Addendum de Procesamiento de Datos

Última actualización: 1 de diciembre de 2024

Addendum de Procesamiento de Datos

Este Addendum de Procesamiento de Datos ("APD") forma parte y está sujeto a los Términos de Servicio de Whispie u otro acuerdo escrito o electrónico entre Black Eagle Group LLC ("Whispie", "nosotros", "nos" o "nuestro") y usted ("Cliente", "usted" o "su") para la adquisición de servicios (el "Acuerdo").

Este APD refleja el acuerdo de las partes con respecto al Procesamiento de Datos Personales de acuerdo con los requisitos de las Leyes y Regulaciones de Protección de Datos.

1. Definiciones

Para los propósitos de este APD, los siguientes términos tendrán los significados establecidos a continuación:

Término Definición
Leyes de Protección de Datos Todas las leyes de protección de datos y privacidad aplicables, incluyendo GDPR, UK-GDPR, CCPA/CPRA, KVKK y otras regulaciones globales de protección de datos
Datos Personales Cualquier información relativa a una persona física identificada o identificable
Procesamiento Cualquier operación realizada sobre Datos Personales
Responsable del Tratamiento La entidad que determina los fines y medios del Procesamiento
Encargado del Tratamiento La entidad que Procesa Datos Personales en nombre del Responsable
Interesado El individuo al que se refieren los Datos Personales
Subencargado Terceros contratados por el Encargado para Procesar Datos Personales

2. Roles y Responsabilidades

2.1 Whispie como Encargado del Tratamiento

Whispie actúa como Encargado del Tratamiento al Procesar Datos Personales en nombre del Cliente. Whispie deberá:

2.2 Cliente como Responsable del Tratamiento

El Cliente actúa como Responsable del Tratamiento y es responsable de:

3. Detalles del Procesamiento

3.1 Objeto y Duración

El objeto del Procesamiento implica servicios de gestión de datos del bebé y la familia. La duración del Procesamiento corresponde al plazo del Acuerdo.

3.2 Naturaleza y Finalidad

Las operaciones de procesamiento incluyen recopilación, almacenamiento, análisis y compartición de datos de desarrollo del bebé, información de salud y datos de gestión familiar con el fin de proporcionar los servicios de Whispie.

3.3 Categorías de Interesados

3.4 Tipos de Datos Personales

3.5 Categorías Especiales de Datos

Los Servicios implican el Procesamiento de categorías especiales de datos que incluyen:

4. Medidas Técnicas y Organizativas

4.1 Medidas de Seguridad

Whispie implementa las siguientes medidas de seguridad:

Categoría de Medida Implementación
Cifrado Datos cifrados en tránsito (TLS 1.2+) y en reposo (AES-256)
Controles de Acceso Acceso basado en roles, autenticación multifactor, principio de mínimo privilegio
Seguridad de Red Cortafuegos, detección de intrusiones, protección DDoS, evaluaciones de seguridad periódicas
Seguridad Física Centros de datos seguros, monitoreo 24/7, registros de acceso
Organizacional Capacitación de empleados, acuerdos de confidencialidad, políticas de seguridad

4.2 Evaluaciones de Impacto sobre la Protección de Datos

Whispie proporcionará asistencia razonable al Cliente para realizar evaluaciones de impacto sobre la protección de datos donde así lo requieran las Leyes de Protección de Datos.

5. Subencargamiento

5.1 Subencargados Autorizados

El Cliente otorga autorización general a Whispie para contratar a los siguientes Subencargados:

Subencargado Servicio Ubicación APD en Vigor
Supabase Base de Datos y Autenticación Estados Unidos
Stripe Procesamiento de Pagos Estados Unidos
Twilio Verificación por SMS Estados Unidos
Resend Entrega de Correo Electrónico Estados Unidos Disponible previa solicitud
Sentry Monitoreo de Errores Estados Unidos
Cloudflare DNS y Seguridad Global

5.2 Obligaciones del Subencargado

Whispie deberá:

5.3 Derecho de Objeción

El Cliente puede objetar el nombramiento de nuevos Subencargados por parte de Whispie por motivos razonables relacionados con la protección de datos. Whispie trabajará con el Cliente para abordar las preocupaciones.

6. Transferencias Internacionales de Datos

6.1 Mecanismos de Transferencia

Cuando los Datos Personales se transfieren fuera del EEE, Reino Unido, Suiza u otras jurisdicciones con requisitos de adecuación, Whispie garantiza que existen salvaguardias apropiadas:

6.2 Medidas Suplementarias

Whispie implementa medidas suplementarias que incluyen:

7. Derechos de los Interesados

7.1 Obligaciones de Asistencia

Whispie deberá, teniendo en cuenta la naturaleza del Procesamiento, asistir al Cliente mediante medidas técnicas y organizativas apropiadas para cumplir con las obligaciones del Cliente de responder a las solicitudes de los Interesados bajo las Leyes de Protección de Datos.

7.2 Manejo de Solicitudes

Whispie deberá:

8. Gestión de Incidentes de Seguridad

8.1 Notificación de Incidentes

Whispie notificará al Cliente sin demora indebida tras tener conocimiento de una violación de Datos Personales. Las notificaciones incluirán:

8.2 Cooperación

Whispie cooperará con el Cliente y tomará las medidas comerciales razonables que el Cliente dirija para ayudar en la investigación, mitigación y remediación de cada violación de Datos Personales.

9. Derechos de Auditoría

9.1 Procedimientos de Auditoría

El Cliente puede auditar el cumplimiento de Whispie con este APD hasta una vez al año. Las auditorías deberán:

9.2 Evidencia Alternativa

En lugar de una auditoría, Whispie puede proporcionar:

10. Devolución y Eliminación de Datos

10.1 Devolución o Eliminación

Tras la terminación del Acuerdo, Whispie, según elección del Cliente, eliminará o devolverá todos los Datos Personales al Cliente, y eliminará las copias existentes a menos que la ley aplicable requiera el almacenamiento de los Datos Personales.

10.2 Períodos de Retención

Los Datos Personales se conservarán solo durante el tiempo necesario para proporcionar los Servicios y de acuerdo con los períodos de retención especificados en el Anexo 1.

ANEXO 1: DETALLES DEL PROCESAMIENTO

A. Categorías de Interesados

B. Tipos de Datos Personales

Categoría de Datos Ejemplos Nivel de Sensibilidad
Datos de Identidad Nombres, fechas de nacimiento, género Estándar
Datos de Contacto Correo electrónico, números de teléfono, direcciones Estándar
Datos de Salud Vacunaciones, condiciones médicas, alergias Categoría Especial
Datos de Desarrollo Métricas de crecimiento, hitos, actividades Categoría Especial
Datos Familiares Relaciones, permisos, registros de acceso Estándar

C. Operaciones de Procesamiento

D. Períodos de Retención

Tipo de Datos Período de Retención Base Legal
Datos de Cuenta Hasta la eliminación de la cuenta + 6 años Obligación legal
Datos de Salud del Bebé 18 años desde el nacimiento Obligación legal, consentimiento
Datos de Pago 10 años Obligación legal
Datos Analíticos 2 años (anonimizados) Interés legítimo

ANEXO 2: MEDIDAS TÉCNICAS Y ORGANIZATIVAS

A. Control de Acceso Físico

B. Control de Acceso al Sistema

C. Control de Acceso a los Datos

D. Medidas Organizativas

11. Disposiciones Específicas por Región

11.1 Espacio Económico Europeo

Para los Datos Personales sujetos al GDPR, se aplicarán las Cláusulas Contractuales Estándar de la UE y se incorporan por referencia.

11.2 Reino Unido

Para los Datos Personales sujetos al UK-GDPR, se aplicará el Addendum de Transferencia Internacional de Datos del Reino Unido.

11.3 Turquía

Para los Datos Personales sujetos al KVKK, Whispie cumplirá con las obligaciones del Responsable del Tratamiento bajo la Ley No. 6698 y las regulaciones pertinentes.

11.4 Estados Unidos - California

Para los Datos Personales sujetos al CCPA/CPRA, Whispie cumplirá con las obligaciones del Proveedor de Servicios y no Venderá ni Compartirá Datos Personales.

11.5 Otras Regiones

Whispie cumplirá con las leyes de protección de datos en todas las jurisdicciones donde opera, incluyendo pero no limitado a:

12. Disposiciones Generales

12.1 Orden de Precedencia

En caso de cualquier conflicto o inconsistencia entre este APD y el Acuerdo, este APD prevalecerá en la medida del conflicto.

12.2 Responsabilidad

La responsabilidad de cada parte que surja de o esté relacionada con este APD estará sujeta a las limitaciones de responsabilidad del Acuerdo.

12.3 Ley Aplicable

Este APD se regirá por la ley del Estado de Delaware, sin tener en cuenta sus principios de conflictos de leyes.

ACEPTACIÓN Y EJECUCIÓN

Este Addendum de Procesamiento de Datos se incorpora y forma parte del Acuerdo entre las partes.

Para Whispie (Encargado del Tratamiento):

Black Eagle Group LLC
30 N Gould St Ste N
Sheridan, WY 82801, USA
Correo electrónico: [email protected]

Para el Cliente (Responsable del Tratamiento):

Al usar los servicios de Whispie, el Cliente reconoce y acepta los términos de este Addendum de Procesamiento de Datos.

Fecha de Vigencia: 1 de diciembre de 2024