Anexo de Tratamiento de Datos
Este Anexo de Tratamiento de Datos (“DPA”) forma parte de los Términos del Servicio celebrados entre Kaligon Ltd, sociedad constituida en el Estado de Israel (company no. 515713865), Yaakov St 26, Rehovot, 7626237, Israel (“Kaligon”, “Encargado del tratamiento”), y el cliente (“Cliente”, “Responsable del tratamiento”). Se aplica siempre que Kaligon trate datos personales en nombre del Cliente en relación con los Servicios, y refleja el artículo 28 del Reglamento General de Protección de Datos de la UE y del Reino Unido (“RGPD”) y la Ley de Protección de la Privacidad de Israel, 5741-1981, así como el Reglamento de Protección de la Privacidad (Seguridad de los Datos), 5777-2017.
1. Funciones y ámbito de aplicación
En lo que respecta al Contenido del Cliente que contenga datos personales, el Cliente es el responsable del tratamiento (o un encargado que actúa por cuenta de un responsable tercero) y Kaligon es el encargado del tratamiento (o subencargado). Cada parte cumplirá la normativa de protección de datos que le resulte aplicable. El tratamiento separado por parte de Kaligon de los datos personales de cuenta, facturación y sitio web —cuando actúa como responsable del tratamiento— se describe en la Política de Privacidad, no en este DPA.
2. Tratamiento conforme a instrucciones documentadas
Kaligon tratará los datos personales únicamente conforme a las instrucciones documentadas del Cliente —incluidos los Términos, este DPA y la configuración y el uso de los Servicios por parte del Cliente— y según lo exija la ley, en cuyo caso Kaligon (cuando esté legalmente permitido) informará primero al Cliente. Kaligon comunicará al Cliente si considera que una instrucción infringe la normativa de protección de datos aplicable.
3. Confidencialidad
Kaligon garantiza que el personal autorizado para tratar datos personales está sujeto a obligaciones de confidencialidad adecuadas y recibe formación sobre sus responsabilidades.
4. Seguridad
Kaligon implementa y mantiene medidas técnicas y organizativas adecuadas, concebidas para garantizar un nivel de seguridad apropiado al riesgo, teniendo en cuenta el artículo 32 del RGPD y el Reglamento de Seguridad de los Datos, 5777-2017. Estas medidas se resumen en el Anexo 2 y podrán actualizarse siempre que no se reduzca significativamente el nivel de protección.
5. Subencargados del tratamiento
El Cliente otorga a Kaligon una autorización general para recurrir a subencargados del tratamiento con el fin de prestar los Servicios. Una lista actualizada de subencargados está disponible previa solicitud en hello@kaligon.cloud (y se resume en el Anexo 3). Kaligon impondrá a cada subencargado obligaciones de protección de datos que no sean menos protectoras que las establecidas en este DPA, y seguirá siendo responsable del desempeño de sus subencargados. Kaligon notificará al Cliente con una antelación razonable cualquier adición o sustitución prevista de un subencargado, durante cuyo plazo el Cliente podrá oponerse por motivos razonables de protección de datos.
6. Solicitudes de los interesados
Teniendo en cuenta la naturaleza del tratamiento, Kaligon asistirá al Cliente mediante medidas técnicas y organizativas adecuadas, en la medida de lo posible, para responder a las solicitudes de los interesados que ejerzan sus derechos. Si Kaligon recibe una solicitud de este tipo directamente, remitirá al interesado al Cliente cuando ello sea lícito.
7. Asistencia
Kaligon prestará una asistencia razonable al Cliente en materia de seguridad, notificación de violaciones, evaluaciones de impacto relativas a la protección de datos y consulta previa a las autoridades de control, teniendo en cuenta la naturaleza del tratamiento y la información de que disponga Kaligon.
8. Violaciones de la seguridad de los datos personales
Kaligon notificará al Cliente sin dilación indebida tras tener conocimiento de una violación de la seguridad de los datos personales que afecte a datos personales del Cliente, y le proporcionará la información razonablemente disponible para ayudarle a cumplir sus propias obligaciones de notificación a las autoridades y a los interesados.
9. Transferencias internacionales
Cuando el tratamiento implique una transferencia de datos personales fuera del EEE, el Reino Unido o Suiza a un país que carezca de una decisión de adecuación, las partes recurrirán a un mecanismo de transferencia adecuado —incluidas las Cláusulas Contractuales Tipo de la Comisión Europea y el Apéndice de Transferencia Internacional de Datos del Reino Unido (UK International Data Transfer Addendum), que se incorporan por referencia— junto con las medidas complementarias que resulten necesarias.
10. Auditorías e información
Kaligon pondrá a disposición la información razonablemente necesaria para demostrar el cumplimiento de este DPA y permitirá y contribuirá a la realización de auditorías, incluidas inspecciones, llevadas a cabo por el Cliente o por un auditor designado por este, con un preaviso razonable, con sujeción a la confidencialidad y a los límites que protejan la seguridad y los datos de otros clientes. Cuando estén disponibles, podrán facilitarse informes y certificaciones de terceros para atender las solicitudes de auditoría.
11. Supresión o devolución
A la terminación de los Servicios, y a elección del Cliente, Kaligon suprimirá o devolverá los datos personales del Cliente y eliminará las copias existentes dentro de un plazo razonable (y, en todo caso, dentro del periodo de supresión indicado en los Términos), salvo que la normativa aplicable exija su conservación.
12. Responsabilidad
La responsabilidad de cada parte en virtud de este DPA está sujeta a las limitaciones y exclusiones de responsabilidad establecidas en los Términos del Servicio.
13. Orden de prelación y ley aplicable
En caso de conflicto entre este DPA y los Términos en lo relativo al tratamiento de datos personales, prevalecerá este DPA. Salvo que la normativa imperativa de protección de datos (incluidos el RGPD o las Cláusulas Contractuales Tipo) disponga lo contrario, este DPA se rige por la ley y la jurisdicción indicadas en los Términos.
Annex 1 — Detalles del tratamiento
- Objeto y duración — prestación de los Servicios durante la vigencia de los Términos.
- Naturaleza y finalidad — alojamiento, almacenamiento, transmisión y procesamiento del Contenido del Cliente según lo configure el Cliente.
- Tipos de datos personales — cualesquiera datos personales que el Cliente decida incluir en el Contenido del Cliente; Kaligon no exige ni controla su contenido.
- Categorías de interesados — las que determine el Cliente (por ejemplo, los usuarios, clientes o personal del Cliente).
Annex 2 — Medidas de seguridad
Cifrado en tránsito y en reposo; controles de acceso y privilegio mínimo; segmentación de la red y aislamiento por proyecto; registro, supervisión y un registro de auditoría de 90 días; desarrollo seguro y gestión de cambios; y respuesta ante incidentes. Los detalles completos están disponibles previa solicitud.
Annex 3 — Subencargados del tratamiento
Stripe (procesamiento de pagos); socios de infraestructura y centros de datos en las regiones donde opera Kaligon (Texas y New York, Estados Unidos; London, Reino Unido; Amsterdam, Países Bajos); y un proveedor de correo electrónico transaccional. Una lista actualizada y detallada está disponible en hello@kaligon.cloud.
Contacto
Para consultas sobre este DPA o para solicitar la lista de subencargados, las Cláusulas Contractuales Tipo o la documentación de seguridad: hello@kaligon.cloud.