Anexo de privacidad & tratamiento de datos (DPA)

Publicado: 15 de enero de 2025 · Vigente desde: 15 de enero de 2025 · Versión: 1.0

Resumen no vinculante

Este anexo regula cuándo Zlox actúa como encargado del tratamiento para el comercio, la seguridad esperada, subencargados y transferencias, notificación de brechas y supresión o devolución de datos.

Índice

  • Distribución de roles
  • Instrucciones y alcance del tratamiento
  • Medidas de seguridad
  • Subencargados y transferencias internacionales
  • Derechos de los interesados e incidentes
  • Auditorías, conservación, devolución/supresión
  • Anexos y registro de cambios

1. Distribución de roles

Zlox es responsable independiente para sus propias finalidades (seguridad, antifraude, analítica, cumplimiento legal, administración del producto). Para datos de clientes tratados solo por instrucción del Comercio, el Comercio es responsable y Zlox es encargado.

2. Instrucciones y alcance

Zlox trata datos personales solo según instrucciones documentadas del Comercio, salvo obligación legal en contrario. El Comercio garantiza base licita, transparencia y gestión de derechos.

3. Medidas de seguridad

Zlox aplica medidas técnicas y organizativas adecuadas: cifrado en tránsito, controles de acceso, segregación de funciones, registros, gestión de vulnerabilidades, copias de seguridad y respuesta a incidentes, proporcionadas al riesgo.

4. Subencargados y transferencias

Zlox puede recurrir a subencargados con obligaciones escritas sustancialmente equivalentes. Para transferencias fuera del EEE/Reino Unido/CH se usan garantías válidas (cláusulas contractuales tipo y medidas complementarias si procede).

5. Derechos e incidencias

Zlox presta asistencia razonable para solicitudes de derechos y EIPD cuando proceda. Zlox notifica al Comercio sin dilación indebida tras conocer una brecha que afecte a datos bajo control del Comercio.

6. Auditorías, conservación, devolución/supresión

Zlox facilita la información razonablemente necesaria. Las auditorías son limitadas en frecuencia, con confidencialidad y sin perturbar la seguridad. Al terminar, supresión o devolución según instrucción, salvo retención legal.

7. Anexos y registro

Anexo A: Objeto, duración, categorías de datos e interesados.

Anexo B: Resumen de controles de seguridad.

Anexo C: Lista de subencargados e instrumentos de transferencia.

Anexo D: Matriz de conservación/supresión.

  • v1.0 (2025-01-15): Esquema inicial del DPA

Notas de implementación (no jurídicas)

  • Flujo de aceptación o contrafirma del DPA para el admin de la organización comercio
  • Lista de subencargados con historial de revisiones
  • Recepción de solicitudes de derechos y SLA en herramientas de soporte
  • Registros de trabajos de supresión/devolución y excepciones de retención