Acuerdo de Tratamiento de Datos

1. Roles y aplicabilidad

Para los datos personales de Usuarios Finales (clientes de un Estudio) enviados al Servicio, el Estudio es el responsable y Pelagio es el encargado. Para datos de los titulares de cuenta del Estudio, Pelagio es el responsable y trata dichos datos conforme a su Política de Privacidad. Este DPA aplica al tratamiento sujeto al GDPR de la UE, el UK GDPR, la FADP suiza, la CCPA/CPRA y leyes análogas.

2. Detalles del tratamiento — Anexo I (objeto y duración)

• Objeto: prestación del Servicio al Estudio, incluida la reserva de clases, aceptación de pagos, comunicaciones y análisis.
• Duración: durante el plazo del MSA y los periodos de retención de la Política de Privacidad de Pelagio.
• Naturaleza del tratamiento: alojamiento, transmisión, estructuración, supresión y demás operaciones necesarias para prestar el Servicio.
• Finalidad: permitir al Estudio gestionar su negocio, aceptar pagos y comunicarse con los Usuarios Finales.
• Categorías de interesados: Usuarios Finales y personal del Estudio.
• Categorías de datos personales: identificadores (nombre, correo, teléfono), información comercial (reservas, paquetes), identificadores de pago (tokenizados vía Finix) y metadatos de comunicaciones.
• Datos sensibles: ninguno tratado intencionalmente; los Estudios no deben cargar datos sensibles de categorías especiales.
• Frecuencia: continua, en tiempo real, durante la vida de la cuenta.

3. Obligaciones de Pelagio

• Tratar los datos personales únicamente conforme a las instrucciones documentadas del Estudio, incluidas las del MSA y este DPA.
• Garantizar que el personal autorizado a tratar datos personales está sujeto a obligaciones de confidencialidad adecuadas.
• Implementar y mantener las medidas técnicas y organizativas del Anexo II.
• Contratar subencargados solo bajo acuerdos por escrito con obligaciones no menos protectoras que este DPA, y notificar al Estudio al menos 30 días antes de añadir o sustituir subencargados.
• Asistir al Estudio con las solicitudes de los interesados, las obligaciones de seguridad y notificación de brechas y las evaluaciones de impacto cuando se requiera razonablemente.
• Eliminar o devolver los datos personales tras el fin del MSA conforme al calendario de retención de la Política de Privacidad.
• Poner a disposición la información necesaria para demostrar el cumplimiento y permitir auditorías conforme a lo indicado abajo.

4. Subencargados — Anexo III

Los subencargados actuales de Pelagio se enumeran en la página pública de Subencargados. El Estudio los autoriza al firmar este DPA. Pelagio dará al menos 30 días de aviso de cualquier alta o sustitución en la misma página; el Estudio podrá oponerse por motivos razonables de protección de datos y, si las partes no llegan a un acuerdo, terminar la parte afectada del MSA sin penalización por la parte no utilizada del plazo.

5. Transferencias internacionales

Cuando se transfieran datos personales desde la UE/EEE, el Reino Unido o Suiza a un país sin un nivel de protección adecuado reconocido, las partes incorporan las Cláusulas Contractuales Tipo de la UE (Decisión de Ejecución 2021/914), Módulo Dos (responsable a encargado), junto con el International Data Transfer Addendum del Reino Unido y equivalentes suizos cuando corresponda. Las transferencias ulteriores a subencargados se cubren por el Módulo Tres (encargado a encargado) cuando se requiera.

6. Medidas técnicas y organizativas — Anexo II

• Cifrado de los datos personales en tránsito (TLS 1.2+) y en reposo.
• Control de acceso basado en roles y principios de mínimo privilegio para los datos de producción.
• Autenticación multifactor para todo acceso de empleados a sistemas administrativos.
• Registro de auditoría del acceso a datos personales con retención suficiente para la investigación de incidentes.
• Prácticas de desarrollo seguro, incluida revisión de código, escaneo de dependencias y remediación de vulnerabilidades.
• Copias de seguridad regulares y procedimientos de restauración probados.
• Plan de respuesta a incidentes documentado con objetivo de notificación de brechas en 72 horas cuando lo exija la ley.
• Onboarding, formación y offboarding del personal con revocación de accesos.
• Revisión de riesgo de proveedores para todos los subencargados antes de su incorporación.

7. Violación de datos personales

Pelagio notificará al Estudio sin demora indebida y en cualquier caso dentro de las 72 horas posteriores a tomar conocimiento, de cualquier violación de datos personales que afecte a los datos de Usuarios Finales del Estudio. La notificación describirá la naturaleza de la violación, las categorías y número aproximado de interesados y registros afectados, las consecuencias probables y las medidas adoptadas o propuestas.

8. Auditorías

Con al menos 30 días de aviso previo por escrito, no más de una vez al año, el Estudio (o un auditor independiente que designe, sujeto a acuerdo de confidencialidad) podrá auditar el cumplimiento de Pelagio con este DPA. Para minimizar la disrupción, Pelagio podrá satisfacer las solicitudes de auditoría poniendo a disposición documentación de sus medidas de seguridad y, cuando esté disponible, un informe de seguridad independiente de terceros (como SOC 2) que cubra el alcance solicitado.

9. Responsabilidad

La responsabilidad de cada parte bajo este DPA está sujeta a las disposiciones de limitación de responsabilidad del MSA. Nada en este DPA limita la responsabilidad de cualquiera de las partes cuando no pueda ser limitada por la ley aplicable.

10. Orden de prelación

En caso de conflicto entre el MSA y este DPA en una cuestión de protección de datos, prevalece este DPA. En caso de conflicto entre este DPA y las Cláusulas Contractuales Tipo de la UE, prevalecen las SCC.

11. Contacto

Pelagio Inc., privacy@pelagioapp.com.