Acuerdo de Procesamiento de Datos

1. Introducción

Este Acuerdo de Procesamiento de Datos ("DPA") forma parte de los Términos de Servicio entre usted ("Cliente", "Responsable del Tratamiento") y P4 Software, una división de Grupo Barrdega ("Encargado del Tratamiento", "nosotros" o "nuestro") y rige el tratamiento de Datos Personales de conformidad con el Reglamento General de Protección de Datos (GDPR) 2016/679 de la UE y demás leyes de protección de datos aplicables.

Este DPA aplica cuando P4 Software trata Datos Personales en nombre del Cliente en relación con los servicios de aduanasHQ.

2. Definiciones

A los efectos de este DPA:

• "Datos Personales" significa cualquier información relativa a una persona física identificada o identificable según se define en el GDPR.
• "Tratamiento" significa cualquier operación realizada sobre Datos Personales, incluyendo recopilación, almacenamiento, uso, divulgación o eliminación.
• "Interesado" significa la persona a quien se refieren los Datos Personales.
• "Subencargado del Tratamiento" significa cualquier tercero designado por P4 Software para tratar Datos Personales.
• "Responsable del Tratamiento" significa la entidad que determina los fines y medios del tratamiento de Datos Personales.
• "Encargado del Tratamiento" significa la entidad que trata Datos Personales en nombre del Responsable del Tratamiento.

3. Alcance del Tratamiento y Roles

3.1 Roles

Las partes reconocen y acuerdan que, con respecto al tratamiento de Datos Personales:

• El Cliente es el Responsable del Tratamiento
• P4 Software es el Encargado del Tratamiento

3.2 Objeto del Tratamiento

P4 Software tratará los Datos Personales necesarios para prestar servicios de gestión aduanera, incluyendo:

• Documentación de despacho aduanero
• Datos de gestión de almacenes fiscales
• Registros de cumplimiento comercial
• Información de cuentas de usuario
• Registros de transacciones y auditoría

3.3 Naturaleza y Finalidad

La naturaleza del tratamiento incluye el almacenamiento, la recuperación, la consulta, el uso, la divulgación por transmisión y la supresión de Datos Personales. La finalidad es prestar servicios de software de gestión aduanera basados en la nube, según se describe en nuestros Términos de Servicio.

3.4 Categorías de Interesados

Los Interesados pueden incluir:

• Empleados y usuarios autorizados del Cliente
• Clientes y contactos comerciales del Cliente
• Personas mencionadas en la documentación aduanera
• Importadores y exportadores

3.5 Categorías de Datos Personales

Los tipos de Datos Personales tratados pueden incluir:

• Nombre, dirección de correo electrónico, número de teléfono
• Cargo e información de la empresa
• Dirección IP e identificadores de dispositivo
• Credenciales de inicio de sesión (cifradas)
• Información empresarial y comercial
• Datos de documentación de envíos y aduanera

4. Obligaciones del Encargado del Tratamiento

P4 Software deberá:

• Tratar los Datos Personales únicamente conforme a instrucciones documentadas del Cliente, salvo que lo exija el derecho de la UE o de un Estado miembro
• Garantizar que las personas autorizadas para tratar Datos Personales estén sujetas a obligaciones de confidencialidad
• Implementar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo (según se describe en la Sección 6)
• Contratar Subencargados del Tratamiento únicamente con el consentimiento previo por escrito del Cliente (general o específico)
• Asistir al Cliente en la respuesta a las solicitudes de los Interesados para ejercer sus derechos en virtud del GDPR
• Asistir al Cliente en garantizar el cumplimiento de las obligaciones del GDPR relativas a seguridad, notificaciones de violaciones y evaluaciones de impacto relativas a la protección de datos
• Suprimir o devolver al Cliente todos los Datos Personales tras la terminación de los servicios, salvo que el derecho de la UE o de un Estado miembro exija su conservación
• Poner a disposición toda la información necesaria para demostrar el cumplimiento de este DPA y permitir auditorías

5. Derechos de los Interesados

P4 Software asistirá al Cliente en la atención de las solicitudes de los Interesados para ejercer los siguientes derechos:

• Derecho de Acceso: Derecho a obtener confirmación del tratamiento de Datos Personales
• Derecho de Rectificación: Derecho a corregir Datos Personales inexactos
• Derecho de Supresión ("Derecho al Olvido"): Derecho a la eliminación de Datos Personales
• Derecho a la Limitación del Tratamiento: Derecho a limitar la forma en que se utilizan los Datos Personales
• Derecho a la Portabilidad de los Datos: Derecho a recibir los Datos Personales en un formato estructurado
• Derecho de Oposición: Derecho a oponerse a ciertos tipos de tratamiento

Tras recibir una solicitud de un Interesado, P4 Software notificará al Cliente dentro de las 48 horas y prestará la asistencia necesaria para responder dentro del plazo de 30 días establecido por el GDPR.

6. Medidas de Seguridad

P4 Software implementa las siguientes medidas técnicas y organizativas para proteger los Datos Personales:

6.1 Medidas Técnicas

• Cifrado: Cifrado AES-256 para datos en reposo, TLS 1.3 para datos en tránsito
• Controles de Acceso: Control de acceso basado en roles (RBAC), autenticación multifactor
• Seguridad de la Red: Cortafuegos, sistemas de detección de intrusiones, análisis de vulnerabilidades periódicos
• Respaldo de Datos: Copias de seguridad diarias automatizadas con retención de 30 días, almacenamiento cifrado de respaldos
• Registro y Monitoreo: Registros de auditoría exhaustivos, monitoreo de seguridad en tiempo real

6.2 Medidas Organizativas

• Capacitación del Personal: Capacitación periódica en protección de datos y concienciación sobre seguridad
• Acuerdos de Confidencialidad: Todo el personal firma acuerdos de confidencialidad y protección de datos
• Respuesta a Incidentes: Procedimientos documentados para detectar, reportar y responder a violaciones de datos
• Gestión de Terceros: Diligencia debida y protecciones contractuales para los Subencargados del Tratamiento
• Auditorías Periódicas: Auditorías de seguridad anuales por terceros y pruebas de penetración

6.3 Alineación con ISO 27001

Nuestras prácticas de seguridad se alinean con los estándares de gestión de seguridad de la información ISO/IEC 27001:2013, aunque la certificación formal está en curso.

7. Notificación de Violaciones de Datos

En caso de una violación de Datos Personales, P4 Software deberá:

• Notificar al Cliente sin dilación indebida y a más tardar 48 horas después de tener conocimiento de la violación
• Proporcionar la siguiente información:
  • Naturaleza de la violación, incluyendo las categorías y el número aproximado de Interesados y registros afectados
  • Punto de contacto para obtener más información
  • Posibles consecuencias de la violación
  • Medidas adoptadas o propuestas para abordar la violación y mitigar sus efectos
• Cooperar con el Cliente para investigar y subsanar la violación
• Documentar todas las violaciones de conformidad con el Artículo 33(5) del GDPR

8. Subencargados del Tratamiento

8.1 Autorización

El Cliente otorga autorización general para que P4 Software contrate Subencargados del Tratamiento. P4 Software mantiene una lista actualizada de Subencargados del Tratamiento en nuestro sitio web.

8.2 Subencargados del Tratamiento Actuales

P4 Software utiliza actualmente los siguientes Subencargados del Tratamiento:

• Microsoft Azure: Alojamiento e infraestructura en la nube (centros de datos en la UE y EE. UU.)
• Amazon Web Services (AWS): Servicios de respaldo y recuperación ante desastres
• SendGrid: Servicios de envío de correo electrónico

8.3 Nuevos Subencargados del Tratamiento

P4 Software notificará al Cliente al menos 30 días antes de contratar a un nuevo Subencargado del Tratamiento. Si el Cliente se opone por motivos razonables, P4 Software no contratará al Subencargado del Tratamiento o proporcionará una solución alternativa.

8.4 Obligaciones del Subencargado del Tratamiento

P4 Software garantiza que los Subencargados del Tratamiento estén vinculados por obligaciones de protección de datos equivalentes a las de este DPA. P4 Software sigue siendo responsable del cumplimiento por parte de los Subencargados del Tratamiento.

9. Transferencias Internacionales de Datos

Los Datos Personales pueden ser transferidos y tratados en países fuera del Espacio Económico Europeo (EEE), incluyendo los Estados Unidos y Panamá.

Para las transferencias a países sin una decisión de adecuación de la UE, P4 Software implementa las siguientes garantías:

• Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea
• Medidas de seguridad adicionales que incluyen cifrado y controles de acceso
• Evaluaciones de Impacto de las Transferencias para garantizar una protección adecuada
• Alojamiento en centros de datos de la UE cuando sea factible

10. Conservación y Supresión de Datos

10.1 Período de Conservación

P4 Software conservará los Datos Personales únicamente durante el tiempo necesario para prestar el Servicio o según lo exija la ley.

10.2 Supresión al Finalizar

Tras la terminación del acuerdo de Servicio, P4 Software:

• Otorgará al Cliente 30 días para exportar todos los Datos Personales
• Suprimirá o devolverá todos los Datos Personales (a elección del Cliente) dentro de los 90 días posteriores a la terminación
• Certificará la supresión por escrito previa solicitud
• Conservará únicamente lo que sea legalmente exigido por la ley aplicable

11. Auditorías e Inspecciones

P4 Software pondrá a disposición del Cliente la información necesaria para demostrar el cumplimiento de este DPA y permitirá y contribuirá a las auditorías, incluidas las inspecciones, realizadas por el Cliente o por un auditor designado por el Cliente.

Las auditorías deberán:

• Realizarse no más de una vez al año, salvo que exista evidencia de incumplimiento
• Programarse con al menos 30 días de anticipación
• Realizarse durante el horario laboral de manera que no interfiera de forma irrazonable con las operaciones
• Estar sujetas a obligaciones de confidencialidad
• Correr por cuenta del Cliente

12. Responsabilidad e Indemnización

La responsabilidad de cada parte en virtud de este DPA está sujeta a las limitaciones y exclusiones establecidas en los Términos de Servicio. Las partes reconocen que:

• El GDPR contempla multas administrativas que pueden imponerse tanto a los Responsables del Tratamiento como a los Encargados del Tratamiento
• P4 Software es responsable únicamente de los daños causados por el tratamiento que no cumpla con las obligaciones del GDPR específicas de los Encargados del Tratamiento o cuando haya actuado al margen o en contra de las instrucciones lícitas del Cliente
• P4 Software no es responsable cuando demuestre que el hecho que originó el daño no le es imputable

13. Duración y Terminación

Este DPA permanecerá vigente mientras P4 Software trate Datos Personales en nombre del Cliente. El DPA terminará automáticamente al cesar todo el tratamiento y la supresión/devolución de todos los Datos Personales según se describe en la Sección 10.

14. Legislación Aplicable y Jurisdicción

Este DPA se rige por la misma legislación que los Términos de Servicio. No obstante, en caso de conflicto entre este DPA y el GDPR, prevalecerá el GDPR.

Los Interesados en la UE tienen derecho a presentar reclamaciones ante su Autoridad de Protección de Datos local.

15. Contacto para Asuntos de Protección de Datos

Para cualquier consulta sobre protección de datos o para ejercer sus derechos en virtud de este DPA, por favor contacte:

• Delegado de Protección de Datos: dpo@p4.software
• Correo Electrónico: sales@p4.software
• Teléfono: +507-209-6996
• Sitio Web: p4.software