Acuerdo de Procesamiento de Datos

1. Partes y Antecedentes

Responsable del Tratamiento: El cliente que ha aceptado los Términos de Servicio de Mapalyze.

Encargado del Tratamiento ("Encargado"): Mapalyze, operando como "Mapalyze," Calle Badajoz 9, 21600 Valverde del Camino, Huelva, España. Contacto: info@mapalyze.com.

este DPA garantiza el cumplimiento del Artículo 28 del RGPD y la LOPDGDD de España. en caso de conflicto entre este DPA y el Acuerdo, este DPA prevalece en lo que respecta a cuestiones de protección de datos.

2. Definiciones

Los términos en mayúscula tienen los significados asignados en el RGPD o el Acuerdo. Términos clave:

• "Datos Personales" — cualquier información relativa a una persona física identificada o identificable (artículo 4.1 del RGPD)
• "Tratamiento" — cualquier operación realizada sobre Datos Personales (artículo 4.2 del RGPD)
• "Violación de Datos Personales" — una violación de seguridad que provoque la destrucción, pérdida, alteración o divulgación no autorizada de Datos Personales, de forma accidental o ilícita (artículo 4.12 del RGPD)
• "Sub-encargado" — cualquier tercero contratado por el Encargado para procesar Datos Personales en nombre del Responsable
• "Autoridad de Supervisión" — la Agencia Española de Protección de Datos (AEPD)
• "Cláusulas Contractuales Tipo (SCCs)" — cláusulas aprobadas por la Comisión Europea para las transferencias de Datos Personales fuera del EEE

3. Alcance y Finalidad del Tratamiento

Objeto

Prestación de una plataforma cloud de cartografía, captura de datos en campo, inspección y análisis geoespacial, incluyendo almacenamiento de datos, sincronización, informes y servicios de soporte técnico relacionados.

Duración

El tratamiento continúa durante la vigencia del Acuerdo. Tras la terminación, se aplica la Sección 9 (Terminación).

Naturaleza y Finalidad

Recopilación, almacenamiento, organización, recuperación, visualización, transmisión, sincronización, análisis y eliminación de Datos Personales en la medida necesaria para prestar los Servicios.

Tipos de Datos Personales Tratados

• Datos de identidad: nombres, IDs de empleado, cargos, roles
• Datos de contacto: direcciones de email, números de teléfono, direcciones postales
• Datos de localización/geoespaciales: coordenadas GPS, límites geográficos, anotaciones en mapas y datos de capas GIS
• Datos multimedia: fotografías, vídeos, grabaciones de audio capturados a través de los Servicios
• Datos del dispositivo: identificadores de dispositivo, direcciones IP, información del sistema operativo
• Datos de respuesta de formularios/encuestas: cualquier dato ingresado en formularios creados por el Responsable

Categorías de Interesados

• Los empleados, contratistas y agentes del Responsable
• Los clientes y usuarios finales del Responsable
• Personas cuyos datos se recopilan durante inspecciones de campo o estudios
• Cualesquiera otras personas cuyos Datos Personales sean cargados por el Responsable o por sus Usuarios

4. Obligaciones del Encargado

4.1 Instrucciones de Tratamiento

el encargado del tratamiento procesará los datos personales solo según instrucciones documentadas del responsable del tratamiento, incluyendo en lo que respecta a transferencias internacionales, a menos que lo requiera la ley de la UE o del Estado miembro. el encargado informará al responsable de cualquier requisito legal antes del procesamiento, a menos que esté prohibido por la ley.

4.2 Confidencialidad

todo el personal del encargado con acceso a datos personales está vinculado por acuerdos de confidencialidad por escrito y está comprometido con la confidencialidad.

4.3 Medidas de Seguridad

El Encargado aplica medidas técnicas y organizativas apropiadas de conformidad con el artículo 32 del RGPD, entre ellas:

• Cifrado de los Datos Personales en tránsito mediante TLS 1.2 o superior
• Cifrado de los Datos Personales en reposo mediante AES-256 o equivalente
• Control de acceso basado en roles para garantizar que solo el personal autorizado acceda a los Datos Personales
• Pruebas de seguridad regulares y evaluaciones de vulnerabilidad
• Registro y monitoreo del acceso a datos personales
• Prácticas de desarrollo seguro para la plataforma
• Procedimientos de continuidad del negocio y recuperación ante desastres incluyendo copias de seguridad regulares

4.4 Derechos del Interesado

El Encargado asistirá al Responsable en el cumplimiento de las obligaciones de responder a las solicitudes de derechos de los interesados previstas en el capítulo III del RGPD (artículos 15 a 22), incluidos los derechos de acceso, rectificación, supresión, limitación, portabilidad y oposición. El Encargado notificará sin demora al Responsable cualquier solicitud recibida directamente de un interesado.

4.5 DPIAs

El Encargado proporcionará asistencia razonable con evaluaciones de impacto de protección de datos (EIPD) y consultas previas con Autoridades de Supervisión según lo requerido por los Artículos 35 y 36 del RGPD.

5. Notificación de Violación de Datos Personales

En caso de violación de Datos Personales, el Encargado deberá:

• Notificar al Responsable sin dilación indebida y, en todo caso, en un plazo máximo de 72 horas desde que se tenga constancia de la brecha, conforme a los artículos 33 y 34 del RGPD, dando al Responsable tiempo suficiente para cumplir con su propia obligación de notificación en 72 horas
• Proporcionar la naturaleza de la brecha, las categorías y el número aproximado de Interesados y registros afectados, las consecuencias probables y las medidas adoptadas o propuestas
• Cooperar con el Responsable y tomar las medidas razonables para ayudar en la investigación, mitigación y subsanación
• No notificar a terceros (incluidos los Interesados o las Autoridades de Control) directamente sin la instrucción previa por escrito del Responsable, salvo que lo exija la ley
• Documentar todas las brechas de Datos Personales conforme al artículo 33(5) del RGPD

6. Transferencias Internacionales de Datos

El Encargado no transferirá Datos Personales fuera del EEE salvo que:

• La Comisión Europea ha emitido una decisión de adecuación para el país de destino (incluyendo transferencias a los EE.UU. bajo el Marco de Privacidad de Datos UE-EE.UU. donde el destinatario está certificado)
• Se aplican salvaguardas apropiadas bajo el Artículo 46 del RGPD, como las Cláusulas Contractuales Tipo (CCT)
• Se aplica una excepción bajo el Artículo 49 del RGPD y ha sido documentada

El Encargado informará al Responsable de cualquier Subencargado ubicado fuera del EEE y del mecanismo de garantía utilizado. La información sobre Subencargados actuales se detalla en la Sección 8 y también puede obtenerse contactando con info@mapalyze.com.

7. Auditorías e Inspecciones

El Encargado pondrá a disposición toda la información necesaria para demostrar el cumplimiento del artículo 28 del RGPD y permitir auditorías, sujeto a lo siguiente:

• Al menos 30 días de aviso por escrito para cualquier solicitud de auditoría.
• Auditorías realizadas en horario laboral normal, sin interrumpir de forma irrazonable las operaciones.
• El Responsable asume los costes de la auditoría, salvo que esta revele un incumplimiento material del Encargado.
• Los resultados de la auditoría se tratarán como Información Confidencial del Encargado.

8. Sub-encargados

El Responsable otorga una autorización general por escrito para contratar Subencargados, sujeto a las siguientes condiciones:

• Se mantiene una lista actualizada de Subencargados en esta Sección, disponible a petición en info@mapalyze.com, que incluye nombre, ubicación y función
• Aviso previo de al menos 15 días sobre cualquier cambio previsto en los Subencargados, dando al Responsable la oportunidad de objetar
• Discusión de buena fe de cualquier objeción razonable en un plazo de 15 días; si no se resuelve, el Responsable podrá resolver los Servicios afectados
• Las mismas obligaciones de protección de datos impuestas a cada Subencargado mediante contrato (artículo 28(4) del RGPD)
• El Encargado continúa siendo plenamente responsable de los actos y omisiones de los Subencargados

8.1 Subencargados Actuales

A fecha de la última actualización, Mapalyze contrata a los siguientes Subencargados para prestar los Servicios. A cada Subencargado se le imponen por contrato obligaciones de protección de datos equivalentes a las del presente DPA.

• Paddle.com Market Ltd — Reino Unido — Comerciante Registrado (Merchant of Record) para suscripciones de pago (procesamiento de pagos, cálculo de impuestos, facturación, gestión de reembolsos). Datos tratados: nombre del cliente, email de facturación, dirección de facturación, dirección IP, historial de compras, tokens de pago. Mecanismo de transferencia: decisión de adecuación del Reino Unido adoptada por la Comisión Europea el 28 de junio de 2021 al amparo del artículo 45 del RGPD.
• Supabase Inc. — Unión Europea (región UE, Estocolmo — eu-north-1) — Base de datos, autenticación, almacenamiento y alojamiento de funciones edge para la aplicación Mapalyze. Datos tratados: todos los Datos Personales subidos por el Responsable y sus Usuarios, incluidos datos de cuenta, datos de campo, datos geoespaciales, multimedia e identificadores de autenticación. Mecanismo de transferencia: alojamiento en el EEE, sin transferencia internacional.
• Vercel Inc. — Estados Unidos — Alojamiento de la aplicación web y compute serverless para la app de Mapalyze (app.mapalyze.com). Datos tratados: datos de sesión de usuarios autenticados, direcciones IP, metadatos de peticiones, telemetría de uso. Mecanismo de transferencia: Cláusulas Contractuales Tipo (Módulo 2) al amparo del artículo 46 del RGPD y EU-U.S. Data Privacy Framework cuando sea aplicable; Vercel está certificada DPF.
• Hostinger International Ltd — Unión Europea (Lituania) — Alojamiento estático del sitio web público de marketing de Mapalyze (mapalyze.com). Datos tratados: direcciones IP de visitantes, identificadores de navegador, logs de acceso HTTP. Mecanismo de transferencia: alojamiento en el EEE, sin transferencia internacional.
• Resend, Inc. — Estados Unidos — Entrega de email transaccional (emails de autenticación, facturas, notificaciones). Datos tratados: dirección de email del destinatario, nombre, contenido y metadatos del email. Mecanismo de transferencia: Cláusulas Contractuales Tipo (Módulo 2) al amparo del artículo 46 del RGPD.
• Google LLC — Estados Unidos — Analítica web del sitio público de marketing (mapalyze.com) mediante Google Analytics 4 (GA4). Datos tratados: dirección IP (anonimizada cuando es posible mediante truncamiento), identificadores de navegador y dispositivo, URL de referencia, páginas visitadas, eventos de interacción. La recogida está condicionada a un banner de consentimiento de cookies y solo se produce si el visitante presta consentimiento de analítica. Mecanismo de transferencia: Cláusulas Contractuales Tipo (Módulo 2) al amparo del artículo 46 del RGPD y EU-U.S. Data Privacy Framework (Google LLC está certificada DPF).
• Functional Software, Inc. (Sentry) — Estados Unidos — Seguimiento de errores, monitorización de rendimiento y estado de releases de la aplicación Mapalyze. Datos tratados: stack traces de errores, identificadores de usuario, información del dispositivo, metadatos de navegador y sistema operativo, direcciones IP. Mecanismo de transferencia: Cláusulas Contractuales Tipo (Módulo 2) al amparo del artículo 46 del RGPD.
• HERE Global B.V. — Países Bajos (Unión Europea) — Servicios de geocodificación, geocodificación inversa, routing y cartografía. Datos tratados: consultas de búsqueda de direcciones, coordenadas GPS enviadas para geocodificación, direcciones IP. Mecanismo de transferencia: alojamiento en el EEE (principal); Cláusulas Contractuales Tipo cuando el soporte operativo implique transferencias a entidades del grupo HERE fuera del EEE.
• MapTiler AG — Suiza — Teselas vectoriales de mapa, estilos de mapa y tile server. Datos tratados: peticiones de teselas (coordenadas y nivel de zoom), direcciones IP. Mecanismo de transferencia: decisión de adecuación de Suiza adoptada por la Comisión Europea al amparo del artículo 45 del RGPD.

Esta lista refleja las relaciones actuales y puede evolucionar. El Responsable puede solicitar una lista actualizada y completa de Subencargados en cualquier momento escribiendo a info@mapalyze.com. Los cambios sustanciales se notifican con al menos 15 días de antelación.

9. Terminación y Devolución de Datos

tras la rescisión del acuerdo, el encargado deberá, a elección del responsable: devolver todos los datos personales al responsable en un formato estructurado y de uso común; o eliminar de forma segura todos los datos personales en posesión del encargado. el responsable tiene 30 días desde la rescisión para exportar datos antes de la eliminación. el encargado proporcionará confirmación escrita de la eliminación a solicitud.

el encargado mantendrá registros de las actividades de tratamiento según lo requerido por el Artículo 30 del RGPD y cooperará con la autoridad de control (AEPD) según lo requerido por el Artículo 31 del RGPD.