Tratamento de datos Anexo

Os termos con maiúscula non definidos aquí teñen o significado que lles outorga o GDPR (Regulation (EU) 2016/679) e, cando proceda, o UK GDPR / Lei de Protección de Datos 2018, a Lei de Privacidade do Consumidor de California emendada pola CPRA («CCPA») e as leis equivalentes doutras xurisdicións.

«Datos Persoais» significa datos enviados polo Cliente ou xerados polo Servizo que identifican ou se refiren a unha persoa física identificada ou identificable. «Subencargado» significa un terceiro contratado por FixVibe para tratar Datos Persoais no nome de FixVibe — enumerado en /legal/privacy.

Cada parte é responsable de forma independente do cumprimento das Leis de Protección de Datos que lle sexan aplicables. O Cliente é o Responsable do tratamento e FixVibe é o Encargado do tratamento dos Datos Persoais tratados baixo este Anexo. FixVibe tratará os Datos Persoais unicamente seguindo as instrucións documentadas do Cliente (a configuración do Servizo constitúe tales instrucións), agás cando a lei esixa actuar doutro xeito.

FixVibe garante que o persoal autorizado a tratar Datos Persoais estea suxeito a obrigas de confidencialidade. O acceso aos datos de produción está restrinxido a un subconxunto con privilexios mínimos do persoal de operacións, rexistrado mediante audit_logs e revisado periodicamente. Os empregados de FixVibe non acceden aos datos do Cliente salvo para investigar tickets de soporte, responder a incidentes de seguridade ou cumprir con procesos legais.

FixVibe implementa medidas técnicas e organizativas adecuadas coherentes co GDPR Art. 32, incluíndo:

• cifrado dos Datos Persoais en tránsito (TLS 1.2+) e en repouso (cifrado de disco a nivel de base de datos + cifrado dirixido a nivel de columna AES-256-GCM para as cabeceiras de escaneo autenticado e os tokens OAuth);
• seguridade forzada a nivel de fila en cada táboa da base de datos — o código da aplicación non pode ler nin escribir entre límites organizativos nin por erro;
• autenticación multifactor por usuario a través do provedor OAuth superior (Google ou GitHub) onde o Cliente escolle o rexistro social;
• análise estática continua + escaneo de vulnerabilidades de dependencias da propia base de código de FixVibe;
• copias de seguridade a través do provedor de base de datos con recuperación a un punto no tempo; probadas anualmente;
• períodos de retención definidos (ver Política de Privacidade) aplicados por un cron diario automatizado, non só unha promesa en papel.

O Cliente autoriza a FixVibe a contratar os Subencargados enumerados na Política de Privacidade para os fins descritos alí. FixVibe asina un contrato por escrito con cada Subencargado que impón obrigas de protección de datos non menos protectoras que as deste Anexo, e segue sendo responsable ante o Cliente polos actos e omisións do Subencargado respecto ao seu tratamento dos Datos Persoais.

FixVibe notificará ao Cliente (mediante aviso na aplicación ou correo electrónico) calquera adición ou substitución prevista de Subencargados con polo menos 30 días de antelación, dándolle ao Cliente a oportunidade de obxectar. Se o Cliente obxecta por motivos razoables de protección de datos, o Cliente pode rescindir o Servizo respecto ao tratamento afectado.

FixVibe trata os Datos Persoais principalmente nos Estados Unidos. Cando os Datos Persoais se transfiran desde o EEE, o Reino Unido ou Suíza a un terceiro país que non teña recibido unha decisión de adecuación, FixVibe basease en:

• as Cláusulas Contractuais Tipo da Comisión Europea (Decision (EU) 2021/914), Módulo 2 (responsable-a-encargado), incorporadas a este Anexo por referencia;
• o Anexo de Transferencia Internacional de Datos do Reino Unido ás SCCs da UE (ou o IDTA autónomo), tal como publicou o ICO;
• as medidas técnicas e organizativas complementarias descritas na Sección 4.

O Cliente autoriza a FixVibe a asinar as SCCs / IDTA con cada Subencargado posterior no nome do Cliente.

FixVibe asistirá ao Cliente (tendo en conta a natureza do tratamento e a información dispoñible) para responder ás solicitudes dos interesados baixo os Articles 15–22 GDPR. A maioría dos dereitos son autoservizo desde Conta → Privacidade; para solicitudes residuais, o Cliente pode enviar un correo a support@fixvibe.app co asunto «Solicitude de privacidade». Respondemos en 30 días.

FixVibe notificará ao Cliente sen demora indebida (e en todo caso dentro das 72 horas desde que sexa consciente) dunha violación de Datos Persoais que afecte os Datos Persoais do Cliente, proporcionando a información que o Cliente requira razoablemente para cumprir coas súas propias obrigas do Article 33 / 34, incluíndo a natureza da violación, as categorías e o número aproximado de interesados e rexistros afectados, as probables consecuencias e as medidas tomadas ou propostas para abordalas.

FixVibe pon a disposición do Cliente a información necesaria para demostrar o cumprimento deste Anexo, incluíndo este documento, a Política de Privacidade, a Política de Uso Aceptable, os Termos e calquera informe de seguridade de terceiros que teñamos (compartirémolos baixo NDA a petición). FixVibe permitirá e contribuirá ás auditorías, incluídas as inspeccións, realizadas polo Cliente ou outro auditor designado por el, con un aviso previo razoable e durante o horario laboral, non máis dunha vez por ano natural (agás cando un regulador o requira ou en caso de violación de Datos Persoais).

Na rescisión do Servizo, e á elección do Cliente, FixVibe suprimirá ou devolverá todos os Datos Persoais tratados no nome do Cliente nun prazo de 30 días, agás na medida en que FixVibe estea obrigado por lei aplicable a conservalos (p. ex. rexistros fiscais/de facturación). O fluxo de eliminación de conta de autoservizo en Conta → Privacidade activa isto inmediatamente.

Para os efectos da CCPA, FixVibe é un «Provedor de Servizos» e o Cliente é un «Negocio» respecto a calquera Información Persoal tratada baixo este Anexo. FixVibe non:

• venderá nin compartirá (tal como se definen eses termos baixo a CCPA) a Información Persoal;
• reterá, usará nin revelará a Información Persoal para ningún outro fin que non sexa o fin comercial específico de prestar o Servizo, incluíndo fóra da relación comercial directa entre FixVibe e o Cliente;
• combinará a Información Persoal recibida do Cliente con Información Persoal recibida de calquera outra fonte, agás cando a CCPA o permita expresamente.

FixVibe certifica que entende e cumprirá estas restricións.

En caso de conflito entre este Anexo e os Termos do Servizo, este Anexo prevalecerá na medida do conflito. As SCCs / IDTA prevalecerán sobre ambos onde sexan aplicables.

Para todas as cuestións de protección de datos, incluíndo o exercicio dos dereitos dos interesados e as consultas sobre Subencargados, contacta con EGO HERO LLC:

• correo electrónico: support@fixvibe.app (usa o asunto «DPA» para o enrutamento)
• enderezo postal: dispoñible a petición a través do correo electrónico anterior