Acuerdo de Tratamiento de Datos

1. Definiciones

Además de los términos definidos en el Contrato, se aplicarán las siguientes definiciones:

• "Normativa de Protección de Datos Aplicable" significa (i) el Reglamento (UE) 2016/679 (el RGPD), (ii) la UK Data Protection Act 2018 y el UK GDPR, (iii) la Ley Federal Suiza de Protección de Datos, y (iv) cualquier otra ley de privacidad o protección de datos aplicable al Tratamiento realizado en virtud del Contrato, en cada caso con sus modificaciones puntuales.

• "Responsable del tratamiento", "Encargado del tratamiento", "Subencargado del tratamiento", "Tratamiento", "Datos Personales", "Interesado", "Categorías Especiales de Datos Personales" y "Autoridad de control" tendrán el significado que les atribuye la Normativa de Protección de Datos Aplicable.

• "EU SCCs" significa las Cláusulas Contractuales Tipo aprobadas por la Decisión de Ejecución (UE) 2021/914 de la Comisión, de 4 de junio de 2021, Módulo Dos (responsable a encargado), tal como se actualicen periódicamente.

• "UK Addendum" significa el International Data Transfer Addendum a las EU SCCs publicado por la UK Information Commissioner's Office (versión B.1.0) en virtud de la sección 119A de la UK Data Protection Act 2018.

• "Violación de la seguridad de los datos personales" tendrá el significado previsto en el artículo 4(12) del RGPD.

• "Datos Personales del Cliente" significa los Datos Personales que Tailride trata por cuenta del Responsable del tratamiento en virtud del Contrato, según se describe con más detalle en el Apéndice 1.

2. Alcance y roles

2.1 Roles. Respecto a los Datos Personales del Cliente, el Responsable del tratamiento es el "responsable" y Tailride es el "encargado" en el sentido de la Normativa de Protección de Datos Aplicable. Respecto a los datos que Tailride recopila de forma independiente (por ejemplo, los datos de cuenta y facturación descritos en nuestra Política de Privacidad), Tailride actúa como responsable independiente y dicho tratamiento se rige por la Política de Privacidad, no por este DPA.

2.2 Alcance. Este DPA se aplica a todo el Tratamiento de Datos Personales del Cliente realizado por Tailride y sus Subencargados en virtud del Contrato.

2.3 Cumplimiento. Cada parte cumplirá con sus respectivas obligaciones bajo la Normativa de Protección de Datos Aplicable. El Responsable del tratamiento es responsable de la licitud de los datos que envía a Tailride y de disponer de una base jurídica válida para instruir a Tailride a tratarlos.

2.4 Sin categorías especiales sin acuerdo previo. Tailride no espera recibir categorías especiales de Datos Personales (artículo 9 del RGPD) ni datos relativos a condenas e infracciones penales (artículo 10 del RGPD). El Responsable del tratamiento se compromete a no subir tales datos salvo que se acuerde expresamente por escrito con antelación.

3. Instrucciones de tratamiento de Tailride

3.1 Instrucciones documentadas. Tailride tratará los Datos Personales del Cliente únicamente siguiendo instrucciones documentadas del Responsable del tratamiento, incluida cualquier configuración del servicio realizada por el Responsable del tratamiento. El Contrato (este DPA, la Política de Privacidad, el pedido/checkout y el uso del servicio por parte del Responsable del tratamiento) constituye las instrucciones completas y finales del Responsable del tratamiento a Tailride.

3.2 Instrucciones adicionales. Las instrucciones que excedan el alcance del servicio podrán facturarse en régimen de tiempo y materiales, sujetas a la aceptación previa de Tailride.

3.3 Obligaciones legales. Si una ley de la Unión Europea o de un Estado miembro (u otra ley aplicable) obliga a Tailride a tratar los Datos Personales del Cliente de forma distinta a la indicada, Tailride notificará al Responsable del tratamiento dicho requisito legal antes de proceder a tal Tratamiento, salvo que la ley prohíba dicha notificación por razones importantes de interés público.

3.4 Instrucciones ilícitas. Si Tailride considera que una instrucción infringe la Normativa de Protección de Datos Aplicable, lo comunicará al Responsable del tratamiento sin dilación indebida y podrá suspender el Tratamiento correspondiente hasta que el Responsable del tratamiento modifique su instrucción.

4. Confidencialidad

Tailride garantiza que todo el personal autorizado a tratar Datos Personales del Cliente está sujeto a las correspondientes obligaciones de confidencialidad (contractuales o legales) y recibe la formación adecuada en materia de protección de datos. El acceso a los Datos Personales del Cliente se limita al personal que necesite dicho acceso para los fines del Contrato.

5. Medidas de seguridad

5.1 Medidas técnicas y organizativas. Tailride implementa y mantiene las medidas técnicas y organizativas (MTO) establecidas en el Apéndice 2 para garantizar un nivel de seguridad adecuado al riesgo para los derechos y libertades de los Interesados.

5.2 Asistencia con las obligaciones de seguridad. Teniendo en cuenta la naturaleza del Tratamiento y la información de la que disponga, Tailride asistirá al Responsable del tratamiento, mediante medidas técnicas y organizativas apropiadas y en la medida en que resulte razonablemente posible, en el cumplimiento de sus obligaciones en virtud de los artículos 32 a 36 del RGPD (seguridad del tratamiento, notificación de violaciones, evaluaciones de impacto relativas a la protección de datos y consulta previa).

5.3 Actualizaciones. Tailride podrá actualizar sus MTO periódicamente, siempre que ninguna actualización disminuya sustancialmente el nivel global de protección de los Datos Personales del Cliente.

6. Subencargados del tratamiento

6.1 Autorización general. El Responsable del tratamiento otorga a Tailride una autorización general para contratar Subencargados que traten Datos Personales del Cliente para los fines establecidos en este DPA. La lista actual de Subencargados figura en el Apéndice 3 de este DPA.

6.2 Notificación a través de la página del DPA. Tailride mantiene actualizado el Apéndice 3 de este DPA y publica en esta página cualquier adición o sustitución de un Subencargado. Al aceptar este DPA, el Responsable del tratamiento acepta que la publicación de un Apéndice 3 actualizado en https://tailride.so/dpa constituye notificación de los cambios a los efectos del artículo 28(2) del RGPD. Los Responsables del tratamiento que deseen recibir notificaciones por correo electrónico de los cambios de Subencargados pueden suscribirse escribiendo a mike@tailride.so.

6.3 Derecho de oposición. El Responsable del tratamiento podrá oponerse por escrito a un nuevo Subencargado por motivos razonables de protección de datos en el plazo de treinta (30) días desde la publicación del cambio en esta página. Las partes discutirán la oposición de buena fe. Si las partes no llegan a un acuerdo, el Responsable del tratamiento podrá rescindir la parte afectada del servicio al final de su periodo de facturación entonces en curso; Tailride no estará obligado a reembolsar las tarifas ya devengadas correspondientes a dicho periodo de facturación.

6.4 Traslado de obligaciones. Tailride impondrá a cada Subencargado obligaciones de protección de datos no menos protectoras que las previstas en este DPA (ya sea mediante un acuerdo firmado por separado o mediante la aceptación del Acuerdo de Tratamiento de Datos publicado por el Subencargado), y seguirá siendo responsable ante el Responsable del tratamiento del cumplimiento de este DPA por parte de cada Subencargado como si los actos u omisiones de éste fueran de Tailride.

7. Transferencias internacionales de datos

7.1 Tratamiento en el EEE. Tailride trata principalmente los Datos Personales del Cliente dentro del Espacio Económico Europeo (EEE), incluidos Alemania (Frankfurt), Suecia (Stockholm) e Irlanda (Dublin).

7.2 Transferencias fuera del EEE / Reino Unido / Suiza. Cuando Tailride o un Subencargado transfieran Datos Personales del Cliente fuera del EEE, el Reino Unido o Suiza a un país no cubierto por una decisión de adecuación, Tailride se asegurará de que se aplique un mecanismo de transferencia adecuado, que podrá incluir: (a) las EU SCCs (Módulo Dos), que se incorporan por referencia a este DPA y a nuestros contratos con los Subencargados; (b) para las transferencias sujetas al UK GDPR, el UK Addendum a las EU SCCs; (c) para las transferencias desde Suiza, las EU SCCs adaptadas por el Comisionado Federal Suizo para la Protección de Datos y la Información (FDPIC); y/o (d) cualquier otro mecanismo lícito de transferencia, incluido el EU-US Data Privacy Framework (y sus extensiones para el Reino Unido y Suiza) cuando el importador esté autocertificado.

7.3 Anexos de las SCCs. El exportador de datos es el Responsable del tratamiento; el importador de datos es Tailride S.à r.l. La información requerida por el Anexo I.A (Lista de partes), el Anexo I.B (Descripción de la transferencia) y el Anexo II (Medidas técnicas y organizativas) de las EU SCCs figura en el Apéndice 1 y el Apéndice 2 de este DPA. El Anexo III (Lista de Subencargados) se corresponde con el Apéndice 3.

7.4 Impacto de la transferencia. Tailride ha evaluado y seguirá evaluando los marcos jurídicos de los países de destino de sus Subencargados y ha implantado medidas complementarias (cifrado, controles de acceso, salvaguardas contractuales, transparencia sobre las solicitudes gubernamentales) cuando ha resultado apropiado.

8. Solicitudes de los interesados

8.1 Asistencia. Teniendo en cuenta la naturaleza del Tratamiento, Tailride asistirá al Responsable del tratamiento mediante medidas técnicas y organizativas apropiadas, en la medida de lo posible, en la respuesta a las solicitudes de los Interesados que ejerzan sus derechos en virtud del Capítulo III del RGPD (derecho de acceso, rectificación, supresión, limitación, portabilidad de los datos y oposición).

8.2 Solicitudes directas. Si Tailride recibe una solicitud directamente de un Interesado relativa a Datos Personales del Cliente, Tailride no responderá a la solicitud sobre el fondo salvo que el Responsable del tratamiento lo haya autorizado, y en su lugar informará al Responsable del tratamiento de la solicitud sin dilación indebida.

8.3 Autoservicio. Muchas solicitudes de los Interesados pueden gestionarse directamente por el Responsable del tratamiento a través del producto Tailride (por ejemplo, supresión de registros individuales, exportación de datos o supresión total de la cuenta desde Ajustes).

9. Notificación de violaciones de la seguridad de los datos personales

9.1 Notificación. Tailride notificará al Responsable del tratamiento toda violación confirmada de la seguridad de los datos personales que afecte a Datos Personales del Cliente sin dilación indebida tras tener conocimiento de ella, y en cualquier caso en un plazo de setenta y dos (72) horas.

9.2 Información. La notificación describirá, en la medida en que esté razonablemente disponible, (a) la naturaleza de la violación, incluidas las categorías y el número aproximado de Interesados y de registros afectados; (b) las consecuencias probables de la violación; y (c) las medidas adoptadas o propuestas para hacer frente a la violación y mitigar sus posibles efectos adversos. Tailride proporcionará información adicional a medida que esté disponible.

9.3 Cooperación. Tailride cooperará razonablemente con el Responsable del tratamiento y le prestará asistencia razonable en sus comunicaciones con las Autoridades de control y los Interesados afectados.

10. EIPDs y consultas previas

Teniendo en cuenta la naturaleza del Tratamiento y la información de la que disponga, Tailride prestará al Responsable del tratamiento una asistencia razonable en la realización de evaluaciones de impacto relativas a la protección de datos en virtud del artículo 35 del RGPD y en cualquier consulta previa a una Autoridad de control en virtud del artículo 36 del RGPD, cuando lo exija la Normativa de Protección de Datos Aplicable. Por lo general, Tailride cumplirá esta obligación poniendo a disposición este DPA, la lista actual de Subencargados (Apéndice 3), las Medidas Técnicas y Organizativas (Apéndice 2) y su documentación estándar de seguridad. La asistencia personalizada que vaya más allá de lo anterior — por ejemplo, completar un cuestionario de EIPD específico del Responsable del tratamiento o asistir a consultas con una Autoridad de control — podrá prestarse en régimen de tiempo y materiales, a discreción de Tailride.

11. Información y auditorías

11.1 Información. Previa solicitud razonable por escrito, Tailride pondrá a disposición del Responsable del tratamiento toda la información necesaria para demostrar el cumplimiento de este DPA y del artículo 28 del RGPD, incluyendo, cuando proceda, resúmenes de certificaciones de seguridad independientes, informes de auditoría, resultados de pruebas de penetración y respuestas a cuestionarios, sujeto a obligaciones razonables de confidencialidad.

11.2 Auditorías. Sin perjuicio de la cláusula 11.1, el Responsable del tratamiento (o un auditor independiente designado por él, sujeto a confidencialidad y siempre que el auditor no sea competidor de Tailride) podrá realizar auditorías presenciales en las instalaciones de tratamiento de Tailride no más de una vez por año natural (salvo que lo exija una Autoridad de control), con un preaviso por escrito de al menos treinta (30) días, durante el horario laboral habitual y sin interrumpir de manera no razonable las operaciones de Tailride. El Responsable del tratamiento asumirá sus propios costes de cualquier auditoría; Tailride asumirá el coste de la asistencia razonable hasta un máximo de un (1) día laborable por año natural y por Responsable del tratamiento, y podrá facturar en régimen de tiempo y materiales más allá de ese límite.

11.3 Cooperación con la Autoridad de control. Tailride cooperará con cualquier auditoría o investigación de una Autoridad de control competente.

12. Devolución o supresión de los datos personales

12.1 Conservación durante la cuenta activa. Mientras la cuenta del Responsable del tratamiento permanezca activa — incluso con una suscripción en pausa, un plan gratuito o cualquier otro estado inactivo — Tailride conservará los Datos Personales del Cliente para que el Responsable del tratamiento pueda seguir accediendo al servicio y utilizándolo. El Responsable del tratamiento podrá activar la supresión en cualquier momento desde Ajustes → Eliminar cuenta en el producto Tailride.

12.2 Devolución o supresión al cierre o terminación. Al cierre de la cuenta del Responsable del tratamiento, o a la terminación o expiración del Contrato (cada una, la "Fecha de Finalización"), y a elección del Responsable del tratamiento, Tailride devolverá o suprimirá los Datos Personales del Cliente que conserve por cuenta del Responsable del tratamiento en un plazo de noventa (90) días desde la Fecha de Finalización. La opción por defecto es la supresión. Para evitar dudas, pausar una suscripción, cambiar a un plan inferior o pasar a un plan gratuito no constituye una Fecha de Finalización.

12.3 Exportación en autoservicio. Antes de la supresión, el Responsable del tratamiento podrá exportar sus datos utilizando las funciones disponibles del producto. El Responsable del tratamiento dispondrá de al menos treinta (30) días desde la Fecha de Finalización para realizar una exportación en autoservicio.

12.4 Copias de seguridad y conservación legal. Tailride podrá conservar Datos Personales del Cliente (a) en copias de seguridad cifradas, que se mantienen aisladas de los sistemas de producción y se utilizan únicamente con fines de recuperación ante desastres, durante un periodo limitado hasta que la copia de seguridad se sobrescriba en el ciclo normal de rotación de copias (actualmente hasta doce (12) meses); y (b) cuando sea necesario para cumplir con la ley aplicable (por ejemplo, obligaciones contables, fiscales o de prevención del fraude). Si Tailride restaura a partir de una copia de seguridad que contenga Datos Personales del Cliente que hubieran sido previamente suprimidos conforme a esta cláusula 12, Tailride volverá a aplicar la supresión correspondiente a los datos restaurados sin dilación indebida tras la restauración. Cualquier dato conservado seguirá estando sujeto a este DPA.

13. Responsabilidad

La responsabilidad agregada de cada parte derivada de o relacionada con este DPA estará sujeta a las limitaciones y exclusiones de responsabilidad establecidas en el Contrato. Nada en este DPA limita los derechos o acciones que los Interesados puedan tener directamente frente al Responsable del tratamiento o al Encargado del tratamiento en virtud de la Normativa de Protección de Datos Aplicable.

14. Ley aplicable y jurisdicción

Este DPA se rige por las leyes del Gran Ducado de Luxemburgo, sin perjuicio de las normas imperativas de protección al consumidor del país de residencia del Responsable del tratamiento. Los tribunales competentes de la Ciudad de Luxemburgo tendrán jurisdicción exclusiva, salvo que la Normativa de Protección de Datos Aplicable disponga otra cosa (en particular, para los derechos de los Interesados, donde los tribunales de la residencia habitual del Interesado también podrán tener jurisdicción). Para las transferencias regidas por las EU SCCs o el UK Addendum, prevalecerán la ley aplicable y el foro establecidos en dichas cláusulas para cualquier asunto comprendido en su ámbito de aplicación.

15. Modificaciones de este DPA

Tailride podrá actualizar este DPA periódicamente para reflejar cambios en la Normativa de Protección de Datos Aplicable, cambios en nuestros servicios o cambios en nuestra lista de Subencargados. Las actualizaciones significativas se anunciarán en esta página con una nueva fecha de "Última actualización", y cualquier cambio que reduzca sustancialmente el nivel de protección de los Datos Personales del Cliente no surtirá efecto para un Responsable del tratamiento existente hasta al menos treinta (30) días después de la notificación (salvo que la Normativa de Protección de Datos Aplicable exija que surta efecto antes).

Apéndice 1 — Detalles del tratamiento (Anexo I.B de las EU SCCs)

Exportador de datos (Responsable del tratamiento). El Cliente de Tailride, identificado por los datos de la cuenta, la información de facturación y el pedido/checkout enviado a Tailride. Rol: responsable del tratamiento.

Importador de datos (Encargado del tratamiento). Tailride S.à r.l., 6 rue M. Schnadt, L-2530 Luxembourg, RCS Luxembourg B303779, VAT LU37209474. Contacto de privacidad: mike@tailride.so. Rol: encargado del tratamiento.

Objeto. La prestación del servicio Tailride descrito en el Contrato: captura, OCR, extracción estructurada basada en IA, organización, almacenamiento, búsqueda, compartición y exportación posterior de facturas, recibos y documentos comerciales relacionados, más el soporte al cliente asociado.

Duración. La duración del Contrato, más cualquier periodo de conservación necesario para la rotación de copias de seguridad u obligaciones legales (véase la cláusula 12).

Naturaleza y finalidad del tratamiento. Alojamiento, OCR y extracción basada en IA, indexación, búsqueda, deduplicación, compartición, exportación e integración de documentos financieros siguiendo las instrucciones del Responsable del tratamiento; prestación del soporte al cliente relacionado y operaciones de cuenta/facturación.

Categorías de Interesados.
• Los usuarios autorizados del Responsable del tratamiento (administradores, contables, miembros del equipo);
• Los clientes, proveedores y contrapartes del Responsable del tratamiento cuyos nombres aparezcan en facturas, recibos y documentos relacionados;
• Cualquier otra persona física cuyos Datos Personales aparezcan en documentos que el Responsable del tratamiento decida subir o conectar.

Categorías de Datos Personales.
• Datos de identificación: nombre completo, dirección de correo electrónico profesional, dirección postal, NIF/identificadores fiscales, números de teléfono cuando figuren en los documentos.
• Datos de cuenta: nombre, correo electrónico, credenciales de autenticación con hash, preferencia de idioma, rol.
• Datos de transacción: números de factura, fechas, conceptos, importes, divisas, estado de pago.
• Datos de conexión: tokens OAuth de buzones conectados, proveedores de almacenamiento en la nube y sistemas contables (almacenados cifrados en reposo).
• Datos técnicos: dirección IP, identificadores de navegador/dispositivo, marcas de tiempo, registros de la aplicación.
• Datos de contenido: texto e imágenes contenidos en los documentos subidos o recuperados.

Categorías especiales de Datos Personales. No se prevén. El Responsable del tratamiento se compromete a no subir categorías especiales de Datos Personales salvo acuerdo previo por escrito.

Frecuencia de la transferencia. De forma continua durante la duración del Contrato.

Autoridad de control competente. La Commission nationale pour la protection des données (CNPD), Luxemburgo, para las transferencias regidas por las EU SCCs en las que Tailride sea el importador de datos.

Apéndice 2 — Medidas técnicas y organizativas (Anexo II de las EU SCCs)

Tailride implementa las siguientes medidas técnicas y organizativas para garantizar un nivel de seguridad adecuado al riesgo. Las medidas podrán actualizarse periódicamente, siempre que el nivel global de protección no se vea reducido.

A. Medidas organizativas
• Políticas de seguridad de la información documentadas que cubren el uso aceptable, la gestión de accesos, la respuesta a incidentes, la gestión de cambios y la gestión de proveedores.
• Revisión anual de las políticas y roles de seguridad.
• El personal está sujeto a obligaciones de confidencialidad por escrito.
• El acceso a los sistemas de producción se concede en función del principio de necesidad de conocer y de mínimo privilegio, y se revisa al menos anualmente.
• Plan de respuesta a incidentes documentado que incluye roles, vías de comunicación y requisitos de análisis post-incidente.

B. Control de acceso
• Inicio de sesión único para los sistemas internos cuando sea posible.
• Autenticación multifactor obligatoria para el acceso a producción y para las cuentas privilegiadas de desarrollo.
• Cuentas personales para el acceso a producción; sin credenciales compartidas.
• Tokens de acceso con límite temporal; revocación al cambiar de rol o al cesar en la organización.

C. Cifrado
• TLS 1.2 o superior para los datos en tránsito entre el cliente y Tailride y entre Tailride y sus Subencargados.
• Cifrado en reposo para la base de datos de producción y el almacenamiento de objetos (AES-256 o equivalente).
• Cifrado en reposo de los tokens OAuth de las cuentas conectadas de terceros.

D. Red y alojamiento
• Producción alojada en Vercel (región de cómputo en la UE: Frankfurt) y en servicios gestionados en la nube (regiones de AWS en la UE, región UE de MongoDB Atlas, región UE de Upstash).
• Segregación lógica de los datos de cliente mediante identificadores de tenant.
• Protecciones a nivel de WAF/CDN en el borde.
• Se prefieren Subencargados con certificaciones estándar del sector (ISO 27001, SOC 2 Type II) para la infraestructura crítica.

E. Operaciones
• Registro centralizado de eventos relevantes para la seguridad; los logs se conservan al menos 30 días.
• Programa de gestión de vulnerabilidades (escaneo de dependencias, despliegue automatizado de parches).
• Copias de seguridad diarias cifradas de la base de datos de producción, con recuperación a un punto en el tiempo en una ventana móvil de 7 a 35 días y conservación de instantáneas completas de hasta doce (12) meses; las copias de seguridad se mantienen aisladas de los sistemas de producción y se utilizan únicamente para la recuperación ante desastres.
• Pruebas periódicas de recuperación.

F. Desarrollo de software
• Código fuente almacenado en repositorios privados con revisión de código obligatoria para las ramas de producción.
• Separación de los entornos de desarrollo, pre-producción y producción.
• Los secretos se almacenan en un gestor de secretos gestionado; sin secretos en el código fuente.
• Pruebas automatizadas como parte del pipeline de CI.

G. Gestión de proveedores
• Selección de los Subencargados en función de la seguridad, el cumplimiento normativo y la criticidad para el negocio.
• Acuerdos de tratamiento de datos con todos los Subencargados que tratan Datos Personales del Cliente.
• Mecanismos de transferencia (EU SCCs / UK Addendum / DPF) implantados cuando son necesarios.

H. Atención a los interesados
• Supresión en autoservicio integrada de cuentas y registros individuales.
• Proceso documentado para gestionar las solicitudes de los Interesados recibidas de forma indirecta a través del Responsable del tratamiento.

Apéndice 3 — Lista de Subencargados (Anexo III de las EU SCCs)

Tailride contrata a los siguientes Subencargados del tratamiento para prestar el servicio. Esta página constituye la lista autorizada de Subencargados del tratamiento y se mantiene actualizada; toda adición o sustitución se publica aquí conforme a la cláusula 6. Las entradas marcadas como habilitadas por el usuario solo se utilizan si el Responsable del tratamiento activa la integración correspondiente. Las entradas marcadas como "Previsto" aún no están activas y se enumeran por transparencia; comenzarán a Tratar Datos Personales del Cliente únicamente cuando se habilite la funcionalidad correspondiente.

Esta lista comprende los Subencargados que tratan Datos Personales del Cliente por cuenta de Tailride en el sentido del artículo 28 del RGPD. Las siguientes categorías de terceros se excluyen intencionadamente de esta lista porque Tailride no las contrata como Subencargados del artículo 28: (i) Socios de pagos (por ejemplo, Stripe y, cuando proceda, Paddle como futuro Merchant of Record previsto): estos proveedores actúan como responsables del tratamiento independientes respecto a los datos de pago que tratan en virtud de sus propias obligaciones legales y reglamentarias (PCI-DSS, prevención del blanqueo de capitales, prevención del fraude). Se describen en la Política de Privacidad. (ii) Socios de analítica web y de producto (por ejemplo, Google Tag Manager, Google Analytics 4, DataFast): Tailride determina qué medir en su sitio web público y en el producto, por lo que Tailride actúa como responsable del tratamiento (y, con el proveedor de analítica, en una relación de corresponsabilidad o de responsables del tratamiento independientes). Estas herramientas se cargan previo consentimiento de cookies y se describen en la Política de Privacidad. (iii) Socios publicitarios (por ejemplo, Meta Pixel y Conversions API, y Google Ads como futura incorporación prevista): Tailride y la plataforma publicitaria actúan como corresponsables del tratamiento o responsables del tratamiento independientes respecto a los datos de medición publicitaria y de conversión. Se cargan previo consentimiento de cookies y se describen en la Política de Privacidad. (iv) Socios de marketing de afiliación (por ejemplo, Affonso): Tailride utiliza eventos de atribución de afiliados para su propio marketing; el proveedor de afiliación actúa como responsable del tratamiento independiente respecto a los datos que recibe. Se describen en la Política de Privacidad. (v) Comprobaciones antifraude y de creación de cuentas (por ejemplo, la comprobación de dominios de correo desechable de UserCheck): Tailride realiza estas comprobaciones por su propio interés legítimo en la prevención del fraude; el proveedor de la comprobación actúa como responsable del tratamiento respecto a los datos de dominio de correo electrónico que recibe. Se describen en la Política de Privacidad. (vi) Proveedores de servicios auxiliares que no tratan Datos Personales del Cliente (por ejemplo, APIs de tipos de cambio de divisas y servicios de búsqueda de logotipos de proveedores como Brandfetch, que solo reciben un nombre de dominio del proveedor). (vii) Integraciones, canales de comunicación y destinos habilitados por el usuario. Si el Responsable del tratamiento conecta o utiliza Google Drive / Gmail / Sheets, Microsoft 365 / OneDrive / Outlook, QuickBooks Online, Xero, Microsoft Dynamics 365 Business Central, Odoo, servidores IMAP/SMTP, WhatsApp Cloud API, Telegram Bot API o webhooks personalizados, o si se reciben documentos mediante carga en navegador o correo electrónico elegido por el Responsable del tratamiento o el Interesado, Tailride transmite o recibe Datos Personales del Cliente a través de ese canal solo siguiendo las instrucciones del Responsable del tratamiento o por acción del Interesado correspondiente. La cuenta de tercero, el navegador, el servicio de correo electrónico, el canal de mensajería o el destino es seleccionado, configurado o utilizado por el Responsable del tratamiento o el Interesado correspondiente y opera al amparo de la relación separada de esa parte con el proveedor correspondiente. Estos canales y destinos no son Subencargados de Tailride del artículo 28.

Cómo se vuelve vinculante este DPA

Este DPA forma parte de los Términos de Servicio de Tailride. Al aceptar los Términos de Servicio (por ejemplo, al registrarse en el servicio o mantener una suscripción activa), el Responsable del tratamiento acepta quedar vinculado por este DPA e incorpora por referencia las EU SCCs (Módulo Dos, responsable a encargado) y, cuando proceda, el UK Addendum, actuando Tailride S.à r.l. como importador de datos y el Responsable del tratamiento como exportador de datos.

Los clientes que requieran una copia firmada por contraparte de este DPA en papel con membrete de Tailride —por ejemplo, para registros de compras— pueden solicitarla en mike@tailride.so. Tailride podrá firmar un DPA sustancialmente similar propuesto por el Responsable del tratamiento, sujeto a una revisión comercial.