Acuerdo de Procesamiento de Datos (APD)

Ready to Build up Your Website's Maintenance?

Subscribe and let us make your website better!

14 days Money Back Guarantee
Basic Care
$ 69
monthly
Basket Subscribe
Advanced Care
$ 99
monthly
Basket Subscribe
Premium Care
$ 159
monthly
Basket Subscribe

Versión 1.0

 

Este Acuerdo de Procesamiento de Datos («DPA») forma parte de y complementa los Términos de Servicio, el Acuerdo de Suscripción, el Formulario de Pedido u otro acuerdo que rige el uso de CodiCo Dispatch Software (el «Acuerdo Principal») celebrado entre:

 

BILTO GROUP LLC, una empresa constituida en los Emiratos Árabes Unidos, que opera CodiCo Dispatch Software («Encargado del Tratamiento»),

 

y

 

el Cliente, actuando como responsable del tratamiento de datos personales («Responsable del Tratamiento»).

 

El Responsable del Tratamiento y el Encargado del Tratamiento se denominan colectivamente las «Parties».

 

1. OBJETO

Este DPA rige el Tratamiento de Datos Personales por parte del Encargado del Tratamiento en nombre del Responsable del Tratamiento en relación con la prestación de CodiCo Dispatch Software y servicios relacionados.

 

Las Partes reconocen que el Responsable del Tratamiento determina los fines y medios del Tratamiento de Datos Personales y actúa como Responsable del Tratamiento, mientras que el Encargado del Tratamiento actúa únicamente como Encargado del Tratamiento en virtud del Artículo 28 del RGPD.

 

2. DEFINICIONES

«Datos Personales», «Responsable del Tratamiento», «Encargado del Tratamiento», «Interesado», «Tratamiento», «Autoridad de Control» y otros términos en mayúscula tendrán los significados asignados a ellos en virtud del RGPD.

 

«Datos del Cliente» significa todos los Datos Personales enviados, almacenados, transmitidos o procesados de otro modo a través de CodiCo Dispatch Software por o en nombre del Responsable del Tratamiento.

 

3. NATURALEZA DEL TRATAMIENTO

El Encargado del Tratamiento presta servicios basados en la nube de despacho (dispatch), reservas, gestión de flotas, gestión de conductores, gestión de pasajeros, programación, informes, comunicación y servicios relacionados.

 

El Tratamiento puede incluir:

 

● recogida;

● almacenamiento;

● organización;

● recuperación;

● consulta;

● transmisión;

● sincronización;

● supresión;

● análisis necesario para el funcionamiento del servicio.

 

El Encargado del Tratamiento tratará los Datos Personales únicamente con el fin de prestar los Servicios y de conformidad con las instrucciones documentadas del Responsable del Tratamiento.

 

4. CATEGORÍAS DE INTERESADOS

Las categorías de Interesados pueden incluir:

 

● pasajeros;

● clientes;

● conductores;

● despachadores (dispatchers);

● operadores;

● administradores;

● empleados del Responsable del Tratamiento;

● contactos comerciales.

 

5. CATEGORÍAS DE DATOS PERSONALES

Las categorías de Datos Personales pueden incluir:

 

● nombres;

● direcciones de correo electrónico;

● números de teléfono;

● información de reservas;

● información del viaje;

● lugares de recogida y destino;

● información del conductor;

● información del vehículo;

● credenciales de la cuenta;

● datos de GPS y ubicación;

● registros de comunicación;

● información sobre el uso del servicio.

 

El Responsable del Tratamiento no cargará ni enviará categorías especiales de datos personales en virtud del Artículo 9 del RGPD a menos que se acuerde expresamente por escrito.

 

El Encargado del Tratamiento no requiere ni solicita copias de pasaportes, licencias de conducir, registros médicos u otros datos de categorías especiales.

 

6. RESPONSABILIDADES DEL RESPONSABLE DEL TRATAMIENTO

Le Responsable del Tratamiento garantiza que:

 

a) dispone de una base legal para el Tratamiento de Datos Personales;

b) ha proporcionado todos los avisos requeridos a los Interesados;

c) es el único responsable de la exactitud, calidad y legalidad de los Datos del Cliente;

d) ha obtenido todos los consentimientos necesarios cuando sea requerido.

El Responsable del Tratamiento sigue siendo el único responsable del cumplimiento del RGPD y de las leyes de privacidad aplicables.

 

7. OBLIGATIONS DEL ENCARGADO DEL TRATAMIENTO

El Encargado del Tratamiento deberá:

 

a) tratar los Datos Personales únicamente siguiendo instrucciones documentadas del Responsable del Tratamiento;

b) garantizar la confidencialidad del personal con acceso a los Datos Personales;

c) implementar las medidas técnicas y organizativas adecuadas;

d) asistir al Responsable del Tratamiento para responder a las solicitudes de los Interesados cuando sea razonblockmente posible;

e) notificar al Responsable del Tratamiento sin dilación indebida tras tener conocimiento de una Violación de la Seguridad de los Datos Personales que afecte a los Datos del Cliente;

f) proporcionar asistencia razonable con respecto a las obligaciones de cumplimiento del RGPD.

 

8. MEDIDAS DE SEGURIDAD

El Encargado del Tratamiento mantendrá salvaguardas administrativas, técnicas y organizativas razonables y adecuadas diseñadas para proteger los Datos del Cliente contra el acceso, la divulgación, la alteración o la destrucción no autorizados.

 

Las medidas de seguridad pueden incluir:

 

● cifrado HTTPS;

● controles de acceso;

● procedimientos de autenticación;

● permisos basados en roles;

● copias de seguridad;

● protección por cortafuegos (firewall);

● supervisión y registro;

● actualizaciones de seguridad del software.

 

El Encargado del Tratamiento no garantiza que los Servicios estén libres de todas las vulnerabilidades o incidentes de seguridad.

 

9. SUBENCARGADOS DEL TRATAMIENTO

El Responsable del Tratamiento concede al Encargado del Tratamiento una autorización general para contratar a Subencargados del Tratamiento.

 

El Encargado del Tratamiento podrá añadir, sustituir o eliminar Subencargados del Tratamiento de vez en cuando según sea razonablemente necesario para la prestación de los Servicios.

 

El Encargado del Tratamiento mantendrá una lista actualizada de los Subencargados del Tratamiento y pondrá dicha información a disposición de quien la solicite.

 

El Encargado del Tratamiento seguirá siendo responsable del cumplimiento de sus Subencargados del Tratamiento en la medida en que lo exija la legislación aplicable.

 

Los servicios de terceros seleccionados, conectados o configurados de forma independiente por el Responsable del Tratamiento no se considerarán Subencargados del Tratamiento del Encargado del Tratamiento.

 

10. TRANSFERENCIAS INTERNACIONALES DE DATOS

El Responsable del Tratamiento reconoce que los Datos del Cliente pueden ser objeto de acceso, tratamiento o transferencia internacional cuando sea necesario para el funcionamiento, mantenimiento, soporte y prestación de los Servicios.

 

El Encargado del Tratamiento implementará las garantías adecuadas cuando lo exijan las leyes aplicables de protección de datos.

 

11. SOLICITUDES DE LOS INTERESADOS

Cuando el Encargado del Tratamiento reciba una solicitud directamente de un Interesado en relación con los Datos del Cliente, el Encargado del Tratamiento podrá redirigir al Interesado al Responsable del Tratamiento.

 

El Encargado del Tratamiento proporcionará asistencia razonable al Responsable del Tratamiento para responder a dichas solicitudes cuando lo exija la ley.

 

12. DERECHOS DE AUDITORÍA

El Responsable del Tratamiento podrá solicitar la información razonablemente necesaria para demostrar el cumplimiento de este DPA.

 

No se requerirán inspecciones físicas, pruebas de penetración, revisiones de código fuente, análisis de vulnerabilidades, acceso a sistemas internos, acceso a información comercial confidencial o acceso a datos relativos a otros clientes.

 

Cualquier auditoría deberá:

 

● realizarse no más de una vez por año civil;

● llevarse a cabo durante el horario comercial normal;

● estar sujeta a un aviso previo por escrito de al menos 30 días;

● no interferir con las operaciones del Encargado del Tratamiento;

● ser a expensas del Responsable del Tratamiento.

 

13. DEVOLUCIÓN Y SUPRESIÓN DE DATOS

Tras la finalización de los Servicios, los Datos del Cliente permanecerán disponibles para su exportación durante diez (10) días.

 

Transcurrido dicho periodo, los Datos del Cliente serán eliminados permanentemente de los sistemas de producción.

 

Las copias residuales contenidas en las copias de seguridad pueden permanecer hasta que se sobrescriban de acuerdo con los procedimientos de retención de copias de seguridad del Encargado del Tratamiento.

 

14. LIMITACIÓN DE RESPONSABILIDAD

En la medida máxima permitida por la ley, la responsabilidad agregada del Encargado del Tratamiento derivada de o relacionada con este DPA no superará las tarifas totales pagadas por el Responsable del Tratamiento al Encargado del Tratamiento durante los doce (12) meses inmediatamente anteriores al evento que dé lugar a la reclamación.

 

El Encargado del Tratamiento no será responsable de daños indirectos, incidentales, consecuentes, especiales, punitivos o ejemplares, incluida la pérdida de ingresos, ganancias, fondo de comercio, oportunidades de negocio o datos.

 

Nada en este DPA limita la responsabilidad cuando dicha limitación esté prohibida por la ley aplicable.

 

14.1 INDEMNIZACIÓN POR EL RESPONSABLE DEL TRATAMIENTO

El Responsable del Tratamiento indemnizará y mantendrá indemne al Encargado del Tratamiento frente a reclamaciones, multas, sanciones, daños o gastos derivados de:

 

● la recogida ilícita de Datos Personales por parte del Responsable del Tratamiento;

● la falta de una base legal para el Tratamiento;

● la omisión de proporcionar los avisos requeridos a los Interesados;

● las instrucciones proporcionadas por el Responsable del Tratamiento que violen la ley aplicable.

 

15. LEY APLICABLE

Este DPA se regirá por la ley especificada en el Acuerdo Principal.

 

A falta de dicha disposición, se aplicarán las leyes de los Emiratos Árabes Unidos.

 

16. ORDEN DE PRELACIÓN

En caso de conflicto entre este DPA y el Acuerdo Principal, este DPA prevalecerá únicamente con respecto a los asuntos de protección de datos.

 

17. VIGENCIA Y RESCISIÓN

Este DPA entrará en vigor en la fecha en que el Responsable del Tratamiento acepte por primera vez el Acuerdo Principal, cree una cuenta, acceda a los Servicios o utilice los Servicios de otro modo, lo que ocurra primero.

 

Este DPA permanecerá en vigor mientras el Encargado del Tratamiento trate Datos Personales en nombre del Responsable del Tratamiento.

 

La rescisión o el vencimiento del Acuerdo Principal rescindirá automáticamente este DPA, excepto en la medida en que el Encargado del Tratamiento continúe tratando Datos Personales después de dicha rescisión para fines de retención de datos, cumplimiento legal, retención de copias de seguridad, resolución de disputas, ejecución de derechos contractuales u otros fines comerciales legítimos permitidos por la ley aplicable.

 

Las disposiciones relativas a la confidencialidad, responsabilidad, auditorías, transferencias internacionales, supresión de datos, resolución de disputas y cualquier otra disposición que por su naturaleza esté destinada a sobrevivir a la rescisión permanecerán en vigor tras la rescisión de este DPA.

 

Tras la finalización de los Servicios, los Datos del Cliente se manejarán de conformidad con la Sección 13 (Devolución y Supresión de Datos).

 

La rescisión de este DPA no eximirá a ninguna de las Partes de las obligaciones devengadas con anterioridad a la fecha de entrada en vigor de la rescisión.

 

ANEXO A

DETALLES DEL TRATAMIENTO

 

A. OBJETO DEL TRATAMIENTO

El Encargado del Tratamiento presta servicios de software basados en la nube de despacho de transporte, gestión de reservas, gestión de conductores, gestión de pasajeros, gestión de flotas, comunicación, programación, informes y servicios relacionados a través de la plataforma CodiCo Dispatch Software.

 

B. FIN DEL TRATAMIENTO

Los Datos Personales se procesan únicamente con el fin de:

 

● prestar los Servicios;

● gestionar las reservas de transporte;

● despachar y asignar viajes;

● gestionar conductores y vehículos;

● facilitar la comunicación entre pasajeros, conductores y despachadores;

● generar informes y análisis;

● atención al cliente;

● mantener la seguridad, disponibilidad y rendimiento de los Servicios.

 

C. DURACIÓN DEL TRATAMIENTO

El Tratamiento continuará durante la vigencia de la suscripción activa del Cliente.

 

Tras la finalización de los Servicios, los Datos del Cliente permanecerán disponibles para su exportación durante diez (10) días.

 

Transcurrido dicho periodo, los Datos del Cliente serán eliminados de conformidad con el DPA.

 

D. CATEGORÍAS DE INTERESADOS

Las categorías de Interesados pueden incluir:

 

Pasajeros

● clientes

● pasajeros

● viajeros

 

Conductores

● conductores empleados

● conductores contratados

● propietarios-operadores (owner-operators)

 

Personal del Cliente

● despachadores (dispatchers)

● operadores

● administradores

● gerentes

● empleados

● contratistas

 

Contactos Comerciales

● proveedores

● socios

● agentes

● afiliados

 

E. CATEGORÍAS DE DATOS PERSONALES

 

Datos del Pasajero

● nombre

● apellido

● dirección de correo electrónico

● número de teléfono

● dirección de recogida

● dirección de destino

● información de la reserva

● historial de viajes

 

Datos del Conductor

● nombre

● apellido

● dirección de correo electrónico

● número de teléfono

● información del vehículo

● estado de disponibilidad

● datos de ubicación GPS

● asignaciones de viajes

 

Datos Operativos

● información de la cuenta

● registros de inicio de sesión

● registros de actividad

● registros de comunicación

● información sobre el uso del servicio

 

Datos de Ubicación

● ubicación de los vehículos

● ubicación de los conductores

● rutas de viaje

● información de despacho (dispatch)

 

F. CATEGORÍAS ESPECIALES DE DATOS

Los Servicios no están destinados al tratamiento de Categorías Especiales de Datos Personales según lo definido en el Artículo 9 del RGPD.

 

El Responsable del Tratamiento no cargará ni facilitará dichos datos a menos que el Encargado del Tratamiento lo acuerde expresamente por escrito.

 

El Encargado del Tratamiento se reserva el derecho de eliminar dichos datos cuando sea razonablemente necesario para proteger la integridad y el cumplimiento de los Servicios.

 

ANEXO B

MEDIDAS TÉCNICAS Y ORGANIZATIVAS

El Encargado del Tratamiento mantiene medidas técnicas y organizativas razonables y adecuadas diseñadas para proteger los Datos del Cliente.

 

Las siguientes medidas pueden ser implementadas y actualizadas de vez en cuando:

 

1. CONTROL DE ACCESO

● sistemas protegidos por contraseña;

● permisos basados en roles;

● acceso restringido a los empleados;

● principios de mínimo privilegio;

● mecanismos de autenticación de usuarios.

 

2. SEGURIDAD DE LA RED

● comunicaciones cifradas HTTPS/TLS;

● protección por cortafuegos (firewall);

● controles de seguridad de la infraestructura;

● supervisión y registro.

 

3. SEGURIDAD DE LOS DATOS

● separación lógica de los entornos de los clientes;

● acceso controlado a los Datos del Cliente;

● procedimientos de copia de seguridad;

● procedimientos de eliminación segura.

 

4. SEGURIDAD DEL PERSONAL

El personal autorizado está sujeto a obligaciones de confidencialidad.

 

El acceso a los Datos del Cliente se concede únicamente cuando es razonablemente necesario para:

 

● atención al cliente;

● mantenimiento;

● resolución de problemas;

● prestación del servicio.

 

5. ACCESO REMOTO

El Encargado del Tratamiento opera con una fuerza de trabajo distribuida.

 

El Personal autorizado puede acceder a los Datos del Cliente de forma remota desde varias jurisdicciones únicamente para fines comerciales legítimos relacionados con los Servicios.

 

Dicho acceso está limitado al personal autorizado y sujeto a controles de seguridad.

 

6. GESTIÓN DE INCIDENTES

El Encargado del Tratamiento mantiene procedimientos diseñados para identificar, investigar y responder a incidentes de seguridad.

 

Cuando lo exija la legislación aplicable, se notificará al Responsable del Tratamiento sin dilación indebida después de que el Encargado del Tratamiento tenga conocimiento de una Violación de la Seguridad de los Datos Personales que afecte a los Datos del Cliente.

 

7. PRUEBAS Y MANTENIMIENTO

El Encargado del Tratamiento realiza tareas continuas de mantenimiento, supervisión y actualizaciones de seguridad adecuadas a la naturaleza de los Servicios.

 

El Encargado del Tratamiento no garantiza la seguridad absoluta ni el funcionamiento ininterrumpido des los Servicios.

 

8. MODIFICACIONES

El Encargado del Tratamiento podrá modificar, mejorar o sustituir las medidas de seguridad de vez en cuando, siempre que el nivel general de seguridad no se reduzca sustancialmente.

 

ANEXO C

SUBENCARGADOS DEL TRATAMIENTO

El Responsable del Tratamiento reconoce y acepta que el Encargado del Tratamiento puede contratar a los siguientes Subencargados del Tratamiento:

 

Subencargado del Tratamiento

Fin

DigitalOcean

Infraestructura en la nube y alojamiento

Stripe

Procesamiento de pagos

Google Workspace

Servicios de correo electrónico y calendario

Google Maps Platform

Servicios de mapas, geolocalización y enrutamiento

Firebase Cloud Messaging

Notificaciones push móviles

Usertour

Onboarding de productos y guía del usuario

 

SERVICES CONECTADOS POR EL CLIENTE

Los servicios de terceros seleccionados, conectados, configurados o autorizados de forma independiente por el Responsable del Tratamiento no se consideran Subencargados del Tratamiento del Encargado del Tratamiento.

 

Los ejemplos pueden incluir:

 

● proveedores de correo electrónico del cliente;

● servicios SMTP del cliente;

● proveedores de pago del cliente;

● proveedores de comunicación del cliente;

● sistemas CRM del cliente;

● integraciones del cliente.

 

El Responsable del Tratamiento sigue siendo el único responsable de evaluar y aprobar dichos servicios.

 

FUTUROS SUBENCARGADOS DEL TRATAMIENTO

El Encargado del Tratamiento podrá añadir, sustituir o eliminar Subencargados del Tratamiento cuando sea razonablemente necesario para prestar, mantener, mejorar o asegurar los Servicios.

 

Una lista actualizada de los Subencargados del Tratamiento se pondrá a disposición de quien la solicite.

 

El Responsable del Tratamiento acepta que dichos cambios no requerirán la formalización de un nuevo Acuerdo de Procesamiento de Datos.

 

×