DPA

1. Objeto y marco del acuerdo

El presente Acuerdo de tratamiento de datos (en adelante el «DPA», por Data Processing Agreement) regula las condiciones en las que Zylior trata datos de carácter personal por cuenta de sus clientes, en el marco de la utilización de la plataforma Zylior. Se inscribe en el respeto del Reglamento (UE) 2016/679 (en adelante el «RGPD»), y en particular de su artículo 28 relativo a las relaciones entre responsable del tratamiento y encargado del tratamiento.

Este DPA forma parte integrante de las Condiciones Generales de Uso y de Venta concluidas entre Zylior y el cliente. En caso de contradicción entre el presente DPA y dichas condiciones sobre las cuestiones de protección de datos, prevalecerán las disposiciones del presente DPA.

Se considera aceptado desde el momento en que el cliente suscribe una suscripción de Zylior o utiliza la plataforma para tratar datos personales relativos a terceros (prospectos, leads, contactos, clientes finales).

2. Definiciones

Los términos empleados en el presente DPA conservan el sentido que les da el RGPD. A título indicativo:

• Dato de carácter personal: toda información relativa a una persona física identificada o identificable.
• Tratamiento: toda operación aplicada a datos personales (recopilación, registro, conservación, modificación, consulta, comunicación, supresión, etc.).
• Responsable del tratamiento: la entidad que determina las finalidades y los medios del tratamiento. En el marco del presente DPA, se trata del cliente.
• Encargado del tratamiento: la entidad que trata los datos por cuenta del responsable del tratamiento. En el marco del presente DPA, se trata de Zylior.
• Encargado ulterior del tratamiento: todo proveedor al que Zylior recurre para ejecutar actividades de tratamiento específicas por cuenta del cliente.
• Persona afectada: la persona física a la que se refieren los datos personales.
• Violación de datos: toda violación de la seguridad que ocasione, de manera accidental o ilícita, la destrucción, la pérdida, la alteración, la divulgación no autorizada o el acceso no autorizado a datos personales.

3. Roles y reparto de responsabilidades

En el marco de la utilización de la plataforma, los roles se reparten de la siguiente manera:

• El cliente actúa en calidad de responsable del tratamiento para los datos personales que importa, recopila o genera a través de Zylior (en particular los datos de prospectos, de leads, de contactos y de clientes finales en el marco de sus campañas de anuncios, contenido, leads, citas y automatización).
• Zylior actúa en calidad de encargado del tratamiento: trata estos datos únicamente siguiendo instrucción documentada del cliente, tal como se materializa por el uso de las funcionalidades de la plataforma y por el presente DPA.

El cliente garantiza que dispone de una base jurídica válida (consentimiento, interés legítimo, ejecución de un contrato, etc.) para cada tratamiento que aplica a través de Zylior, y que ha cumplido con sus propias obligaciones de información hacia las personas afectadas.

Para sus propias necesidades de gestión de cuenta, de facturación, de seguridad y de mejora del servicio, Zylior actúa en calidad de responsable del tratamiento distinto. Estos tratamientos se describen en la Política de privacidad.

4. Naturaleza, finalidad y duración del tratamiento

Naturaleza y finalidad

Zylior trata los datos personales con el único fin de prestar los servicios de la plataforma: centralización del crecimiento de una cartera de micro-SaaS, gestión de las campañas publicitarias, producción de contenido, generación y calificación de leads, concertación de citas y automatización de los workflows, todo ello impulsado por la IA.

Las operaciones de tratamiento incluyen en particular la recopilación, el registro, la organización, la estructuración, la conservación, la consulta, la utilización, la comunicación a los encargados ulteriores del tratamiento autorizados, así como la supresión de los datos.

Duración

El tratamiento se realiza durante toda la duración del contrato que vincula al cliente con Zylior. Finaliza con la resolución o la expiración del contrato, sin perjuicio de las disposiciones relativas a la devolución y la supresión de los datos previstas en el artículo 11.

5. Categorías de datos y de personas afectadas

Categorías de personas afectadas

• Prospectos y leads recopilados por el cliente a través de sus campañas;
• Contactos profesionales y clientes finales del cliente;
• Usuarios y miembros del equipo del cliente que disponen de acceso a la plataforma.

Categorías de datos tratados

• Datos de identificación: nombre, apellidos, tratamiento;
• Datos de contacto: dirección de correo electrónico, número de teléfono, dirección postal;
• Datos profesionales: empresa, cargo, sector de actividad, tamaño de empresa;
• Datos de relación comercial: historial de intercambios, estado del lead, citas, notas, scoring;
• Datos de conexión y técnicos: dirección IP, identificadores, registros de actividad, datos de uso de la plataforma;
• Todo contenido introducido libremente por el cliente en los campos de la plataforma.

Zylior no tiene por objeto tratar categorías especiales de datos (datos denominados «sensibles» en el sentido del artículo 9 del RGPD). El cliente se compromete a no importar tales datos sin haber implementado previamente las garantías apropiadas e informado a Zylior.

6. Obligaciones de Zylior como encargado del tratamiento

De conformidad con el artículo 28 del RGPD, Zylior se compromete a:

• tratar los datos únicamente siguiendo instrucción documentada del cliente, incluso en materia de transferencia fuera de la Unión Europea, salvo obligación legal en contrario —en cuyo caso Zylior informa al cliente antes del tratamiento, salvo prohibición legal—;
• velar por que las personas autorizadas a tratar los datos estén sujetas a una obligación de confidencialidad apropiada;
• implementar las medidas técnicas y organizativas apropiadas descritas en el artículo 7;
• respetar las condiciones de recurso a un encargado ulterior del tratamiento definidas en el artículo 8;
• ayudar al cliente a responder a las solicitudes de ejercicio de los derechos de las personas afectadas (artículo 9);
• asistir al cliente en el cumplimiento de sus obligaciones en materia de seguridad, de notificación de violación, de evaluación de impacto y de consulta previa a la autoridad de control;
• al final del contrato, suprimir o restituir los datos de conformidad con el artículo 11;
• poner a disposición del cliente toda la información necesaria para demostrar el cumplimiento de sus obligaciones y permitir las auditorías previstas en el artículo 10;
• informar inmediatamente al cliente si, en su opinión, una instrucción constituye una violación del RGPD o de otra disposición aplicable en materia de protección de datos.

7. Medidas de seguridad

Zylior implementa medidas técnicas y organizativas apropiadas con el fin de garantizar un nivel de seguridad adecuado al riesgo, de conformidad con el artículo 32 del RGPD. Estas medidas comprenden en particular el cifrado de los datos en tránsito y en reposo, el control estricto de los accesos, el registro de las operaciones, copias de seguridad periódicas, la separación de los entornos y procedimientos de gestión de incidentes.

El detalle de las medidas implementadas, así como la organización de la seguridad en Zylior, se describe en la página Seguridad, que forma parte integrante del presente DPA y se actualiza periódicamente.

Notificación de las violaciones de datos

En caso de violación de datos de carácter personal, Zylior notifica al cliente en el plazo más breve posible tras haber tenido conocimiento de ella, y a más tardar en un plazo de 48 horas. La notificación precisa, en la medida de lo posible, la naturaleza de la violación, las categorías y el número aproximado de personas afectadas, las consecuencias probables y las medidas adoptadas o propuestas para remediarla. Zylior aporta al cliente una asistencia razonable para permitirle cumplir con sus propias obligaciones de notificación ante la autoridad de control y, en su caso, ante las personas afectadas.

8. Encargados ulteriores del tratamiento

El cliente autoriza de manera general a Zylior a recurrir a encargados ulteriores del tratamiento para la ejecución de ciertas actividades de tratamiento (alojamiento de infraestructura, servicios de emailing, proveedores de IA, herramientas analíticas, etc.).

Zylior se compromete a:

• contratar únicamente encargados ulteriores del tratamiento que presenten garantías suficientes en cuanto a la implementación de medidas técnicas y organizativas apropiadas;
• imponer a cada encargado ulterior del tratamiento, por contrato, obligaciones de protección de datos equivalentes a las del presente DPA;
• seguir siendo plenamente responsable ante el cliente de la ejecución por parte del encargado ulterior del tratamiento de sus obligaciones;
• mantener actualizada la lista de sus encargados ulteriores del tratamiento e informar al cliente de todo proyecto de adición o de sustitución, con el fin de permitirle formular objeciones legítimas en un plazo razonable.

La lista actualizada de los encargados ulteriores del tratamiento está disponible previa solicitud en la dirección hello@zylior.com.

Transferencias fuera de la Unión Europea

Cuando un tratamiento implica una transferencia de datos hacia un país situado fuera del Espacio Económico Europeo, Zylior se asegura de que esta transferencia esté regulada por un mecanismo reconocido por el RGPD: decisión de adecuación de la Comisión Europea o, en su defecto, cláusulas contractuales tipo completadas con las medidas adicionales necesarias.

9. Asistencia y derechos de las personas afectadas

Zylior pone a disposición del cliente las funcionalidades y herramientas necesarias para permitirle responder a las solicitudes de ejercicio de sus derechos por parte de las personas afectadas: derecho de acceso, de rectificación, de supresión, de limitación, de oposición y de portabilidad.

Si una solicitud de ejercicio de derechos se dirige directamente a Zylior, este la transmite al cliente en el plazo más breve posible y no responde directamente a la persona afectada, salvo instrucción del cliente u obligación legal.

Habida cuenta de la naturaleza del tratamiento, Zylior ayuda igualmente al cliente, en la medida de lo posible y mediante medidas técnicas y organizativas apropiadas, a cumplir con sus obligaciones relativas a la seguridad de los tratamientos, a la notificación de las violaciones, a las evaluaciones de impacto relativas a la protección de datos y a la consulta previa a la autoridad de control.

10. Auditoría y demostración de conformidad

Zylior pone a disposición del cliente toda la información necesaria para demostrar el cumplimiento de las obligaciones previstas en el artículo 28 del RGPD y el presente DPA.

A tal efecto, el cliente puede, como máximo una vez al año y previo aviso razonable de al menos treinta días, solicitar la realización de una auditoría. Esta auditoría puede adoptar la forma:

• de la comunicación de la documentación pertinente (políticas de seguridad, informes de auditoría, certificaciones en su caso);
• de un cuestionario de conformidad;
• de una auditoría in situ realizada por el cliente o un tercero independiente mandatado por él, sujeto a un compromiso de confidencialidad.

Las auditorías se realizan durante las horas hábiles, de manera que no perturben la actividad de Zylior, y respetando la confidencialidad de los datos de los demás clientes. Los costes directos de una auditoría in situ corren a cargo del cliente, salvo si la auditoría revela un incumplimiento sustancial de Zylior de sus obligaciones.

11. Devolución y supresión de los datos al final del contrato

A la expiración o a la resolución del contrato, y según la elección expresada por el cliente, Zylior procede:

• bien a la restitución del conjunto de los datos personales tratados por cuenta del cliente, en un formato estructurado y de uso común;
• bien a la supresión definitiva de estos datos.

A falta de instrucción del cliente en un plazo de treinta días tras el final del contrato, Zylior procede a la supresión de los datos. Esta supresión se produce igualmente de manera definitiva en las copias de seguridad, dentro de los límites de los ciclos técnicos de rotación de las copias de seguridad.

No obstante, Zylior conserva los datos cuya conservación viene impuesta por una obligación legal o reglamentaria, únicamente durante el plazo y con los únicos fines previstos por dicha obligación. Previa solicitud, Zylior proporciona al cliente un certificado de supresión de los datos.

12. Duración, modificación y contacto

El presente DPA produce sus efectos durante toda la duración del tratamiento de los datos personales por Zylior por cuenta del cliente. Puede actualizarse para tener en cuenta la evolución de la normativa, de las prácticas de seguridad o de las funcionalidades de la plataforma; la versión aplicable es la publicada en el sitio web en el momento del tratamiento correspondiente.

Para cualquier pregunta relativa al presente DPA o al ejercicio de los derechos, el cliente puede escribir a hello@zylior.com.