialidad, integridad, disponibilidad y resiliencia continuas de los sistemas.
• Personal. Obligaciones de confidencialidad para todo el personal; formación de concienciación en protección de datos y seguridad; verificación de antecedentes cuando sea lícito y apropiado.
• Seguridad física. Seguridad física de la infraestructura delegada en proveedores de alojamiento certificados (véase el Anexo III).
• Respuesta a incidentes. Un proceso documentado de respuesta a incidentes, que incluye la detección de violaciones, la escalada y la notificación conforme a la Sección 8.
• Gestión de proveedores. Diligencia debida y garantías contractuales para los Subencargados del tratamiento (véanse la Sección 6 y el Anexo III).
• Supresión. Procedimientos de supresión segura y devolución de los Datos Personales del Cliente conforme a la Sección 11.

Anexo III — Subencargados del tratamiento

Los Subencargados del tratamiento autorizados actualmente para Tratar Datos Personales del Cliente se mantienen, en su forma fehaciente, en confir.eu/legal/subprocessors, donde los Clientes pueden suscribirse a las notificaciones de cambios. Confir da un aviso previo de al menos treinta (30) días de cualquier incorporación o sustitución de un Subencargado del tratamiento (Sección 6.3). Los Subencargados del tratamiento de infraestructura principal son:

Nota sobre los Subencargados del tratamiento constituidos en EE. UU. Algunos Subencargados del tratamiento alojan Datos Personales del Cliente dentro del EEE, pero están constituidos en los Estados Unidos (o tienen entidades matrices en EE. UU.) que, en principio, podrían estar sujetos a solicitudes de acceso extranjeras. Para estos, Confir se basa en las siguientes garantías con arreglo al Capítulo V del RGPD: para Vercel, el Marco de Privacidad de Datos UE-EE. UU. (en virtud del cual Vercel está certificada activamente) junto con las Cláusulas Contractuales Tipo como mecanismo de respaldo; y para Supabase, las Cláusulas Contractuales Tipo y la Adenda del Reino Unido incorporadas en la adenda de tratamiento de datos de Supabase, respaldadas por la Evaluación de Impacto de la Transferencia publicada por Supabase (Supabase no está certificada en el DPF). Ambos proveedores mantienen las certificaciones SOC 2 Type 2 e ISO 27001.

Analítica del sitio web de marketing (tratamiento aparte). Cualquier analítica utilizada en el sitio web público de marketing de Confir trata datos de los visitantes del sitio (p. ej., identificadores en línea, dirección IP, eventos de uso) respecto de los cuales Confir es el Responsable del tratamiento; esto no implica el tratamiento de Datos Personales del Cliente dentro del Servicio. Este tratamiento se divulga en la Política de privacidad y la Política de cookies de Confir y está sujeto al consentimiento previo de cookies.

Aceptación

Este DPA es aceptado por el Cliente al celebrar el Acuerdo (incluso al completar la compra o iniciar una versión de prueba) y por Confir al poner el Servicio a disposición. No se requiere firma física para que el DPA sea vinculante, si bien las partes pueden firmar un ejemplar a petición. Para consultas sobre protección de datos, escriba a privacy@confir.eu.