Acuerdo de Tratamiento de Datos

Los términos utilizados en este ATD tienen el significado que les atribuye el RGPD (Reglamento (UE) 2016/679). En particular:

• Datos Personales: cualquier información sobre una persona física identificada o identificable.
• Responsable: el cliente que determina los fines y medios del tratamiento.
• Encargado: HummingDeck, que trata los Datos Personales por cuenta del Responsable.
• Subencargado: cualquier tercero contratado por HummingDeck para tratar Datos Personales, indicado en hummingdeck.com/sub-processors.
• Interesado: la persona física a la que se refieren los Datos Personales, incluidos los empleados, contactos y los destinatarios que visualizan documentos compartidos a través de HummingDeck ("Visualizadores de Documentos").

HummingDeck actúa como Encargado por cuenta del Responsable respecto de todos los Datos Personales tratados en relación con el servicio, incluidos:

• Los titulares de cuentas y los miembros del equipo que el Responsable añade a un espacio de trabajo.
• Los contactos y leads que el Responsable importe o cree.
• Los Visualizadores de Documentos que abran enlaces compartidos por el Responsable.
• Los eventos de interacción generados por los Visualizadores de Documentos (páginas vistas, tiempo en página, visitas recurrentes, ubicación a nivel de país y señales derivadas de la IP).

El Responsable es el único responsable de la licitud del tratamiento, de la elección de la base jurídica conforme al Artículo 6 del RGPD y de los derechos de los Interesados.

El Responsable declara y garantiza que:

• Dispone de una base jurídica válida conforme al Artículo 6 del RGPD para el tratamiento que encarga a HummingDeck.
• Ha facilitado a los Interesados toda la información requerida por los Artículos 13 y 14 del RGPD, incluida la información a los Visualizadores de Documentos sobre el seguimiento de la interacción que se realiza a través de los enlaces de HummingDeck. El Responsable es el único responsable de esta comunicación, ya sea a través de su propia política de privacidad, del correo o mensaje que acompaña al enlace compartido o de cualquier otro canal apropiado.
• No instruirá a HummingDeck para tratar Datos Personales en contravención de la normativa aplicable en materia de protección de datos.

Para ayudar al Responsable a cumplir con su obligación de información, HummingDeck pone a su disposición:

• Una política de privacidad pública en hummingdeck.com/privacy que describe qué datos se recopilan de los Visualizadores de Documentos y bajo qué base jurídica.
• Un texto modelo que el Responsable puede adoptar o adaptar para su propia política de privacidad, disponible bajo solicitud.
• Una lista pública de subencargados en hummingdeck.com/sub-processors.

Como Encargado, HummingDeck se compromete a:

• Tratar los Datos Personales únicamente siguiendo instrucciones documentadas del Responsable, incluidas las que se transmiten a través del propio uso del servicio.
• Garantizar que las personas autorizadas para tratar Datos Personales se encuentran sujetas a deberes de confidencialidad.
• Implementar medidas técnicas y organizativas de seguridad apropiadas (Sección 5).
• Recurrir a subencargados únicamente mediante contratos escritos que impongan obligaciones equivalentes en materia de protección de datos, e informar al Responsable de los cambios previstos conforme a la Sección 6.
• Asistir al Responsable, teniendo en cuenta la naturaleza del tratamiento, en el cumplimiento de sus obligaciones de respuesta a las solicitudes de los Interesados conforme al Capítulo III del RGPD.
• Asistir al Responsable en materia de seguridad, notificación de violaciones de seguridad, evaluaciones de impacto relativas a la protección de datos y consultas previas conforme a los Artículos 32 a 36 del RGPD.
• Notificar al Responsable, sin dilación indebida (y en un plazo de 72 horas cuando sea factible), tras tener conocimiento de una Violación de Datos Personales que afecte a los datos del Responsable.
• A elección del Responsable, suprimir o devolver todos los Datos Personales tras la finalización del servicio, así como suprimir las copias existentes salvo que la conservación sea exigida por ley.
• Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de este ATD y permitir auditorías o inspecciones por parte del Responsable o de un auditor designado por este (sujeto a la Sección 7).

HummingDeck implementa y mantiene medidas técnicas y organizativas apropiadas, entre ellas:

• Cifrado de los Datos Personales en tránsito (TLS 1.2+) y en reposo (cifrado predeterminado de Google Cloud Storage).
• Controles de acceso basados en el principio de mínimo privilegio, con registro de los accesos administrativos.
• Autenticación a través de Google Firebase con gestión segura de sesiones.
• Sistemas de detección de bots y abuso para filtrar el tráfico automatizado de la analítica de interacción.
• Procedimientos de copia de seguridad y recuperación ante desastres.
• Revisión periódica de las prácticas de seguridad.

HummingDeck no cuenta actualmente con la certificación SOC 2. Los clientes que requieran una certificación formal pueden escribir a hello@hummingdeck.com para obtener el cuestionario de seguridad vigente y los plazos previstos.

El Responsable autoriza a HummingDeck a recurrir a los subencargados indicados en hummingdeck.com/sub-processors. HummingDeck notificará al Responsable con al menos 30 días de antelación cualquier incorporación o sustitución de un subencargado que trate Datos Personales del Responsable, mediante:

• La actualización de la lista pública de subencargados, y
• La notificación por correo electrónico al propietario del espacio de trabajo si el cambio afecta materialmente al tratamiento.

Si el Responsable se opone de buena fe a un nuevo subencargado por motivos de protección de datos en un plazo de 30 días desde la notificación, las partes trabajarán de buena fe para resolver la objeción. Si no se alcanza una solución, el Responsable podrá rescindir, por su conveniencia, la parte del servicio afectada.

HummingDeck pondrá a disposición, previo aviso razonable y con una frecuencia no superior a una vez cada 12 meses (o más a menudo si así lo requiere un regulador):

• Su Registro de Actividades de Tratamiento vigente (documentación del Artículo 30).
• Información sobre sus medidas de seguridad y sobre cualquier evaluación realizada por terceros.
• La posibilidad de llevar a cabo una auditoría remota (mediante cuestionario o videoconferencia) a cargo del Responsable.

Las inspecciones presenciales solo se permiten cuando lo exija la legislación aplicable o una orden vinculante de un regulador, previo aviso razonable y a cargo del Responsable.

El Responsable reconoce que algunos subencargados están ubicados fuera del Espacio Económico Europeo, principalmente en Estados Unidos. Para tales transferencias, HummingDeck se basa en las Cláusulas Contractuales Tipo de la Comisión Europea (Módulo Dos, Responsable a Encargado) incorporadas en sus contratos con los subencargados correspondientes, complementadas con las medidas técnicas y organizativas descritas en la Sección 5.

Tras la finalización del servicio, el Responsable podrá, en un plazo de 30 días, solicitar una exportación estructurada de sus datos a través de la aplicación o del soporte. Transcurridos esos 30 días, HummingDeck suprimirá todos los Datos Personales del Responsable de los sistemas de producción en un plazo adicional de 30 días, salvo cuando la conservación sea exigida por ley (por ejemplo, registros de facturación). Las copias de seguridad se conservan según los calendarios estándar de rotación de copias y se sobrescriben en su debido momento.

La responsabilidad de cada parte en virtud de este ATD está sujeta a las limitaciones de responsabilidad establecidas en el contrato principal entre las partes.

En caso de conflicto entre este ATD y el contrato principal (incluidos los Términos de Servicio de HummingDeck), prevalecerá este ATD en la medida del conflicto y únicamente respecto del tratamiento de Datos Personales.

HummingDeck podrá actualizar este ATD periódicamente para reflejar cambios en la legislación aplicable o en sus prácticas de tratamiento. Los cambios materiales se comunicarán por correo electrónico al propietario del espacio de trabajo con al menos 30 días de antelación a su entrada en vigor. El uso continuado del servicio tras la fecha efectiva implica la aceptación de los cambios.

Las consultas sobre este ATD, las solicitudes de una versión firmada o las solicitudes formales de los Interesados deben enviarse a hello@hummingdeck.com.