Este documento se actualizó el 1 de mayo de 2025

Contenido

Sección 1 - Condiciones generales de uso

Sección 2 - Acuerdo de tratamiento de datos

Introducción

Estos términos y condiciones (el "Acuerdo") rigen su acceso y uso del sitio web y los servicios de Sprii (denominados colectivamente el "Servicio" o "Sprii"). Al acceder o utilizar el Servicio, acepta quedar vinculado por el presente Acuerdo. Si ha firmado un Contrato Marco de Suscripción (MSA) por separado con Sprii, sus términos prevalecerán sobre cualquier cláusula contradictoria del presente documento.

Entre nuestros servicios se incluyen los siguientes:

- Shop.Sprii.io (Pago alojado en Sprii)

- Sprii.io (el sitio web)

- App.Sprii.io (la aplicación web)

- Sprii Onsite (Reproductor integrado con pago integrado)

- Sprii HOST app (aplicación de streaming de vídeo para dispositivos móviles)

- Marketplace.Sprii.io (Mercado de compras en vivo)

Información general

Sprii Aps
Sommervej 31e
8210 Aarhus V
Dinamarca
CIF: DK42084476
Teléfono: +4535154033
Correo electrónico: hey@sprii.io

Confidencialidad

Ambas partes acuerdan mantener la confidencialidad de toda la información relacionada con las actividades comerciales de la otra parte. Esto incluye, pero no se limita a, secretos comerciales, planes de negocio, datos de clientes y otra información de propiedad. Queda prohibida la divulgación de dicha información confidencial a terceros sin el consentimiento previo por escrito, salvo en los casos previstos por la ley.

Tratamiento de datos personales 

Al utilizar nuestros servicios, el usuario acepta nuestra Política de privacidad y el Acuerdo de procesamiento de datos (APD) disponibles en Sprii.io. El Usuario es el controlador de datos de cualquier dato personal procesado a través del Servicio. Sprii ApS actúa como procesador de datos. La relación de procesamiento de datos se rige por la DPA en la Sección 2.

Tasas y servicios

Sprii ofrece una gama de suscripciones y una opción de prueba limitada gratuita. Al final de la prueba limitada gratuita, usted acepta pagar las tarifas aplicables en ese momento o dejar de utilizar el Servicio. 

Todos los precios de Sprii se indican sin IVA.

Gastos de caja

Cuando el acuerdo de uso se basa en transacciones, se aplica lo siguiente al cálculo de las tasas de pago:

- Las comisiones por transacciones en caja se basan en el porcentaje de los ingresos.

- El coste de la transacción puede consultarse en la pestaña de suscripción de la plataforma Sprii

Cómo calculamos los ingresos

Cuando se utiliza la integración de pago y pago de Sprii Hosted, los ingresos son el importe pagado.

Si se utiliza Sprii checkout sin una integración de pago

Los ingresos se basarán en el valor de las cestas de la compra en las que se haya llegado a la ventana de pago final. Esto significa que el consumidor final ha visto la cesta, ha añadido datos personales y ha confirmado las condiciones comerciales.

Cuando se utiliza la integración con la tienda virtual y el pago en tienda virtual

La tarifa de transacción se basa en el importe real pagado, pero nunca superior al importe reservado por el cliente a través de Sprii. Si se añaden más productos a la cesta durante el proceso de compra en la tienda, no se cobrará ninguna comisión por el importe que supere la cantidad reservada por el cliente a través de Sprii. Si se retira un producto o más de la cesta y se añaden otro u otros a la cesta durante el proceso de compra en la tienda web, seguiremos añadiendo una tasa de transacción al nuevo producto aunque no se haya vendido durante la campaña respaldada por Sprii. Nos reservamos el derecho de reclamar la tasa de transacción también a esta venta, ya que se inició debido a la utilización de Sprii, pero no vamos a cobrar una tasa a la cantidad potencial sobre la cantidad que fue inicialmente reservado por el cliente a través de campañas Sprii.

Si la integración de la tienda web no admite la confirmación de pago al servicio Sprii

Estimaremos los ingresos para el cálculo de los costes de transacción. Los ingresos se reducirán en un 25% de todas las reservas de la campaña de aquellos consumidores que hayan recibido el enlace a la caja y hayan hecho clic en él. La tarifa de transacción se basará en estos ingresos estimados.

Devuelve

Los gastos de transacción no son reembolsables, ni siquiera en caso de devolución por parte del cliente final. La tasa de transacción se aplica únicamente al evento de venta inicial.

Envío

Los gastos de envío se cobran en los siguientes casos:

- Se utiliza Sprii Hosted Checkout.

Comisiones de transacción - Comisiones de dirección

Cuando el acuerdo de uso se basa en transacciones, se aplica lo siguiente al cálculo de las comisiones por uso.

El coste de los leads se puede ver en la pestaña de suscripción de la Plataforma Sprii. Cuando no se utiliza la función de pago, la tarifa de transacción se basa en los consumidores únicos que han recibido uno o más enlaces/mensajes por campaña de Sprii.  

Mezclar productos de pago y productos líderes en la misma campaña

• Un pedido que sólo contenga productos líderes dará lugar a una comisión por transacción líder. No importa la cantidad de mensajes o enlaces enviados a esa persona.  

• Un pedido que sólo contenga productos de pago generará una tarifa de transacción de pago si se completa.

• Un pedido que sólo contenga productos de caja no generará gastos si el pedido no se completa.

• Un pedido que contenga tanto productos de pago como productos principales generará una tarifa de transacción de pago si se completa el pedido.

• Un pedido que contenga tanto productos de pago como productos de cliente potencial generará una comisión por transacción de cliente potencial si el pedido no se completa. No importa la cantidad de mensajes o enlaces enviados a esa persona.

Servicios adicionales

Gamificación

A menos que se haya acordado un coste fijo, la tasa de uso se calculará como se indica a continuación:

• La cuota de usuario de la gamificación se basa en el número de participantes por juego. 
• Si una persona se apunta a un partido con varias entradas, la tasa sólo se añade una vez.
• Si una persona participa en varias partidas del mismo evento, la cuota se añadirá por cada partida.

Servicio Sprii Streamable

La cuota de abono incluye 8 horas de streaming grabado al mes. Se pueden añadir horas adicionales a la suscripción pagando un suplemento.

Reproductor de vídeo Sprii en el sitio web (in situ)

El acuerdo se basará en las horas de visionado previstas. El tiempo de visionado es el resultado de "número de espectadores" x "tiempo retransmitido".

Mercado Sprii

La retransmisión en Sprii.live (mercado de compras en directo) es gratuita, pero las transacciones se suman a las ventas como todos los demás canales utilizados con Sprii.

Aplicación Sprii Host

La aplicación móvil es gratuita, pero el tiempo de emisión es limitado a través de Sprii Studio, como se ha descrito anteriormente.

Desarrollo informático

En caso de solicitudes extraordinarias del cliente relativas a integraciones informáticas, tareas de desarrollo y soporte técnico, que queden fuera de la competencia general de SPRII, las partes deberán acordar un precio aparte para ello.

Integraciones ligeras

Son pequeñas integraciones realizadas en la tienda web del usuario. Se pueden realizar a un precio acordado y se probarán y demostrarán su funcionalidad al finalizar el desarrollo. Los siguientes cambios en la configuración de la tienda web pueden afectar a la integración desarrollada, y el ajuste de la integración se realizará a un precio adicional acordado si así se solicita. 

Facturación y pago

• Las suscripciones se facturan por adelantado.
• Las tarifas basadas en transacciones se facturan mensualmente, en función del uso real o estimado.
• Es responsabilidad del usuario mantener actualizadas sus credenciales de pago.

Tasas administrativas

Al enviar una factura por correo electrónico, no se añaden gastos de administración. 

Cuando el método de pago es tarjeta de crédito, no se añaden gastos de administración.

Si se solicita una factura por EAN o por correo en papel, se añadirá a la factura una tasa administrativa de 18 euros, IVA excluido. 

Cuando se paga a través de "Betalingsservice" (un servicio de pago danés), se añade una tasa administrativa de 15 EUR, IVA excluido.

Si se solicita la transferencia bancaria como método de pago, se añadirán a la factura unos gastos de administración de 6 EUR sin IVA. 

Condiciones de renovación

Su suscripción se renovará automáticamente al final de cada período de renovación, prorrogándose su acceso durante otro período de renovación, a menos que se cancele antes de la Fecha límite de cancelación.

Plazo de anulación

La última fecha en la que debe notificarnos su intención de darse de baja para evitar la renovación automática.

Período de compromiso

El periodo inicial durante el cual su suscripción es vinculante.

El fin del compromiso no pone fin a la suscripción por defecto.

Responsabilidades del usuario

Para registrarse en el Servicio, debe completar el proceso de registro proporcionando a Sprii información actual, completa y precisa, tal y como se requiere en el formulario de registro. Usted es el único responsable de cualquier uso y de todas las actividades que se produzcan en su cuenta.

Usted es responsable de salvaguardar la confidencialidad de su(s) contraseña(s) y nombre(s) de usuario y de cualquier uso o mal uso de su cuenta resultante de que un tercero utilice su contraseña o nombre de usuario. Usted se compromete a notificar inmediatamente a Sprii cualquier uso no autorizado de su cuenta o cualquier otra violación de la seguridad de la que tenga conocimiento. Usted acepta que Sprii utilice el logotipo de su organización en su lista de usuarios, en otros lugares de su sitio web y como parte de una lista general de usuarios de Sprii para su uso y referencia en material corporativo, promocional y de marketing.

No utilice nuestro Servicio para infringir la ley. Usted se compromete a no infringir ninguna ley en relación con su uso del Servicio. Esto incluye cualquier ley local, estatal, federal e internacional que pueda aplicársele. Es su responsabilidad obtener cualquier permiso, licencia o registro fiscal y tener pruebas de propiedad o recibos si se requieren; no puede utilizar el Servicio para listar o vender artículos que violen cualquier ley incluyendo, sin limitación, aquellas leyes relativas a la compra, transporte y entrega de bebidas alcohólicas.

El Usuario está obligado a respetar las buenas prácticas en la utilización de los servicios de Sprii. Por buenas prácticas se entiende, en sentido amplio, que el Usuario no puede utilizar los servicios de Sprii para infringir la ley o interferir de algún modo con otras empresas o particulares. Si el Usuario no está seguro de si una acción está permitida, es responsabilidad del Usuario ponerse en contacto con Sprii y solicitar instrucciones.

El Usuario está obligado a mantener sus datos maestros actualizados con Sprii, por lo que la información de dirección, información de contacto e información de facturación son siempre válidos.

El Usuario se compromete a cumplir todas las leyes y reglamentos aplicables en relación con su actividad empresarial y el uso del Servicio. 

El Usuario también acepta que Sprii no ejerce ningún control sobre el contenido de la información proporcionada por el Usuario desde los servicios de Sprii y que es responsabilidad exclusiva del Usuario asegurarse de que los datos que envía y recibe al utilizar Sprii cumplen todas las leyes y normativas aplicables.

El usuario debe facilitar las condiciones al consumidor final antes del pago de los productos.

Esto puede configurarse para la caja de Sprii o proporcionarse en la caja integrada de la tienda web.

Responsabilidad por sus contenidos

Usted es el único responsable de Su Contenido. Usted declara que tiene todos los derechos necesarios sobre Su Contenido y que no está infringiendo ni violando los derechos de terceros al publicarlo.

Contenido inapropiado, falso o engañoso. Usted se compromete a no publicar contenidos abusivos, amenazadores, difamatorios, obscenos, vulgares o que infrinjan nuestras Condiciones. También acepta no publicar ningún contenido que sea falso, engañoso o que utilice el Servicio de forma fraudulenta o engañosa.

El cliente concede a Sprii una licencia no exclusiva y libre de derechos para utilizar su propiedad intelectual con el fin de prestar servicios al cliente y elaborar estadísticas de uso anónimas para uso de Sprii. Nunca se compartirá la propiedad intelectual con^tercerosa menos que se acuerde específicamente en cada caso.

Propiedad intelectual

El cliente concede a Sprii una licencia no exclusiva y libre de derechos para utilizar su propiedad intelectual con el fin de prestar servicios al cliente y elaborar estadísticas de uso anónimas para uso de Sprii. Nunca se compartirá la propiedad intelectual con^tercerosa menos que se acuerde específicamente en cada caso.

Integración con otros mercados

Al utilizar nuestros servicios, sus contenidos y ofertas pueden ponerse a disposición de otros mercados. Puede controlar esta opción en la configuración de su página y en cada inicio de campaña en app.Sprii.io.

Derechos Sprii 

Sprii tiene derecho a evaluar si el Usuario está utilizando los productos Sprii según lo previsto. Si el Usuario sobrecarga el servicio ofrecido hasta tal punto que afecte indebidamente a la plataforma Sprii, Sprii podrá en cualquier momento cerrar temporalmente el acceso a dicho servicio sin previo aviso. 

Sprii siempre se esfuerza por ponerse en contacto con el Usuario para ajustar su consumo u ofrecerle una Solución diferente. Si el Usuario no desea ajustar el consumo o aceptar una Solución alternativa, Sprii tiene derecho a rescindir la Solución del Usuario con un preaviso de un mes. En los casos en los que el Usuario haya pagado por adelantado un periodo interrumpido por la rescisión de Sprii debido a las circunstancias anteriores, el Usuario tendrá derecho al reembolso del importe pagado por adelantado correspondiente a la parte del periodo de prepago en la que se haya rescindido el producto.

Si uno de los servicios de Sprii, por ejemplo, "robot de comentarios", se utiliza para enviar contenido ilegal, por ejemplo, spam, phishing o similares, Sprii se reserva el derecho de cerrar temporalmente el acceso a los servicios sin previo aviso hasta que se rectifique el problema. Esto también se aplica incluso si el Usuario no es consciente de dicho abuso o es directamente responsable del mismo.

Sprii se reserva el derecho de rescindir los servicios en curso de un Usuario en la fecha de renovación con un preaviso por escrito de 30 días.

En caso de cambios en la ley o en las normas y permisos emitidos en virtud de esta ley, y en caso de requerimiento de cambios por parte de una autoridad, Sprii podrá, sin previo aviso, modificar los derechos y obligaciones del Usuario en virtud de los términos, sin que el Usuario tenga derecho a indemnización alguna.

Su derecho a irse si cambiamos demasiado

Sprii puede mejorar, modificar o interrumpir partes del Servicio, incluidas funciones, integraciones, precios o condiciones. No obstante, si realizamos un cambio que reduzca sustancialmente la funcionalidad principal, afecte significativamente a su uso o reduzca el valor global del Servicio para usted (un "Cambio material adverso"), tendrá derecho a cancelar su suscripción sin penalización alguna.

Para ejercer este derecho, debe notificárnoslo por escrito en un plazo de 30 días desde que se le informe del cambio. Si cancela bajo estos términos, recibirá un reembolso prorrateado por la parte no utilizada de su suscripción prepagada.

Los cambios no se consideran "cambios materiales adversos" si:

• Lo exijan las leyes o los reglamentos,

• Mejorar la seguridad o la protección de datos,

• Añada funciones opcionales o mejoras de rendimiento,

• Afectar a las funciones beta o de prueba a las que hayas optado.

Le notificaremos cualquier Cambio Material Adverso con al menos 30 días de antelación, a menos que razones legales u operativas urgentes lo impidan. Se lo notificaremos a través de su correo electrónico registrado o directamente en su cuenta de Sprii.

Indemnización mutua

Cada una de las partes ("Parte Indemnizadora") acuerda indemnizar, defender y eximir de responsabilidad a la otra parte ("Parte Indemnizada"), incluyendo a sus afiliados, funcionarios, directores, empleados, agentes y licenciantes, de y contra cualquier reclamación, responsabilidad, daños, pérdidas, costos, gastos u honorarios (incluyendo honorarios razonables de abogados) que surjan de:

• El incumplimiento por la Parte indemnizadora del presente acuerdo o de la legislación aplicable.

• Negligencia o dolo de la Parte Indemnizadora.

• Cualquier reclamación relacionada con la infracción de los derechos de propiedad intelectual causada por el contenido o las acciones de la Parte indemnizadora.

Alcance de la indemnización

Quedan excluidas las obligaciones de indemnización:

• Daños indirectos, incidentales o consecuentes, incluidos, entre otros, la pérdida de beneficios, ingresos u oportunidades de negocio.

• Daños resultantes de acontecimientos de fuerza mayor o acciones fuera del control razonable de la Parte Indemnizadora.

Límite de responsabilidad

La responsabilidad total de la Parte Indemnizadora en virtud de la presente cláusula de indemnización no excederá del total de los honorarios abonados por la Parte Indemnizada a la Parte Indemnizadora en virtud del presente acuerdo durante los 12 meses precedentes, salvo que la ley exija lo contrario.

Renuncia de garantía

 Servicio prestado "tal cual"

Nuestro servicio se proporciona "tal cual", sin garantías de ningún tipo, ya sean expresas o implícitas, incluidas, entre otras, las garantías de comerciabilidad, idoneidad para un fin determinado y no infracción. No garantizamos que el servicio o el sitio web estén libres de errores, virus u otros componentes dañinos, o que el acceso sea continuo o ininterrumpido. El uso del servicio queda a su discreción y riesgo.

Navegadores compatibles

El servicio está diseñado para su uso en navegadores de dispositivos digitales, incluyendo específicamente Google Chrome, Safari, Microsoft Edge y Firefox. Es responsabilidad del usuario utilizar las versiones más recientes de estos navegadores.

Acuerdo de nivel de servicio (SLA)

Nuestro objetivo de tiempo de actividad es del 99,5%. Sin embargo, podemos interrumpir las operaciones cuando el mantenimiento u otras condiciones técnicas lo requieran. Estas interrupciones se anunciarán con la mayor antelación posible y se producirán fuera de las horas punta.

Exclusiones

El SLA no se aplica a:

• Tiempo de inactividad derivado de servicios de terceros o API integradas en la plataforma.

• Problemas causados por la conectividad a Internet, el hardware del cliente o el software de terceros.

• Incidentes derivados del uso indebido de la plataforma o de modificaciones no autorizadas por parte del cliente.

Limitación de responsabilidad

No responsabilidad por servicios de terceros

Nuestro software se integra con servicios de terceros como Facebook, Instagram, sitios web, tiendas web, pasarelas de pago y proveedores de envío. No controlamos estos servicios de terceros y no somos responsables de su rendimiento, fiabilidad o cualquier problema derivado de su uso.

Disponibilidad del servicio y seguridad de los datos

Aunque nos comprometemos a proporcionar un alto nivel de disponibilidad del servicio y hemos implantado sólidas medidas de seguridad de los datos, no es posible garantizar un acceso ininterrumpido ni una seguridad absoluta. Declinamos toda responsabilidad por daños o pérdidas derivados de interrupciones del servicio, violaciones de datos o accesos no autorizados, salvo que hayan sido causados por nuestra negligencia o por no haber aplicado las medidas de seguridad adecuadas. Además, no somos responsables de ningún impacto en los servicios integrados derivado de su compatibilidad o configuración. Para más detalles sobre cómo Sprii gestiona la seguridad de los Datos Personales, consulte el Acuerdo de Protección de Datos.

Exclusión de daños indirectos y consecuentes

En ningún caso seremos responsables de cualquier daño indirecto, incidental, consecuente, especial o ejemplar, incluyendo pero no limitado a la pérdida de beneficios, ingresos, datos, uso o reputación, incurridos por usted o cualquier tercero, ya sea en una acción contractual o extracontractual, que surja de su acceso o uso de nuestros servicios.

Limitación de la responsabilidad directa

Nuestra responsabilidad total frente a usted por cualquier reclamación derivada o relacionada con estas condiciones o con su uso de los servicios, independientemente de la causa de la acción (ya sea contractual, extracontractual, incumplimiento de garantía o de otro tipo), no superará el importe que nos pagó por el uso de los servicios en los doce (12) meses inmediatamente anteriores a la reclamación.

Aviso de derechos de propiedad

El Servicio, incluyendo cualquier contenido en el Servicio y toda la tecnología subyacente (incluyendo todos los derechos de propiedad intelectual incorporados en el mismo), es y seguirá siendo propiedad única y exclusiva de Sprii y estará protegido por las leyes de derechos de autor aplicables y otra legislación. No se concede ninguna licencia sobre ninguna tecnología subyacente. No permitirá que ningún tercero realice ingeniería inversa y/o cree derivados del Servicio utilizando cualquier método posible. No modificará ni permitirá que terceros modifiquen el Servicio de ninguna manera. Usted utilizará el Servicio únicamente para su uso comercial y no pondrá el Servicio a disposición de ningún tipo de servicio externo como, por ejemplo, un proveedor de servicios de aplicaciones.

Si proporciona comentarios, ideas o sugerencias en relación con el Servicio, Sprii es libre de explotar plenamente dichos comentarios.

Terminación

A pesar de que este Acuerdo puede terminar entre el Servicio y usted, algunas disposiciones de este Acuerdo seguirán en vigor, incluyendo, sin limitación, renuncias de garantía, indemnización, limitaciones de responsabilidad y derechos de propiedad.

Un contrato de suscripción se renueva automáticamente a menos que el usuario lo rescinda antes de la fecha límite de cancelación.

La rescisión deberá hacerse por escrito a finance@sprii.io.

En caso de que cancele su suscripción, no recibirá ningún reembolso ni cambio por el tiempo no utilizado de una suscripción, ninguna licencia ni cuota de suscripción por ninguna parte del Servicio, ningún contenido ni datos asociados a su cuenta, ni por ningún otro concepto.

Varios

 Sprii se eximirá del cumplimiento del presente contrato en la medida en que dicho cumplimiento se vea impedido, retrasado u obstruido por causas ajenas a su control razonable. Este Acuerdo representa el acuerdo completo entre usted y Sprii en relación con su objeto y sustituye a todas las declaraciones, acuerdos y representaciones anteriores entre las partes.

No podrá ceder ni transferir de otro modo ninguno de sus derechos en virtud del Contrato sin el consentimiento previo por escrito de Sprii, y cualquier intento en este sentido será nulo.

Sprii tiene derecho a ceder y/o transferir cualquiera de sus derechos u obligaciones en virtud del Contrato a cualquier tercero. Sprii le notificará dicha transferencia.

La relación entre Sprii y usted no es una relación de asociación legal, sino una de contratistas independientes. El presente Acuerdo será vinculante y redundará en beneficio de las partes, sus sucesores y cesionarios de las partes del mismo.

Divisibilidad

Si alguna disposición de este Acuerdo se considera inaplicable por cualquier motivo, dicha disposición se reformará en la medida necesaria para hacerla aplicable en la mayor medida posible para afectar a la intención de las partes, y el resto de este Acuerdo continuará en pleno vigor y efecto.

Cambios en las condiciones generales

Sprii puede actualizar o modificar estos Términos de vez en cuando para reflejar cambios en nuestros Servicios, requisitos legales o prácticas comerciales. Cuando lo hagamos, publicaremos las Condiciones actualizadas en nuestro sitio web y, cuando los cambios sean sustanciales, se lo notificaremos por correo electrónico o a través de su panel de Sprii al menos 30 días antes de que entren en vigor.

El uso continuado del Servicio tras la entrada en vigor de las Condiciones actualizadas constituirá su aceptación de los cambios. Si no está de acuerdo con las Condiciones revisadas, tiene derecho a dejar de utilizar el Servicio antes de que los cambios sean vinculantes. En los casos en los que los cambios reduzcan sustancialmente sus derechos o aumenten sus obligaciones de forma significativa, también podrá ejercer su derecho de rescisión anticipada, tal y como se describe en la sección "Su derecho a abandonar el Servicio si cambiamos demasiado".

Cambios de precio

Nuestros precios pueden cambiar con el tiempo.

Nos reservamos el derecho de hacerlo con un preaviso de 3 meses antes de la fecha límite de cancelación.

El Usuario está obligado a pagar el precio regulado a partir de la siguiente fecha de renovación, pero puede optar por rescindir el contrato por escrito de acuerdo con los plazos de preaviso aplicables.

Ley aplicable y jurisdicción

El presente Acuerdo se regirá e interpretará con arreglo a las leyes del Estado de Dinamarca, y los litigios estarán sujetos a la jurisdicción exclusiva de los tribunales de Aarhus, Dinamarca.

Sin embargo, para los clientes ubicados en el Reino Unido, este Acuerdo se regirá e interpretará de conformidad con las leyes de Inglaterra y Gales, y las partes acuerdan someterse a la jurisdicción exclusiva de los tribunales de Inglaterra y Gales.

Quejas

Si desea presentar una queja a Sprii, puede hacerlo enviando un correo electrónico a hey@sprii.io.

‍

Sección 2

‍

Acuerdo de procesamiento de datos 

A efectos del artículo 28, apartado 3, del Reglamento 2016/679 (el RGPD) 

entre

Usuario de Sprii Aps Services
(el responsable del tratamiento)

y

Sprii ApS
Número de identificación fiscal: DK42084476
Sommervej 31E, 8210 Aarhus V
Dinamarca

(el encargado del tratamiento)

cada una "parte"; conjuntamente "las partes".

HAN ACORDADO las siguientes Cláusulas Contractuales (las Cláusulas) con el fin de cumplir con los requisitos del GDPR y garantizar la protección de los derechos del interesado. 

Contenido

2. Preámbulo

3. Derechos y obligaciones del responsable del tratamiento

4. El procesador de datos actúa según instrucciones

5. Confidencialidad

6. Seguridad del tratamiento

7. Utilización de subencargados del tratamiento

8. Transferencia de datos a terceros países u organizaciones internacionales

9. Asistencia al responsable del tratamiento

10. Notificación de violación de datos personales

11. Borrado y devolución de datos

12. Auditoría e inspección

13. El acuerdo de las partes sobre otros términos

14. Inicio y terminación

15. Contactos/puntos de contacto del responsable y del encargado del tratamiento 1

Apéndice A Información sobre el tratamiento

Apéndice B Subtransformadores autorizados

Apéndice C Instrucciones relativas a la utilización de datos personales

Apéndice D Apéndice del Reino Unido  

2. Preámbulo

1. Las presentes Cláusulas Contractuales (las Cláusulas) establecen los derechos y obligaciones del responsable del tratamiento y del encargado del tratamiento, cuando tratan datos personales por cuenta del responsable del tratamiento.

2. Las Cláusulas han sido diseñadas para garantizar el cumplimiento por las partes del artículo 28, apartado 3, del Reglamento 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).

3. En el contexto de la prestación de Sprii, el encargado del tratamiento tratará los datos personales por cuenta del responsable del tratamiento de conformidad con las Cláusulas.

4. Las Cláusulas tendrán prioridad sobre cualquier disposición similar contenida en otros acuerdos entre las partes.

5. Cuatro apéndices se adjuntan a las Cláusulas y forman parte integrante de las mismas.

6. El Apéndice A contiene detalles sobre el tratamiento de datos personales, incluida la finalidad y la naturaleza del tratamiento, el tipo de datos personales, las categorías de interesados y la duración del tratamiento.

7. El apéndice B contiene las condiciones del responsable del tratamiento para el uso de subencargados del tratamiento y una lista de los subencargados del tratamiento autorizados por el responsable del tratamiento.

8. El apéndice C contiene las instrucciones del responsable del tratamiento en relación con el tratamiento de datos personales, las medidas de seguridad mínimas que debe aplicar el encargado del tratamiento y la forma en que deben realizarse las auditorías del encargado y de los subencargados del tratamiento.

9. Ambas partes conservarán por escrito, incluso electrónicamente, las Cláusulas junto con los apéndices.

10. Las Cláusulas no eximirán al encargado del tratamiento de las obligaciones a las que esté sujeto en virtud del Reglamento General de Protección de Datos (el RGPD) u otra legislación.

3. Derechos y obligaciones del responsable del tratamiento

1. El responsable del tratamiento es responsable de garantizar que el tratamiento de los datos personales se realice de conformidad con el RGPD (véase el artículo 24 del RGPD), las disposiciones aplicables de la UE o de los Estados miembros en materia de protección de datos y las Cláusulas.

2. El responsable del tratamiento tiene el derecho y la obligación de tomar decisiones sobre los fines y medios del tratamiento de datos personales.

3. El responsable del tratamiento será responsable, entre otras cosas, de garantizar que el tratamiento de datos personales que se encargue al encargado del tratamiento tenga una base jurídica. 

4. El procesador de datos actúa según instrucciones

1. El encargado del tratamiento tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable del tratamiento, a menos que así lo exija el Derecho de la Unión o de los Estados miembros al que esté sujeto el encargado. Dichas instrucciones se especificarán en los apéndices A y C. El responsable del tratamiento también podrá dar instrucciones ulteriores mientras dure el tratamiento de los datos personales, pero dichas instrucciones se documentarán y conservarán siempre por escrito, incluso electrónicamente, en relación con las Cláusulas. 

2. El encargado del tratamiento informará inmediatamente al responsable del tratamiento si las instrucciones dadas por el responsable del tratamiento, en opinión del encargado del tratamiento, contravienen el RGPD o las disposiciones aplicables de la UE o de los Estados miembros en materia de protección de datos.

5. Confidencialidad

1. El encargado del tratamiento sólo concederá acceso a los datos personales tratados por cuenta del responsable del tratamiento a las personas bajo su autoridad que se hayan comprometido a mantener la confidencialidad o estén sujetas a una obligación legal adecuada de confidencialidad, y únicamente en la medida en que sea necesario. La lista de personas a las que se ha concedido acceso se revisará periódicamente. Sobre la base de esta revisión, dicho acceso a los datos personales podrá retirarse, si ya no es necesario, y, en consecuencia, dichas personas dejarán de tener acceso a los datos personales.

2. El encargado del tratamiento demostrará, a petición del responsable del tratamiento, que las personas afectadas bajo su autoridad están sujetas a la confidencialidad antes mencionada.

6. Seguridad del tratamiento 

1. El artículo 32 del RGPD establece que, teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como el riesgo de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.

El responsable del tratamiento evaluará los riesgos para los derechos y libertades de las personas físicas inherentes al tratamiento y aplicará medidas para mitigar dichos riesgos. En función de su pertinencia, las medidas podrán incluir lo siguiente:

a. Pseudonimización y cifrado de datos personales;

b. la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resistencia permanentes de los sistemas y servicios de procesamiento;

c. la capacidad de restablecer oportunamente la disponibilidad y el acceso a los datos personales en caso de incidente físico o técnico;

d. un proceso para comprobar, evaluar y valorar periódicamente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

2. De conformidad con el artículo 32 del RGPD, el encargado del tratamiento evaluará también -independientemente del responsable del tratamiento- los riesgos para los derechos y libertades de las personas físicas inherentes al tratamiento y aplicará medidas para mitigar dichos riesgos. A tal efecto, el responsable del tratamiento facilitará al encargado del tratamiento toda la información necesaria para identificar y evaluar dichos riesgos.

3. Además, el procesador de datos ayudará al responsable del tratamiento a garantizar el cumplimiento de las obligaciones del responsable del tratamiento de datos de conformidad con el artículo 32 del GDPR, entre otras cosas, proporcionando al responsable del tratamiento de datos información sobre las medidas técnicas y organizativas ya implementadas por el responsable del tratamiento de datos de conformidad con el artículo 32 del GDPR, junto con toda la demás información necesaria para que el responsable del tratamiento de datos cumpla con la obligación del responsable del tratamiento de datos en virtud del artículo 32 del GDPR.

Si posteriormente -en la evaluación del responsable del tratamiento- la mitigación de los riesgos identificados requiere que el responsable del tratamiento aplique medidas adicionales a las ya aplicadas por el responsable del tratamiento de conformidad con el artículo 32 del RGPD, el responsable del tratamiento especificará estas medidas adicionales que deben aplicarse en el apéndice C.

7. Utilización de subencargados del tratamiento

1. El encargado del tratamiento de datos deberá cumplir los requisitos especificados en el artículo 28, apartados 2 y 4, del RGPD para poder contratar a otro encargado (un subencargado del tratamiento).

2. Por consiguiente, el encargado del tratamiento no contratará a otro encargado (subencargado del tratamiento) para el cumplimiento de las cláusulas sin la autorización general previa por escrito del responsable del tratamiento.

3. El encargado del tratamiento cuenta con la autorización general del responsable del tratamiento para la contratación de subencargados del tratamiento. El encargado del tratamiento informará por escrito al responsable del tratamiento de cualquier cambio previsto en relación con la adición o sustitución de subencargados del tratamiento con al menos 1 mes de antelación, dando así al responsable del tratamiento la oportunidad de oponerse a dichos cambios antes de la contratación del subencargado o subencargados en cuestión. En el apéndice B pueden establecerse plazos de preaviso más largos para determinados servicios de subtratamiento. La lista de subencargados del tratamiento ya autorizados por el responsable del tratamiento figura en el apéndice B.

4. Cuando el encargado del tratamiento contrate a un subencargado para llevar a cabo actividades de tratamiento específicas por cuenta del responsable del tratamiento, se impondrán a dicho subencargado las mismas obligaciones de protección de datos que se establecen en las Cláusulas mediante un contrato u otro acto jurídico con arreglo al Derecho de la UE o de los Estados miembros, en particular, ofrecer garantías suficientes para aplicar las medidas técnicas y organizativas adecuadas de manera que el tratamiento cumpla los requisitos de las Cláusulas y del RGPD.

Por lo tanto, el encargado del tratamiento será responsable de exigir que el subencargado del tratamiento cumpla, como mínimo, las obligaciones a las que está sujeto en virtud de las Cláusulas y del GDPR.

5. A petición del responsable del tratamiento, deberá presentarse al responsable del tratamiento una copia de dicho acuerdo de subencargado del tratamiento y de las modificaciones posteriores, dando así al responsable del tratamiento la oportunidad de garantizar que se imponen al subencargado del tratamiento las mismas obligaciones de protección de datos que se establecen en las cláusulas. No será necesario presentar al responsable del tratamiento las cláusulas relativas a cuestiones comerciales que no afecten al contenido jurídico de protección de datos del acuerdo de subencargado del tratamiento.  

6. El encargado del tratamiento acordará con el subencargado del tratamiento una cláusula de tercero beneficiario en virtud de la cual -en caso de quiebra del encargado del tratamiento- el responsable del tratamiento será un tercero beneficiario del acuerdo de subencargo y tendrá derecho a hacer cumplir el acuerdo al subencargado contratado por el encargado del tratamiento, por ejemplo, permitiendo al responsable del tratamiento ordenar al subencargado que suprima o devuelva los datos personales.

7. Si el subencargado del tratamiento no cumple sus obligaciones en materia de protección de datos, el responsable del tratamiento seguirá siendo plenamente responsable ante el responsable del tratamiento en lo que respecta al cumplimiento de las obligaciones del subencargado. Esto no afecta a los derechos de los interesados en virtud del RGPD -en particular los previstos en los artículos 79 y 82 del RGPD- frente al responsable del tratamiento y al encargado del tratamiento, incluido el subencargado del tratamiento.

8. Transferencia de datos a terceros países u organizaciones internacionales

1. Cualquier transferencia de datos personales a terceros países u organizaciones internacionales por parte del encargado del tratamiento solo se producirá sobre la base de instrucciones documentadas del responsable del tratamiento y siempre de conformidad con el capítulo V del RGPD. 

2. En caso de que las transferencias a terceros países u organizaciones internacionales, que el responsable del tratamiento no haya encargado realizar al encargado del tratamiento, sean exigidas por la legislación de la UE o de los Estados miembros a la que esté sujeto el encargado del tratamiento, éste informará al responsable del tratamiento de dicho requisito legal antes del tratamiento, a menos que dicha legislación prohíba dicha información por motivos importantes de interés público.

3. Por lo tanto, sin instrucciones documentadas del responsable del tratamiento, el encargado del tratamiento no puede en el marco de las Cláusulas:

a. transferir datos personales a un responsable o encargado del tratamiento en un tercer país o en una organización internacional

b. transferir el tratamiento de datos personales a un subencargado del tratamiento en un tercer país 

c. hacer que el encargado del tratamiento trate los datos personales en un tercer país

4. Las instrucciones del responsable del tratamiento relativas a la transferencia de datos personales a un tercer país, incluido, si procede, el instrumento de transferencia con arreglo al capítulo V del RGPD en el que se basan, se expondrán en el apéndice C.6.

5. Las Cláusulas no se confundirán con las cláusulas tipo de protección de datos en el sentido del artículo 46, apartado 2, letras c) y d) del RGPD, y las partes no podrán invocar las Cláusulas como instrumento de transferencia con arreglo al capítulo V del RGPD.

9. Asistencia al responsable del tratamiento

1. Teniendo en cuenta la naturaleza del tratamiento, el encargado del tratamiento asistirá al responsable del tratamiento mediante medidas técnicas y organizativas apropiadas, en la medida en que ello sea posible, en el cumplimiento de las obligaciones del responsable del tratamiento de responder a las solicitudes de ejercicio de los derechos del interesado establecidas en el capítulo III del RGPD.

Esto implica que el encargado del tratamiento deberá, en la medida de lo posible, asistir al responsable del tratamiento en el cumplimiento por parte de éste:

a. derecho a ser informado cuando se recojan datos personales del interesado

b. derecho a ser informado cuando no se hayan obtenido datos personales del interesado

c. derecho de acceso del interesado

d. derecho de rectificación

e. derecho de supresión ("derecho al olvido")

f. derecho a la limitación del tratamiento

g. obligación de notificación relativa a la rectificación o supresión de datos personales o a la limitación de su tratamiento

h. derecho a la portabilidad de los datos

i. derecho de oposición 

j. derecho a no ser objeto de una decisión basada únicamente en un tratamiento automatizado, incluida la elaboración de perfiles

2. Además de la obligación del encargado del tratamiento de asistir al responsable del tratamiento con arreglo a la cláusula 6.3., el encargado del tratamiento deberá además, teniendo en cuenta la naturaleza del tratamiento y la información de que disponga, asistir al responsable del tratamiento para garantizar el cumplimiento de:

a. La obligación del responsable del tratamiento de notificar sin dilación indebida y, cuando sea factible, a más tardar 72 horas después de haber tenido conocimiento de ella, la violación de los datos personales a la autoridad de control competente, salvo que sea improbable que la violación de los datos personales entrañe un riesgo para los derechos y libertades de las personas físicas;

b. la obligación del responsable del tratamiento de comunicar sin dilación indebida la violación de los datos personales al interesado, cuando sea probable que la violación de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas;

c. la obligación del responsable del tratamiento de llevar a cabo una evaluación del impacto de las operaciones de tratamiento previstas sobre la protección de datos personales (una evaluación de impacto sobre la protección de datos);

d. la obligación del responsable del tratamiento de consultar a la autoridad de control competente antes del tratamiento cuando una evaluación de impacto de la protección de datos indique que el tratamiento entrañaría un alto riesgo en ausencia de medidas adoptadas por el responsable del tratamiento para mitigarlo.

3. Las partes definirán en el apéndice C las medidas técnicas y organizativas apropiadas mediante las cuales el encargado del tratamiento deberá asistir al responsable del tratamiento, así como el ámbito y el alcance de la asistencia requerida. Esto se aplica a las obligaciones previstas en las cláusulas 9.1. y 9.2.

10. Notificación de violación de datos personales

1. En caso de violación de los datos personales, el encargado del tratamiento notificará sin dilación indebida al responsable del tratamiento la violación de los datos personales.

2. La notificación del encargado del tratamiento al responsable del tratamiento tendrá lugar, a ser posible, en las 24 horas siguientes a la fecha en que el encargado del tratamiento haya tenido conocimiento de la violación de los datos personales, a fin de que el responsable del tratamiento pueda cumplir con la obligación del responsable del tratamiento de notificar la violación de los datos personales a la autoridad de control competente, véase el artículo 33 del RGPD.

3. De conformidad con la cláusula 9, apartado 2, letra a), el encargado del tratamiento de datos ayudará al responsable del tratamiento a notificar la violación de los datos personales a la autoridad de control competente, lo que significa que el encargado del tratamiento de datos deberá ayudar a obtener la información que se enumera a continuación y que, de conformidad con el artículo 33, apartado 3, del RGPD, deberá figurar en la notificación del responsable del tratamiento de datos a la autoridad de control competente:  

a. La naturaleza de los datos personales, incluidas, cuando sea posible, las categorías y el número aproximado de interesados afectados y las categorías y el número aproximado de registros de datos personales afectados; 

b. las consecuencias probables de la violación de los datos personales;

c. las medidas adoptadas o que se propone adoptar el responsable del tratamiento para hacer frente a la violación de los datos personales, incluidas, en su caso, las medidas para mitigar sus posibles efectos adversos. 

4. Las partes definirán en el apéndice C todos los elementos que deberá facilitar el encargado del tratamiento cuando asista al responsable del tratamiento en la notificación de una violación de datos personales a la autoridad de control competente.

11. Borrado y devolución de datos

1. El encargado del tratamiento suprimirá, previa solicitud o en relación con la finalización del servicio, todos los datos personales tratados en nombre del responsable del tratamiento, tal como se especifica en el apéndice C.4

12. Auditoría e inspección

1. El encargado del tratamiento pondrá a disposición del responsable del tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el artículo 28 y en las Cláusulas, y permitirá y contribuirá a las auditorías, incluidas las inspecciones, realizadas por el responsable del tratamiento o por otro auditor encargado por el responsable del tratamiento.

2. Los procedimientos aplicables a las auditorías del responsable del tratamiento, incluidas las inspecciones, del encargado del tratamiento y de los subencargados del tratamiento se especifican en los apéndices C.7. y C.8.    

3. El encargado del tratamiento estará obligado a facilitar a las autoridades de control que, con arreglo a la legislación aplicable, tengan acceso a las instalaciones del responsable y del encargado del tratamiento, o a los representantes que actúen en nombre de dichas autoridades de control, el acceso a las instalaciones físicas del encargado del tratamiento, previa presentación de la identificación adecuada. 

13. El acuerdo de las partes sobre otros términos 

1. Las partes podrán acordar otras cláusulas relativas a la prestación del servicio de tratamiento de datos personales en las que se especifique, por ejemplo, la responsabilidad, siempre que no contradigan directa o indirectamente las Cláusulas ni perjudiquen los derechos o libertades fundamentales del interesado y la protección que ofrece el GDPR.

14. Inicio y terminación

1. Las Cláusulas entrarán en vigor en la fecha de su firma por ambas partes.

2. Ambas partes tendrán derecho a exigir la renegociación de las Cláusulas si los cambios en la legislación o la falta de conveniencia de las Cláusulas dieran lugar a dicha renegociación. 

3. Las Cláusulas se aplicarán mientras dure la prestación de servicios de tratamiento de datos personales. Durante la duración de la prestación de servicios de tratamiento de datos personales, las Cláusulas no podrán rescindirse a menos que las partes hayan acordado otras Cláusulas que regulen la prestación de servicios de tratamiento de datos personales.

4. Si se pone fin a la prestación de servicios de tratamiento de datos personales, y los datos personales se suprimen o devuelven al responsable del tratamiento de conformidad con la cláusula 11.1. y el apéndice C.4., cualquiera de las partes podrá rescindir las cláusulas mediante notificación por escrito.

Apéndice A - Información sobre el tratamiento 

A.1. La finalidad del tratamiento de datos personales por parte del encargado del tratamiento por cuenta del responsable del tratamiento es:

Los datos se tratan con las siguientes finalidades:

a) Poder mediar en las ventas entre los usuarios de Sprii (responsable del tratamiento) y el cliente final

A.2. El tratamiento de datos personales por parte del encargado del tratamiento por cuenta del responsable del tratamiento se referirá principalmente a (la naturaleza del tratamiento):

Uso general:

- Envío de enlaces a productos y servicios solicitados por los consumidores

- Envío de notificaciones a los consumidores que han dado su consentimiento

- Seguimiento de ganadores y participantes en concursos

Si se utiliza Sprii Hosted Checkout:

- Gestión de pedidos y comunicación

A.3. El tratamiento incluye los siguientes tipos de datos personales:

Datos personales generales que se tratan:

- Nombre del perfil de la plataforma (es decir, Facebook, Instagram)

Si se utiliza Sprii Hosted Checkout:

- Nombre y apellidos

- Dirección de correo electrónico

- Número de teléfono

- Dirección

Todos los datos personales se tratan confidencialmente.

A.4. El tratamiento incluye las siguientes categorías de interesados:

Se procesa información sobre las siguientes categorías de interesados:

a) Usuarios finales que estén interactuando en actividades asistidas por Sprii por parte del Responsable del Tratamiento. 

A.5. El tratamiento de datos personales por parte del encargado del tratamiento por cuenta del responsable del tratamiento podrá realizarse cuando comiencen las Cláusulas. El tratamiento tiene la siguiente duración:

El presente acuerdo se aplicará mientras Sprii ApS procese datos personales para el responsable del tratamiento de acuerdo con el acuerdo independiente de las partes sobre el sistema, los servicios, el pago, etc. Tras la finalización de los servicios relacionados con el tratamiento de datos personales, Sprii, a petición del responsable del tratamiento, anonimizará todos los datos personales que hayan sido tratados en nombre del responsable del tratamiento y confirmará al responsable del tratamiento que la información ha sido anonimizada, a menos que la legislación de la UE o la legislación nacional de los Estados miembros prescriba el almacenamiento de los datos personales. 

Apéndice B - Subtransformadores autorizados

B.1. Subtransformadores autorizados

A partir de la entrada en vigor de las Cláusulas, el responsable del tratamiento autoriza la contratación de los siguientes subencargados del tratamiento:

1. Nombre: Google Firebase, Alphabeat Inc.

Dirección: Sede central: 1600 Amphitheatre Parkway Mountain View, CA 94043 (Sede central)

Servidores utilizados por Sprii: St. Ghislain, Bélgica.

Descripción del tratamiento:

Firebase es una plataforma de desarrollo de aplicaciones móviles y web. El software y la base de datos de Sprii están alojados en Google Firebase. El procesamiento incluye el procesamiento de datos de compra, productos y datos de comentarios de plataformas.

Las condiciones de seguridad y tratamiento de datos de Firebase pueden consultarse aquí:

https://firebase.google.com/terms/data-processing-terms

2. 

Nombre: Elasticsearch

Dirección: Sede central: 8000 West El Camino Real, Suite 350, Mountain View, CA Estados Unidos (Sede central)

Servidores utilizados por Sprii: Frankfurt, Alemania.

Descripción del tratamiento:

Elasticsearch es un motor de búsqueda que permite realizar búsquedas eficaces en grandes cantidades de datos. Se utiliza, por ejemplo, para encontrar todos los pedidos relativos a un cliente concreto. ElasticSearch tiene servidores en Fráncfort (Alemania), que Sprii utiliza.

El tratamiento incluye la tramitación de pedidos de clientes y productos.

https://www.elastic.co/legal/product-privacy-statement

El responsable del tratamiento autorizará, a partir de la entrada en vigor de las Cláusulas, el recurso a los subencargados antes mencionados para el tratamiento descrito para esa parte. El encargado del tratamiento no tendrá derecho -sin la autorización explícita por escrito del responsable del tratamiento- a contratar a un subencargado para un tratamiento "distinto" del acordado ni a encargar a otro subencargado la realización del tratamiento descrito.

Apéndice C - Instrucción relativa al uso de datos personales 

C.1. Objeto/instrucción del tratamiento

El tratamiento de datos personales por parte del encargado del tratamiento por cuenta del responsable del tratamiento se llevará a cabo de la siguiente manera:

Uso general:

El procesador de datos recopila el nombre de usuario de la plataforma sobre el usuario final, así como los productos que el cliente final ha solicitado/pedido/comprado.

Si se utiliza Sprii Hosted Checkout:

El procesador de datos recopila datos personales generales (nombre, dirección, correo electrónico y número de teléfono) sobre el usuario final, así como los productos que el cliente final ha solicitado/pedido/comprado.

C.2. Seguridad del tratamiento

Debe establecerse un nivel de seguridad razonable y adecuado.

El encargado del tratamiento está entonces facultado y obligado a tomar decisiones sobre las medidas de seguridad técnicas y organizativas que deben utilizarse para crear el nivel necesario de seguridad en torno a la información.

El tratamiento incluye datos personales, por lo que el responsable del tratamiento debe aplicar las siguientes medidas:

Medidas técnicas:

- Existe y se utiliza la protección antivirus pertinente.

- Validación de dos factores para iniciar sesión en los sistemas siempre que sea posible.

- Copia de seguridad de los sistemas que tratan datos personales

Medidas organizativas:

- Todos los empleados reciben formación sobre la protección de datos personales

- Las instrucciones para los empleados se actualizan y revisan al menos una vez al año.

- Las instrucciones para los empleados se revisan siempre con los nuevos empleados en relación con el empleo

- Todos los empleados están obligados a mantener la confidencialidad durante y después del empleo

- El acceso y la conexión se basan en funciones o personas, y el personal y los sistemas no tienen acceso a más de lo necesario para desempeñar sus funciones.

Medidas físicas:

- Las instalaciones de trabajo y las oficinas están protegidas por controles de acceso adecuados para garantizar que sólo tiene acceso el personal autorizado.

- Todos los soportes físicos (papel, unidad USB, etc.) se destruyen de forma responsable si se han utilizado para almacenar datos personales.

El encargado del tratamiento tiene derecho a tomar otras decisiones sobre las medidas de seguridad técnicas y organizativas necesarias que deben aplicarse para garantizar un nivel adecuado de seguridad de los datos personales.

Sprii ApS y su tratamiento de datos personales puede llevarse a cabo en su totalidad o en parte mediante el uso de centros de trabajo a domicilio, todos los cuales cumplen los requisitos de seguridad contemplados en el presente acuerdo de tratamiento de datos.

C.3. Asistencia al responsable del tratamiento

El encargado del tratamiento deberá, en la medida de lo posible y dentro de un ámbito y alcance razonables, asistir al responsable del tratamiento de datos de conformidad con las disposiciones 9.1 y 9.2 mediante la aplicación de las medidas técnicas y organizativas enumeradas en el punto C.2.

El encargado del tratamiento, teniendo en cuenta la naturaleza del tratamiento, asistirá al responsable del tratamiento en la medida de lo posible, mediante las medidas técnicas y organizativas apropiadas mencionadas, en el cumplimiento de la obligación del responsable del tratamiento de responder a las solicitudes de ejercicio de los derechos de los interesados.

C.4. Período de almacenamiento/procedimientos de verificación 

La información personal es almacenada por el procesador de datos en los siguientes periodos de tiempo:

• Interacciones de campaña - Los datos personales se anonimizan 2 años después de la última interacción.

• Listas de suscripción - Los datos personales se anonimizan 2 años después de la fecha de baja.

• El contenido de los comentarios en general se almacena durante 30 días y se elimina a los³⁰ días.  

Al finalizar los servicios relacionados con el tratamiento de datos personales, el encargado del tratamiento, a petición del responsable del tratamiento, anonimizará o suprimirá todos los datos personales que hayan sido tratados por cuenta del responsable del tratamiento y confirmará al responsable del tratamiento que la información ha sido anonimizada o suprimida, a menos que la legislación de la UE o la legislación nacional de los Estados miembros prescriba el almacenamiento de los datos personales.  

Si el responsable del tratamiento no solicita nada, los datos personales se anonimizarán al cabo de 2 años.

C.5. Lugar de procesamiento

El tratamiento de los datos personales contemplados en el Reglamento no podrá efectuarse sin la autorización previa por escrito del responsable del tratamiento en lugares distintos de los que se indican a continuación:

- Sprii ApS (CVR 42084476), Søvej 46, 2791 Dragør, Dinamarca

- Sprii ApS (CVR 42084476), Sommervej 31E, 8210 Aarhus V, Dinamarca

- los lugares de trabajo de los empleados en sus domicilios, todos los cuales cumplen los requisitos de seguridad contemplados en el presente acuerdo de tratamiento de datos

La ubicación de los subprocesadores de datos puede verse en el punto B.1.

C.6. Instrucciones sobre la transferencia de datos personales a terceros países 

Si el responsable del tratamiento no da en este Reglamento o posteriormente una instrucción documentada sobre la transferencia de datos personales a un tercer país, el encargado del tratamiento no estará autorizado a realizar dichas transferencias en el marco de este Reglamento.

C.7. Procedimientos para las auditorías del responsable del tratamiento, incluidas las inspecciones, del tratamiento de datos personales que realiza el encargado del tratamiento.

El encargado del tratamiento deberá obtener, a petición del responsable del tratamiento y a expensas de éste, una declaración de auditoría o un informe de inspección de un tercero independiente sobre el cumplimiento por parte del encargado del tratamiento del Reglamento de protección de datos, de las normas de protección de datos de otra legislación de la UE o de la legislación nacional de los Estados miembros y del presente Reglamento.

El informe de auditoría/inspección se remitirá sin demora indebida al responsable del tratamiento para su información. El responsable del tratamiento puede impugnar el marco y/o el método de la declaración de auditoría/informe de inspección y, en tal caso, puede solicitar una nueva declaración de auditoría/informe de inspección con un marco diferente y/o utilizando un método diferente.

Basándose en los resultados, el responsable del tratamiento tiene derecho a solicitar la aplicación de medidas adicionales para garantizar el cumplimiento del Reglamento de protección de datos, de las disposiciones de protección de datos de otras leyes de la UE o de la legislación nacional de los Estados miembros y del presente Reglamento.

El responsable del tratamiento o un representante del responsable del tratamiento también tiene acceso a realizar inspecciones, incluidas inspecciones físicas, de los lugares desde los que el encargado del tratamiento trata datos personales, incluidos los lugares físicos y los sistemas utilizados para el tratamiento o en relación con él. Dichas inspecciones podrán llevarse a cabo cuando el responsable del tratamiento lo considere necesario. La evaluación debe basarse en hechos y no en sensaciones. La inspección física requiere un acuerdo previo con el encargado del tratamiento y un preaviso de 4 semanas, de modo que el encargado del tratamiento esté preparado para poder dedicarle los recursos necesarios.

Los posibles gastos del responsable del tratamiento en relación con una inspección física corren a cargo del propio responsable del tratamiento. No obstante, el encargado del tratamiento está obligado a asignar los recursos (principalmente el tiempo) necesarios para que el responsable del tratamiento lleve a cabo su inspección.

El encargado del tratamiento se compromete a participar en la auditoría escrita anual del responsable del tratamiento.

C.8. Procedimientos de auditoría, incluidas inspecciones, del tratamiento de datos personales realizado por subencargados del tratamiento.

Como encargados del tratamiento de datos, nos ponemos al día en las políticas de seguridad de nuestros subencargados del tratamiento de datos para asegurarnos de que éstos cumplen en todo momento las medidas de seguridad necesarias. Esto significa que recogemos anualmente información sobre las medidas de seguridad organizativas y técnicas de nuestros subencargados del tratamiento. Los subencargados del tratamiento de datos se mencionan en el punto B.1.

Todos los gastos en que incurran el encargado del tratamiento y el subencargado del tratamiento en relación con una auditoría de los locales del subencargado del tratamiento correrán a cargo del responsable del tratamiento.

Apéndice D - Apéndice del Reino Unido

Esta Adenda específica del Reino Unido ("Adenda del Reino Unido") es suscrita por las Partes y forma parte del Acuerdo de Procesamiento de Datos ("DPA") entre el Controlador de Datos con sede en el Reino Unido y Sprii ApS. Esta Adenda del Reino Unido garantiza el cumplimiento del Reglamento General de Protección de Datos del Reino Unido ("GDPR del Reino Unido") y la Ley de Protección de Datos de 2018 ("DPA 2018").

D.1. Ámbito de aplicación y aplicación
El presente apéndice se aplica cuando el procesador de datos procesa datos personales sujetos al GDPR y DPA 2018 del Reino Unido, además del GDPR de la UE.

D.2. AUTORIDAD DE CONTROL Autoridad decontrol
Para los interesados establecidos en el Reino Unido, la Autoridad de control pertinente es la Oficina del Comisario de Información del Reino Unido (ICO).
‍

D.3. Transferencias de datos del Reino Unido
- Cualquier transferencia de datos personales del Reino Unido a un tercer país debe cumplir con el Capítulo V del GDPR del Reino Unido.
- Si se utilizan Cláusulas Contractuales Tipo (CCT) en virtud del GDPR de la UE, debe incorporarse el **Anexo de Transferencia Internacional de Datos del Reino Unido**.
- Las transferencias del Reino Unido a la UE se consideran actualmente adecuadas en virtud de la legislación británica, a menos que se produzcan cambios normativos.
‍

D.4. Notificación de violación de datos
- Si una violación de datos afecta a sujetos de datos del Reino Unido, el procesador de datos notificará al controlador de datos de conformidad con el GDPR del Reino Unido.
- El Controlador de Datos debe evaluar si debe notificar a la Oficina del Comisionado de Información del Reino Unido (ICO).
‍

D.5. Subprocesamiento en el Reino Unido
- Cuando el procesador de datos contrata a un subprocesador para el procesamiento de datos personales con sede en el Reino Unido, el subprocesador debe cumplir con las normas del GDPR del Reino Unido.
- Los subprocesadores ubicados fuera del Reino Unido deben aplicar el Anexo de Transferencia Internacional de Datos del Reino Unido, cuando sea necesario.
‍

D.6. Ley aplicable
- El presente apéndice del Reino Unido se regirá e interpretará de conformidad con las leyes de **Inglaterra y Wale.

‍