Anexo sobre

Protección de datos

1.1. Objeto del subtratamiento

Para las actividades de tratamiento de datos en las que CAPSTON AI actúa como encargado del tratamiento en nombre de sus clientes, se aplican los siguientes compromisos:

• Naturaleza de los datos tratados

  • Datos personales de los colaboradores autorizados del Cliente (nombre, apellido, dirección de correo electrónico, contraseña) para conectarse y utilizar las funciones relacionadas con los plugins WordPress Boost SEO.

  • Datos personales de las personas que aparecen en las páginas web escaneadas por las herramientas de IA de CAPSTON AI (nombre, apellido, datos de contacto, etc.).

  • No se recopilan datos personales sensibles.

• Finalidad del tratamiento
  Prestación de servicios para indexar páginas y optimizar su rendimiento SEO.

• Duración del tratamiento
  Los datos se tratan durante la vigencia de la relación contractual entre CAPSTON AI y el Cliente.

1.2. Cumplimiento de las instrucciones del cliente

CAPSTON AI garantiza que todo el tratamiento se lleva a cabo de conformidad con el RGPD y las instrucciones documentadas del Cliente, que se corresponden con el objeto del contrato (es decir, el paquete de servicios suscrito). Cualquier instrucción adicional deberá darse por escrito, especificando la finalidad y la operación pertinentes. La implementación de dichas instrucciones puede requerir la aceptación de un presupuesto adicional por parte del Cliente.

CAPSTON AI informará al Cliente en un plazo de cinco (5) días a partir del momento en que tenga conocimiento de que alguna instrucción del Cliente infringe las leyes de protección de datos aplicables. Además, si CAPSTON AI está legalmente obligada a transferir datos personales a un tercer país o a una organización internacional en virtud del Derecho de la Unión o de un Estado miembro, notificará al Cliente dicha obligación legal, a menos que la ley lo prohíba por motivos importantes de interés público.

1.3. Confidencialidad y seguridad
Los datos personales están protegidos por medidas técnicas y organizativas adecuadas, incluido el cifrado en tránsito y en reposo. Estas medidas se detallan en un documento específico, cuya última versión se pone a disposición del Cliente previa solicitud.

Si el Cliente considera que las medidas de CAPSTON AI son insuficientes en virtud del RGPD, CAPSTON AI implementará a su propio cargo cualquier medida correctiva necesaria con prontitud tras la notificación, de acuerdo con un calendario acordado y aprobado por el Cliente. En caso de desacuerdo persistente o no corrección, el Cliente podrá rescindir su suscripción mediante carta certificada con acuse de recibo, sin preaviso y sin perjuicio de otros derechos.

CAPSTON AI es responsable únicamente de las medidas de seguridad bajo su control; el Cliente sigue siendo responsable de la seguridad y la confidencialidad de sus propios sistemas informáticos.

1.4. Acceso limitado
CAPSTON AI se asegura de que su personal autorizado para tratar datos personales se comprometa a la confidencialidad y reciba una formación adecuada en materia de protección de datos. Solo aquellos empleados que necesiten acceder a los datos personales para desempeñar sus funciones tienen dicho acceso.

1.5. Privacidad desde el diseño y por defecto
CAPSTON AI se compromete a implementar los principios de protección de datos desde la fase de diseño y por defecto.

1.6. Gestión de incidentes
CAPSTON AI notificará al Cliente sin dilación indebida cualquier violación de datos personales. Una violación de datos personales significa cualquier destrucción, pérdida, alteración, divulgación no autorizada o acceso a datos personales de forma accidental o ilícita.

En la medida de lo posible, en un plazo de veinticuatro (24) horas tras la notificación de la violación, CAPSTON AI proporcionará al Cliente:

• Categorías y número aproximado de interesados afectados.

• Categorías y número aproximado de registros de datos personales afectados.

• Descripción de las posibles consecuencias de la violación.

• Descripción de las medidas adoptadas o propuestas para abordar y mitigar cualquier efecto adverso.

1.7. Cooperación
CAPSTON AI remitirá al Cliente, sin dilación indebida, cualquier solicitud, reclamación o queja relativa a las actividades subtratadas. Como responsable del tratamiento, el Cliente sigue siendo responsable de responder a las solicitudes de los interesados; CAPSTON AI no responderá directamente, pero ayudará al Cliente en lo que sea necesario.

Previa solicitud por escrito, CAPSTON AI proporcionará toda la información útil que obre en su poder para ayudar al Cliente a cumplir sus obligaciones como responsable del tratamiento, incluso para cualquier evaluación de impacto necesaria. También proporcionará al Cliente documentos y pruebas para demostrar el cumplimiento y para defenderse contra acciones de terceros o de la autoridad de control.

1.8. Subencargados del tratamiento
El Cliente reconoce y acepta que CAPSTON AI puede contratar a subcontratistas (los “Subencargados del tratamiento”) para tareas de tratamiento específicas. Una lista de Subencargados del tratamiento está disponible previa solicitud por escrito. CAPSTON AI notificará al Cliente por escrito antes de añadir o sustituir a cualquier Subencargado del tratamiento, detallando las actividades de tratamiento, la identidad, los datos de contacto y las fechas del contrato. El Cliente dispone de quince (15) días a partir de la recepción para oponerse; en ausencia de objeción, CAPSTON AI podrá proceder.

CAPSTON AI se asegura de que cada Subencargado del tratamiento ofrezca garantías suficientes de medidas técnicas y organizativas adecuadas. CAPSTON AI sigue siendo plenamente responsable ante el Cliente por cualquier incumplimiento por parte del Subencargado del tratamiento.

1.9. Transferencias fuera de la UE
El uso de Subencargados del tratamiento por parte de CAPSTON AI puede implicar transferencias de datos personales fuera de la UE. Dichas transferencias se regirán por medidas que garanticen el cumplimiento del RGPD, en particular:

• Una decisión de adecuación vigente de la Comisión Europea; o

• Cláusulas contractuales estándar adoptadas por la Comisión Europea.
  Si es necesario, CAPSTON AI adoptará salvaguardias técnicas u organizativas adicionales.

1.10. Delegado de Protección de Datos (DPO)
Tras la firma de este Anexo, CAPSTON AI proporcionará al Cliente el nombre y los datos de contacto de su Delegado de Protección de Datos, si ha sido designado en virtud del artículo 37 del RGPD.

1.11. Registro de las actividades de tratamiento
CAPSTON AI mantiene un registro escrito de todas las actividades de subtratamiento en virtud del artículo 30 del RGPD, que incluye:

• Nombres y datos de contacto del Cliente, de cualquier Subencargado del tratamiento y, en su caso, del DPO de CAPSTON AI;

• Lista de actividades de subtratamiento;

• Descripción general de las medidas de seguridad técnicas y organizativas;

• Detalles de cualquier transferencia a terceros países u organizaciones internacionales y las salvaguardias asociadas.

1.12. Supresión o devolución de los datos
Tras la rescisión del contrato, CAPSTON AI, a elección del Cliente:

• Destruirá todos los datos personales subtratados;

• Devolverá todos los datos personales subtratados; o

• Devolverá los datos a un Subencargado del tratamiento designado por el Cliente.

El Cliente deberá informar a CAPSTON AI por escrito en un plazo de quince (15) días tras la finalización del contrato; en caso contrario, CAPSTON AI destruirá los datos a menos que la conservación sea legalmente obligatoria. Cualquier dato devuelto irá acompañado de la supresión de todas las copias existentes en los sistemas de CAPSTON AI, con prueba de destrucción previa solicitud.

1.13. Obligaciones del cliente
El Cliente, como responsable del tratamiento, sigue siendo plenamente responsable del origen y la licitud de los datos personales y de informar a los interesados. CAPSTON AI no será responsable de las infracciones del RGPD atribuibles únicamente al Cliente.

El Cliente designará a una persona de contacto para todas las notificaciones y solicitudes en virtud de este Anexo; en caso contrario, se considerará que el firmante de este Anexo es la persona de contacto.