Acuerdo de procesamiento de datos
El presente Acuerdo de Procesamiento de Datos (DPA, por sus siglas en inglés) establece un acuerdo electrónico entre Retail Rocket y el Cliente, las partes. Estas firmaron una Carta de Contratación, suscribiendo con ello un acuerdo relativo a la prestación de los servicios de marketing online especificados en la Carta de Contratación (en lo sucesivo denominados: «Acuerdo» y «Servicios») sobre el procesamiento de los datos personales.
El Cliente suscribe este DPA en su propio nombre y Retail Rocket, en el contexto de los Servicios prestados al Cliente (a), procesará datos personales de los que el Cliente es el controlador de datos, en nombre del Cliente (por «Cliente» se entiende el cliente final/el usuario final) y Retail Rocket se encargará de procesar los datos; (b) en nombre del Cliente, almacenará y/o tendrá acceso a información almacenada en la terminal del usuario de Internet (en adelante denominado colocación o acceso de las «Cookies») o (c) enviará mensajes electrónicos comerciales que se hayan solicitado, en nombre del Cliente.
1. Objeto del Acuerdo de Procesamiento de Datos
1.1. Este DPA tan solo se aplica en (a) el procesamiento de datos personales de los que el Cliente es el controlador de datos, (b) el almacenamiento y/o acceso de Cookies en nombre del Cliente con el objetivo de prestar los Servicios, y (c) el envío de mensajes comerciales que se hayan solicitado dentro de los Servicios prestados contemplados en el Acuerdo en nombre del Cliente.
1.2. En el presente DPA, los términos «controlador de datos», «procesador de datos», «datos personales» y «procesamiento» tendrán el significado que reciben en el artículo 4 del Reglamento (UE) 2016/679, del 27 de abril de 2016, sobre la protección de las personas físicas en lo que respecta al procesamiento de datos personales y a la libre circulación de dichos datos, por el que se revoca la Directiva 95/46/CE (en lo sucesivo, Reglamento General de Protección de Datos, RGPD).
1.3. El Cliente es el responsable de hacer cumplir la legislación aplicable en cuanto a protección de datos, en particular, del Reglamento General de Protección de Datos. El Cliente garantiza que los datos personales que se facilitarán a Retail Rocket para que se puedan prestar los Servicios se han recogido conforme a la legislación aplicable y que está autorizado a facilitar dichos datos a Retail Rocket para su procesamiento de acuerdo con lo establecido en el DPA.
2. Derechos y obligaciones
2.1. En lo referente al procesamiento de datos personales dentro de los Servicios, el Cliente es el Controlador y Retail Rocket es el Procesador.
2.2. Como Controlador, el Cliente determinará los medios y objetivos del procesamiento de los datos personales. El principal objetivo del procesamiento de los datos personales será la prestación de los Servicios tal y como se establece en el Consentimiento para el Procesamiento de Datos Personales (consentimiento con el Cliente final de acuerdo con lo establecido en el artículo 6 (1) del GDPR) que definirá los detalles sobre el procesamiento de datos personales, que podrá ser modificado y/o actualizado por escrito.
2.3. Como Procesador, Retail Rocket acepta tratar los datos personales solo en nombre del Cliente y solo para los fines que este determine en exclusiva y que sean necesarios para la prestación de los Servicios, salvo que sea necesario por motivos legales a los que esté sujeto el Procesador, o para seguir las indicaciones del Controlador. Retail Rocket no transferirá los datos personales a terceros, salvo que la ley a la que el Procesador está sujeto le obligue a ello, o el Cliente haya dado instrucciones para hacerlo, conforme a las disposiciones del GDPR.
2.4. Retail Rocket estará autorizado a, por las instrucciones del Controlador conforme a los requisitos del GDPR, seleccionar y usar los medios que considere necesarios para perseguir los objetivos determinados por el Cliente.
2.5. Retail Rocket solo procesará los datos personales en las instrucciones documentadas del Cliente, incluso en las transferencias de datos personales a un tercer país o a una organización internacional, a menos que así lo exija la ley a la que el Procesador está sujeto. En tal caso, el Procesador informará al Controlador de dicho requisito legal antes del procesamiento, a no ser que la mencionada ley lo prohíba por motivos cruciales de interés público. Retail Rocket informará inmediatamente al Controlador si, en su opinión, una instrucción infringe este Reglamento u otras disposiciones de protección de datos de la Unión Europea o de los Estados miembros.
2.6. El Cliente garantizará a Retail Rocket la disponibilidad de pruebas que confirmen la obtención del Consentimiento del usuario para el Tratamiento de Datos Personales recibido por el Cliente de conformidad con la normativa aplicable y las presentará en cualquier momento a Retail Rocket a petición de este último. En caso de que se presente cualquier reclamación contra Retail Rocket por infracción de los derechos de privacidad de datos de cualquier tercero derivada directamente de la prestación de los Servicios en virtud del Acuerdo, el Cliente llevará a cabo y/o supervisará, a sus expensas, cualquier litigio subsiguiente y todas las negociaciones para la resolución de la reclamación. En caso de litigio, el Cliente asumirá los costes de cualquier pago que deba efectuarse en concepto de liquidación o como resultado de una sentencia dictada contra Retail Rocket.
3. Seguridad
3.1. Retail Rocket tomará las medidas técnicas y organizativas adecuadas para garantizar la seguridad del procesamiento de los datos personales. Estas medidas pueden incluir:
(a) Medidas para garantizar que el acceso a los datos personales esté restringido al personal autorizado y para los fines que se establecen en el Apéndice 1 de la DPA.
(b) Medidas adecuadas para la protección de los datos personales contra la destrucción accidental o ilegal, la pérdida accidental o la alteración, el almacenamiento, el procesamiento, el acceso o la divulgación no autorizados o ilegales.
(c) Medidas para identificar vulnerabilidades relacionadas con el procesamiento de datos personales en los sistemas utilizados para prestar los servicios al Cliente.
3.2. Retail Rocket garantiza que las personas autorizadas a procesar los datos personales se han comprometido a mantener la confidencialidad o están obligados legalmente a mantener dicha confidencialidad.
3.3. Retail Rocket toma todas las medidas necesarias conforme al artículo 32 del GDPR.
3.4. Teniendo en cuenta la naturaleza del procesamiento, Retail Rocket asiste al Cliente con las medidas técnicas y organizativas adecuadas, tanto como sea posible, para cumplir la obligación del Cliente de responder a las solicitudes de ejercicio de los derechos del interesado establecidos en el Capítulo III del GDPR.
3.5. Retail Rocket ayuda al Cliente para que garantice el cumplimiento de las obligaciones establecidas en los artículos 32 a 36 del GDPR, teniendo en cuenta la naturaleza del procesamiento y la información de la que dispone el Procesador.3.6. Retail Rocket pone a disposición del Cliente toda la información necesaria para demostrar que se cumplen las obligaciones establecidas en este artículo y permitir y contribuir a las auditorías, incluidas las inspecciones, realizadas por el Cliente u otro auditor elegido por el Controlador.
4. Transferencia de datos
4.1 El Cliente acepta que si los Servicios implican la transferencia (prevista) permanente o temporal de datos personales a un país dentro del Espacio Económico Europeo, esta transferencia de datos personales está permitida y autorizada.
4.2. El Cliente autoriza a Retail Rocket a transferir datos personales a las empresas de su grupo que estén establecidas dentro del Espacio Económico Europeo y Estados Unidos y que presten apoyo a las actividades relacionadas con los Servicios, y con este fin, está autorizada a transferir los datos al Subprocesador autorizado por Retail Rocket dentro del Espacio Económico Europeo y Estados Unidos, tal y como se establece en el Apéndice 2.
5.Contratación con Subprocesadores
5.1. El Cliente acepta y autoriza mediante la adhesión a los términos de este DPA que Retail Rocket pueda subcontratar parte de sus actividades de procesamiento de datos personales o que requieran el procesamiento de datos personales en el marco de la prestación de los Servicios, incluyendo servicios relacionados con o necesarios para la prestación de estos, a cualquier tercero.
5.2. Retail Rocket no subcontratará a ningún procesador sin la previa autorización por escrito, ya sea para un caso concreto o en general, del Cliente. Si obtiene una autorización general por escrito, Retail Rocket informará al Cliente de cualquier cambio que quiera realizar relativo al aumento o reemplazo de procesadores y le dará al Cliente la posibilidad de oponerse a dichos cambios, en un plazo de 15 días.
5.3. Retail Rocket se asegurará de que el subprocesador esté sujeto a las mismas obligaciones que Retail Rocket, bajo el mismo acuerdo de protección de datos, y supervisará que este se cumpla.
5.4. La contratación de subprocesadores estará sujeta a lo que el artículo 28.4 del Reglamento General de Protección de Datos establece.
6. Registro de actividades de procesamiento
6.1. El Cliente mantendrá un registro de las actividades de procesamiento, siendo su único responsable. Este registro contendrá la información que el artículo 30 (1), a-g del Reglamento General de Protección de Datos establece.
7. Devolución o destrucción de Datos Personales
7.1. Tras la finalización del DPA, los datos personales enviados a los Servicios se conservarán en estado inactivo durante 180 días y se eliminarán, incluida cualquier copia existente, una vez transcurrido dicho plazo, a no ser que el Cliente, por decisión propia y previa solicitud por escrito, solicite: 1) Que se eliminen antes dichos datos personales del Cliente dentro de este periodo. 2) La devolución de todos los datos personales del Cliente con o sin provisión de las copias de dichos datos personales al Cliente . Aun así, Retail Rocket podrá conservar una copia adecuadamente protegida de los datos, en el caso en que pudieran derivarse responsabilidades de la prestación de servicios o si la legislación aplicable exigiese el almacenamiento de dichos datos.
7.2. Retail Rocket notificará a todos los terceros implicados en el procesamiento de los datos personales la finalización del DPA y la destrucción de los datos personales, además se asegurará de que dichos terceros, a su vez, destruyan los datos personales.
7.3. Conforme a lo establecido en el artículo 17 del GDPR, Retail Rocket también procederá a borrar los datos personales si el interesado así lo solicita al Cliente.
8. Colocación y acceso a Cookies
8.1. Si en el contexto de la prestación de los Servicios, Retail Rocket o un tercero contratado por Retail Rocket en nombre del Cliente colocan Cookies o acceden a ellas, el único responsable del cumplimiento de la legislación y normativa aplicable será el Cliente.
Por ello, el Cliente:
(a) Proporcionará al usuario de Internet información clara y completa (esta podrá ser proporcionada total o parcialmente por Retail Rocket en nombre del Cliente), de conformidad con la legislación y normativa aplicable, por lo menos en lo referente al uso de Cookies y de tecnología similar (HTML5,etc.) (en adelante «Cookies»); los objetivos de la colocación y acceso de las Cookies; el tipo de Cookies; el procesamiento de los datos obtenidos a través de las Cookies por el Cliente y por Retail Rocket o un tercero contratado por Retail Rocket como procesador de datos para la prestación de Servicios al Cliente; y los objetivos de dicho procesamiento conforme a lo dispuesto en el Reglamento General de Protección de Datos. El Cliente dispone de una Declaración de Privacidad, un Descargo de Responsabilidad y una Declaración de Cookies claros.
(b) Obtendrá el consentimiento (previo) (mediante «opt in») del usuario de Internet para la colocación y el acceso a las Cookies por parte de Retail Rocket o de un tercero contratado por Retail Rocket, y para el procesamiento de los datos obtenidos por dichos medios sobre cuyo objeto ya se ha informado conforme al apartado 8.1.a) anterior.
(c) Proporcionará al usuario información sobre cómo revocar su consentimiento y eliminar las Cookies del Cliente y de terceros (Retail Rocket y/o un tercero contratado por Retail Rocket).
8.2. El Cliente deberá notificar cuanto antes y por escrito a Retail Rocket cualquier si un cliente desea revocar su consentimiento válidamente otorgado a los efectos de interrumpir el uso de los datos personales y eliminar las Cookies.
9. Envío de Mensajes Electrónicos Comerciales solicitados
9.1. En el contexto de los Servicios, si Retail Rocket envía mensajes electrónicos comerciales solicitados en nombre del Cliente, entonces el Cliente (como remitente material) es el único responsable del cumplimiento de la legislación y normativa aplicable.
Por ello, el Cliente:
(a) Obtendrá el consentimiento previo (libremente otorgado, concreto y bien informado) del destinatario del mensaje electrónico, quedando dicho consentimiento registrado, y se asegurará de que se toman las medidas oportunas para probar que se ha obtenido dicho consentimiento.
(b) Proporcionará la información necesaria exigida por la legislación y las normativas (propias) aplicables.
(c) Ofrecerá el derecho de oposición que incluya una dirección de correo electrónico del Cliente en la que se pueda ejercer este derecho, si es de aplicación, en el momento de la obtención de los datos electrónicos de contacto del destinatario («cliente») y/o en los posteriores mensajes comerciales electrónicos enviados por Retail Rocket en nombre del Cliente; y asegurar que el sistema para que el usuario pueda ejercer el derecho a revocar su consentimiento sea sencillo y gratuito, deberá incluirse una dirección de correo electrónico del Cliente para tal efecto.
El Cliente notificará inmediatamente y por escrito a Retail Rocket, si alguno de los usuarios destinatarios de los mensajes electrónicos ejerce su derecho de oposición o revoca su consentimiento, para interrumpir así el envío de mensajes electrónicos a dicho usuario.
El Cliente será el único responsable de que el mensaje electrónico solicitado, antes de enviarlo, cumpla los requisitos relativos al contenido e información a incluir en el mismo exigidos por la legislación y normativa aplicable, siendo necesario para ello, entre otros, identificar claramente el correo electrónico como «comunicación comercial», y facilitar los datos identificativos del Cliente como remitente material.
10. Cooperación con la autoridad supervisora
10.1. El Cliente y Retail Rocket y, si es de aplicación, sus representantes, cooperarán, previa solicitud, con la autoridad supervisora en el desempeño de sus funciones.
11. Notificación de una violación de la seguridad de los datos personales a la autoridad supervisora
11.1. En caso de que se produzca una violación de la seguridad de los datos personales, el controlador deberá, cuanto antes y, si es posible, en no más de 72 horas tras haber tenido conocimiento de ella, notificar dicha violación de la seguridad de los datos personales a la autoridad supervisora competente de acuerdo con el artículo 33 del RGPD.
12. Duración y Finalización
12.1. La duración del tratamiento de datos, conforme al presente DPA, es hasta la finalización de los Servicios prestados según lo establecido en el Acuerdo celebrado entre Retail Rocket y el Cliente, más el periodo comprendido desde la finalización del Acuerdo y la eliminación de los Datos Personales por parte de Retail Rocket, tal y como se establece en los términos del presente DPA.
12.2. La finalización del Acuerdo por cualquier motivo causará la finalización automática de este Acuerdo de Procesamiento de Datos.
Apéndice 1: Datos personales que se procesarán en el ámbito de los Servicios y objetivos para los que se tratarán dichos datos
1. Objetivos del tratamiento de datos personales
Retail Rocket trata los datos personales para mejorar la experiencia de compra de los visitantes del sitio web, ajusta las recomendaciones de productos según los intereses y el historial de navegación de cada visitante.
2. Para los objetivos del procesamiento de datos personales, Retail Rocket utiliza las siguientes Cookies
| Nombre de la Cookie | Objetivo de la Cookie |
| rcuid | Identificador único del usuario |
| rrpuid | Identificador único de usuario para pruebas A/B de recomendación de productos |
| rr-VisitorSegment | Segmento de un usuario en una prueba A/B |
| rrpusid | Identificador único de sesión, se usa para el seguimiento de las diferentes personas que utilizan un mismo dispositivo. |
| rrlpuid | Identificador de visitante recibido del Cliente |
| rrrbt | Esta cookie almacena una señal de que un visitante es un robot (p.ej. : un rastreador automatizado de un motor de búsqueda) |
| rrviewed | Identificadores numéricos de diez productos vistos recientemente |
| rr-viewItemId | Identificador numérico del último producto visto |
| rrbasket | Identificadores numéricos de diez productos añadidos recientemente a la cesta |
| rr-addToBasketItemId | Identificador numérico del último producto añadido a la cesta |
| rr-RecomAddToCartItemId | Identificador numérico del último producto añadido a la cesta de un bloque de recomendaciones de Retail Rocket |
| rr-RecomItemId | Identificador numérico de un producto en el que se ha hecho clic a través de un bloque de recomendaciones de Retail Rocket |
| rr-MethodName | Nombre del algoritmo que generó una recomendación de un producto en el que se hizo clic a través de un bloque de recomendaciones de Retail Rocket |
| rr-subFormLastView | Esta cookie almacena una señal de que la ventana emergente de adquisición de correo electrónico de salida se mostró por primera vez |
| rrmailid | Identificador único del correo electrónico de Retail Rocket en el que el visitante ha hecho clic |
| rrutmsource | Esta cookie almacena el valor del parámetro utm_source URL más reciente |
3. Para los objetivos del procesamiento de datos personales, Retail Rocket puede rastrear las siguientes acciones del visitante
- Vista de cualquier página
- Vista de página de categoría de producto
- Vista de la página del producto
- Evento Añadir a la cesta
- Comprar
- Búsqueda interna en el sitio web
- Suscripción a newsletter por correo electrónico
- Clics en los bloques de recomendaciones de productos
- Clics en correos electrónicos enviados por Retail Rocket
- Interacciones con los widgets del sitio web de Retail Rocket
4. Con el objetivo de tratar los datos personales, Retail Rocket puede utilizar el Almacenamiento Local del Navegador (también conocido como Almacenamiento Local HTML5) para almacenar datos sobre las siguientes acciones de los visitantes
- Vista de cualquier página
- Vista de página de categoría de producto
- Vista de la página del producto
- Evento Añadir a la cesta
- Comprar
- Búsqueda interna en el sitio web
- Suscripción a newsletter por correo electrónico
- Clics en los bloques de recomendaciones de productos
- Clics en correos electrónicos enviados por Retail Rocket
- Interacciones con los widgets del sitio web de Retail Rocket
Esta información se almacena en la cadena retailRocketEvents en formato JSON. Cada evento se almacena durante las 24 horas en que se produce.
Apéndice 2: Lista de Subprocesadores autorizados.
| 1. Entidad | 2. Dirección, incluida la jurisdicción | 3. Tarea(s) | 4. Transferencia de la Solución |
| Retail Rocket Iberia, SL | Edificio K2M. C/ Jordi Girona, 1. Planta 2, 08034 Barcelona, España. | Personalización del sitio Web. Correos electrónicos activados.Formulario Smart Opt‐In.Personalización del correo electrónico. | País correspondiente |
| Retail Rocket Germany GmbH | Horbeller Str. 31, 50858 Colonia, Alemania | Personalización del sitio Web. Correos electrónicos activados. Formulario Smart Opt‐In. Personalización del correo electrónico. | País correspondiente |
| Retail Rocket Netherlands B.V. | Laan van Vredenoord 33, 2289 DA Rijswijk, the Netherlands | Personalización del sitio Web. Correos electrónicos activados. Formulario Smart Opt‐In. Personalización del correo electrónico. | País correspondiente |
| Amazon Services Europe S.à.r.l. | 5, Rue Plaetis, L-‐2338 Luxemburgo | Servicio de infraestructura de almacenamiento de objetos. Ejecuta código en respuesta a eventos y gestiona automáticamente los recursos informáticos. Servicio global de red de distribución de contenidos (CDN). | País correspondiente |
| Google Netherlands BV | Claude Debussylaan 34/15EETAGE 1082 MD Ámsterdam, Países Bajos | Análisis de datos. Servidor de correo electrónico | País correspondiente |
| Hetzner Online GmbH | Industriestr. 25, 91710 Gunzenhausen Alemania | Servicios de alojamiento | País correspondiente |
| Baker Tilly Business Consulting Services S.A. | Patmou & Olympou, Marousi 15123 Athens, Greece | Oficina de Protección de Datos (OPD) | País correspondiente |
| Pipedrive UK Limited | Hogarth House, 136 High Holborn, Londres, Inglaterra, WC1V 6PX | CRM | País correspondiente |
| Sailplay, Inc. | 401 Park Ave South, 9th Floor Nueva York, NY 10016 (EE.UU.) | CRM, Fidelización, Campañas, Analítica. | Cláusulas Contractuales Tipo (CCC) |
| Vodafone Libertel B.V. | Avenue Ceramique 300, 6221 KX, Maastricht, Países Bajos | Comunicaciones telefónicas | País correspondiente |