Acuerdo de procesamiento de datos – Bookairy
Este Acuerdo de procesamiento de datos ("DPA") forma parte del acuerdo entre Bookairy y el Cliente. Bookairy es operado por Ghekko Development, Willem Buytewechstraat 187 C, 3024 XH Rotterdam, Países Bajos, Cámara de Comercio Holandesa número 70485437, número de establecimiento 000028452003, número de IVA NL858338543B01.
1. Funciones e instrucciones
- El Cliente es el controlador de los datos personales ingresados o procesados a través del espacio de trabajo Bookairy del Cliente.
- Bookairy es el procesador donde procesa datos personales en nombre del Cliente.
- Bookairy procesa datos personales únicamente según instrucciones documentadas del Cliente, incluido el acuerdo, este DPA, la configuración del producto y las solicitudes de soporte legales.
- El Cliente sigue siendo responsable de la licitud del procesamiento, la exactitud de los datos, las notas informativas, el consentimiento cuando sea necesario y las obligaciones específicas del sector.
- Si Bookairy cree que una instrucción infringe el RGPD u otra ley de protección de datos aplicable, Bookairy informará al Cliente a menos que lo prohíba la ley.
2. Objeto, duración y finalidad
El objeto del procesamiento es la provisión, mantenimiento, seguridad y soporte de la plataforma de reservas, programación y negocios de Bookairy. El procesamiento dura la vigencia del acuerdo y cualquier período razonable de exportación, copia de seguridad, eliminación o retención legal después de la terminación.
El objetivo es proporcionar reservas en línea, calendarios, gestión de clientes, gestión de personal, servicios, eventos, productos, POS, facturas, depósitos, estado de pagos, notificaciones, informes, formularios, flujos de reservas multilingües, soporte, seguridad, resolución de problemas y funcionalidad SaaS relacionada.
3. Categorías de datos personales
- Nombres, direcciones, direcciones de correo electrónico, números de teléfono y otros datos de contacto.
- Datos de cuenta, empresa, personal, rol y permisos.
- Datos de reserva, calendario, cita, lista de espera, cancelación, no presentación e historial de servicios.
- Notas de clientes, preferencias, respuestas de formularios, archivos cargados y contenido de comunicación.
- Estado de pago, referencias de transacciones, datos de factura, datos de depósito e información de reembolso o contracargo.
- Dispositivo, instalación, navegador, versión de la aplicación, dirección IP, registro, uso y datos de seguridad.
- Dependiendo de la configuración del Cliente: salud, tratamiento, bienestar, ingesta u otros datos sensibles ingresados por el Cliente o Clientes Finales.
4. Categorías de interesados
- Los clientes, clientes, pacientes, invitados, participantes u otros usuarios finales del Cliente.
- El personal, contratistas, administradores y usuarios del Cliente.
- Contactos, contactos de soporte y usuarios de páginas de reservas públicas.
5. Medidas de seguridad
Bookairy implementa medidas técnicas y organizativas apropiadas teniendo en cuenta el estado de la técnica, los costos de implementación, la naturaleza del procesamiento, el alcance, el contexto, los propósitos y los riesgos. Las medidas pueden incluir:
- Cifrado HTTPS/TLS para datos en tránsito.
- Controles de acceso basados en roles y controles de autenticación.
- Acceso interno restringido a los datos de producción.
- Registro, seguimiento y prevención de abusos.
- Infraestructura de nube segura y Firestore, almacenamiento o reglas de seguridad comparables.
- Separación lógica de los datos de la empresa por identificadores de empresa o inquilino.
- Cloudflare o protección de red comparable, firewall, protección contra bots y mitigación de DDoS.
- Mecanismos de copia de seguridad, recuperación o exportación cuando estén disponibles.
- Actualizaciones periódicas de aplicaciones e infraestructura.
- Obligaciones de confidencialidad de las personas autorizadas a tratar datos personales.
6. Confidencialidad
Bookairy garantiza que las personas autorizadas a procesar datos personales estén sujetas a la confidencialidad o tengan una obligación legal apropiada de confidencialidad. El acceso está limitado a lo necesario para la operación, soporte, seguridad y mantenimiento.
7. Subprocesadores
El Cliente otorga a Bookairy autorización general para utilizar subprocesadores. Bookairy impondrá obligaciones de protección de datos a los subprocesadores que sean materialmente comparables a este DPA cuando así lo requiera el RGPD.
| Subprocesador | Objetivo |
|---|---|
| Google Cloud/Firebase | Hosting, base de datos, autenticación, funciones de nube, almacenamiento e infraestructura de plataforma. |
| Cloudflare | DNS, CDN, seguridad, protección DDoS, funcionalidad de firewall, protección contra bots, Turnstile, protección de red y filtrado de tráfico. |
| CorreoEnviar | Correo electrónico transaccional y notificaciones por correo electrónico. |
| mollie | Pagos en línea, depósitos, estado de pago, reembolsos y procesamiento de pagos. |
| Profundo | Traducciones automáticas de contenido ingresado por el Cliente cuando las funciones de traducción están habilitadas. |
| Manzana | Distribución de App Store, servicios de plataforma e infraestructura de notificaciones push cuando corresponda. |
| Google Play/Google | Distribución de aplicaciones, servicios de plataforma e infraestructura de notificaciones push cuando corresponda. |
| Herramientas de soporte, alojamiento, seguimiento o comunicación. | Soporte, comunicación operativa, seguimiento, diagnóstico y atención al cliente cuando se utilice. |
Bookairy puede actualizar a los subprocesadores cuando sea necesario para la prestación, seguridad o mejora de los Servicios. El Cliente puede oponerse por motivos razonables de protección de datos dentro de los cinco (5) días hábiles posteriores a la notificación de un cambio sustancial de subprocesador.
8. Transferencias internacionales
Los datos personales pueden transferirse fuera del Espacio Económico Europeo solo cuando lo permita el RGPD. Cuando sea necesario, Bookairy utilizará salvaguardias adecuadas, como cláusulas contractuales estándar, decisiones de adecuación, evaluaciones de impacto de transferencias y medidas complementarias.
9. Asistencia al Cliente
Teniendo en cuenta la naturaleza del procesamiento y la información disponible para Bookairy, Bookairy ayudará razonablemente al Cliente con las solicitudes de los interesados, las obligaciones de seguridad, las evaluaciones de impacto de la protección de datos, las consultas previas, las investigaciones de violaciones y la información necesaria para demostrar el cumplimiento. Bookairy puede cobrar costos razonables por la asistencia que vaya más allá de la funcionalidad estándar de la plataforma o el soporte normal.
10. Violaciones de datos
Bookairy notificará al Cliente sin demora indebida después de tener conocimiento de una violación de datos personales que afecte a los datos personales procesados en nombre del Cliente. Cuando esté disponible, Bookairy proporcionará información sobre la naturaleza de la infracción, las categorías afectadas, las posibles consecuencias y las medidas adoptadas o propuestas. El Cliente sigue siendo responsable de cualquier notificación a las autoridades de control o a los interesados.
11. Auditorías e información de cumplimiento
Bookairy pondrá a disposición la información razonablemente necesaria para demostrar el cumplimiento de este DPA. Las auditorías requieren una notificación previa por escrito, no pueden ocurrir más de una vez por año calendario a menos que un incidente grave requiera lo contrario, deben ser realizadas durante el horario comercial por un experto independiente sujeto a confidencialidad y no deben interrumpir injustificadamente las operaciones de Bookairy.
12. Devolución y eliminación
Después de la rescisión, Bookairy eliminará o pondrá a disposición para la exportación los datos personales procesados en nombre del Cliente, a menos que las obligaciones legales de retención requieran un almacenamiento continuo. Las copias de seguridad pueden permanecer temporalmente hasta que se sobrescriban o eliminen según el ciclo de copia de seguridad regular.
13. Responsabilidad y precedencia
Las limitaciones de responsabilidad contenidas en los Términos y condiciones se aplican a este DPA a menos que la ley obligatoria disponga lo contrario. Si este DPA entra en conflicto con los Términos y condiciones sobre el procesamiento de datos personales, este DPA prevalece para ese conflicto de procesamiento.