Última actualización: 1 de diciembre de 2024
Este Addendum de Procesamiento de Datos ("APD") forma parte y está sujeto a los Términos de Servicio de Whispie u otro acuerdo escrito o electrónico entre Black Eagle Group LLC ("Whispie", "nosotros", "nos" o "nuestro") y usted ("Cliente", "usted" o "su") para la adquisición de servicios (el "Acuerdo").
Este APD refleja el acuerdo de las partes con respecto al Procesamiento de Datos Personales de acuerdo con los requisitos de las Leyes y Regulaciones de Protección de Datos.
Para los propósitos de este APD, los siguientes términos tendrán los significados establecidos a continuación:
| Término | Definición |
|---|---|
| Leyes de Protección de Datos | Todas las leyes de protección de datos y privacidad aplicables, incluyendo GDPR, UK-GDPR, CCPA/CPRA, KVKK y otras regulaciones globales de protección de datos |
| Datos Personales | Cualquier información relativa a una persona física identificada o identificable |
| Procesamiento | Cualquier operación realizada sobre Datos Personales |
| Responsable del Tratamiento | La entidad que determina los fines y medios del Procesamiento |
| Encargado del Tratamiento | La entidad que Procesa Datos Personales en nombre del Responsable |
| Interesado | El individuo al que se refieren los Datos Personales |
| Subencargado | Terceros contratados por el Encargado para Procesar Datos Personales |
Whispie actúa como Encargado del Tratamiento al Procesar Datos Personales en nombre del Cliente. Whispie deberá:
El Cliente actúa como Responsable del Tratamiento y es responsable de:
El objeto del Procesamiento implica servicios de gestión de datos del bebé y la familia. La duración del Procesamiento corresponde al plazo del Acuerdo.
Las operaciones de procesamiento incluyen recopilación, almacenamiento, análisis y compartición de datos de desarrollo del bebé, información de salud y datos de gestión familiar con el fin de proporcionar los servicios de Whispie.
Los Servicios implican el Procesamiento de categorías especiales de datos que incluyen:
Whispie implementa las siguientes medidas de seguridad:
| Categoría de Medida | Implementación |
|---|---|
| Cifrado | Datos cifrados en tránsito (TLS 1.2+) y en reposo (AES-256) |
| Controles de Acceso | Acceso basado en roles, autenticación multifactor, principio de mínimo privilegio |
| Seguridad de Red | Cortafuegos, detección de intrusiones, protección DDoS, evaluaciones de seguridad periódicas |
| Seguridad Física | Centros de datos seguros, monitoreo 24/7, registros de acceso |
| Organizacional | Capacitación de empleados, acuerdos de confidencialidad, políticas de seguridad |
Whispie proporcionará asistencia razonable al Cliente para realizar evaluaciones de impacto sobre la protección de datos donde así lo requieran las Leyes de Protección de Datos.
El Cliente otorga autorización general a Whispie para contratar a los siguientes Subencargados:
| Subencargado | Servicio | Ubicación | APD en Vigor |
|---|---|---|---|
| Supabase | Base de Datos y Autenticación | Estados Unidos | Sí |
| Stripe | Procesamiento de Pagos | Estados Unidos | Sí |
| Twilio | Verificación por SMS | Estados Unidos | Sí |
| Resend | Entrega de Correo Electrónico | Estados Unidos | Disponible previa solicitud |
| Sentry | Monitoreo de Errores | Estados Unidos | Sí |
| Cloudflare | DNS y Seguridad | Global | Sí |
Whispie deberá:
El Cliente puede objetar el nombramiento de nuevos Subencargados por parte de Whispie por motivos razonables relacionados con la protección de datos. Whispie trabajará con el Cliente para abordar las preocupaciones.
Cuando los Datos Personales se transfieren fuera del EEE, Reino Unido, Suiza u otras jurisdicciones con requisitos de adecuación, Whispie garantiza que existen salvaguardias apropiadas:
Whispie implementa medidas suplementarias que incluyen:
Whispie deberá, teniendo en cuenta la naturaleza del Procesamiento, asistir al Cliente mediante medidas técnicas y organizativas apropiadas para cumplir con las obligaciones del Cliente de responder a las solicitudes de los Interesados bajo las Leyes de Protección de Datos.
Whispie deberá:
Whispie notificará al Cliente sin demora indebida tras tener conocimiento de una violación de Datos Personales. Las notificaciones incluirán:
Whispie cooperará con el Cliente y tomará las medidas comerciales razonables que el Cliente dirija para ayudar en la investigación, mitigación y remediación de cada violación de Datos Personales.
El Cliente puede auditar el cumplimiento de Whispie con este APD hasta una vez al año. Las auditorías deberán:
En lugar de una auditoría, Whispie puede proporcionar:
Tras la terminación del Acuerdo, Whispie, según elección del Cliente, eliminará o devolverá todos los Datos Personales al Cliente, y eliminará las copias existentes a menos que la ley aplicable requiera el almacenamiento de los Datos Personales.
Los Datos Personales se conservarán solo durante el tiempo necesario para proporcionar los Servicios y de acuerdo con los períodos de retención especificados en el Anexo 1.
| Categoría de Datos | Ejemplos | Nivel de Sensibilidad |
|---|---|---|
| Datos de Identidad | Nombres, fechas de nacimiento, género | Estándar |
| Datos de Contacto | Correo electrónico, números de teléfono, direcciones | Estándar |
| Datos de Salud | Vacunaciones, condiciones médicas, alergias | Categoría Especial |
| Datos de Desarrollo | Métricas de crecimiento, hitos, actividades | Categoría Especial |
| Datos Familiares | Relaciones, permisos, registros de acceso | Estándar |
| Tipo de Datos | Período de Retención | Base Legal |
|---|---|---|
| Datos de Cuenta | Hasta la eliminación de la cuenta + 6 años | Obligación legal |
| Datos de Salud del Bebé | 18 años desde el nacimiento | Obligación legal, consentimiento |
| Datos de Pago | 10 años | Obligación legal |
| Datos Analíticos | 2 años (anonimizados) | Interés legítimo |
Para los Datos Personales sujetos al GDPR, se aplicarán las Cláusulas Contractuales Estándar de la UE y se incorporan por referencia.
Para los Datos Personales sujetos al UK-GDPR, se aplicará el Addendum de Transferencia Internacional de Datos del Reino Unido.
Para los Datos Personales sujetos al KVKK, Whispie cumplirá con las obligaciones del Responsable del Tratamiento bajo la Ley No. 6698 y las regulaciones pertinentes.
Para los Datos Personales sujetos al CCPA/CPRA, Whispie cumplirá con las obligaciones del Proveedor de Servicios y no Venderá ni Compartirá Datos Personales.
Whispie cumplirá con las leyes de protección de datos en todas las jurisdicciones donde opera, incluyendo pero no limitado a:
En caso de cualquier conflicto o inconsistencia entre este APD y el Acuerdo, este APD prevalecerá en la medida del conflicto.
La responsabilidad de cada parte que surja de o esté relacionada con este APD estará sujeta a las limitaciones de responsabilidad del Acuerdo.
Este APD se regirá por la ley del Estado de Delaware, sin tener en cuenta sus principios de conflictos de leyes.
Este Addendum de Procesamiento de Datos se incorpora y forma parte del Acuerdo entre las partes.
Para Whispie (Encargado del Tratamiento):
Black Eagle Group LLC
30 N Gould St Ste N
Sheridan, WY 82801, USA
Correo electrónico: [email protected]
Para el Cliente (Responsable del Tratamiento):
Al usar los servicios de Whispie, el Cliente reconoce y acepta los términos de este Addendum de Procesamiento de Datos.
Fecha de Vigencia: 1 de diciembre de 2024