Acuerdo de Procesamiento de Datos

Sección 1

Resumen

Este Acuerdo de Procesamiento de Datos (APD) forma parte del contrato entre WeblyChat y cada cliente. Establece cómo WeblyChat trata los datos personales en nombre de los clientes, en cumplimiento del Artículo 28 del RGPD.

Cuando utilizas el servicio WeblyChat, tú (el cliente) eres el responsable del tratamiento de los datos personales de los visitantes y usuarios finales de tu propio sitio web que pasan por o se almacenan en el sitio web creado y mantenido por WeblyChat. WeblyChat actúa como tu encargado del tratamiento — tratamos esos datos únicamente siguiendo tus instrucciones y de acuerdo con este APD.

Este APD se incorpora por referencia a los Términos y condiciones de WeblyChat. Al aceptar los Términos y condiciones, también aceptas este APD. No se requiere ninguna firma adicional.

Para información sobre cómo WeblyChat trata los datos para sus propios fines (es decir, los datos de tu cuenta de cliente), consulta nuestra Política de privacidad y nuestra página de Cumplimiento del RGPD — en ese contexto WeblyChat es el responsable del tratamiento.

Sección 2

Definiciones

En este APD los siguientes términos tienen los significados que se indican a continuación. Los términos no definidos aquí tienen el significado que les otorga el RGPD.

"RGPD" significa el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo.
"Datos personales" significa toda información sobre una persona física identificada o identificable, tal como se define en el Artículo 4(1) del RGPD.
"Tratamiento" tiene el significado que le otorga el Artículo 4(2) del RGPD.
"Responsable" significa el cliente — la persona física o jurídica que determina los fines y los medios del tratamiento de datos personales.
"Encargado" significa WeblyChat (operado por WeblyChat) — que trata datos personales en nombre del Responsable.
"Subencargado" significa cualquier tercero contratado por el Encargado para llevar a cabo actividades de tratamiento en nombre del Responsable.
"Interesado" significa la persona física a la que se refieren los datos personales.
"Incidente de seguridad" significa una brecha de seguridad confirmada que provoca la destrucción, pérdida, alteración, divulgación no autorizada o acceso no autorizado a datos personales, ya sea accidental o ilícita.

Sección 3

Roles de las partes

Las partes reconocen y acuerdan que:

El cliente es el Responsable de cualquier dato personal relativo a los visitantes y usuarios finales del sitio web del cliente que pase por o se almacene en el sitio web creado y mantenido por WeblyChat.
WeblyChat es el Encargado respecto a dichos datos personales, actuando únicamente siguiendo las instrucciones documentadas del Responsable.
WeblyChat es el Responsable respecto a sus propios datos de cuenta de cliente (nombres, direcciones de correo electrónico, información de facturación, IDs de Telegram). Ese tratamiento está regulado por la Política de privacidad de WeblyChat, no por este APD.

La naturaleza del servicio WeblyChat implica que los datos personales de los visitantes del cliente se limitan generalmente a lo que el propio sitio web del cliente recoge (por ejemplo, envíos de formularios de contacto, datos de analítica). WeblyChat no recopila de forma independiente datos de visitantes en nombre del cliente más allá de lo técnicamente necesario para servir el sitio web.

Sección 4

Objeto y alcance

Objeto

El objeto del tratamiento es el alojamiento, mantenimiento y actualización del sitio web estático del cliente tal como se describe en los Términos y condiciones de WeblyChat.

Naturaleza y finalidad

WeblyChat trata datos personales estrictamente en la medida necesaria para: (a) servir el sitio web del cliente a los usuarios finales a través de la CDN de Cloudflare; (b) aplicar los cambios en el sitio web solicitados por el cliente a través de Telegram; y (c) mantener el funcionamiento técnico y la seguridad de la infraestructura de alojamiento.

Tipos de datos personales

Los tipos de datos personales tratados dependen del contenido del sitio web del cliente y pueden incluir: nombres, direcciones de correo electrónico, números de teléfono y cualquier otro dato personal enviado por los visitantes del sitio web a través de formularios de contacto u otras funcionalidades del sitio configuradas por el cliente.

Categorías de interesados

Los interesados son los visitantes y usuarios finales del sitio web del cliente.

Duración

El tratamiento continúa durante la vigencia de la suscripción activa del cliente con WeblyChat. Tras la finalización de la suscripción, WeblyChat suprimirá o devolverá los datos de acuerdo con la Sección 11.

Sección 5

Obligaciones del encargado

WeblyChat, como Encargado, deberá:

Tratar los datos personales únicamente siguiendo las instrucciones documentadas del Responsable (es decir, las solicitudes de cambio del cliente), excepto cuando la legislación de la UE o de un Estado miembro lo exija, en cuyo caso WeblyChat informará al Responsable antes del tratamiento, salvo que la ley lo prohíba.
Garantizar que todo el personal autorizado para tratar datos personales esté sujeto a las obligaciones de confidencialidad adecuadas.
Implementar las medidas de seguridad técnicas y organizativas descritas en la Sección 8.
Respetar las condiciones para la contratación de subencargados descritas en la Sección 6.
Asistir al Responsable en el cumplimiento de las solicitudes de derechos de los interesados tal como se describe en la Sección 7.
Asistir al Responsable en el cumplimiento de sus obligaciones en virtud de los Artículos 32 a 36 del RGPD (seguridad, notificación de brechas, evaluaciones de impacto), teniendo en cuenta la naturaleza del tratamiento y la información disponible para WeblyChat.
Suprimir o devolver todos los datos personales al Responsable al finalizar el servicio, tal como se describe en la Sección 11.
Poner a disposición toda la información necesaria para demostrar el cumplimiento de este APD y colaborar en las auditorías tal como se describe en la Sección 12.

El Responsable reconoce que WeblyChat no es responsable de determinar si los datos personales que trata en nombre del Responsable están sujetos al RGPD o a cualquier otra ley de protección de datos. Esa determinación es responsabilidad del Responsable.

Sección 6

Subencargados

El Responsable otorga una autorización escrita general para que WeblyChat contrate subencargados. WeblyChat informará al Responsable de cualquier incorporación o sustitución prevista de subencargados, dando al Responsable la oportunidad de oponerse antes de que el cambio entre en vigor.

Subencargados actuales

WeblyChat actualmente utiliza los siguientes subencargados en relación con el servicio de alojamiento de sitios web de clientes:

Cloudflare, Inc. (Estados Unidos) — CDN y alojamiento de sitios estáticos. Cloudflare opera bajo su Adenda de Procesamiento de Datos y está certificada en el marco del Marco de Privacidad de Datos UE-EE.UU.

Obligaciones de los subencargados

Cuando WeblyChat contrate a un subencargado, le impondrá obligaciones de protección de datos equivalentes a las establecidas en este APD, mediante un contrato por escrito. WeblyChat seguirá siendo responsable ante el Responsable por los actos y omisiones de los subencargados en la misma medida que si realizara el tratamiento directamente.

Sección 7

Derechos de los interesados

Teniendo en cuenta la naturaleza del tratamiento, WeblyChat asistirá al Responsable — en la medida de lo razonablemente posible — para cumplir sus obligaciones de responder a las solicitudes de los interesados en virtud del Capítulo III del RGPD (incluidos los derechos de acceso, rectificación, supresión, limitación, portabilidad y oposición).

Si WeblyChat recibe una solicitud de un interesado relativa a datos personales tratados en nombre del Responsable, WeblyChat remitirá la solicitud al Responsable sin demora y no responderá directamente al interesado salvo instrucción del Responsable o requerimiento legal.

El Responsable es responsable de determinar la licitud de cualquier tratamiento y de responder a los interesados dentro de los plazos establecidos en el RGPD.

Sección 8

Seguridad

WeblyChat implementa medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad apropiado al riesgo, de conformidad con el Artículo 32 del RGPD. Estas medidas incluyen:

Cifrado en tránsito: Todos los datos transmitidos entre los usuarios finales y el sitio web alojado se cifran mediante TLS a través de Cloudflare.
Controles de acceso: El acceso a los sistemas de producción y a cualquier dato personal almacenado está restringido exclusivamente al personal autorizado, protegido mediante autenticación robusta.
Seguridad de la infraestructura: La infraestructura de alojamiento utiliza la red de nivel empresarial de Cloudflare, incluyendo capacidades de mitigación de DDoS y WAF.
Conservación mínima de datos: WeblyChat no almacena de forma persistente datos personales de visitantes más allá de lo técnicamente necesario para servir el sitio web. Los envíos de formularios de contacto y otros datos de visitantes residen donde el sitio web del cliente esté configurado para enviarlos (por ejemplo, una dirección de correo electrónico o un servicio de terceros).
Sin rastreo de terceros: WeblyChat no integra píxeles publicitarios de terceros ni scripts de seguimiento en los sitios web de los clientes sin la instrucción del cliente.

WeblyChat revisa periódicamente sus medidas de seguridad y las actualizará según sea necesario para tener en cuenta nuevas amenazas o desarrollos tecnológicos.

Sección 9

Notificación de brechas de seguridad

En el caso de que WeblyChat tenga conocimiento de un Incidente de seguridad confirmado que afecte a datos personales tratados en nombre del Responsable, WeblyChat notificará al Responsable sin demora indebida y en todo caso en un plazo de 72 horas desde que tenga conocimiento del incidente.

La notificación incluirá, en la medida en que se conozca en ese momento:

Una descripción de la naturaleza del Incidente de seguridad, incluidas las categorías y el número aproximado de interesados afectados y las categorías y el número aproximado de registros de datos personales afectados.
El nombre y los datos de contacto del responsable de protección de datos de WeblyChat.
Una descripción de las consecuencias probables del Incidente de seguridad.
Una descripción de las medidas adoptadas o propuestas para hacer frente al Incidente de seguridad.

El Responsable es responsable de determinar si debe notificar a la autoridad de control competente y a los interesados afectados, y de realizar dichas notificaciones dentro de los plazos legales aplicables.

Para reportar un posible problema de seguridad, utiliza nuestra página de divulgación de seguridad.

Sección 10

Transferencias internacionales

WeblyChat almacena sus propios datos en infraestructura ubicada en la UE. Sin embargo, el servicio CDN utilizado para alojar los sitios web de los clientes (Cloudflare) opera una red global, lo que significa que las solicitudes de los visitantes del sitio web pueden ser atendidas desde centros de datos ubicados fuera del Espacio Económico Europeo.

Cloudflare está certificada en el Marco de Privacidad de Datos UE-EE.UU. y proporciona una Adenda de Procesamiento de Datos. Estas constituyen salvaguardas adecuadas para las transferencias de datos personales a los Estados Unidos en virtud del Artículo 46 del RGPD.

Si el Responsable requiere que los datos se traten exclusivamente dentro del EEE para su caso de uso específico, el Responsable deberá ponerse en contacto con WeblyChat en hola@weblychat.eu para analizar la viabilidad de cualquier configuración adicional.

Sección 11

Supresión y devolución

Tras la finalización del servicio de WeblyChat, o a petición escrita del Responsable, WeblyChat deberá — a elección del Responsable — suprimir o devolver todos los datos personales tratados en nombre del Responsable y suprimir las copias existentes, salvo que la legislación de la UE o de un Estado miembro exija su conservación.

En la práctica, el principal artefacto que WeblyChat mantiene en nombre del cliente es el código fuente del sitio web del cliente y los activos asociados. Tras la finalización, WeblyChat proporcionará al cliente una copia de los archivos de su sitio web a petición, y suprimirá la configuración de alojamiento de sus sistemas en un plazo de 30 días desde la finalización.

WeblyChat confirmará la finalización de la supresión por escrito previa solicitud.

Sección 12

Derecho de auditoría

WeblyChat pondrá a disposición del Responsable toda la información razonablemente necesaria para demostrar el cumplimiento de las obligaciones establecidas en este APD, y permitirá y contribuirá a las auditorías, incluidas las inspecciones, realizadas por el Responsable o por un auditor mandatado por el Responsable.

El Responsable notificará a WeblyChat con una antelación razonable cualquier auditoría (al menos 30 días, salvo en el caso de una investigación regulatoria). Las auditorías se realizarán durante el horario laboral normal, no interrumpirán de manera irrazonable las operaciones de WeblyChat y se limitarán en su alcance a las actividades de tratamiento contempladas en este APD.

WeblyChat podrá cumplir las obligaciones de auditoría mediante la aportación de certificaciones de terceros o informes de auditoría actualizados que demuestren el cumplimiento de las obligaciones pertinentes de este APD.

Sección 13

Responsabilidad

La responsabilidad de cada parte en virtud de este APD está sujeta a las limitaciones establecidas en los Términos y condiciones de WeblyChat.

Si una parte es declarada responsable por daños causados por un tratamiento que infrinja el RGPD, la parte que haya cumplido sus obligaciones en virtud del RGPD y de este APD tendrá derecho a que la otra parte asuma la parte de la compensación correspondiente a su grado de responsabilidad en el daño.

WeblyChat no será responsable de ningún tratamiento realizado por el Responsable al margen de las instrucciones dadas a WeblyChat, ni de ningún incumplimiento por parte del Responsable de sus propias obligaciones en materia de protección de datos.

Sección 14

Contacto

Para cualquier consulta sobre este APD, para remitir solicitudes de interesados en nuestra calidad de Encargado, o para analizar tus obligaciones de protección de datos como cliente de WeblyChat, por favor contáctanos:

Correo electrónico: hola@weblychat.eu
Empresa: WeblyChat

Nos comprometemos a acusar recibo de todas las consultas relacionadas con el APD en un plazo de 5 días hábiles.

Para una visión completa de cómo tratamos los datos de nuestra propia cuenta de cliente, consulta nuestra Política de privacidad y nuestra página de Cumplimiento del RGPD.