Saltar al contenido principal

Acuerdo de procesamiento de datos

Versión 2.0Última actualización:

Este Acuerdo de procesamiento de datos («DPA» o «Adenda»), incluidas las Cláusulas contractuales estándar (tal como se definen a continuación) adjuntas al mismo (colectivamente, el «DPA»), se celebra a partir de la fecha efectiva (la «Fecha efectiva») de la aceptación por parte del cliente correspondiente (el «Cliente») de las Condiciones de servicio entre Zenovay («Empresa» o «Zenovay») y el Cliente al que se adjunta e incorpora este DPA (el «Acuerdo»). Todos los términos en mayúsculas no definidos de otro modo en este DPA tendrán el significado que se les atribuye en el Acuerdo.

Esta Adenda se volverá legalmente vinculante cuando el Cliente celebre el Acuerdo o cuando se ejecute esta Adenda.

1. Definiciones

A los efectos de este DPA, los siguientes términos tienen los significados establecidos a continuación:

  • «Afiliada» significa (i) una entidad de la cual una parte posee directa o indirectamente el cincuenta por ciento (50%) o más del capital u otro interés de capital, (ii) una entidad que posee al menos el cincuenta por ciento (50%) o más del capital u otro interés de capital de una parte, o (iii) una entidad que está bajo control común con una parte al tener al menos el cincuenta por ciento (50%) o más del capital u otro interés de capital de dicha entidad y una parte que son propiedad de la misma persona, pero dicha entidad solo se considerará una Afiliada mientras exista dicha propiedad.
  • «Interesado» significa (i) una persona física identificada o identificable que se encuentra en el EEE o cuyos derechos están protegidos por las Leyes europeas de protección de datos; o (ii) un «Consumidor» tal como se define ese término en el CCPA.
  • «Datos del cliente» significa cualquier contenido, dato, información u otro material (incluida Información personal) que el Cliente, los Usuarios finales o las Afiliadas del Cliente envíen, o que sean recopilados por los Servicios para su procesamiento por Zenovay en relación con los Servicios.
  • «EEE» significa el Espacio Económico Europeo.
  • «Leyes europeas de protección de datos» significa todas las leyes y regulaciones de protección de datos aplicables al procesamiento de Información personal bajo el Acuerdo, incluyendo, donde sea aplicable, la Directiva UE 95/46/CE, el Reglamento (UE) 2016/679 (GDPR), la Directiva ePrivacy de la UE (Directiva 2002/58/CE), la Ley Federal Suiza de Protección de Datos («nDSG», en vigor desde el 1 de septiembre de 2023) y cualquier ley nacional de implementación.
  • «Información personal» o «Datos personales» significa información que identifica, se relaciona con, describe, es razonablemente capaz de asociarse con, o podría razonablemente vincularse, directa o indirectamente, con un Interesado particular. La Información personal incluye información que se considera «datos personales», «información de identificación personal» o términos similares tal como se definen en las Leyes de protección de datos aplicables.
  • «Procesamiento» significa cualquier operación o conjunto de operaciones realizadas sobre Información personal, ya sea o no por medios automatizados, como recopilación, registro, organización, estructuración, almacenamiento, adaptación, recuperación, consulta, uso, divulgación, difusión, restricción, borrado o destrucción.
  • «Cláusulas contractuales estándar» o «CCE» significa las cláusulas contractuales estándar para la transferencia de datos personales a procesadores establecidos en terceros países aprobadas por la Decisión de la Comisión Europea 2021/914 del 4 de junio de 2021.
  • «Subprocesador» significa cualquier procesador de terceros contratado por Zenovay o sus Afiliadas para procesar Información personal en nombre del Cliente bajo el Acuerdo.

2. Relación de las partes; Procesamiento de datos

2.1 Roles y alcance del procesamiento

Las partes reconocen y acuerdan que, con respecto al procesamiento de Información personal, el Cliente es el responsable del tratamiento (o «empresa» bajo el CCPA) y Zenovay es el encargado del tratamiento (o «proveedor de servicios» bajo el CCPA). El Cliente, en su uso de los Servicios, procesará Información personal de acuerdo con los requisitos de las Leyes de protección de datos aplicables. Las instrucciones del Cliente para el procesamiento de Información personal cumplirán con las Leyes de protección de datos aplicables. El Cliente es el único responsable de la exactitud, calidad y legalidad de la Información personal y de los medios por los cuales el Cliente adquirió la Información personal.

2.2 Instrucciones de procesamiento del Cliente

Al celebrar este DPA, el Cliente instruye a Zenovay a procesar Información personal únicamente de acuerdo con la ley aplicable: (a) para proporcionar los Servicios y el soporte técnico relacionado; (b) según lo especificado adicionalmente a través del uso de los Servicios por parte del Cliente (incluido a través del panel, API u otras interfaces); (c) según se documenta en el Acuerdo, incluido este DPA; y (d) según se documenta adicionalmente en cualquier otra instrucción escrita proporcionada por el Cliente y reconocida por Zenovay como instrucciones a los efectos de este DPA.

2.3 Cumplimiento de Zenovay con las instrucciones

Zenovay procesará Información personal únicamente de acuerdo con las instrucciones documentadas del Cliente, a menos que el procesamiento sea requerido por las leyes aplicables a las que está sujeta Zenovay, en cuyo caso Zenovay informará al Cliente de ese requisito legal antes del procesamiento, a menos que dicha ley prohíba dicha información por razones importantes de interés público.

2.4 Detalles del procesamiento

El objeto, la naturaleza, el propósito, la duración y los tipos de Información personal y las categorías de Interesados procesados bajo este DPA se describen en el Anexo A (Detalles del procesamiento) adjunto al presente.

3. Confidencialidad

Zenovay se asegurará de que cualquier persona autorizada a procesar Información personal en su nombre esté sujeta a un deber de confidencialidad, ya sea por contrato u obligación legal.

4. Seguridad

4.1 Medidas de seguridad

Teniendo en cuenta el estado del arte, los costos de implementación y la naturaleza, alcance, contexto y propósitos del procesamiento, así como el riesgo de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, Zenovay implementará y mantendrá medidas técnicas y organizativas apropiadas para proteger la Información personal de Incidentes de seguridad (tal como se definen a continuación) y para preservar la seguridad y confidencialidad de la Información personal, como se describe en el Anexo B (Medidas de seguridad) adjunto al presente.

4.2 Notificación de incidente de seguridad

«Incidente de seguridad» significa cualquier destrucción, pérdida, alteración, divulgación no autorizada o acceso no autorizado accidental o ilegal a Información personal. Zenovay notificará al Cliente sin demora indebida (y en cualquier caso dentro de las 72 horas) después de tomar conocimiento de cualquier Incidente de seguridad. Dicha notificación deberá:

  • Describir la naturaleza del Incidente de seguridad, incluidas las categorías y el número aproximado de Interesados y registros de Información personal afectados
  • Comunicar los datos de contacto del contacto designado de privacidad de Zenovay ([email protected]), del que se pueda obtener más información
  • Describir las consecuencias probables del Incidente de seguridad
  • Describir las medidas tomadas o propuestas para abordar el Incidente de seguridad y mitigar sus posibles efectos adversos

5. Subprocesadores

5.1 Subprocesadores autorizados

El Cliente reconoce y acepta que Zenovay puede contratar Subprocesadores para procesar Información personal en nombre del Cliente. La lista actual de Subprocesadores está disponible en zenovay.com/legal/subprocessors.

5.2 Obligaciones de los Subprocesadores

Zenovay deberá:

  • Celebrar un acuerdo escrito con cada Subprocesador que imponga obligaciones de protección de datos sustancialmente similares a las impuestas a Zenovay bajo este DPA
  • Seguir siendo plenamente responsable ante el Cliente del cumplimiento de las obligaciones de cada Subprocesador
  • Llevar a cabo la debida diligencia apropiada en cada Subprocesador antes de su contratación

5.3 Cambios a los Subprocesadores

Zenovay proporcionará al Cliente al menos 30 días de aviso escrito previo a la adición de cualquier nuevo Subprocesador. El Cliente puede objetar el uso por parte de Zenovay de un nuevo Subprocesador notificando a Zenovay por escrito dentro de los 10 días posteriores a la recepción del aviso de Zenovay, siempre que dicha objeción se base en motivos razonables relacionados con la protección de datos. Si el Cliente objeta razonablemente a un nuevo Subprocesador y Zenovay no puede proporcionar una alternativa comercialmente razonable, el Cliente puede rescindir los Servicios afectados proporcionando aviso escrito a Zenovay.

6. Derechos de los Interesados

Zenovay deberá, en la medida legalmente permitida y dentro del alcance de su rol como encargado del tratamiento, notificar prontamente al Cliente si Zenovay recibe una solicitud de un Interesado para acceder, corregir, modificar o eliminar la Información personal de esa persona. Zenovay deberá, teniendo en cuenta la naturaleza del procesamiento, asistir al Cliente mediante medidas técnicas y organizativas apropiadas, en la medida de lo posible, para el cumplimiento de las obligaciones del Cliente de responder a las solicitudes de ejercicio de los derechos de los Interesados bajo las Leyes de protección de datos, incluido el derecho de acceso, rectificación, borrado, restricción del procesamiento, portabilidad de datos y objeción al procesamiento.

7. Devolución y eliminación de datos

7.1 Períodos de retención de datos

La Información personal se retiene de acuerdo con el plan de suscripción del Cliente:

  • Plan gratuito: 1 año (365 días)
  • Plan Pro: 2 años (730 días)
  • Plan Scale: 4 años (1.460 días)
  • Plan Enterprise: Período de retención personalizado según lo acordado en el Formulario de pedido aplicable

7.2 Proceso de eliminación en dos fases

Cuando la Información personal supera el período de retención aplicable al plan del Cliente, Zenovay implementa un proceso de eliminación en dos fases:

  • Fase 1 - Ocultamiento temporal: La Información personal más antigua que el período de retención se marca como oculta y se excluye de las consultas de análisis del Cliente. Los datos permanecen en los sistemas de Zenovay pero no son accesibles a través de los Servicios.
  • Fase 2 - Período de gracia: El Cliente es notificado por correo electrónico de que los datos han sido ocultados. Comienza un período de gracia de 30 días, durante el cual el Cliente puede actualizar a un plan superior para recuperar los datos ocultos.
  • Fase 3 - Eliminación permanente: Después de que expire el período de gracia de 30 días, la Información personal oculta se elimina permanentemente usando métodos de eliminación segura.

7.3 Recuperación de datos

Si el Cliente actualiza a un plan con un período de retención más largo durante el período de gracia, Zenovay recuperará automáticamente (mostrará) la Información personal que cae dentro del nuevo período de retención. Los datos que fueron eliminados permanentemente no pueden recuperarse.

7.4 Eliminación al término

Al término o vencimiento del Acuerdo, Zenovay deberá (a elección del Cliente): (a) devolver al Cliente toda la Información personal en posesión o control de Zenovay mediante exportación de datos; o (b) eliminar toda la Información personal en posesión o control de Zenovay. Este requisito no se aplicará en la medida en que Zenovay esté obligada por la ley aplicable a retener parte o toda la Información personal, en cuyo caso Zenovay aislará y protegerá la Información personal de cualquier procesamiento adicional excepto en la medida requerida por dicha ley.

8. Derechos de auditoría

Zenovay pondrá a disposición del Cliente, previa solicitud razonable y sujeto a obligaciones de confidencialidad, toda la información necesaria para demostrar el cumplimiento de este DPA y permitirá y contribuirá a las auditorías, incluidas las inspecciones, realizadas por el Cliente o un auditor mandatado por el Cliente. El Cliente puede ejercer sus derechos de auditoría bajo esta Sección:

  • Revisando las certificaciones de seguridad mantenidas por los proveedores de infraestructura de Zenovay (Cloudflare: SOC 2 Tipo II, ISO 27001, ISO 27018; Supabase: SOC 2 Tipo II), proporcionadas previa solicitud razonable. Zenovay no está actualmente certificada SOC 2; actualizaremos esta divulgación cuando se complete una auditoría.
  • Enviando a Zenovay un cuestionario sobre las prácticas de protección de datos de Zenovay (limitado a una vez al año a menos que lo requieran las Leyes de protección de datos)
  • En circunstancias excepcionales, realizando una auditoría in situ o remota de las prácticas de protección de datos de Zenovay, sujeto a aviso razonable, obligaciones de confidencialidad y reembolso de los costos razonables de Zenovay

9. Transferencias internacionales

9.1 Transferencias de datos

Zenovay puede transferir y procesar Información personal a nivel mundial según sea necesario para proporcionar los Servicios. Si Zenovay transfiere Información personal del EEE o Suiza a un país fuera del EEE/Suiza que no ha sido reconocido por la Comisión Europea o el Consejo Federal Suizo como que proporciona un nivel adecuado de protección de datos, dichas transferencias estarán sujetas a salvaguardas apropiadas según lo requerido por las Leyes de protección de datos, incluidas:

  • Marco de Privacidad de Datos UE-EE.UU. (DPF) / DPF Suiza-EE.UU.: Para transferencias a subprocesadores con sede en EE.UU. certificados bajo el DPF, confianza en la Decisión de adecuación de la Comisión Europea del 10 de julio de 2023 y el correspondiente reconocimiento suizo.
  • Cláusulas contractuales estándar (CCE): Como se detalla en la Sección 9.2 a continuación.
  • Medidas complementarias: Evaluaciones de impacto de transferencia, cifrado en tránsito y en reposo, controles de acceso y otras medidas recomendadas por el EDPB y el PFPDI a la luz del fallo Schrems II.

9.2 Cláusulas contractuales estándar

En la medida en que Zenovay procese Información personal protegida por las Leyes europeas de protección de datos (incluido el GDPR y la nDSG) y transfiera dicha Información personal a un país no reconocido por la Comisión Europea o el Consejo Federal Suizo como que proporciona un nivel adecuado de protección, las Cláusulas contractuales estándar (Módulo Dos: Responsable del tratamiento a encargado del tratamiento) se aplicarán y se incorporan por referencia en este DPA. A los efectos de las Cláusulas contractuales estándar:

  • El Cliente es el «exportador de datos» y Zenovay es el «importador de datos»
  • Las partes acuerdan las cláusulas opcionales en la Cláusula 7, Cláusula 11 y Cláusula 9(a)
  • La ley del Estado miembro será la ley del Estado miembro en el que esté establecido el Cliente o, si el Cliente no está establecido en un Estado miembro, la ley de Irlanda
  • La autoridad supervisora competente será la autoridad supervisora del Estado miembro en el que esté establecido el Cliente; para los Clientes suizos, el PFPDI (Comisionado Federal de Protección de Datos e Información); para los Clientes no establecidos en un Estado miembro o Suiza, la Comisión Irlandesa de Protección de Datos
  • Para las transferencias sujetas a la nDSG, las referencias a las disposiciones del GDPR se interpretan como referencias a las disposiciones equivalentes de la nDSG, y las referencias a la UE/EEE se interpretan como referencias a Suiza
  • La descripción de la transferencia se establece en el Anexo A (Detalles del procesamiento)
  • Las medidas técnicas y organizativas se establecen en el Anexo B (Medidas de seguridad)

10. Limitación de responsabilidad

La responsabilidad de cada parte bajo este DPA estará sujeta a las exclusiones y limitaciones de responsabilidad establecidas en el Acuerdo.

11. Disposiciones generales

11.1 Orden de precedencia

En caso de cualquier conflicto o inconsistencia entre este DPA y el Acuerdo, las disposiciones de este DPA prevalecerán en la medida de dicho conflicto o inconsistencia.

11.2 Modificación

Zenovay puede actualizar este DPA de vez en cuando para reflejar cambios en las Leyes de protección de datos, orientación regulatoria o mejores prácticas de la industria. Los cambios materiales serán notificados al Cliente con al menos 30 días de anticipación antes de que entren en vigor.

11.3 Divisibilidad

Si alguna disposición de este DPA se considera inválida o inaplicable, las disposiciones restantes permanecerán en plena vigencia.

11.5 Ley Aplicable y Jurisdicción

Este DPA se regirá e interpretará de acuerdo con las disposiciones de ley aplicable y jurisdicción del Acuerdo, excepto cuando las Cláusulas contractuales estándar especifiquen lo contrario.

Anexo A: Detalles del procesamiento

Lista de partes

Exportador de datos: Cliente (tal como se define en el Acuerdo)

Importador de datos: Zenovay, Suiza

Descripción de la transferencia

Objeto: El objeto del procesamiento de datos es la prestación de servicios de análisis de sitios web.

Naturaleza y propósito del procesamiento: Zenovay procesará Información personal para proporcionar servicios de análisis de sitios web y aplicaciones, incluidos:

  • Recopilación y análisis de datos de visitantes de sitios web
  • Generación de informes e insights de análisis
  • Prestación de servicios de panel y visualización de datos
  • Almacenamiento y mantenimiento de datos de análisis
  • Puntuación automatizada del valor del visitante (escala 0-100 basada en señales de comportamiento, geografía y datos del dispositivo)
  • Insights de análisis impulsados por IA (a través de Cloudflare AI Gateway y OpenAI, cuando el Cliente los habilite)
  • Prestación de soporte al cliente y gestión de cuentas

Duración del procesamiento: La duración del procesamiento es por el plazo del Acuerdo más el período de retención de datos aplicable al plan de suscripción del Cliente (1 año para el gratuito, 2 años para Pro, 4 años para Scale, o personalizado para Enterprise). Los datos que superen el período de retención están sujetos al proceso de eliminación en dos fases descrito en la Sección 7.

Categorías de Información personal: Las categorías de Información personal transferida pueden incluir:

  • Datos de red: Direcciones IP (almacenadas para análisis geográfico y seguridad), geolocalización aproximada (país, región, ciudad)
  • Datos del dispositivo: Cadenas de agente de usuario, tipo de dispositivo, navegador, sistema operativo, resolución de pantalla
  • Datos de navegación: URLs de páginas visitadas, títulos de páginas, URLs de referencia, marcas de tiempo, tiempo en las páginas
  • Datos de comportamiento: Profundidad de desplazamiento, recuentos de clics, interacciones con formularios (excluyendo campos sensibles), métricas de participación
  • Datos de campaña: Parámetros UTM, identificadores de clics de plataformas publicitarias (p. ej., Google, Facebook, TikTok)
  • Datos de conversión: Eventos personalizados, completaciones de objetivos y valores asociados según la configuración del Cliente
  • Datos de sesión: Identificadores de sesión, duración, páginas por sesión, estado de visitante recurrente

Datos opcionales (cuando el Cliente habilita las funciones):

  • Repetición de sesión: Instantáneas del DOM, movimientos del ratón, clics y comportamiento de desplazamiento (campos sensibles enmascarados automáticamente)
  • Mapas de calor: Datos agregados de posición de clics y desplazamiento
  • Identificación de usuario: Nombre, correo electrónico, teléfono, empresa e identificadores personalizados cuando los proporciona la implementación del Cliente
  • Enriquecimiento B2B: Nombre de empresa, dominio, industria, tamaño y otros atributos comerciales derivados de servicios de enriquecimiento de terceros

El Cliente es responsable de determinar qué Información personal se recopila y garantizar el cumplimiento de las leyes de privacidad aplicables.

Categorías de Interesados: Los Interesados cuya Información personal se procesa incluyen:

  • Visitantes de los sitios web y aplicaciones del Cliente
  • Usuarios de los servicios en línea del Cliente
  • Clientes de los productos o servicios del Cliente
  • Empleados o representantes del Cliente (para fines de gestión de cuentas)

Datos sensibles: Zenovay no tiene intención de procesar datos personales sensibles (p. ej., información de salud, datos biométricos, detalles de cuentas financieras). El Cliente tiene prohibido transmitir datos personales sensibles a Zenovay sin acuerdo previo por escrito y salvaguardas apropiadas.

Frecuencia de la transferencia: La frecuencia de transferencia de los datos personales es continua, hasta que el acuerdo llegue a su fin.

Anexo B: Medidas de seguridad

Zenovay ha implementado y mantendrá las siguientes medidas de seguridad técnicas y organizativas:

1. Controles de acceso físico

  • Infraestructura en la nube alojada en la red de borde global de Cloudflare, certificada según los estándares de la industria (SOC 2, ISO 27001)
  • Servicios de base de datos proporcionados por Supabase, alojados en infraestructura en la nube certificada
  • Controles de acceso físico gestionados por proveedores de infraestructura (Cloudflare, Supabase)
  • Monitoreo de seguridad y vigilancia 24/7 de las instalaciones del centro de datos

2. Controles de acceso al sistema

  • Autenticación multifactor (MFA) requerida para el acceso administrativo
  • Controles de acceso basados en roles (RBAC) que limitan el acceso según la función laboral
  • Credenciales de usuario únicas para todo el acceso al sistema
  • Revisiones de acceso regulares y revocación de permisos innecesarios
  • Registro y monitoreo de todos los accesos y actividades del sistema

3. Controles de acceso a datos

  • Cifrado de datos en tránsito usando TLS 1.2 o superior
  • Cifrado de datos sensibles en reposo usando cifrado AES-256
  • Acceso a Información personal restringido solo al personal autorizado
  • Segregación de datos para prevenir el acceso no autorizado a datos entre clientes

4. Controles de transmisión

  • Cifrado de la transmisión de datos usando protocolos TLS/SSL
  • APIs seguras con controles de autenticación y autorización
  • Registro y monitoreo de las transmisiones de datos

5. Controles de entrada

  • Registro de auditoría de creación, modificación y eliminación de datos
  • Procedimientos de control de versiones y gestión de cambios
  • Copias de seguridad automatizadas con capacidad de recuperación en un punto en el tiempo

6. Controles de disponibilidad

  • Red de borde global de Cloudflare con conmutación automática por error en más de 300 centros de datos
  • Base de datos gestionada Supabase con recuperación en un punto en el tiempo
  • Copias de seguridad regulares almacenadas en ubicaciones distribuidas geográficamente
  • Procedimientos de recuperación ante desastres y continuidad del negocio
  • Procedimientos de monitoreo del sistema y respuesta a incidentes
  • Nota: No se proporciona ningún SLA de tiempo de actividad específico a menos que se acuerde por separado en un contrato Enterprise

7. Medidas organizativas

  • Formación regular de concienciación sobre seguridad para empleados
  • Acuerdos de confidencialidad firmados por todos los empleados
  • Procedimientos de respuesta a incidentes y notificación de brechas
  • Revisiones y evaluaciones de seguridad periódicas
  • Programa de gestión de riesgos de proveedores para Subprocesadores

Información de contacto

Para preguntas sobre este DPA o prácticas de procesamiento de datos, contáctenos:

Email: [email protected]

Support: [email protected]

Address: Zenovay, Suiza

Políticas relacionadas:Política de privacidadTérminos de servicioPolítica de cookiesAcuerdo de procesamiento de datosUso aceptableSubencargadosSeguridad y PrivacidadAviso legal