Actualizado el: 7 de julio de 2023

1. Introducción y Alcance

  1. Este Anexo de Procesamiento de Datos («APD«) es un anexo a las Condiciones del ServicioCondiciones«) y forma parte del Acuerdo (tal y como se define en las Condiciones). Todas las disposiciones de las Condiciones, incluidas sus limitaciones de responsabilidad, se aplican y se incorporan a este APD. Si existe un conflicto entre las disposiciones de este APD y cualquier disposición de las Condiciones, prevalecerán las disposiciones de este APD.
  2. Actualizaciones de la APD. Podemos realizar cambios en esta APD en cualquier momento a nuestra entera discreción. Notificaremos por correo electrónico al Propietario de la Empresa (definido a continuación) cualquier cambio sustancial en este APD. También podemos publicar un aviso de dichos cambios en MyKinsta. Su uso continuado de nuestros Servicios durante más de 30 días después de nuestra notificación por correo electrónico al Propietario de la Empresa constituirá su aceptación de nuestros cambios a esta APD. Si no aceptas cualquier cambio en este APD, puedes cancelar tu Cuenta y el Acuerdo de conformidad con la Sección 9 de las Condiciones.

2. Definiciones

Los términos en mayúsculas que no estén definidos en este APD tendrán el significado que se les dé en otras partes del Acuerdo. Además, los siguientes términos definidos se aplican únicamente con respecto a este APD.

  1. «Responsable del tratamiento«, «Empresa«, «Encargado del tratamiento«, «Proveedor de servicios«, «Sujeto de los datos» (que incluye «Consumidor«), «Tratamiento«, «Datos personales» (que incluye «Información personal«) y «Vender» (que incluye «Compartir» según la CCPA) (y variaciones similares o relacionadas de dichos términos) tendrán los significados que se les atribuyen en las Leyes de Protección de Datos aplicables.
  2. «Datos Personales del Cliente» significa cualquier Dato Personal que sea transmitido, almacenado o Procesado de cualquier otra forma por o a través de tus Aplicaciones de Cliente en relación con la prestación de los Servicios por parte de Kinsta.
  3. «Vulneración de Datos Personales» hace referencia a cualquier destrucción, pérdida, alteración, divulgación o acceso accidental o no autorizado a cualquier Dato Personal del Cliente, pero excluyendo intentos o actividades infructuosas que no comprometan la seguridad o integridad de los Datos Personales del Cliente, incluidos, entre otros, intentos de inicio de sesión, pings, escaneos de puertos, ataques de denegación de servicio y otros ataques de red a cortafuegos o sistemas en red.
  4. «Leyes de Protección de Datos de la UE» significa el Reglamento General de Protección de Datos de la UE 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 («GDPR«), tal y como se aplica y complementa por la legislación nacional de cada Estado Miembro, la Ley de Protección de Datos del Reino Unido de 2018 y el GDPR del Reino Unido, y la Ley de Protección de Datos de Suiza, y en cada caso, tal y como se modifique, sustituya o reemplace de vez en cuando.
  5. «Leyes de Protección de Datos de EE.UU.» significa la Ley de Privacidad del Consumidor de California (modificada por la Ley de Derechos de Privacidad de California) (colectivamente, la «CCPA«), la Ley de Privacidad de Colorado, la Ley de Privacidad de Datos Personales y Supervisión Online de Connecticut, la Ley de Protección de Datos del Consumidor de Indiana, la Ley de Protección de Datos del Consumidor de Iowa, la Ley de Privacidad de Datos del Consumidor de Montana, la Ley de Protección de la Información de Tennessee, la Ley de Protección de Datos del Consumidor de Virginia, la Ley de Privacidad del Consumidor de Utah, y en cada caso, según sean modificadas, sustituidas o reemplazadas en cada momento.
  6. «Leyes de Protección de Datos» se refiere a las leyes y normativas relativas a la privacidad, integridad y seguridad de los Datos Personales del Cliente, incluidas las Leyes de Protección de Datos de la UE y las Leyes de Protección de Datos de EE.UU., que se aplican al Tratamiento de tus Datos Personales del Cliente por parte de Kinsta.
  7. «Transferencia Internacional» significa una exportación de
    1. Datos Personales del Cliente,
    2. regida por cualquiera de las Leyes de Protección de Datos de la UE,
    3. a un tercer país fuera del Espacio Económico Europeo («EEE»), Reino Unido («UK») o Suiza,
    4. que no haya sido designado por la Comisión Europea, el Reino Unido o Suiza como país que garantiza un nivel de protección adecuado.
  8. «Cláusulas contractuales tipo» (SCCs) significa las cláusulas contractuales tipo, adoptadas por la Decisión de Ejecución (UE) 2021/914 de la Comisión, de 4 de junio de 2021, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo.
  9. «Apéndice del Reino Unido» significa el Apéndice de Transferencia Internacional de Datos a las Cláusulas Contractuales Tipo de la Comisión de la UE emitido por la Oficina del Comisario de Información del Reino Unido, VERSION B1.0, en vigor el 21 de marzo de 2022.

3. Funciones, Obligaciones Generales y Disposiciones de la CCPA

  1. El Cliente es el Controlador y el Negocio y Kinsta es el Procesador y el Proveedor de Servicios con respecto a los Datos Personales del Cliente. Kinsta únicamente Procesará los Datos Personales del Cliente con el fin de prestar los Servicios de conformidad con las instrucciones documentadas del Cliente, que incluyen las disposiciones del Contrato, a menos que se requiera lo contrario para cumplir con cualquier Ley de Protección de Datos. Te informaremos si tus instrucciones infringen las Leyes de Protección de Datos. La naturaleza, finalidad y duración del Tratamiento se establecen en el Anexo I de los SCCs.
  2. Kinsta certifica, entiende y acepta que no deberá
    1. Vender los Datos Personales del Cliente,
    2. retener, utilizar o revelar Datos Personales del Cliente para ningún fin (incluido cualquier fin comercial) distinto del fin específico de prestar los Servicios conforme al Contrato, a menos que lo permita expresamente la CCPA, ni
    3. retener, utilizar o revelar Datos Personales del Cliente fuera de la relación comercial directa entre tú y Kinsta, a menos que lo permita expresamente la CCPA.
  3. El Cliente y Kinsta cumplirán las Leyes de Protección de Datos. El Cliente obtendrá todas las autorizaciones, consentimientos, liberaciones o permisos requeridos, y proporcionará todos los avisos de privacidad requeridos, en relación con los Datos Personales del Cliente. Para evitar cualquier duda, salvo que se disponga lo contrario en el presente APD, el Cliente será el único responsable de la exactitud, calidad y legalidad de todos los Datos Personales del Cliente y de las bases sobre las que se recopilan del Sujeto de Datos.

4. Evaluaciones de Seguridad e Impacto

  1. Kinsta se asegurará de que su personal esté sujeto a obligaciones vinculantes de confidencialidad con respecto a los Datos Personales del Cliente.
  2. Teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del Tratamiento, así como el riesgo de probabilidad y gravedad variables para los derechos y libertades de los Titulares de los Datos, Kinsta aplicará las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluidas las medidas establecidas en el Anexo II de las SCCs.
  3. Teniendo en cuenta la naturaleza del Tratamiento y la información de que dispone Kinsta, Kinsta ayudará al Cliente a garantizar el cumplimiento de las obligaciones del Cliente en virtud de las Leyes de Protección de Datos con respecto a la seguridad, las evaluaciones de impacto y las consultas con las autoridades supervisoras o reguladoras.

5. Violación de Datos Personales

  1. Teniendo en cuenta la naturaleza del Procesamiento y la información de que dispone Kinsta, Kinsta ayudará al Cliente a garantizar el cumplimiento de las obligaciones del Cliente en virtud de las Leyes de Protección de Datos con respecto a una Violación de Datos Personales.
  2. Si descubrimos una Violación de Datos Personales, Kinsta, sin demora indebida, enviará una notificación por escrito a los contactos técnicos y de cuenta del Cliente, incluido el Propietario de la Empresa, utilizando los medios establecidos para las comunicaciones rutinarias relacionadas con la cuenta.
  3. Nuestra notificación incluirá lo siguiente en la medida en que se conozca en ese momento (y se actualizará a medida que se disponga razonablemente de información adicional):
    1. las fechas y horas de la Violación de Datos Personales,
    2. los hechos básicos que subyacen al descubrimiento de la Violación de Datos Personales, o la decisión de iniciar una investigación sobre una presunta Violación de Datos Personales, según proceda,
    3. una descripción de los Datos Personales del Cliente implicados en la Violación de Datos Personales, ya sea específicamente, o por referencia a las categorías de datos, y
    4. las medidas previstas o en curso para remediar o mitigar la vulnerabilidad que dio lugar a la violación de datos personales.

6. Solicitudes del Interesado

  1. Teniendo en cuenta la naturaleza del Tratamiento, Kinsta asistirá al Cliente mediante las medidas técnicas y organizativas adecuadas, en la medida en que ello sea posible, para el cumplimiento de la obligación del Cliente de responder a las solicitudes de ejercicio de los derechos del Titular de los Datos en virtud de las Leyes de Protección de Datos.
  2. Kinsta notificará sin demora al Cliente si recibimos una solicitud de un Sujeto de Datos para invocar sus derechos con respecto a los Datos Personales del Cliente, a menos que la legislación aplicable prohíba lo contrario. No emprenderemos de forma independiente ninguna acción en respuesta a una solicitud de un Sujeto de Datos sin la instrucción previa por escrito del Cliente, salvo que lo exija la legislación aplicable.

7. Centros de Datos y Transferencias Internacionales

  1. Tú eliges el centro o centros de datos de Google Cloud Platform donde se alojarán tus Aplicaciones de Cliente. Usted reconoce, acepta y entiende que:
    1. Todos tus Datos Personales de Cliente se transferirán y almacenarán automáticamente en el centro de datos de Google que elijas.
    2. Dependiendo de tu elección, los Datos Personales del Cliente pueden ser transferidos desde el EEE, Reino Unido o Suiza al país donde se encuentre el centro de datos de Google.
  2. Kinsta y Google han acordado el Anexo sobre Tratamiento de Datos en la Nube (incluidos los CCE). Para más información, consulta los compromisos de Google relativos a las transferencias transfronterizas en la sección «Transferencia Internacional de Datos» aquí: https://cloud.google.com/security/gdpr/.
  3. Independientemente de la selección del centro de datos por parte del Cliente, ciertos aspectos de los Servicios pueden requerir Transferencias Internacionales. El Cliente autoriza dichas Transferencias Internacionales de Datos Personales del Cliente con el único fin de prestar los Servicios. Las Transferencias Internacionales están sujetas al MÓDULO DOS (del responsable al encargado del tratamiento) de las CEC. Para las Transferencias Internacionales desde Suiza, las partes acuerdan que todas las adaptaciones y modificaciones de los CEC exigidas por el Comisionado Federal Suizo de Protección de Datos e Información se incorporan a los CEC (las «Modificaciones Suizas»). Para las Transferencias Internacionales desde el Reino Unido, las partes acuerdan el Anexo del Reino Unido. La información de la Tabla del Addendum del Reino Unido es la siguiente: Tabla 1: Véase el Anexo I de los CEC más abajo; Tabla 2: Véase la Sección 7.D más abajo; Tabla 3: Véanse los Anexos I y II de los CEC más abajo; la lista de los Subprocesadores de Kinsta se encuentra aquí: https://kinsta.com/es/legal/subprocesadores/; Tabla 4: El importador y el exportador pueden poner fin al Addendum del Reino Unido según lo establecido en la Sección 19 del mismo.
  4. En cuanto a las disposiciones opcionales de los CEC, las Enmiendas Suizas y el Addendum del Reino Unido, las partes acuerdan lo siguiente:
    1. Las partes aceptan la Cláusula 7.
    2. Las partes eligen la OPCIÓN 2 de la Cláusula 9(a).
    3. Las partes no aceptan las disposiciones opcionales de la Cláusula 11(a).
    4. Las partes eligen la OPCIÓN 1 de la Cláusula 17 y el Estado Miembro será Irlanda, el Reino Unido o Suiza, según proceda.
    5. Las partes acuerdan que el Estado Miembro de la Cláusula 18(b) sea Irlanda, el Reino Unido o Suiza, según proceda.
  5. Los CCE, las Enmiendas Suizas y el Apéndice del Reino Unido, según proceda, se incorporan por referencia al presente APD para cualquier Transferencia Internacional. La aceptación del Acuerdo por las partes servirá como su acuerdo respectivo para cumplir con los CCE, las Enmiendas Suizas y el Addendum del Reino Unido pertinentes con respecto a cualquier Transferencia Internacional.

8. Subprocesadores

  1. Kinsta contrata a terceros subcontratistas que Procesan los Datos Personales del Cliente («Subprocesadores») con el fin de prestar los Servicios. Una lista actualizada de Subencargados del Tratamiento está disponible aquí: https://kinsta.com/legal/subprocessors/ (la «Lista de Subencargados del Tratamiento«). El Cliente autoriza a Kinsta a contratar a estos Subprocesadores con el fin de prestar los Servicios.
  2. Antes de añadir o sustituir a cualquier Subprocesador, Kinsta notificará por escrito dichos cambios al contacto del Propietario de la Empresa que figura en MyKinsta. El hecho de que el Cliente no se oponga por escrito a un nuevo Subprocesador en un plazo de 14 días a partir de la notificación de Kinsta del nuevo Subprocesador constituirá la autorización del Cliente al nuevo Subprocesador.
  3. Si Kinsta determina, a su entera discreción, que no puede dar cabida razonablemente a la objeción oportuna del Cliente a un Subencargado del tratamiento, previa notificación de Kinsta, el Cliente podrá optar por rescindir el Contrato de conformidad con las disposiciones de rescisión de las Condiciones del Servicio, lo que constituirá el único y exclusivo recurso del Cliente.
  4. Kinsta impondrá a sus Subencargados de tratamiento obligaciones iguales o equivalentes a las establecidas en el presente APD mediante contrato escrito. Kinsta será responsable ante el Cliente del cumplimiento por parte de los Subencargados del tratamiento de sus obligaciones en materia de protección de datos con respecto a los Datos Personales del Cliente.

9. Auditoría e Inspección

  1. Sujeto y condicionado a un acuerdo escrito de confidencialidad y no divulgación, Kinsta proporcionará al Cliente la información razonablemente necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente APD.
  2. Cualquier auditoría solicitada por el Cliente para evaluar y verificar el cumplimiento del presente APD estará (i) sujeta y condicionada a una notificación por escrito con una antelación razonable, no inferior a sesenta (60) días, a Kinsta; (ii) sujeta y condicionada a un acuerdo de confidencialidad y no divulgación por escrito y a un plan de auditoría detallado por escrito revisado y aprobado previamente por Kinsta; (iii) limitada a una vez cada doce (12) meses; (iv) por cuenta y cargo exclusivos del Cliente; (v) limitado en su alcance y finalidad a evaluar un presunto incumplimiento específicamente identificado por parte de Kinsta de las disposiciones del presente APD y sólo después de que el Cliente haya agotado todos los demás medios razonables según determine Kinsta; y (vi) en presencia virtual o física de un representante de Kinsta sin perturbar de forma injustificada las operaciones comerciales de Kinsta.

10. Supresión o Devolución de los Datos Personales del Cliente

A la debida terminación del Contrato y por indicación escrita del Cliente, Kinsta tomará las medidas razonables para eliminar los Datos Personales del Cliente o devolver al Cliente los Datos Personales del Cliente y las copias de los mismos, sin perjuicio de las leyes aplicables u otras obligaciones de Kinsta que requieran la conservación continuada de los Datos Personales del Cliente por parte de Kinsta.

SCCs Anexo I

A. LISTA DE PARTES

Exportador de Datos:

Nombre: La entidad identificada como Cliente.

Dirección: La dirección del Cliente registrada en MyKinsta o especificada de otro modo en el Acuerdo.

Nombre, cargo y datos de contacto: Los datos de contacto del Propietario de la Empresa asociados a la Cuenta del Cliente, o según se especifique de otro modo en el Acuerdo.

Actividades relacionadas con los datos transferidos en virtud de las Cláusulas: Funcionamiento de la(s) Aplicación(es) del Cliente en la plataforma de alojamiento de Kinsta

Firma y fecha: Las partes acuerdan que la aceptación o las ejecuciones del Acuerdo, según proceda, constituirán la ejecución de estas CEC por ambas partes.

Papel: Controlador

Importador de datos:

Nombre: Kinsta Inc.
Dirección: 8605 Santa Monica Blvd #92581, West Hollywood, CA 90069, EE.UU.
Nombre, cargo y datos de contacto: Equipo de Privacidad de Datos de Kinsta [email protected] o por correo a la dirección arriba indicada

Actividades relacionadas con los datos transferidos en virtud de las Cláusulas: Prestación de los Servicios
Firma y fecha: Las partes acuerdan que la aceptación o las ejecuciones del Acuerdo, según proceda, constituirán la ejecución de estas CEC por ambas partes.

Función: Encargado del Tratamiento

B. DESCRIPCIÓN DE LA TRANSFERENCIA

Categorías de interesados cuyos datos personales se transfieren

Cualquier persona física que pueda visitar, utilizar o acceder a las Aplicaciones del Cliente, o cuyos datos personales sean transmitidos, almacenados o tratados de otro modo a través de las Aplicaciones del Cliente por el Cliente, incluyendo, por ejemplo: empleados y demás personal, clientes y usuarios (incluido su personal), visitantes del sitio web o usuarios finales, proveedores (incluido su personal), familiares y asociados de los anteriores, asesores, consultores y otros expertos profesionales, accionistas, miembros o simpatizantes, y estudiantes y alumnos.

Categorías de datos personales transmitidos

Cualquier categoría permitida por el Cliente para ser transmitida, almacenada o procesada de cualquier otra forma a través de las Aplicaciones del Cliente. Dichas categorías pueden incluir, por ejemplo, información de contacto, detalles de empleo, información financiera, detalles de educación y formación, identificadores por parte de una autoridad pública, circunstancias familiares, de estilo de vida y sociales.

Datos sensibles transmitidos (si procede) y restricciones aplicadas

El Cliente puede permitir que se transmitan, almacenen o procesen de otro modo datos sensibles a través de las Aplicaciones del Cliente. Las restricciones y garantías especificadas en el Anexo II se aplican a estas categorías de datos personales (si las hubiera). El Cliente será responsable de informar a Kinsta de las categorías específicas de datos sensibles transferidos y de cualquier restricción adicional aplicada.

La frecuencia de la transferencia
Continua

Naturaleza del tratamiento
Tratamiento en relación con la prestación de los Servicios, incluido el alojamiento de las Aplicaciones del Cliente y el soporte relacionado.

Finalidad(es) de la transferencia de datos y del tratamiento posterior
Prestación de los Servicios

Período durante el cual se conservarán los datos personales
De conformidad con la DPA, Sección 10

Para las transferencias a (sub)procesadores, especifica el objeto, la naturaleza y la duración del procesamiento
El objeto, la naturaleza y la duración del tratamiento por parte de los subencargados del tratamiento se establecen en este Anexo I, Sección B.

C. AUTORIDAD DE CONTROL COMPETENTE

Identifica la autoridad o autoridades de control competentes de conformidad con la cláusula 13
Irlanda

SCCs Anexo II

MEDIDAS TÉCNICAS Y ORGANIZATIVAS QUE GARANTICEN LA SEGURIDAD DE LOS DATOS.

  • Todos los Datos Personales del Cliente transferidos por Kinsta se encriptan en tránsito.
  • Todos los Datos Personales del Cliente almacenados en la infraestructura de Google Cloud (todas las Aplicaciones del Cliente y los registros de acceso) están cifrados en reposo.
  • Las funciones de seguridad de Cloudflare, incluido su cortafuegos de aplicaciones web (WAF) y la protección DDoS, están integradas en los Servicios.
  • Tenemos políticas de seguridad de la información que restringen las actividades de los miembros de nuestro equipo relacionadas con el tratamiento de los Datos Personales de los Clientes únicamente a aquellas actividades de tratamiento que sean necesarias para la prestación de los Servicios.
  • Todos los miembros del equipo firman un acuerdo que incluye disposiciones de confidencialidad antes de acceder a los Datos Personales del Cliente.
  • Contamos con un equipo de seguridad a tiempo completo.
  • Hemos creado un grupo de supervisión de Seguridad que incluye a miembros de nuestros equipos de Ingeniería, Operaciones, Jurídico y Ejecutivo.
  • Los subprocesadores de Datos Personales de Clientes sólo se utilizan tras una revisión y aprobación formales.
  • Hacemos esfuerzos razonables para procesar, transferir y conservar sólo la cantidad y el tipo de datos necesarios para prestar los Servicios.
  • Hemos establecido políticas y prácticas de gestión de identidad y acceso, siguiendo los principios de mínimo privilegio y control de acceso basado en funciones (RBAC).
  • Todos los miembros del equipo reciben formación sobre cuestiones relacionadas con la privacidad de los datos y nuestras políticas.
  • Google Cloud ha implantado controles de acceso físico para limitar el acceso al hardware físico en los centros de datos. Google Cloud también ha recibido múltiples certificaciones y auditorías relacionadas con la seguridad, incluido un informe SOC 2 Tipo II y la certificación ISO 27001.
  • Cuando procede, se ha habilitado la autenticación de dos factores en todas las cuentas de los miembros del equipo con acceso a los Datos Personales de los Clientes.
  • El acceso root a los contenedores y servidores de los clientes se realiza únicamente mediante una clave privada única, y a los miembros del equipo sólo se les proporciona el acceso mínimo necesario para desempeñar sus funciones.
  • El acceso root sólo es posible a través de puntos de acceso de red dedicados y no los mismos puntos de acceso que el acceso normal de los clientes.
  • Kinsta ofrece certificados SSL gratuitos y hace posible que los Clientes fuercen las conexiones HTTPS para cifrar todo el tráfico de la Aplicación del Cliente en tránsito.
  • Kinsta limita las conexiones que no son HTTPS únicamente a protocolos seguros (SSH, SFTP).
  • Las Aplicaciones del Cliente están protegidas por un cortafuegos personalizado gestionado por el equipo de Ingeniería de Kinsta.
  • Se crean múltiples formas de copias de seguridad periódicas. Los clientes pueden descargar fácilmente las copias de seguridad para transferirlas a otros servidores (portabilidad) o para almacenarlas en otros servicios.
  • Los Clientes pueden iniciar la eliminación de las Aplicaciones del Cliente de la plataforma. Tras la finalización de los Servicios, Kinsta realiza esfuerzos razonables para eliminar todos los Datos Personales del Cliente en un plazo de 45 días.
  • Nuestro equipo de ingenieros mantiene actualizados los paquetes y el software del servidor. Las actualizaciones de seguridad se aplican sin demora.

Versiones Anteriores