Anexo sobre tratamiento de datos
Anexo sobre procesamiento automático de datos
Este Acuerdo de procesamiento de datos incluidos sus anexos, cronogramas y apéndices (“Acuerdo”, “Acuerdo de Procesamiento de Datos” o “DPA”) entrarán en vigor y reemplazarán cualquier término de procesamiento de datos previamente aplicable y reemplazarán todos los demás términos relacionados con el procesamiento de datos entre las Partes.
Entre:
(1) Usuario, una empresa constituida de conformidad con las leyes del país del Responsable del Tratamiento con su Dirección Registrada de Usuario (el “ Usuario ”, el “ Responsable del Tratamiento ” o el “ Responsable ”); y
(2) AfterShip (“ AfterShip ”, el “ Procesador de Datos ” o “ Procesador ”);
(cada una de ellas una “ Parte ” y colectivamente las “ Partes ”).
Recitales
A. El Responsable del tratamiento de datos proporciona bienes y/o servicios a los Usuarios finales. El Responsable del tratamiento de datos actúa como responsable del tratamiento de datos personales durante el proceso de suministro de bienes y/o servicios a los Usuarios finales.
B. El Procesador de Datos procesará los Datos Personales en nombre del Controlador de Datos para permitir que el Procesador de Datos proporcione Servicios al Controlador de Datos de conformidad con el Acuerdo Principal (el “ Propósito ”), y el Controlador de Datos pondrá los Datos Personales a disposición del Procesador de Datos en relación con este Propósito.
C. Las Partes pretenden que las actividades de procesamiento realizadas por el Procesador de Datos en nombre del Controlador de Datos cumplan con las disposiciones de este Acuerdo.
1. Definiciones
Las palabras y expresiones utilizadas en este Acuerdo pero no definidas en el mismo tendrán el significado (i) que se les atribuye en el Acuerdo Principal o, si no se definen en dicho(s) documento(s), (ii) que se les da a dichas palabras y expresiones en las Leyes de Protección de Datos Aplicables.
En el presente Acuerdo, cuando se utilizan con las letras iniciales en mayúscula, además de los términos definidos en otras partes del Acuerdo, los siguientes términos tendrán los siguientes significados:
Afiliado de AfterShip significa cualquier entidad que, directa o indirectamente, a través de uno o más intermediarios, controla, es controlada por o está bajo control común con AfterShip.
Clientes de AfterShip significa todos y cada uno de los Usuarios finales que son clientes de AfterShip y utilizan la aplicación AfterShip Package Tracker.
Leyes de protección de datos aplicables significa todas las leyes de protección de datos y privacidad aplicables a los Datos Personales y las actividades de procesamiento en el marco de los Servicios y DPA que pueden incluir, a saber, pero no exclusivamente, según corresponda: (i) el Reglamento General de Protección de Datos (2016/679) ("GDPR"), (ii) las "Leyes de Protección de Datos de EE. UU.", (iii) la Ley de Protección de Datos del Reino Unido de 2018 ("UK GDPR"), (iv) la Ley Federal Suiza de Protección de Datos de 1992 ("Swiss DPA") y (v) todas y cada una de las leyes y regulaciones de protección de datos aplicables a los Datos Personales en cuestión, en cada caso según sean modificadas, reemplazadas o reemplazadas de vez en cuando.
SCC de la UE aplicables significa (i) las CCE de la UE del Anexo C(1) o (ii) en caso de que sea aplicable la Sección 2.4, las CCE de la UE del Anexo C(2).
Aplicación de seguimiento de paquetes AfterShip significa la aplicación de software móvil de AfterShip que los Clientes de AfterShip utilizan para permitirles acceder, administrar y procesar sus Datos de la Aplicación Móvil.
Transportistas autorizados significa los transportistas descritos en el Anexo B que son controladores independientes de los Datos Personales pertinentes y a los cuales el Procesador de Datos está autorizado a transferir Datos Personales.
Subprocesadores autorizados significa los subprocesadores descritos en el Anexo B que están expresamente autorizados por el Controlador de Datos para procesar los Datos Personales.
País del responsable del tratamiento de datos significa el país bajo el cual está incorporado el Responsable del Tratamiento tal como se incluye en su Dirección Registrada del Usuario.
Países adecuados del EEE/Suiza/Reino Unido son todos los países (i) con respecto a los Datos Personales que están sujetos al RGPD, el Espacio Económico Europeo y cualquier otro territorio que la Comisión Europea haya determinado que garantiza un nivel adecuado de protección de los Datos Personales de conformidad con el Artículo 45 del RGPD, (ii) con respecto a los Datos Personales que están sujetos a la DPA suiza, cualquier país que sea reconocido por proporcionar una protección adecuada por la Comisión Federal Suiza de Protección de Datos e Información y (iii) con respecto a los Datos Personales que están sujetos al RGPD del Reino Unido, el Reino Unido y cualquier otro territorio que el Secretario de Estado del Reino Unido haya especificado mediante regulaciones que garantiza un nivel adecuado de protección de los Datos Personales de conformidad con el Artículo 45 del RGPD del Reino Unido y la Sección 17A de la Ley de Protección de Datos del Reino Unido de 2018.
Fecha de vigencia significará (i) la fecha en la que el Controlador de Datos aceptó, o las partes acordaron de otra manera, este Acuerdo como se muestra en la Cuenta de Usuario o (ii) la fecha de la Orden de Servicio, lo que sea aplicable entre las Partes.
Usuario final significa cualquier individuo o entidad cuyos Datos Personales estén siendo procesados por AfterShip como parte del Servicio proporcionado al Usuario.
SCC de la UE significa las cláusulas contractuales estándar aprobadas por la Comisión Europea en la decisión anexa a la Decisión (UE) 2021/914 de la Comisión Europea de 4 de junio de 2021, tal como puedan ser modificadas, sustituidas o reemplazadas de vez en cuando y disponibles aquí .
Acuerdo principal significa todos los acuerdos y/o términos relevantes aplicables a las Partes en relación con los Servicios AfterShip, incluidos Condiciones de Uso de AfterShip , el Acuerdo Marco de Servicios, el Plan de Suscripción, la Orden de Venta y/o la Declaración de Trabajo, según sean aplicables entre las Partes.
Datos de la aplicación móvil significa cualquier Dato Personal incluido en las siguientes categorías de Datos Personales según se define en el Anexo E: Información de Envío, Información de Pedido, Información del Usuario Final, Información de Seguimiento, Datos de Comportamiento del Usuario Final, Información del Carrito de Compras, Información de Pago, Información de Revisión de Producto e Información de Revisión de Envío.
Datos personales significa cualquier información procesada en virtud del presente Acuerdo que se relacione con una persona física identificada o identificable. Una persona física identificable es aquella cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como un nombre, un número de identificación, datos de localización, un identificador en línea o uno o más elementos propios de la identidad física, fisiológica, genética, mental, económica, cultural o social de dicha persona física.
Transferencia restringida significa una transferencia de Datos Personales que está sujeta al RGPD, la DPA suiza y/o el RGPD del Reino Unido respectivamente fuera de los Países Adecuados del EEE/Suiza/Reino Unido.
SCC del Reino Unido significa las cláusulas estándar de protección de datos adoptadas de conformidad con o permitidas por el Artículo 46 del RGPD del Reino Unido, según puedan ser modificadas, sustituidas o reemplazadas de vez en cuando e incluyen el Acuerdo Internacional de Transferencia de Datos del Reino Unido (“UK IDTA”) y el Anexo de Transferencia Internacional de Datos del Reino Unido (el “Anexo del Reino Unido”).
Consumidor de EE.UU. significa un individuo que es un “consumidor” según se define en las Leyes de Protección de Datos de EE. UU.
Leyes de protección de datos de EE. UU. significa la Ley de Privacidad del Consumidor de California modificada por la Ley de Derechos de Privacidad de California (“CCPA”), la Ley de Protección de Datos del Consumidor de Virginia (“VCDPA”), la Ley de Privacidad de Colorado (“CPA”), la Ley de Privacidad del Consumidor de Utah (“UCPA”), la Ley de Connecticut sobre Privacidad de Datos Personales y Monitoreo en Línea (“CTDPA”), y otras leyes estatales de privacidad integrales similares que imponen obligaciones a un controlador en relación con Datos Personales (según se define en dichas leyes), y cualquier regulación, regla u otro instrumento vinculante relevante que implemente dichas leyes, en cada caso según corresponda y esté en vigor, y según se modifique, sustituya o reemplace de vez en cuando.
Dirección registrada del usuario significará la dirección registrada del Usuario tal como aparece en el Acuerdo Principal o, si dicha dirección no está incluida en el Acuerdo Principal, tal como aparece en la Cuenta.
2. Detalles de las Operaciones de Tratamiento
2.1 El Procesador de Datos procesará, usará, modificará, recopilará y almacenará los Datos Personales en el sentido de las Leyes de Protección de Datos Aplicables, tal como se describe en el Anexo E. La persona de contacto designada para el Procesador de Datos es el Oficial de Protección de Datos de AfterShip con la siguiente dirección de correo electrónico de contacto: privacidad@aftership.com .
2.2 El Encargado del Tratamiento procesará los Datos Personales durante toda la duración de la prestación de los Servicios para el Responsable del Tratamiento. Los Datos Personales se procesarán durante el tiempo que sea necesario para cumplir con el Propósito, durante el tiempo que exija la ley para cumplir con los períodos de retención legales o en relación con los Datos Personales relacionados con actos que puedan tener efectos legales que se almacenarán con fines probatorios durante el plazo de prescripción. AfterShip conservará los Datos Personales según las instrucciones del Responsable del Tratamiento y la política de retención de AfterShip.
2.3 El objeto del tratamiento, incluidas las operaciones de tratamiento, realizadas por el Encargado del Tratamiento en nombre del Responsable del Tratamiento y las instrucciones del Responsable del Tratamiento al Encargado del Tratamiento se describen en el Anexo E. Las Partes consideran expresamente este DPA como un conjunto de instrucciones documentadas del Responsable del Tratamiento al Encargado del Tratamiento.
2.4 Si el Usuario actúa como procesador de datos para otro controlador de datos con respecto a los Datos Personales procesados bajo este DPA, se aplicará lo siguiente con respecto al Procesamiento de dichos Datos Personales:
- El Usuario deberá garantizar, de forma continua, que el responsable del tratamiento de datos pertinente ha autorizado expresamente al Usuario, por escrito, a (i) proporcionar a AfterShip las instrucciones incluidas en este DPA, (ii) designar a AfterShip como subprocesador de datos de los Datos Personales, (iii) proceder a las Transferencias de Datos Personales como se describe en la Sección 5 y (iv) autorizar la contratación por parte de AfterShip de los Subprocesadores Autorizados como se describe en la Sección 7;
- No serán aplicables las secciones 3.1 y 3.2.1 de la DPA;
- El usuario deberá remitir inmediatamente al responsable del tratamiento de datos pertinente cualquier notificación proporcionada por AfterShip en las Secciones 4.2.3 (notificación de incumplimiento), 7.1 (oportunidad de oponerse a los cambios del Subprocesador Autorizado) o que haga referencia a cualquier SCC de la UE;
- El usuario podrá poner a disposición del responsable del tratamiento de datos pertinente cualquier información puesta a disposición por AfterShip según el Anexo A y el Anexo B;
- Sin perjuicio de cualquier disposición en contrario en el Acuerdo o en este DPA, el Usuario deberá indemnizar y mantener a AfterShip indemne de y contra todas y cada una de las acciones, demandas, responsabilidades, reclamos, daños, pérdidas, sanciones, multas y gastos, incluidos los honorarios de abogados y los costos judiciales, realizados por cualquier sujeto de datos, cualquier controlador de datos o cualquier otro tercero, debido a, que surja de, resulte de o en conexión con (i) una acción u omisión cometida por AfterShip, en la medida en que dicha acción u omisión sea resultado de las instrucciones del Usuario (o cualquier controlador de datos) a AfterShip; (ii) el incumplimiento del Usuario de esta Sección 2.4; o (iii) el incumplimiento del Usuario de sus obligaciones como procesador de datos bajo las Leyes de Protección de Datos Aplicables o cualquier acuerdo con cualquier controlador de datos.
- Excluyendo esta Sección 2.4, cualquier referencia a “Controlador de Datos” o “Controlador” en este DPA será reemplazada por “Procesador de Datos” y “Procesador”;
- Excluyendo esta Sección 2.4, cualquier referencia a “Procesador de Datos” o “Procesador” en este DPA será reemplazada por “Subprocesador de Datos”;
- Las SCC de la UE (de encargado del tratamiento a encargado del tratamiento) se aplicarán al Tratamiento en lugar de las SCC de la UE (de responsable del tratamiento a encargado del tratamiento).
3. Obligaciones del Responsable del Tratamiento
3.1 General
3.1.1 El Responsable del Tratamiento determina los fines y medios del Tratamiento de Datos Personales.
3.1.2 El Responsable del Tratamiento deberá cumplir con todas las Leyes de Protección de Datos Aplicables.
3.1.3 El Responsable del Tratamiento reconoce que con respecto a los Datos Personales proporcionados al Encargado del Tratamiento de conformidad con este Acuerdo, deberá cumplir con las siguientes obligaciones:
- implementar medidas técnicas y organizativas apropiadas para garantizar y poder demostrar que el procesamiento se realiza de conformidad con las Leyes de Protección de Datos Aplicables;
- establecer un procedimiento para el ejercicio de los derechos de las personas cuyos Datos Personales se recogen;
- únicamente procesar Datos Personales que hayan sido recopilados de manera legal y válida y garantizar que dichos Datos Personales sean relevantes y proporcionales a los respectivos usos;
- procesar y recopilar todos los Datos Personales de manera válida y legal, de conformidad con las bases legales prescritas por las Leyes de Protección de Datos Aplicables, en particular obteniendo los consentimientos y reconocimientos necesarios cuando sea necesario, incluso, por ejemplo, al realizar marketing directo o en conexión con Cookies o al concluir acuerdos con otros controladores de datos (por ejemplo, los Transportistas Autorizados);
- cumplir con todas las obligaciones de transparencia, en particular las relativas a la notificación de los elementos informativos necesarios a los interesados, en particular sobre la existencia de transferencias internacionales y los destinatarios de los Datos Personales y demostrar el cumplimiento de las obligaciones de transparencia proporcionando documentación a tal efecto al Encargado del Tratamiento, incluida cualquier actualización, revisión u otra modificación de dichos documentos;
- implementar medidas técnicas y organizativas apropiadas para proteger los Datos Personales contra cualquier destrucción accidental o ilícita, pérdida accidental, alteración, divulgación o acceso no autorizado o ilícito, en particular cuando el procesamiento implique la transmisión de Datos Personales a través de una red, y contra cualquier otra forma de procesamiento ilícito o no autorizado, para garantizar un nivel de seguridad apropiado al riesgo, de conformidad con los requisitos de las Leyes de Protección de Datos Aplicables, así como con los estándares de la industria; y
- tomar medidas razonables para garantizar el cumplimiento de las disposiciones de las Leyes de Protección de Datos Aplicables y este Acuerdo por parte de su personal y de cualquier persona que acceda, procese, transfiera o utilice Datos Personales en su nombre.
3.2 Obligaciones del responsable del tratamiento en materia de base jurídica y almacenamiento
3.2.1 El Responsable del Tratamiento elige qué categorías de Servicios AfterShip se prestarán en relación con los Usuarios Finales. El Responsable del Tratamiento es responsable de determinar e implementar las medidas necesarias para garantizar el respeto de la base jurídica del tratamiento de los Datos Personales, así como de garantizar la transparencia y la comunicación de la información al Usuario Final.
3.2.2 El Responsable del tratamiento de datos reconoce que, para las categorías aplicables de los Servicios AfterShip, AfterShip utilizará cookies, píxeles y balizas web y otras herramientas, tal como se describe con más detalle en el Anexo E y en la Documentación (“Cookies”). El Responsable del tratamiento entiende que deberá implementar los avisos y las medidas necesarias para garantizar la recopilación adecuada del consentimiento del Usuario final en relación con estas Cookies.
3.2.3 El Responsable del Tratamiento reconoce que algunas categorías de Servicios AfterShip implican el seguimiento del comportamiento del Usuario Final, tal como se describe en el Anexo E y la Documentación. El Responsable del Tratamiento declara y garantiza que ha realizado el análisis legal necesario para garantizar el cumplimiento de las Leyes de Protección de Datos Aplicables en relación con dicho seguimiento.
4. Obligaciones del Encargado del Tratamiento
4.1 El Procesador de Datos se compromete a cumplir con todas las Leyes de Protección de Datos Aplicables.
4.2 El encargado del tratamiento de datos deberá:
- 4.2.1 teniendo en cuenta la naturaleza del procesamiento, ayudar al Controlador de Datos mediante medidas técnicas y organizativas apropiadas, en la medida de lo posible, para el cumplimiento de la obligación del Controlador de Datos de responder a las solicitudes de ejercicio de los derechos del titular de los datos bajo las Leyes de Protección de Datos Aplicables, siempre que el Procesador de Datos pueda cobrar una tarifa adicional por la administración de dichas solicitudes;
- 4.2.2 ayudar al Responsable del Tratamiento a garantizar el cumplimiento de las obligaciones establecidas en las Leyes de Protección de Datos Aplicables en relación con la seguridad del procesamiento, la notificación de cualquier violación de los Datos Personales a las autoridades supervisoras y a los interesados cuando sea pertinente, la realización de evaluaciones de impacto de la protección de datos cuando sea necesario y la consulta previa a la autoridad supervisora;
- 4.2.3 notificar al Responsable cualquier violación de Datos Personales relativa a los Datos Personales procesados bajo el Acuerdo de Procesamiento de Datos, dentro de las 48 horas siguientes a haber tenido conocimiento de ella, a menos que sea poco probable que la violación de Datos Personales resulte en un riesgo para los derechos y libertades de las personas físicas;
- 4.2.4 garantizar que sólo aquellas personas estrictamente necesarias para ejecutar el presente Acuerdo de Procesamiento de Datos, actuando bajo la autoridad del Procesador, tengan acceso a los Datos Personales y estén sujetas a las obligaciones de confidencialidad necesarias;
- 4.2.5 a elección del Responsable del tratamiento de datos, eliminar o devolver todos esos Datos Personales al Responsable del tratamiento de datos una vez finalizada la prestación de los Productos y Servicios conforme al Acuerdo, y eliminar las copias existentes a menos que la ley aplicable requiera el almacenamiento de los Datos Personales; y
- 4.2.6 poner a disposición del Responsable del Tratamiento toda la información necesaria para demostrar el cumplimiento de estas obligaciones.
4.3 Auditorías. El Procesador utiliza auditores externos para verificar la idoneidad de sus medidas de seguridad con respecto al procesamiento de los Datos Personales. Dichas auditorías se realizan al menos una vez al año a expensas del Procesador por auditores independientes elegidos a discreción del Procesador y dan como resultado la generación de un informe de auditoría confidencial ("Informe de Auditoría"). A pedido escrito del Controlador a intervalos razonables, el Procesador pondrá a disposición del Controlador una copia de su Informe de Auditoría más reciente. El Controlador acepta que cualquier derecho de auditoría otorgado por las Leyes de Protección de Datos Aplicables se considerará satisfecho por estos Informes de Auditoría. En la medida en que la provisión de un Informe de Auditoría por parte del Procesador no proporcione información suficiente o el Controlador deba responder a una auditoría de una autoridad reguladora, el Controlador acepta un plan de auditoría acordado mutuamente con el Procesador que: (a) garantice el uso de un tercero independiente; (b) proporcione una notificación por escrito al Procesador de manera oportuna; (c) solicite acceso solo durante el horario comercial; (d) acepte la facturación al Controlador a las tarifas vigentes del Procesador en ese momento; (e) no ocurre más de una vez al año; (f) restringe sus hallazgos únicamente a los datos relevantes para el Controlador; y (g) obliga al Controlador, en la medida permitida por la ley o la regulación, a mantener confidencial cualquier información recopilada que, por su naturaleza, deba ser confidencial.
4.4 Todos los gastos irrazonables para el cumplimiento de las obligaciones anteriores previstas en la Sección 4 de este DPA correrán a cargo del Responsable del Tratamiento.
4.5 El Encargado del Tratamiento declara y garantiza que procesa todos los Datos Personales de conformidad con las Leyes de Protección de Datos Aplicables. Más específicamente, a este respecto, el Encargado del Tratamiento garantiza que procesará todos los Datos Personales de conformidad con las Leyes de Protección de Datos Aplicables sobre bases legales válidas.
4.6 El Procesador de Datos ha implementado medidas técnicas y organizativas apropiadas según lo dispuesto en el Anexo A para garantizar un nivel de seguridad apropiado a los riesgos particulares que presentan las actividades de procesamiento de Datos Personales de conformidad con el presente, en particular protegiendo los Datos Personales de una destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilegal a los Datos Personales transmitidos, almacenados o procesados de otra manera por el Procesador.
5. Transferencias de datos personales
5.1 El Encargado del Tratamiento solo procesará Datos Personales siguiendo instrucciones documentadas del Responsable del Tratamiento, incluso en relación con las transferencias de Datos Personales a un tercer país o una organización internacional, a menos que así lo exijan las Leyes de Protección de Datos Aplicables a las que esté sujeto el Encargado del Tratamiento. En este sentido y para evitar dudas, las Partes consideran expresamente que este DPA es un conjunto de instrucciones documentadas del Responsable al Encargado del Tratamiento.
5.2 El Responsable del Tratamiento acepta expresamente que, para que el Procesador de Datos preste los Servicios, el Procesador de Datos está debidamente autorizado a transferir Datos Personales a los Subprocesadores Autorizados y/o a los Transportistas Autorizados (y a permitir que dichos Subprocesadores Autorizados y/o Transportistas Autorizados transfieran Datos Personales) en países situados fuera del País del Responsable del Tratamiento, lo que significa, para los Responsables de Tratamiento de Datos de la UE/Suiza/Reino Unido, en países situados fuera del EEE/Suiza/Reino Unido.
5.3 En la medida en que el Procesador de Datos transfiera Datos Personales (o permita que los Datos Personales sean transferidos) a un país distinto del país en el que se recopilaron primero los Datos Personales, primero tomará las medidas que sean necesarias para garantizar que la transferencia se realice de conformidad con las Leyes de Protección de Datos Aplicables, incluyendo, si corresponde, tomar todas las medidas razonables para implementar uno de los mecanismos previstos en las Leyes de Protección de Datos Aplicables para garantizar un nivel adecuado de protección para las actividades de procesamiento de Datos Personales.
5.4 En la medida en que la transferencia de Datos Personales entre el Responsable del Tratamiento y el Encargado del Tratamiento implique una Transferencia Restringida:
- 5.4.1 Con respecto a los Datos Personales que están sujetos al RGPD, las Partes acuerdan que (i) las SCC de la UE aplicables se aplicarán de conformidad con los términos del Anexo C y con los detalles que se consideran completos según lo establecido en el Anexo C, (ii) las SCC de la UE aplicables se incorporarán por esta referencia y formarán parte integral de este DPA y que (iii) el Controlador de Datos será el “Exportador de Datos” y el Procesador de Datos será el “Importador de Datos”;
- 5.4.2 Respecto de los Datos Personales sujetos a la DPA Suiza, las Partes acuerdan que (i) las SCC de la UE aplicables se aplicarán de conformidad con los términos del Anexo C y con los detalles que se consideran completos según lo establecido en el Anexo C, (ii) las SCC de la UE aplicables se incorporarán por esta referencia y formarán parte integral de esta DPA; (iii) el Controlador de Datos será el “Exportador de Datos” y el Procesador de Datos será el “Importador de Datos”; y (iv) adicionalmente (a) en la Cláusula 13 la autoridad supervisora competente será la Comisión Federal Suiza de Protección de Datos e Información; (b) el término Estado Miembro no debe interpretarse de tal manera que excluya a los interesados en Suiza de hacer valer sus derechos en su lugar de residencia habitual de conformidad con la Cláusula 18(c), (c) todas las referencias al RGPD de la UE en este Anexo también se consideran que hacen referencia a la DPA Suiza, y (d) las Cláusulas Contractuales Tipo también protegen los Datos Personales de las entidades legales hasta que entre en vigor una DPA Suiza revisada.
- 5.4.3 Con respecto a los Datos Personales que están sujetos al RGPD del Reino Unido, las Partes acuerdan que (i) las Partes se basarán en las SCC de la UE aplicables tal como se completan en el Anexo C y según lo modificado por el Anexo de Transferencia Internacional de Datos emitido por la Oficina del Comisionado de Información según la sección 119A(1) de la Ley de Protección de Datos de 2018, (ii) los detalles se considerarán completos según lo establecido en el Anexo D, (iii) las SCC del Reino Unido se incorporarán por esta referencia y formarán parte integral de este DPA y que (iv) el Controlador de Datos será el "Exportador de Datos" y el Procesador de Datos será el "Importador de Datos".
6. Consumidores estadounidenses
Esta Sección se aplicará en la medida en que las Leyes de Protección de Datos de EE. UU. sean aplicables a los Datos Personales que se procesan y que el Procesador de Datos procese Datos Personales sobre Consumidores de EE. UU. que estén sujetos a las Leyes de Protección de Datos de EE. UU. En esta Sección, “Propósito Comercial”, “Propósito Comercial”, “Anónimo”, “Vender”, “Venta”, “Proveedor de Servicios” tendrán los significados que se les atribuyen en las Leyes de Protección de Datos de EE. UU., y “Compartir” tendrá el significado que se le atribuye en la CCPA.
6.1 Con respecto a dichos Datos Personales, y en la medida requerida por las Leyes de Protección de Datos aplicables de EE. UU., el Procesador de Datos:
- 6.1.1 no retener, usar o divulgar Datos Personales fuera de su relación comercial directa con el Controlador de Datos o para cualquier otro propósito que no sea proporcionar los Servicios, incluyendo retener, usar o divulgar dichos Datos Personales para un Propósito Comercial distinto al de realizar los Propósitos Comerciales descritos en el Acuerdo, o según lo permitan las Leyes de Protección de Datos de EE. UU.;
- 6.1.2 no vender ni compartir dichos Datos Personales;
- 6.1.3 no combinar Datos Personales recopilados en relación con la prestación de los Servicios con Datos Personales recibidos de otra fuente o recopilados de sus propias interacciones con el individuo, excepto para realizar los Servicios, con consentimiento o dirección, o según lo permitan las Leyes de Protección de Datos de EE. UU.;
- 6.1.4 en relación con el procesamiento de los Datos Personales, cumplir con las disposiciones de las Leyes de Protección de Datos de los EE. UU. aplicables a los Proveedores de Servicios o Procesadores, incluido el mismo nivel de protección de la privacidad requerido para los Controladores de Datos por las Leyes de Protección de Datos de los EE. UU., y notificar al Controlador de Datos si determina que ya no puede cumplir con estas obligaciones (el Controlador de Datos puede, al recibir dicha notificación, tomar medidas razonables y apropiadas para detener y remediar cualquier uso no autorizado de Datos Personales por parte del Procesador de Datos);
- 6.1.5 contratar únicamente subprocesadores autorizados que cumplan con las leyes de protección de datos de EE. UU. y se rijan por un contrato entre el procesador de datos y el subprocesador autorizado que requiera protecciones comparables a este DPA;
- 6.1.6 tomar medidas razonables y apropiadas, previa notificación escrita razonable del Controlador de Datos y sujeto a las obligaciones de confidencialidad establecidas en los Términos de Uso, para ayudar al Controlador de Datos a confirmar que el uso de Datos Personales por parte del Procesador de Datos es consistente con las obligaciones del Controlador de Datos bajo las Leyes de Protección de Datos de EE. UU.;
- 6.1.7 previa solicitud, proporcionar un informe de una evaluación razonable de las políticas y medidas técnicas y organizativas del Procesador de Datos en apoyo de sus obligaciones bajo las Leyes de Protección de Datos aplicables de los EE. UU. utilizando un estándar o marco de control apropiado y aceptado y un procedimiento de evaluación para dichas evaluaciones; y
- 6.1.8 tras la terminación del Acuerdo, (i) iniciar de inmediato su proceso de purga para eliminar o desidentificar los Datos Personales (que se desidentificarán de conformidad con las Leyes de Protección de Datos de EE. UU.) y (ii) previa solicitud, dentro de los 60 días posteriores a la terminación, devolver dichos Datos Personales al Controlador de Datos.
6.2 Con respecto a dichos Datos Personales, y en la medida requerida por las Leyes de Protección de Datos aplicables de EE. UU., el Controlador de Datos declara y garantiza que el Controlador de Datos:
- 6.2.1 ha obtenido todos los consentimientos, derechos y autorizaciones necesarios y ha dado todos los avisos necesarios a las personas con respecto a la divulgación de Datos Personales por parte del Controlador de Datos al Procesador de Datos para permitir el procesamiento de Datos Personales por parte del Procesador de Datos para proporcionar los Servicios, como lo exigen las Leyes de Protección de Datos de EE. UU.;
- 6.2.2 no compartirá con el Procesador de Datos ningún Dato Personal de ningún individuo sujeto a las Leyes de Protección de Datos de los EE. UU. que haya ejercido una opción de exclusión voluntaria que el Controlador de Datos se haya comprometido a respetar;
- 6.2.3 no compartirá con el Procesador de Datos datos confidenciales de ningún Consumidor de EE. UU. que no haya dado su consentimiento para el procesamiento de sus datos confidenciales;
- 6.2.4 informará al Procesador de Datos sobre cualquier solicitud de derechos que las personas realicen al Controlador de Datos de conformidad con las Leyes de Protección de Datos de EE. UU. que el Procesador de Datos debe cumplir y brindar la información necesaria para que el Procesador de Datos cumpla con las solicitudes; y
- 6.2.5 será el único responsable de su cumplimiento con las leyes de protección de datos de EE. UU.
6.3 Las partes acuerdan que (i) la existencia de este DPA no constituye una admisión de que compartir Datos Personales constituye una Venta o una Participación y (ii) que el Procesador de Datos no proporciona ninguna contraprestación monetaria u otra contraprestación valiosa al Controlador de Datos a cambio de dichos Datos Personales.
7. Subprocesadores autorizados
7.1 El Responsable del tratamiento acepta expresamente que el Encargado del tratamiento puede utilizar y contratar a los Subencargados del tratamiento autorizados para llevar a cabo actividades de tratamiento y cumplir con sus obligaciones contractuales en virtud de este DPA. Cualquier cambio previsto en relación con la incorporación o sustitución de estos Subencargados del tratamiento autorizados deberá notificarse al Responsable del tratamiento. El Responsable del tratamiento puede oponerse a dichos cambios en un plazo de quince (15) días a partir de la notificación, escribiendo a privacy@aftership.com . Todas las objeciones deben estar razonablemente motivadas. En tal caso, el Procesador tomará las medidas razonables para complacer al Controlador de Datos, siempre que, en caso de que no se pueda llegar a un acuerdo mutuo, el Procesador de Datos esté autorizado a rescindir de inmediato todos los Servicios al Controlador de Datos sin más indemnización o aviso, a pesar de cualquier otra disposición del DPA y/o del Acuerdo Principal.
7.2 Cuando el Encargado del Tratamiento contrate a un Subencargado del Tratamiento autorizado para llevar a cabo actividades de tratamiento específicas en nombre del Responsable del Tratamiento, el Encargado del Tratamiento impondrá a dicho Subencargado del Tratamiento obligaciones de protección de datos al menos tan estrictas como las establecidas en el presente documento, mediante un contrato u otro acto jurídico conforme a la legislación aplicable. El Encargado del Tratamiento seguirá siendo responsable ante el Responsable del Tratamiento del Tratamiento del cumplimiento de las obligaciones de los Subencargados del Tratamiento autorizados.
8. Transportistas autorizados
El Responsable del Tratamiento autoriza debidamente al Encargado del Tratamiento a transferir los Datos Personales a los Transportistas Autorizados. El Responsable del Tratamiento reconoce expresamente que los Transportistas Autorizados son responsables independientes del tratamiento de los Datos Personales pertinentes.
Para evitar dudas, el Responsable del Tratamiento reconoce expresamente que los Transportistas Autorizados no serán considerados subprocesadores ni subcontratistas del Encargado del Tratamiento en virtud de las Leyes de Protección de Datos Personales Aplicables. El Encargado del Tratamiento no será responsable ante el Responsable del Tratamiento por las actividades de tratamiento llevadas a cabo por los Transportistas Autorizados.
9. Soporte
Las solicitudes de los usuarios pueden implicar el acceso, por parte del personal de AfterShip, a la cuenta del usuario y al sistema de AfterShip mediante el uso de las credenciales de inicio de sesión, las direcciones de correo electrónico y las contraseñas del usuario con el fin de proporcionar soporte, depuración y asistencia ("Acceso de soporte"). Este acceso de soporte puede incluir el acceso a los datos personales. Si AfterShip determina que el acceso de soporte es necesario, el usuario autoriza expresamente a AfterShip a habilitar el acceso de soporte y el usuario deberá proporcionar a AfterShip las credenciales necesarias para proporcionar el acceso de soporte. Además, AfterShip puede determinar que el procesamiento de ciertos tipos de datos personales solo se puede realizar de conformidad con el acceso de soporte y, si se revoca dicho acceso de soporte, AfterShip no podrá procesar dichos datos personales.
Sin perjuicio de lo anterior, el Usuario se reserva el derecho de desactivar el Acceso al Soporte a su entera discreción a través de la configuración de su Cuenta. En caso de que se dé lo anterior y el Servicio se base en el Acceso al Soporte, en tal caso, AfterShip no será responsable de ninguna incapacidad para proporcionar los Servicios que estaban sujetos al Acceso al Soporte.
10. Aplicación de seguimiento de paquetes AfterShip
AfterShip proporciona servicios a los clientes de AfterShip mediante la aplicación AfterShip Package Tracker, y dichos servicios son proporcionados por AfterShip de forma independiente del Acuerdo principal. El Responsable del tratamiento de datos reconoce que AfterShip procesará los datos de la aplicación móvil a petición del cliente de AfterShip a través de la aplicación AfterShip Package Tracker. Este procesamiento basado en la solicitud del cliente de AfterShip no estará sujeto a este Acuerdo.
Todo conjunto de Datos de la Aplicación Móvil procesados a petición del Cliente de AfterShip se considerará bajo el control de AfterShip para la ejecución de las solicitudes del Cliente de AfterShip a través de la Aplicación AfterShip Package Tracker. El Usuario reconoce que, en el marco de la ejecución de las solicitudes del Cliente de AfterShip a través de la Aplicación AfterShip Package Tracker, AfterShip será considerado como un responsable independiente del tratamiento de dichos Datos de la Aplicación Móvil.
11. Limitación de responsabilidad e indemnización
SIN PERJUICIO DE LO DISPUESTO EN CONTRARIO EN ESTE DPA, LAS PARTES ACUERDAN QUE LAS LIMITACIONES DE RESPONSABILIDAD E INDEMNIZACIONES PREVISTAS EN EL ACUERDO PRINCIPAL SERÁN APLICABLES A ESTE DPA, EXCEPTO LA SECCIÓN 2.4(e) QUE NO SE PERJUDICARÁ.
12. Otras disposiciones
12.1 Este Acuerdo y cualquier disputa o reclamo que surja de él o en conexión con él o su objeto o formación (incluidas las disputas o reclamos no contractuales) se regirán e interpretarán de conformidad con las leyes de Singapur.
12.2 Las Partes de este Acuerdo acuerdan irrevocablemente que los tribunales de Singapur tendrán jurisdicción exclusiva para resolver cualquier disputa o reclamo que surja de o en conexión con este Acuerdo o su objeto o formación (incluidas disputas o reclamos no contractuales).
12.3 Este Acuerdo, junto con los cronogramas, anexos y apéndices adjuntos, contienen el entendimiento completo de las partes con respecto al objeto del mismo y reemplazan todos los acuerdos y entendimientos anteriores, orales o escritos, con respecto a dichos asuntos, que las partes reconocen que se han fusionado en dichos documentos, cronogramas, anexos y apéndices.
12.4 En caso de conflicto o inconsistencia entre los términos y disposiciones de este DPA y los términos y disposiciones del Acuerdo Principal, regirán y controlarán los términos y disposiciones de este DPA. En caso de conflicto o inconsistencia entre los términos y disposiciones de este DPA y los términos y disposiciones de las CCE de la UE aplicables (o CCE del Reino Unido), en la medida en que dichas CCE de la UE (o CCE del Reino Unido) sean aplicables, regirán y controlarán las CCE de la UE aplicables (o CCE del Reino Unido).
12.5 De conformidad con el artículo 27 del Reglamento General de Protección de Datos (RGPD), AfterShip ha designado a la Oficina Europea de Protección de Datos (OEPD) como su representante en el marco del RGPD en la UE. Puede ponerse en contacto con la OEPD en relación con cuestiones relacionadas con el RGPD:
-
mediante el formulario de solicitud en línea de EDPO: https://edpo.com/gdpr-data-request/
-
escribiendo a la EDPO en la Avenida Huart Hamoir 71, 1030 Bruselas, Bélgica
-
con copia al Responsable de Protección de Datos de AfterShip, por correo electrónico o correo postal, respectivamente a dpo@aftership.com o WeWork, Paseo de Gracia 17, 08007 Barcelona, España.
12.6 A los efectos de la Ley de Protección de Datos Personales de Singapur (2012), se puede contactar al Responsable de Protección de Datos de AfterShip por correo electrónico o correo postal, respectivamente, a: dpo@aftership.com o 120 Robinson Road #13-01, Singapur 068913.
De conformidad con la cláusula 4 del Acuerdo, el Encargado del Tratamiento adoptará y mantendrá medidas de seguridad adecuadas (incluidas las organizativas y técnicas) al tratar los Datos con el fin de protegerlos contra el acceso no autorizado o accidental, la pérdida, la alteración, la divulgación o la destrucción de dichos Datos, en particular cuando el tratamiento implique la transmisión de datos a través de una red, y contra todas las demás formas ilícitas de tratamiento. Al determinar las medidas de seguridad técnicas y organizativas requeridas por la cláusula 4 del Acuerdo, el Encargado del Tratamiento tendrá en cuenta el estado de la técnica, los costes de implementación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como el riesgo de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas. El Encargado del Tratamiento implementará las medidas de seguridad específicas que se describen a continuación:
| Categoría | Subcategoría | Problema de seguridad relevante | Implementación de AfterShip |
|---|---|---|---|
| Privacidad / Seguridad | Retención y almacenamiento de datos | Almacenamiento de datos | Todos los datos, incluidos los datos personales recopilados, se almacenan en la nube a través de los servicios en la nube que se muestran en la lista de subencargados del tratamiento autorizados. La ubicación de los centros de datos se describe con más detalle en la lista de subencargados del tratamiento autorizados. |
| Privacidad / Seguridad | Retención y almacenamiento de datos | Retención y borrado de datos personales | Los datos personales recopilados tienen un período de conservación definido. Si ya no es necesario conservarlos, se destruyen y/o anonimizan sistemáticamente. |
| Seguridad | Gestión de control de acceso | Políticas de contraseñas implementadas, controles de contraseñas Cifrado / hash de contraseñas | AfterShip ha implementado políticas de contraseñas internas para especificar los requisitos de seguridad y evitar que los empleados utilicen contraseñas débiles. La autenticación 2FA está habilitada para reforzar la seguridad de la cuenta. Cuando AfterShip almacena las contraseñas, se codifican mediante algoritmos SHA-1 o SHA-256 con una sal aleatoria. |
| Seguridad | Gestión de control de acceso | Eliminación inmediata de los derechos de acceso para los usuarios que abandonan la organización | Se han establecido procedimientos de salida de empleados para garantizar que se eliminen los derechos de acceso de los empleados al abandonar la empresa. |
| Seguridad | Gestión de la continuidad del negocio | Políticas y frecuencia de las copias de seguridad | Copia de seguridad diaria realizada por servicios en la nube en centros de datos primarios y secundarios |
| Seguridad | Gestión de la continuidad del negocio | Sitios de recuperación ante desastres en múltiples y diversas ubicaciones geográficas | Los centros de datos que albergan los servicios en la nube están ubicados en diferentes ubicaciones para reducir los riesgos de pérdida de datos. |
| Privacidad / Seguridad | Gobernancia | Programa de capacitación en concientización sobre seguridad actualmente en marcha: temas y frecuencia | La capacitación sobre concienciación en materia de seguridad se implementa al incorporar a los empleados. Los principales temas que se tratan durante la capacitación incluyen, a saber: obligaciones generales en virtud de diversas políticas, normas, procedimientos y pautas de seguridad de la información, leyes y reglamentos aplicables relacionados con la seguridad, términos contractuales y estándares de ética y comportamiento aceptable. |
| Privacidad / Seguridad | Gestión de respuesta a incidentes | Procedimientos de respuesta a incidentes establecidosExistencia de un equipo con roles y responsabilidades definidosExistencia de procedimientos de comunicación sobre incidentes de seguridad como violaciones de datosPlazo de notificación a terceros | El equipo y el plan de respuesta a violaciones de datos están establecidos (detectar, contener, analizar, notificar, responder, documentar, aprender) Lista de verificación del equipo de respuesta a violaciones de datos, con funciones y responsabilidades definidas |
1. Los siguientes Subprocesadores Autorizados: https://www.aftership.com/legal/subprocessors 2. Cualquier afiliado de AfterShip.
Los siguientes transportistas autorizados: https://docs.aftership.com/api/4/supported-couriers
Anexo C.1 - SCC de la UE (del responsable al encargado del tratamiento)
Condiciones aplicables a las cláusulas contractuales estándar de la UE:
- q. El Módulo Dos (del Responsable al Encargado del Tratamiento) de las Cláusulas Contractuales Estándar de la UE se aplica cuando el Responsable es el Exportador de Datos y el Encargado es el Importador de Datos;
- b. Cláusula 7 – Se aplicará la cláusula de atraque opcional;
- c. Cláusula 9 - Se aplicará la Opción 2 y el plazo para la notificación previa de cambios del Subprocesador Autorizado será el plazo establecido en la Sección 7.1 del DPAi;
- d. Cláusula 17 - La opción 1 se aplicará y las Cláusulas se regirán por la legislación de Bélgica;
- e. Cláusula 18 - Las controversias se resolverán ante el Tribunal francófono de Bruselas;
- f. Cualquier opción no mencionada específicamente no aplica;
- g. El Anexo I se completará de la siguiente manera:
- Las direcciones, datos de contacto, etc. de las Partes se describen en las definiciones de las Partes proporcionadas en este DPA;
- La persona de contacto designada para el Procesador se describe en la Sección 2 de este DPA;
- La descripción de la transferencia se establece en la Sección 2 y el Anexo E de este DPA;
- La autoridad de control competente se definirá de conformidad con la cláusula 13 de las CSC UE;
- h. El Anexo II se completará según lo establecido en el Anexo A del presente DPA;
- i. El Anexo III se completará según lo establecido en el Anexo B del presente DPA.
PARTE 1: Tablas
Cuadro 1 - Partes
Fecha de inicio: Según lo establecido en el Acuerdo Principal.
Datos de las partes: Según lo establecido en este DPA y en el Acuerdo Principal.
Contacto clave: Consulte la Sección 2 de este DPA y/o el Acuerdo principal.
Tabla 2: SCC seleccionadas, módulos y cláusulas seleccionadas
Adenda a las CCE de la UE: las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea en la decisión anexa a la Decisión (UE) 2021/914 de la Comisión Europea de 4 de junio de 2021, tal como puedan ser modificadas, sustituidas o reemplazadas en cualquier momento y disponibles aquí con detalles y cláusulas aplicables como se describe en el Anexo C.
Tabla 3: Información del apéndice
“Información del Apéndice” significa la información que debe proporcionarse para los módulos seleccionados según lo establecido en el Apéndice de las CCE UE Aprobadas (distintas de las Partes), y que para este Apéndice se establece en:
Anexo 1A: Lista de Partes: según se define en el DPA
Anexo 1B: Descripción de la transferencia: según lo establecido en el Anexo E y otras secciones del DPA
Anexo II: Medidas técnicas y organizativas, incluidas las medidas técnicas y organizativas para garantizar la seguridad de los datos: tal y como se establece en el Anexo A de la DPA
Anexo III: Lista de subprocesadores: según lo establecido en el Anexo B de este DPA
Tabla 4: Finalización de esta Adenda cuando se modifica la Adenda Aprobada
Las siguientes Partes podrán finalizar este Anexo según lo establecido en la Sección 19: Importador y Exportador.
PARTE 2: Cláusulas obligatorias
Las Cláusulas Obligatorias del Anexo Aprobado, siendo la plantilla del Anexo B.1.0 emitida por la ICO y presentada ante el Parlamento de conformidad con la s119A de la Ley de Protección de Datos de 2018 el 2 de febrero de 2022, tal como se revisa en la Sección 18 de esas Cláusulas Obligatorias.
1. Cómo recopila AfterShip los datos personales
AfterShip recopila las diferentes categorías de Datos Personales, concretamente a través de los siguientes medios:
- A través de la API AfterShip <.li>
- Aunque la comunicación individual del Usuario
- A través de los sistemas de los Transportistas Autorizados (es decir, a través de API, web-crawler, etc.)
- A través de Cookies (es decir, cookies, píxeles o balizas web colocadas en el sitio web del Usuario)
- A través de plataformas (por ejemplo, Shopify, Magento, TikTok, etc.) API o webhooks
2. Gestión de cookies, píxeles y balizas web
Si se utilizan Cookies de acuerdo con las categorías relevantes de Servicios proporcionados al Usuario por AfterShip, como se muestra en el Anexo E, sección 6, se aplicarán las siguientes cláusulas:
- AfterShip utilizará las direcciones IP de los Usuarios finales para determinar si el Usuario final relevante está sujeto al Reglamento General de Protección de Datos de la UE, la DPA de Suiza, el Reglamento General de Protección de Datos del Reino Unido o la Ley de Privacidad del Consumidor de California.
- Los usuarios deberán asegurarse de proporcionar mecanismos de recopilación de consentimiento en relación con las cookies, como banners de cookies, políticas de privacidad y políticas de cookies de conformidad con las leyes de protección de datos aplicables y, en particular (pero no exclusivamente) para los usuarios finales con sede en la UE/Suiza/Reino Unido y California para el cumplimiento del RGPD, el cumplimiento de la DPA suiza, el cumplimiento del RGPD del Reino Unido y el cumplimiento de la CCPA.
- Para los usuarios que utilizan Shopify, si el mecanismo de consentimiento del banner de cookies en Shopify está instalado, AfterShip instalará cookies para la UE, Suiza, el Reino Unido y California. Para otros usuarios que no utilizan Shopify, AfterShip no puede saber si se ha obtenido el consentimiento y es responsabilidad del usuario asegurarse de que los mecanismos de recopilación de consentimiento estén correctamente implementados.
- Los usuarios pueden enviar un correo electrónico al servicio de atención al cliente de AfterShip: soporte@aftership.com para cualquier pregunta respecto a las Cookies.
3. Descripción y naturaleza de las actividades y servicios de tratamiento
| Descripción del servicio | Categoría de Servicios | Descripción de las Actividades de Tratamiento y del Servicio |
|---|---|---|
| Seguimiento de AfterShip | Seguimiento (API) | Servicio que permite a los usuarios recuperar información de seguimiento de la API de AfterShip |
| Seguimiento de AfterShip | Seguimiento (Plataforma) | Servicio que permite a los Usuarios proporcionar una experiencia de seguimiento a los Usuarios finales: - para recuperar información de seguimiento de AfterShip - para administrar el estado de entrega de todos los envíos - para monitorear el rendimiento del envío - para personalizar la experiencia de seguimiento |
| Seguimiento de AfterShip | Página de seguimiento de marca | Servicio que permite a los Usuarios proporcionar una página de seguimiento de paquetes de marca a los Usuarios finales |
| Seguimiento de AfterShip | Recomendación de IA | Servicio que permite a los Usuarios proporcionar recomendaciones de productos a los Usuarios finales |
| Seguimiento de AfterShip | Notificaciones por correo electrónico y SMS | Servicio que permite a los Usuarios enviar correos electrónicos de entrega o notificaciones SMS a los Usuarios finales y personalizar la experiencia de notificación. |
| Seguimiento de AfterShip | Ingresos por notificaciones | Servicio que permite a los Usuarios analizar los ingresos brutos potenciales generados indirectamente a partir de las notificaciones por correo electrónico cuando el Usuario final compra un artículo después de hacer clic en el enlace recibido en la notificación por correo electrónico (también puede incluir la tasa de conversión) |
| Después del envío EDD | Widget de fecha de entrega estimada predictiva con IA | Servicio con las siguientes características: - El modelo de IA detectará la dirección IP de los consumidores para proporcionar la fecha de entrega estimada (EDD) - proporciona un nivel de precisión de ciudad a ciudad - la fecha de entrega estimada se muestra en la página del producto y en la página de pago |
| Después del envío EDD | Fechas de entrega estimadas predictivas con IA | Servicio con las siguientes características: - proporcionar fechas de entrega estimadas - mostrar fechas de entrega estimadas en AfterShip Tracking, página de seguimiento de marca y servicios de notificaciones - proporcionar notificaciones de retrasos |
| Envío | N / A | Servicio que permite al Usuario: - generar e imprimir etiquetas de envío - calcular y comparar tarifas de envío - manifestar (es decir, enviar datos a Transportistas Autorizados) - ver el rendimiento del envío - administrar toda la información de la cuenta del transportista en un solo lugar |
| Devoluciones AfterShip | Centro de devoluciones | Servicio que permite al Usuario: - proporcionar una experiencia de devolución de marca a los Usuarios finales - enviar notificaciones de actualizaciones del estado de las devoluciones a los Usuarios finales - gestionar todas las solicitudes de devolución en un solo lugar - supervisar el rendimiento de las devoluciones - personalizar la experiencia de devoluciones y notificaciones |
| Devoluciones AfterShip | Página de devoluciones | Servicio que permite a los Usuarios proporcionar una página de devoluciones a los Usuarios finales |
| Analizador AfterShip | Analizador sintáctico | Servicio que permite al Usuario utilizar (i) servicios de detección de correo electrónico para detectar si un correo electrónico incluye Información de Pedido relevante y (ii) servicios de análisis de correo electrónico que consisten en extraer las categorías de datos definidas en este Acuerdo de Procesamiento de Datos de los Datos. |
| Protección después del envío | Protección | Servicio proporcionado a los Usuarios para brindar protección potencial contra paquetes perdidos, dañados o pirateados a los Usuarios finales; el Proveedor de Seguros es UPSCIA (según se define en los términos de Protección AfterShip aplicables) |
| Protección después del envío | Widget de protección | Servicio que permite a los usuarios finales suscribirse a los servicios de protección AfterShip en el carrito de compras o en las páginas de pago |
| Correo electrónico de AfterShip | Notificación de seguimiento | Servicio que permite a los Usuarios enviar correos electrónicos de entrega a los Usuarios finales y personalizar la experiencia de notificación. |
| Correo electrónico de AfterShip | Marketing | Servicio que permite a los Usuarios: - gestionar sus boletines informativos y suscripciones a boletines informativos - crear códigos de cupones de descuento a través de la suscripción a boletines informativos - enviar boletines informativos por correo electrónico y correos electrónicos automatizados con fines de marketing - gestionar contactos e identificar segmentos de clientes objetivo - emitir y gestionar códigos de cupones de descuento |
| SMS de AfterShip | Notificación de seguimiento | Servicio que permite a los usuarios enviar notificaciones SMS a los usuarios finales y personalizar la experiencia de notificación. |
| SMS de AfterShip | Marketing | Servicio que permite a los Usuarios: - enviar SMS y SMS automatizados con fines de marketing |
| Ventanas emergentes y formularios de AfterShip | Ventanas emergentes y formularios | Servicio con funcionalidades que permiten a los Usuarios: - gestionar códigos de cupones de descuento a través de suscripción a boletines y otros medios - mostrar ventanas emergentes y formularios de sitios web en sus sitios web |
| Ventanas emergentes y formularios de AfterShip | Herramientas de conversión | Servicio para usuarios con funciones que permiten a los usuarios: - mostrar ventanas emergentes de sitios web, ventanas emergentes de ventas y barras de anuncios en sus sitios web - cambiar la tienda del sitio web fácilmente (por ejemplo, agregar una etiqueta de ventas en la imagen) - enviar notificaciones push web - agregar una barra de búsqueda instantánea a su sitio web |
| Ventanas emergentes y formularios de AfterShip | Recomendaciones | Servicio proporcionado a los Usuarios con funciones que permiten a los Usuarios finales encontrar productos fácilmente con recomendaciones de productos personalizadas. |
| Creador de páginas AfterShip | Constructor de páginas | Servicio a los usuarios con funciones que les permiten: - crear páginas de conversión con abundantes funciones de página - enumerar los productos de sus tiendas - enumerar las colecciones de productos de sus tiendas - obtener análisis del sitio web (conteo de visitantes, conteo de agregados al carrito u otras estadísticas) |
| Creador de páginas AfterShip | Secciones que procesan información del usuario final | Servicio para usuarios con funciones que permiten: - Que los usuarios finales se suscriban a los boletines informativos del comerciante - Que los usuarios finales obtengan códigos de cupones de descuento a través de la suscripción a boletines informativos y otros medios - Que los usuarios envíen boletines informativos por correo electrónico y correos electrónicos automatizados con fines de marketing - Que los usuarios administren contactos e identifiquen segmentos de clientes objetivo - Que los usuarios finales envíen comentarios a los comerciantes para construir relaciones - Que los usuarios reciban comentarios de los usuarios finales |
| Creador de páginas AfterShip | Las mejores ventas | Servicio que permite a los Usuarios ofrecer promociones especiales o recomendaciones de productos a los Usuarios finales |
| Reseñas de AfterShip | Reseñas | Servicio para usuarios que contiene las siguientes características: - Los usuarios finales pueden consultar las reseñas anteriores de la tienda correspondiente. - Los usuarios finales pueden enviar sus reseñas y comentarios de NPS a los comerciantes. - Los usuarios finales pueden obtener códigos de cupones de descuento mediante el envío y el intercambio de reseñas. - Los usuarios pueden recopilar reseñas de los usuarios finales. - Los usuarios pueden enviar correos electrónicos para recopilar reseñas y comentarios de NPS. - Los usuarios pueden administrar reseñas y comentarios de NPS. - Los usuarios pueden agregar widgets de reseñas a su sitio web. - Los usuarios pueden administrar programas de referencia. - Los usuarios pueden mostrar las reseñas en Google y en otros canales de venta. |
| Reseñas de AfterShip | Basado en eventos de seguimiento de AfterShip | Servicio para usuarios con funciones que les permiten enviar un correo electrónico de solicitud de revisión cuando se activa el evento de actualización de seguimiento de AfterShip |
| Afiliados de AfterShip | Remisión | Servicio para usuarios con funciones que permiten:- A los usuarios mostrar el widget de registro del programa de referencias en sus sitios web- A los usuarios finales unirse a programas de referencias y compartir enlaces de referencias- A los usuarios finales visitar un sitio web a través de enlaces de referencias- A los usuarios finales obtener recompensas después de recomendar a alguien |
| Afiliados de AfterShip | Afiliados | Servicio para usuarios con funciones que permiten: - A los usuarios mostrar un widget de registro en el programa de referencias en sus sitios web. - A los afiliados (referidos) unirse a programas de afiliados y compartir enlaces de afiliados. - A los usuarios finales visitar un sitio web a través de enlaces de afiliados. - Los afiliados (referidos) obtienen recompensas después de recomendar a alguien que realice compras. - A los usuarios ver las estadísticas del sitio web (conteo de visitantes, recuento de agregados al carrito u otras estadísticas) |
| Personalización de AfterShip | Personalización | Servicio con funciones que permiten a los Usuarios brindar recomendaciones de productos a los Usuarios finales |
| Reseñas de envíos | Reseñas de envíos | Servicio que permite a los usuarios finales proporcionar revisiones de envíos a los usuarios |
| Seguimiento de pedidos de Apple Wallet | Monedero de Apple | Servicio que permite a los Usuarios brindar a sus Usuarios Finales la posibilidad de importar información de seguimiento y paquetes a su Apple Wallet personal |
| Garantía AfterShip | Garantía | Servicio que proporciona a los Usuarios una herramienta para brindar una experiencia de garantía a los Usuarios Finales, que incluye, entre otras cosas, el seguimiento de las devoluciones y el envío de notificaciones por correo electrónico. |
| Garantía AfterShip | Página de garantía de marca | Servicio que permite a los Usuarios de un centro de garantía de paquetes de marca proporcionar a sus Usuarios Finales |
| Acceso al soporte de AfterShip | Acceso al soporte de AfterShip | Servicio de soporte donde AfterShip accede a su cuenta para brindar soporte, depuración y asistencia. |
| Después de enviar uno | Después de enviar uno | Servicio todo en uno proporcionado donde el Usuario recibirá acceso para usar la plataforma y suscribirse a todas y cada una de las Funciones suscritas por el Usuario de conformidad con el Acuerdo Principal. |
4. Categorías de interesados
Usuarios finales (todas las categorías)
Destinatarios del paquete (nombre, firma con su nombre, enlace al comprobante de entrega, archivo del comprobante de entrega*)
*El archivo de prueba de entrega solo se proporcionará si AfterShip tiene (i) acceso de soporte; y/o (ii) ha celebrado un acuerdo de procesamiento de datos con el transportista autorizado correspondiente que proporcione instrucciones adecuadas, incluidos períodos de retención, que AfterShip implementará a su exclusivo criterio de acuerdo con dichas instrucciones y las leyes de protección de datos aplicables.
5. Frecuencia del tratamiento y transferencia de los Datos Personales (en caso de existir)
Continuo
6. Categorías de Datos Personales tratados por categoría de Servicios
Vea las tablas a continuación.
| Seguimiento de AfterShip | Después del envío EDD | Envío AfterShip | Devoluciones AfterShip | Protección después del envío | Analizador AfterShip | Garantía AfterShip | Garantía AfterShip | Seguimiento de pedidos de Apple Wallet | ||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Categoría de datos personales | Detalles | Seguimiento (API) | Seguimiento (Plataforma) | Página de seguimiento de marca | Recomendación de IA | Ingresos por notificaciones | Después del envío EDD | EDD de AfterShip (Widget) | Envío | Centro de devoluciones | Página de devoluciones de marca | Protección | Analizador sintáctico | Garantía | Página de garantía de marca | Monedero de Apple |
| Información de envío | Número de seguimiento, nombre del transportista, método de envío, tipo de caja, peso del paquete, fecha de envío, dirección de envío, dirección de envío, número de paquetes individuales | ✅ | ✅ | ✅ | ✖️ | ✖️ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| Información del pedido | Número de pedido, valor del pedido, fecha del pedido, etiqueta de la plataforma de pedidos, tarifa de envío, nombre del artículo, valor del artículo, cantidad del artículo, enlace del artículo, número de artículo, variante del artículo, marca del artículo, información del cupón, estado del pedido, identificación de la transacción, identificación de captura, identificación del pedido | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| Información para el usuario final | Nombre del usuario final, correo electrónico del usuario final, número de teléfono del usuario final, dirección del usuario final, ID de la cuenta de la plataforma del usuario final | ✖️ | ✅ | ✅ | ✅ | ✖️ | ✖️ | ✖️ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✖️ |
| Información de seguimiento | Estado de entrega, lugar de entrega, fecha de entrega, firma con nombre, fecha de entrega prevista, enlace al comprobante de entrega, archivo del comprobante de entrega | ✅ | ✅ | ✅ | ✖️ | ✖️ | ✅ | ✖️ | ✖️ | ✅ | ✖️ | ✅ | ✅ | ✅ | ✖️ | ✅ |
| Información sobre etiquetas y tarifas | archivo de etiqueta de envío, tarifas de envío, archivo de manifiesto | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✅ | ✅ | ✅ | ✖️ | ✅ | ✅ | ✅ | ✖️ |
| Información de devoluciones | motivo de devolución, método de devolución, tipo de resolución, imágenes de productos devueltos, importe del reembolso, fecha de devolución | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✅ | ✅ | ✖️ | ✅ | ✖️ | ✖️ | |
| Datos de comportamiento del usuario final | Enlace a la página de referencia, enlace a la página actual, inicio/fin de la consulta de la página, visitas o clics a productos, adición de productos al carrito, búsqueda, funciones proporcionadas por los widgets de AfterShip | ✖️ | ✖️ | ✅ | ✅ | ✅ | ✖️ | ✅ | ✖️ | ✖️ | ✅ | ✅ | ✖️ | ✖️ | ✅ | ✖️ |
| Información del navegador del usuario final | tipo de navegador, versión del navegador, tipo de sistema operativo, versión del sistema operativo | ✖️ | ✖️ | ✅ | ✅ | ✖️ | ✖️ | ✅ | ✖️ | ✖️ | ✅ | ✅ | ✖️ | ✖️ | ✅ | ✖️ |
| Dirección IP del usuario final | geolocalización (ciudad, estado, región, país) | ✖️ | ✖️ | ✅ | ✅ | ✖️ | ✖️ | ✅ | ✖️ | ✖️ | ✅ | ✅ | ✖️ | ✖️ | ✅ | ✖️ |
| Información del carrito de compras | Número de referencia del carrito de compras, nombre del artículo, valor del artículo, cantidad del artículo, enlace del artículo, número del artículo, variante del artículo, marca del artículo | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✅ | ✅ | ✖️ | ✖️ | ✖️ |
| Información de pago | número de pago, valor de pago, fecha de pago, nombre del artículo, valor del artículo, importe del artículo, enlace del artículo, número de artículo, variante del artículo, marca del artículo, código de cupón, importe del descuento, tasa de descuento, información del cupón | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✅ | ✖️ | ✖️ | ✅ | ✅ | ✅ | ✖️ | ✅ | ✖️ |
| Información de revisión del producto | revisar contenido, fecha de revisión | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ |
| Galleta _ama | Número de identificación generado internamente del usuario final | ✖️ | ✖️ | ✅ | ✅ | ✅ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ |
| Galleta _am_id | Número de identificación generado internamente del usuario final que hace clic en un enlace en un correo electrónico o SMS. | ✖️ | ✖️ | ✅ | ✖️ | ✅ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ |
| Galleta _am_sid | Número de identificación generado internamente de la sesión de navegación del usuario final | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ |
| Información del seguro | Plataforma de seguros, monto asegurado, tarifa de prima | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✅ | ✖️ | ✖️ | ✖️ | ✖️ |
| Información de revisión del envío | revisar contenido, fecha de revisión | ✖️ | ✖️ | ✅ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✅ | ✖️ | ✖️ | ✖️ |
| Información de garantía | motivo de la garantía, método de garantía, tipo de resolución, imágenes de productos de garantía, monto del reembolso, fecha de garantía, imagen del producto | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✅ | ✅ | ✖️ |
| Información de correo electrónico conectada | contenido del correo electrónico, fecha del correo electrónico | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✅ | ✖️ | ✖️ | ✖️ |
| Correo electrónico de AfterShip | SMS de AfterShip | Ventanas emergentes y formularios de AfterShip | Creador de páginas AfterShip | Reseñas de AfterShip | Afiliados de AfterShip | Personalización de AfterShip | Acceso al soporte de AfterShip | Despues del primer barco | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Categoría de datos personales | Detalles | Marketing | Notificación de seguimiento | Marketing | Notificación de seguimiento | Herramientas de conversión | Recomendaciones | Constructor de páginas | Tratamiento de datos del usuario final | Las mejores ventas | Reseñas | Basado en el seguimiento de AfterShip | Remisión | Afiliados | Personalización | Acceso al soporte de AfterShip | |
| Información de envío | Número de seguimiento, nombre del transportista, método de envío, tipo de caja, peso del paquete, fecha de envío, dirección de envío, dirección de envío, número de paquetes individuales | ✅ | ✅ | ✅ | ✅ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✅ | ✖️ | ✖️ | ✖️ | ✅ | ✅ |
| Información del pedido | Número de pedido, valor del pedido, fecha del pedido, etiqueta de la plataforma de pedidos, tarifa de envío, nombre del artículo, valor del artículo, cantidad del artículo, enlace del artículo, número de artículo, variante del artículo, marca del artículo, información del cupón, identificación de la transacción, identificación de captura, identificación del pedido | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✖️ | ✖️ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| Información para el usuario final | Nombre del usuario final, correo electrónico del usuario final, número de teléfono del usuario final, dirección del usuario final, ID de la cuenta de la plataforma del usuario final | ✅ | ✅ | ✅ | ✅ | ✖️ | ✅ | ✖️ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| Información de seguimiento | Estado de entrega, lugar de entrega, fecha de entrega, firmado por nombre, fecha de entrega prevista, comprobante de entrega (enlace al) | ✅ | ✅ | ✅ | ✅ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✅ | ✖️ | ✖️ | ✖️ | ✅ | ✅ |
| Información sobre etiquetas y tarifas | archivo de etiqueta de envío, tarifas de envío, archivo de manifiesto | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✅ | ✅ |
| Información de devoluciones | motivo de devolución, método de devolución, tipo de resolución, imágenes de productos devueltos, importe del reembolso, fecha de devolución | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✅ | ✅ |
| Datos de comportamiento del usuario final | Enlace a la página de referencia, enlace a la página actual, inicio/fin de la consulta de la página, visitas o clics a productos, adición de productos al carrito, búsqueda, funciones proporcionadas por los widgets de AfterShip | ✅ | ✖️ | ✅ | ✖️ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✖️ | ✅ | ✅ | ✅ | ✅ |
| Información del navegador del usuario final | tipo de navegador, versión del navegador, tipo de sistema operativo, versión del sistema operativo | ✅ | ✖️ | ✅ | ✖️ | ✅ | ✅ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✅ | ✖️ | ✅ | ✅ | ✅ |
| Dirección IP del usuario final | geolocalización (ciudad, estado, región, país) | ✅ | ✖️ | ✅ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✅ | ✅ | ✖️ | ✖️ | ✖️ | ✅ | ✅ |
| Información del carrito de compras | Número de referencia del carrito de compras, nombre del artículo, valor del artículo, cantidad del artículo, enlace del artículo, número del artículo, variante del artículo, marca del artículo | ✅ | ✖️ | ✅ | ✖️ | ✖️ | ✅ | ✖️ | ✖️ | ✅ | ✖️ | ✖️ | ✖️ | ✖️ | ✅ | ✅ | ✅ |
| Información de pago | número de pago, valor de pago, fecha de pago, nombre del artículo, valor del artículo, importe del artículo, enlace del artículo, número de artículo, variante del artículo, marca del artículo, código de cupón, importe del descuento, tasa de descuento, información del cupón | ✅ | ✖️ | ✅ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✅ | ✅ | ✅ |
| Información de revisión del producto | revisar contenido, fecha de revisión | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✅ | ✅ | ✖️ | ✖️ | ✖️ | ✅ | ✅ |
| Galleta _ama | Número de identificación generado internamente del usuario final | ✅ | ✖️ | ✅ | ✖️ | ✖️ | ✅ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✅ | ✅ |
| Galleta _am_id | Número de identificación generado internamente del usuario final que hace clic en un enlace en un correo electrónico o SMS. | ✅ | ✖️ | ✅ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✅ | ✅ | ✖️ | ✖️ | ✖️ | ✅ | ✅ |
| Galleta _am_sid | Número de identificación generado internamente de la sesión de navegación del usuario final | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✅ | ✅ | ✅ |
| Información del seguro | Plataforma de seguros, monto asegurado, tarifa de prima | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✅ | ✅ |
| Información de revisión del envío | revisar contenido, fecha de revisión | ✖️ | ✅ | ✖️ | ✅ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✅ | ✅ |
| Información de garantía | motivo de la garantía, método de garantía, tipo de resolución, imágenes de productos de garantía, monto del reembolso, fecha de garantía, imagen del producto | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✅ | ✅ |
| Información de correo electrónico conectada | contenido del correo electrónico, fecha del correo electrónico | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✅ | ✅ |