Procesamiento de datos Adenda

Los términos en mayúscula no definidos aquí tienen el significado que se les atribuye en el GDPR (Regulation (EU) 2016/679) y, cuando corresponda, en el UK GDPR / Data Protection Act 2018, en la California Consumer Privacy Act en su versión modificada por la CPRA (“CCPA”) y en las leyes equivalentes de otras jurisdicciones.

“Datos Personales” son los datos enviados por el Cliente o generados por el Servicio que identifican o se refieren a una persona física identificada o identificable. “Subencargado del Tratamiento” es un tercero contratado por FixVibe para procesar Datos Personales en nombre de FixVibe — listados en /legal/privacy.

Cada parte es independientemente responsable del cumplimiento de las Leyes de Protección de Datos que le sean aplicables. El Cliente es el Responsable del Tratamiento y FixVibe es el Encargado del Tratamiento de los Datos Personales procesados bajo esta Adenda. FixVibe procesará Datos Personales únicamente según las instrucciones documentadas del Cliente (la configuración del Servicio constituye dichas instrucciones), salvo que la ley exija lo contrario.

FixVibe garantiza que el personal autorizado para procesar Datos Personales esté sujeto a obligaciones de confidencialidad. El acceso a los datos de producción está restringido a un subconjunto mínimo del personal de operaciones, registrado en audit_logs y revisado periódicamente. Los empleados de FixVibe no acceden a los datos del Cliente salvo para investigar tickets de soporte, responder a incidentes de seguridad o cumplir con procesos legales.

FixVibe implementa medidas técnicas y organizativas apropiadas, coherentes con GDPR Art. 32, que incluyen:

• cifrado de Datos Personales en tránsito (TLS 1.2+) y en reposo (cifrado a nivel de disco de la base de datos + cifrado dirigido a nivel de columna AES-256-GCM para cabeceras de escaneo autenticado y tokens OAuth);
• seguridad a nivel de fila forzada en cada tabla de la base de datos — el código de aplicación no puede leer ni escribir entre límites organizativos, ni siquiera por error;
• autenticación multifactor por usuario a través del proveedor OAuth (Google o GitHub) cuando el Cliente elige inicio de sesión social;
• análisis estático continuo y escaneo de vulnerabilidades de dependencias del propio código de FixVibe;
• copias de seguridad mediante el proveedor de base de datos con recuperación a un punto en el tiempo; probadas anualmente;
• períodos de retención definidos (ver Política de Privacidad) aplicados mediante un cron automatizado diario, no una promesa en papel.

El Cliente autoriza a FixVibe a contratar a los Subencargados del Tratamiento listados en la Política de Privacidad para los fines allí descritos. FixVibe suscribe un contrato por escrito con cada Subencargado que impone obligaciones de protección de datos no menos protectoras que las de esta Adenda, y sigue siendo responsable ante el Cliente por los actos y omisiones del Subencargado en lo que respecta al procesamiento de Datos Personales.

FixVibe notificará al Cliente (mediante aviso en la aplicación o correo electrónico) con al menos 30 días de antelación de cualquier incorporación o sustitución prevista de Subencargados, dando al Cliente la oportunidad de oponerse. Si el Cliente se opone por motivos razonables de protección de datos, podrá rescindir el Servicio con respecto al procesamiento afectado.

FixVibe procesa Datos Personales principalmente en los Estados Unidos. Cuando se transfieran Datos Personales desde el EEA, UK o Suiza a un tercer país que no haya recibido una decisión de adecuación, FixVibe se apoyará en:

• las Cláusulas Contractuales Tipo de la Comisión Europea (Decision (EU) 2021/914), Módulo 2 (responsable a encargado), incorporadas a esta Adenda por referencia;
• el Addendum de Transferencia Internacional de Datos del Reino Unido a las SCCs de la UE (o el IDTA independiente), publicado por el ICO;
• las medidas técnicas y organizativas complementarias descritas en la Sección 4.

El Cliente autoriza a FixVibe a suscribir las SCCs / IDTA con cada Subencargado en nombre del Cliente.

FixVibe asistirá al Cliente (teniendo en cuenta la naturaleza del procesamiento y la información disponible) para responder a las solicitudes de los interesados en virtud de Articles 15–22 GDPR. La mayoría de los derechos son de autogestión desde Cuenta → Privacidad; para solicitudes residuales, el Cliente puede enviar un correo a support@fixvibe.app con el asunto “Privacy request”. Respondemos en un plazo de 30 días.

FixVibe notificará al Cliente sin demora indebida (y en todo caso en el plazo de 72 horas desde que tenga conocimiento) de una violación de Datos Personales que afecte a los Datos Personales del Cliente, proporcionando la información que el Cliente necesite razonablemente para cumplir con sus propias obligaciones derivadas de Article 33 / 34, incluida la naturaleza de la violación, las categorías y el número aproximado de interesados y registros afectados, las consecuencias probables y las medidas adoptadas o propuestas para remediarla.

FixVibe pondrá a disposición del Cliente la información necesaria para demostrar el cumplimiento de esta Adenda, incluidos este documento, la Política de Privacidad, la Política de Uso Aceptable, los Términos y los informes de seguridad de terceros que poseamos (los compartiremos bajo NDA previa solicitud). FixVibe permitirá y contribuirá a auditorías, incluidas inspecciones, realizadas por el Cliente o por un auditor designado por el Cliente, con preaviso razonable y durante el horario comercial, no más de una vez por año natural (salvo que lo exija un regulador o en caso de violación de Datos Personales).

Al finalizar el Servicio, y según elija el Cliente, FixVibe eliminará o devolverá todos los Datos Personales procesados en su nombre en un plazo de 30 días, salvo en la medida en que FixVibe esté obligado por la ley aplicable a conservarlos (p. ej., registros fiscales o de facturación). El flujo de eliminación de cuenta de autogestión en Cuenta → Privacidad activa esto de inmediato.

A efectos de la CCPA, FixVibe es un “Service Provider” y el Cliente es un “Business” con respecto a cualquier Información Personal procesada bajo esta Adenda. FixVibe no:

• venderá ni compartirá (según dichos términos se definen en la CCPA) Información Personal;
• conservará, usará ni divulgará Información Personal para ningún fin distinto al propósito comercial específico de prestar el Servicio, incluso fuera de la relación comercial directa entre FixVibe y el Cliente;
• combinará Información Personal recibida del Cliente con Información Personal recibida de cualquier otra fuente, salvo que la CCPA lo permita expresamente.

FixVibe certifica que comprende y cumplirá estas restricciones.

En caso de conflicto entre esta Adenda y los Términos de Servicio, esta Adenda prevalecerá en la medida del conflicto. Las SCCs / IDTA prevalecerán sobre ambos cuando sean aplicables.

Para todos los asuntos de protección de datos, incluido el ejercicio de los derechos de los interesados y las consultas sobre Subencargados, contacta con EGO HERO LLC:

• correo electrónico: support@fixvibe.app (usar asunto “DPA” para el enrutamiento)
• dirección postal: disponible previa solicitud a través del correo electrónico anterior