Actualizado el: 25 de octubre de 2022

1. Introducción y alcance

  1. Este Anexo de Procesamiento de Datos («DPA«) es un anexo a los Términos de ServicioTérminos«) . Todas las disposiciones de las Condiciones se aplican y se incorporan a este APD, pero si existe un conflicto entre este APD y cualquier disposición de las Condiciones, prevalecerán las disposiciones de este APD.
  2. Esta DPA sólo se aplica a los Clientes si y en la medida en que (a) Kinsta procesa los Datos Personales del Cliente (definidos a continuación) para o en nombre del Cliente de conformidad con el Acuerdo (b) y las Leyes de Protección de Datos se aplican a dichos Datos Personales del Cliente.
  3. Actualizaciones de la DPA. Nos reservamos el derecho a realizar cambios en esta DPA en cualquier momento y a nuestra entera discreción. Si realizamos cambios en esta DPA, le notificaremos dichos cambios revisando la fecha que aparece en la parte superior de esta DPA. Su uso continuado de nuestros Servicios tras la notificación de los cambios constituirá su aceptación de dichos cambios. Por favor, revise periódicamente esta DPA y compruebe si hay alguna actualizació

2. Definiciones

Los términos en mayúsculas que no estén definidos en este APD tendrán el significado previsto en otras partes del Acuerdo. Además, las siguientes definiciones de términos se aplicarán únicamente con respecto al presente APD.

  1. Controlador”, “procesador”, “sujeto de datos”, “procesamiento”, “datos personales” y “violación de datos personales” se interpretarán según lo estipulado en las leyes de protección de datos.
  2. «Datos personales del cliente» significa cualquier dato personal del usuario final sujeto a las leyes de protección de datos que el cliente proporciona, transfiere o hace accesible a Kinsta en relación con los servicios.
  3. Las Leyes de Protección de Datos” se refieren al Reglamento General de Protección de Datos de la UE 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (“GDPR”), la Ley de Protección de Datos del Reino Unido de 2018 y el GDPR del Reino Unido, la Ley de Protección de Datos de Suiza, cualquier legislación nacional de aplicación de dichas leyes, y en cada caso, según se modifique, sustituya o reemplace cuando sea necesario.

3. Roles de las partes

  1. Con respeto a los Datos personales de los clientes, el Cliente es el controlador y Kinsta es el procesador. Kinsta únicamente procesará los Datos personales de los clientes según las instrucciones documentadas del Cliente, que incluyen las cláusulas del Acuerdo, a menos que se especifique de cualquier otra manera para cumplir con cualquier ley de protección de datos. Si, en nuestra opinión, sus instrucciones infringen las leyes de protección de datos, le informaremos al respecto.
  2. El Cliente y Kinsta deberán cumplir con las leyes de protección de datos. El Cliente deberá obtener cualquier autorización, consentimiento, liberación o permiso necesario y suministrará todos los avisos de privacidad necesarios en relación con los Datos personales de los clientes. Para evitar dudas, el Cliente será responsable exclusivo de la precisión, calidad y legalidad de todos los Datos personales de los clientes y los motivos por los cuales se los recopila del sujeto de datos.

4. Naturaleza, finalidad y duración del procesamiento

  1. Kinsta tratará los Datos Personales del Cliente en la medida en que sea necesario para llevar a cabo los Servicios – lo que generalmente se limita al alojamiento pasivo de las Aplicaciones del Cliente y al soporte relacionado – o para proteger los derechos legales de Kinsta, durante la duración del Contrato, a menos que se acuerde lo contrario por escrito.
  2. La transferencia de Datos Personales del Cliente a Kinsta en relación con los Servicios es determinada y controlada por el Cliente a su entera discreción.
  3. Kinsta puede procesar las siguientes categorías de datos personales de los clientes: cualquier dato personal recopilado, utilizado o procesado de otro modo de los usuarios finales de las aplicaciones de los clientes.
  4. Kinsta puede Procesar Datos Personales de Clientes de las siguientes categorías de Sujetos de Datos: Usuarios Finales de las Aplicaciones del Cliente.

5. Transferencias transfronterizas

  1. Usted elige el centro de datos de Google Cloud Platform donde se alojarán sus Aplicaciones de Cliente. Usted reconoce, acepta y comprende que (a) todos sus Datos Personales de Cliente se transferirán y almacenarán automáticamente en el centro de datos de Google que usted elija, y (b) los Datos Personales de Cliente podrán transferirse desde el Área Económica Europea («EEA»), el Reino Unido o Suiza al país en el que se encuentre el centro de datos de Google, dependiendo de su elección.
  2. Kinsta y Google han aceptado los Términos de Seguridad y Procesamiento de Datos de Google Cloud Platform y las Cláusulas de contrato modelo de la UE. Para obtener información adicional, consulta los compromisos de Google en relación con las transferencias transfronterizas en la sección «Transferencia internacional de datos» aquí: https://cloud.google.com/security/gdpr/.
  3. El Cliente autoriza la transferencia de los Datos Personales del Cliente a cualquier jurisdicción fuera del EEE, incluyendo los Estados Unidos, con el fin de proporcionar los Servicios. Como controlador y/o exportador de los Datos Personales de los Clientes, el Cliente es responsable de asegurar que dichas transferencias cumplan con las Leyes de Protección de Datos.

6. Subprocesadores

  1. Kinsta contrata a subcontratistas de terceros que procesan los datos personales del cliente («Subprocesadores«) con el fin de prestar los servicios. En el Apéndice A de la DPA en línea de Kinsta, que se encuentra aquí: https://kinsta.com/legal/data-processing-addendum/ (la «Lista de Subprocesadores«), se encuentra una lista actualizada de Subprocesadores. El Cliente autoriza a Kinsta a contratar a dichos Subprocesadores con el fin de prestar los Servicios.
  2. Kinsta puede actualizar la Lista de Subprocesadores de vez en cuando, y dichas actualizaciones serán el único medio para notificar al Cliente los cambios en los Subprocesadores. El Cliente es responsable de comprobar y revisar regularmente la Lista de Subprocesadores. El hecho de que el Cliente no se oponga por escrito a un nuevo Subprocesador en un plazo de catorce (14) días a partir de la publicación por parte de Kinsta del nuevo Subprocesador en la Lista de Subprocesadores constituirá la autorización del Cliente al nuevo Subprocesador.
  3. Si Kinsta, a su entera discreción, determina que no puede razonablemente satisfacer la objeción oportuna del Cliente con respecto a un subprocesador, previa notificación de Kinsta el Cliente podrá rescindir el Acuerdo según las cláusulas de rescisión de las Condiciones del servicio, lo que constituye el único y exclusivo recurso del Cliente.
  4. Kinsta impondrá obligaciones a sus Subprocesadores iguales o sustancialmente equivalentes a las estipuladas en el presente APD mediante un contrato por escrito. Kinsta será responsable frente al Cliente por el desempeño de los Subprocesadores de sus obligaciones de protección de los datos con respecto a los Datos personales de los clientes.

7. Seguridad y evaluación de impacto

  1. Kinsta garantizará que su personal esté sujeto a obligaciones vinculantes de confidencialidad con respecto a los Datos personales de los clientes.
  2. Kinsta implementará, teniendo en cuenta la última tecnología, los costos de implementación y la naturaleza, alcance, contexto y finalidad del procesamiento además de la probabilidad y la gravedad de los riesgos a los derechos y libertades de los sujetos de datos, las medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad en relación a los riesgos.
  3. Teniendo en cuenta la naturaleza del procesamiento y la información disponible, Kinsta asistirá al Cliente en garantizar el cumplimiento de sus obligaciones según las leyes de protección de datos con respecto a la seguridad, la evaluación del impacto y las consultas con las autoridades de supervisión y reglamentación.

8. Violación de los datos personales

  1. Teniendo en cuenta la naturaleza del procesamiento y la información disponible, Kinsta asistirá al Cliente en garantizar el cumplimiento de sus obligaciones según las leyes de protección de datos con respecto a la violación de los datos personales
  2. En el caso de que se descubra una violación de los datos personales, Kinsta notificará con prontitud a los contactos técnicos y de cuenta del Cliente por los medios establecidos para las comunicaciones de rutina de la cuenta.
  3. La notificación incluirá la siguiente información en cuanto esté disponible para Kinsta en el momento de la notificación y Kinsta actualizará dicha notificación cuando la información adicional esté disponible: (a) las fechas y horas de la violación de los datos personales, (b) los hechos básicos del descubrimiento de la violación de los datos personales o la decisión de comenzar una investigación por la sospecha de una violación de los datos personales, según corresponda, (c) una descripción de los Datos personales de los clientes objeto de la violación, ya sea específica o por referencia al conjunto o conjuntos de datos y (d) la medidas planificadas o implementadas para solucionar o atenuar la vulnerabilidad que originó la violación de los datos personales.

9. Solicitudes de los sujetos de datos

  1. Teniendo en cuenta la naturaleza del procesamiento, en la medida de lo posible Kinsta asistirá al Cliente con las medidas técnicas y organizativas adecuadas en el cumplimiento de su obligación de responder a las solicitudes del ejercicio de los derechos de los sujetos de datos según las leyes de protección de datos.
  2. Kinsta notificará con prontitud al Cliente si recibe una solicitud de un sujeto de datos que invoque sus derechos con respecto a los Datos personales de los clientes, a menos que lo prohíba la ley aplicable y, excepto en el alcance que lo requiera la ley aplicable, no tomaremos ninguna medida de manera independiente en respuesta a la solicitud del sujeto de datos sin las instrucciones previas por escrito del Cliente.

10. Auditoría e inspección

  1. Sujeto y condicionado por un acuerdo de no divulgación por escrito, Kinsta suministrará al Cliente la información razonablemente necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente APD.
  2. Cualquier auditoría estará (i) sujeta y condicionada a una notificación por escrito con una antelación razonable, no inferior a sesenta (60) días, a Kinsta; (ii) sujeta y condicionada a un acuerdo de confidencialidad y no divulgación por escrito y a un plan de auditoría detallado por escrito revisado y preaprobado por Kinsta; (iii) limitada a una vez cada tres (3) años naturales; (iv) a coste y gasto exclusivo del Cliente; (v) limitados en su alcance y propósito a evaluar una sospecha de incumplimiento específicamente identificada por parte de Kinsta de las disposiciones de este DPA y sólo después de que el Cliente haya agotado todos los demás medios razonables según lo determine Kinsta; y (vi) en presencia virtual o física de un representante de Kinsta sin interrumpir injustificadamente las operaciones comerciales de Kinsta.

11. Eliminación o devolución de los Datos personales de los clientes

Al finalizar el presente Acuerdo y según instrucciones del Cliente por escrito, Kinsta tomará las medidas razonables para eliminar los Datos personales de los clientes o devolverlos junto con sus copias al Cliente, sujeto a las leyes aplicables que requieran la conservación de los Datos personales de los clientes por parte de Kinsta.

Anexo A

Lista de subprocesadores

  • Cloudflare: Utilizamos Cloudflare para asegurar y mejorar el rendimiento de los Servicios.
  • Google Cloud Platform: Utilizamos Google Cloud Platform para alojar y proteger las Aplicaciones de Cliente y almacenar los datos relacionados con las Aplicaciones de Cliente.
  • Google Workspace: Utilizamos las aplicaciones de Google Workspace para procesar la comunicación por correo electrónico y gestionar los documentos en línea.
  • Intercom: Utilizamos Intercom para comunicarnos con nuestros clientes y darles soporte.
  • Mailchannels: Mailchannels es un proveedor de SMTP que envía correos electrónicos transaccionales desde las Aplicaciones Cliente.
  • Migrate Guru: Nuestro equipo de migraciones puede utilizar Migrate Guru para migrar las aplicaciones de los clientes suscritos a planes de alojamiento gestionado de WordPress, con el permiso del Cliente.