Acuerdo de Procesamiento de Datos
Fecha de la última modificación: 28 de enero de 2026
Este Acuerdo de Procesamiento de Datos ("DPA") forma parte de los Términos y Condiciones Generales de Contratación y Términos y Condiciones de Uso de ENGINY SALES SOLUTIONS, S.L. ("Enginy") y, si corresponde, de cualquier otro acuerdo firmado entre usted y Enginy para regular la contratación y el uso de la Plataforma (colectivamente, el "Acuerdo").
El presente DPA y el resto de las cláusulas del Acuerdo son complementarios, sin embargo, en caso de conflicto en relación con la protección de datos, el presente DPA prevalecerá.
VIGENCIA
La firma del Acuerdo (o el comienzo de la prueba gratuita) por parte del Cliente implica la aceptación de este DPA, que entrará en vigor en ese momento y será legalmente vinculante para ambas partes.
EFICACIA
La persona que acepte o firme el Contrato en nombre del Cliente declara a Enginy que tiene la autoridad legal para obligar al Cliente y que es legalmente capaz de celebrar contratos. La duración de este DPA será la misma que la duración del Contrato. Esto significa que este Acuerdo de Asignación se extinguirá automáticamente al finalizar el Acuerdo o por una finalización anticipada de acuerdo con los términos de este Acuerdo de Asignación.
TÉRMINOS DEL CONTRATO DE PEDIDO
Definiciones
Los siguientes términos tendrán los siguientes significados:
"ENGINY", "nosotros", "nos", "nuestro" se refiere a ENGINY SALES SOLUTIONS, S.L., una empresa española ubicada en Passeig del Mare Nostrum, 15, 08039 - Barcelona, autor, creador y desarrollador de la Plataforma.
"Servicios" o "Plataforma", se utilizarán indistintamente y significa nuestro software desarrollado y operado en una plataforma cuyo propósito es la capacidad de crear listas de leads dirigidas, enriquecerlas con información de empresa y contacto verificada de herramientas y bases de datos líderes en el mercado, y automatizar campañas de correo electrónico y contacto en LinkedIn dentro de nuestra herramienta.
"Responsable", "procesador", "titular de los datos", "datos personales", "tratamiento" y "medidas técnicas y organizativas adecuadas", "cláusulas contractuales estándar", "violación de seguridad de datos personales" según se utilizan en este DPA tendrán los significados que se les atribuyen en el GDPR.
"Cliente", "usted", "su" se refiere a la entidad que contrata la Plataforma Enginy y cuyos detalles se establecen en el Acuerdo.
"Reglamento de Protección de Datos" significa (i) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 sobre la protección de las personas físicas en relación con el tratamiento de datos personales y sobre la libre circulación de dichos datos ("GDPR"); (ii) Directiva 2002/58/CE relativa al tratamiento de datos personales y la protección de la privacidad en el sector de las comunicaciones electrónicas; y (iii) cualquier normativa nacional aplicable, ya sea mediante la implementación o la transposición de normas europeas o internacionales.
"Subprocesadores" tendrá el significado otorgado al término "otro procesador" en el Artículo 28.4 del GDPR.
Propósito y roles
Propósito: En la prestación de los Servicios contratados, el Procesador de Datos llevará a cabo el procesamiento de datos de:
Recolección, organización, almacenamiento, comunicación, consulta y eliminación de datos personales.
Roles: Para los fines de este DPA: El Cliente será considerado el responsable de los datos y Enginy será considerado el procesador de datos.
Descripción del tratamiento y medidas de seguridad
Una descripción detallada del procesamiento que se llevará a cabo (naturaleza y propósito del procesamiento, tipos de datos personales y categorías de titulares de datos) se puede encontrar adjunta a este DPA como Apéndice 1. Una lista de los subprocesadores designados por Enginy se puede encontrar en Apéndice 2.
Responsabilidad del Cliente
El Cliente, en su calidad de responsable de datos, es responsable de garantizar que su uso de la Plataforma cumpla con las Regulaciones de Protección de Datos y de garantizar y supervisar, durante todo el proceso, el cumplimiento de Enginy con las Regulaciones de Protección de Datos.
En este sentido, y antes de contratar la Plataforma o solicitar la activación de funcionalidades adicionales, el Cliente se compromete a determinar por su cuenta y a su costo la necesidad de realizar una evaluación de impacto en la protección de datos, realizar las consultas previas correspondientes y cumplir con cualquier obligación aplicable de conformidad con las Regulaciones de Protección de Datos.
El Cliente se compromete a abstenerse de solicitar a Enginy que contrate o active cualquier funcionalidad de la Plataforma para la cual una evaluación de impacto en la protección de datos haya dado un resultado negativo o, habiendo dado un resultado positivo, el Cliente no haya implementado las medidas identificadas en la evaluación de impacto. El Cliente libera a Enginy de cualquier responsabilidad que surja del incumplimiento de esta cláusula por parte del Cliente.
Obligaciones de Enginy en su calidad de responsable.
En su calidad de procesador de datos, Enginy se compromete a:
(i) procesar los datos personales del Cliente únicamente de acuerdo con las instrucciones documentadas del Cliente (como se establece en este DPA, o según lo indicado por el Cliente a través de la Plataforma o correo electrónico) para la ejecución del servicio;
(ii) Adoptar las medidas técnicas y organizativas adecuadas de conformidad con el Artículo 32 del GDPR, según los términos establecidos en la cláusula 3.3 de este DPA;
(iii) Informar de inmediato al Cliente si, en su opinión, una instrucción viola la Regulación de Protección de Datos;
(iv) poner a disposición del Cliente toda la información que razonablemente solicite el Cliente con el fin de demostrar el cumplimiento de las obligaciones establecidas en el Artículo 28 del GDPR y permitir que se realicen auditorías por parte del Cliente o un auditor autorizado por el Cliente;
En ningún caso las auditorías requerirán que Enginy divulgue o permita que el Cliente o sus auditores o representantes autorizados accedan a: (i) a cualquier dato o información de cualquier otro cliente de Enginy; (ii) cualquier información contable o financiera interna de Enginy; (iii) cualquier secreto comercial de Enginy; (iv) cualquier información que, en la opinión razonable de Enginy, pueda comprometer la seguridad de sus sistemas o instalaciones o hacer que Enginy incumpla sus obligaciones en virtud de las Regulaciones de Protección de Datos o cualquier otra normativa aplicable; o (v) cualquier información a la que el Cliente, sus auditores o sus representantes autorizados intenten acceder por cualquier otra razón que no sea verificar el cumplimiento de Enginy con los términos del Artículo 28 del GDPR.
Además, las auditorías se limitarán a una vez al año, a menos que Enginy haya sufrido una violación de seguridad de datos personales en los doce (12) meses anteriores que haya afectado a los datos personales procesados en nombre del Cliente.
(v) Asistir al Cliente en la garantía del cumplimiento de las obligaciones establecidas en los Artículos 35 y 36 del GDPR, teniendo en cuenta la naturaleza del procesamiento y la información disponible para Enginy;
(vi) Asistir al Cliente, teniendo en cuenta la naturaleza del procesamiento, mediante medidas técnicas y organizativas adecuadas, siempre que sea posible, para habilitar al Cliente a cumplir con su obligación de responder a solicitudes destinadas a ejercer los derechos de los titulares de datos establecidos en el Capítulo III del GDPR;
(vii) Asegurarse de que el personal de Enginy que vaya a tener acceso a los datos personales procesados en nombre del Cliente se haya comprometido a respetar la confidencialidad o esté sujeto a una obligación de confidencialidad de naturaleza legal;
(viii) Notificar al Cliente sobre violaciones de seguridad de datos personales que afecten a los datos personales procesados en nombre del Cliente. La notificación tendrá lugar en los términos indicados en la Cláusula 3.6 de este DPA;
(ix) A opción del Cliente, eliminar o devolver todos los datos personales al finalizar la prestación de los servicios de procesamiento y eliminar copias existentes, a menos que la retención de datos personales sea requerida por la ley de la Unión o de un Estado miembro;
(x) Notificar de inmediato al Cliente sobre cualquier solicitud que reciba del titular de los datos. No responderá a dicha solicitud por sí mismo, a menos que haya sido autorizado a hacerlo por el responsable. Además, Enginy asistirá al Cliente en el cumplimiento de sus obligaciones en la respuesta a solicitudes de los titulares de datos para ejercer sus derechos, considerando la naturaleza del procesamiento.
Notificación de Violación de Seguridad
En caso de una violación de seguridad de los datos personales procesados por Enginy, Enginy notificará al Cliente sin demora indebida y en todo caso dentro de las 48 horas siguientes a que Enginy tenga conocimiento de la violación. Dicha notificación incluirá al menos: (i) una descripción de la naturaleza de la violación de seguridad (incluyendo, cuando sea posible, las categorías y el número aproximado de titulares de datos y registros de datos afectados); (ii) detalles de un punto de contacto del cual se puede obtener más información sobre la violación de seguridad de los datos personales; y (iii) sus posibles consecuencias y las medidas que se han tomado o se propondrán para remediar la violación de seguridad, incluyendo las medidas adoptadas para mitigar cualquier efecto adverso. Cuando, y en la medida en que, no toda la información se pueda proporcionar al mismo tiempo, la notificación inicial proporcionará la información que esté disponible en ese momento y, a medida que se recopile, se proporcionará información adicional sin demora indebida.
Subprocesadores y Transferencias Internacionales.
Enginy tiene una autorización general del Cliente para contratar subprocesadores que figuran en Apéndice 2. Enginy informará específicamente al Cliente por escrito sobre cualquier adición o sustitución de subprocesadores en dicha lista al menos con 10 días de anticipación para que el Cliente tenga tiempo suficiente para objetar a dichos cambios antes de que se involucre al subprocesador o subprocesadores en cuestión. Enginy proporcionará al Cliente la información necesaria para permitir que el Cliente ejerza su derecho a objetar.
Enginy garantiza que las transferencias internacionales de datos personales realizadas sobre datos personales procesados en nombre del Cliente se llevarán a cabo de conformidad con el Capítulo V del GDPR.
Si Enginy realiza alguna transferencia internacional para la cual el mecanismo de transferencia empleado ya no es válido bajo el GDPR, el Cliente permitirá a Enginy un período razonable para remediar la falta de cumplimiento e identificar qué garantías adicionales u otras medidas pueden tomarse para asegurar su cumplimiento con la Regulación de Protección de Datos.
DIVERSOS
El Cliente reconoce y acepta que, como parte de la prestación de la Plataforma, Enginy tiene derecho a utilizar datos relacionados con o obtenidos en conexión con la operación, soporte o uso de la Plataforma para sus legítimos fines comerciales internos, tales como apoyar procesos de facturación, administrar la Plataforma, mejorar, evaluar y desarrollar nuestros productos y servicios, cumplir con las leyes aplicables (incluidas las solicitudes de las fuerzas del orden), garantizar la seguridad de nuestra Plataforma y prevenir el fraude o mitigar riesgos.
En relación con los datos personales procesados, Enginy garantiza que no los utilizará para sus propios fines a menos que haya agregado y anonimizado los datos de tal manera que no identifique al Cliente ni a ninguna otra persona, en particular a los Usuarios Finales.
Este DPA está sujeto a la legislación aplicable y a las condiciones de jurisdicción del Acuerdo. No obstante lo anterior, en la medida permitida por la ley, toda responsabilidad que surja bajo este DPA estará regida por las limitaciones de responsabilidad (incluidos los límites de responsabilidad) en el Acuerdo.
Apéndice 1
(Descripción del tratamiento)
Categorías de titulares de datos a los que se refieren los datos
Los datos personales se refieren a los correos electrónicos profesionales de los leads que se envían a la Plataforma.
Categorías de datos personales
Los datos personales procesados pueden incluir las siguientes categorías de datos:
Información identificativa profesional directa (por ejemplo, nombre, dirección de correo electrónico, número de teléfono).
Categorías especiales de datos
No aplicable
Propósito del tratamiento
Los datos personales se procesan con el propósito de proporcionar acceso y uso de la Plataforma de acuerdo con el Acuerdo.
Tipos de tratamiento
Recolección o registro de datos personales.
Almacenamiento o conservación de datos personales.
Comunicación de datos personales.
Uso de datos personales.
Apéndice 2.
LISTA DE SUBPROCESADORES
Subprocesador
Servicio
Ubicación
Amazon Web Services
IT (Alojamiento e infraestructura)
Suecia (UE)
DigitalOcean Holdings, Inc.
IT (Alojamiento e infraestructura)
Alemania (UE), Países Bajos (UE)
Distant Future, S.L.
Validador de teléfono
España (UE)
Google Ireland, Ltd.
Google OAuth2
Irlanda (UE)
Hubspot, Inc.
Ventas y marketing
Alemania (UE)
Stepward SAS
IT (Alojamiento e infraestructura)
Francia (UE)
Olinda SAS
Banca digital
Francia (UE)
SerpApi, LLC
IT (Alojamiento e infraestructura)
Texas (EE. UU.)
Slack Technologies, LLC
IT (Alojamiento e infraestructura)
Europa
Stripe Payments Europe, Limited
Servicios pagados
Europa
Temporal Technologies, Inc.
IT (Alojamiento e infraestructura)
Frankfurt (UE)
Warmy.io
IT (Alojamiento e infraestructura)
Israel
Zapier
Gastos de IT (Alojamiento e infraestructura)
Estados Unidos
FullEnrich Corp
Leads
Delaware (EE. UU.)
| LIST OF SUB-PROCESSORS | ||
|---|---|---|
| Subprocessor | Service | Location |
| Amazon Web Services | IT (Hosting and infrastructure) | Sweden (EU) |
| DigitalOcean Holdings, Inc. | IT (Hosting and infrastructure) | Germany (EU), Netherlands (EU) |
| Distant Future, S.L. | Telephone validator | Spain (EU) |
| Google Ireland, Ltd. | Google OAuth2 | Ireland (EU) |
| Hubspot, Inc. | Sales and marketing | Germany (EU) |
| Stepward SAS | IT (Hosting and infrastructure) | France (EU) |
| Olinda SAS | Digital banking | France (EU) |
| SerpApi, LLC | IT (Hosting and infrastructure) | Texas (USA) |
| Slack Technologies, LLC | IT (Hosting and infrastructure) | Europe |
| Stripe Payments Europe, Limited | Paid services | Europe |
| Temporal Technologies, Inc. | IT (Hosting and infrastructure) | Frankfurt (EU) |
| Warmy.io | IT (Hosting and infrastructure) | Israel |
| Zapier | IT expenses (Hosting and infrastructure) | United States |
| FullEnrich Corp | Leads | Delaware (US) |