Acuerdo de procesamientode datos de Yovale

«Servicio» significa el servicio de alojamiento WordPress gestionado por Yovale, disponible bajo el Acuerdo de licencia de usuario final de Yovale.

«Datos personales del cliente» significa los datos personales que Yovale procesa en nombre del cliente en relación con el Servicio.

«Interesado» significa una persona física identificada o identificable cuyos datos personales están contenidos en los datos personales del cliente.

«Subencargado» significa cualquier tercero contratado por Yovale para procesar datos personales del cliente en relación con el Servicio.

Los términos no definidos aquí — incluyendo «Responsable del tratamiento», «Encargado del tratamiento», «Datos personales», «Tratamiento», «Brecha de datos personales» y «Autoridad supervisora» — tienen los significados dados en el Artículo 4 del RGPD.

El cliente es el responsable del tratamiento de los datos personales del cliente. El cliente determina los fines y los medios del tratamiento.

Yovale es el encargado del tratamiento de los datos personales del cliente. Yovale procesa datos personales del cliente únicamente en base a instrucciones documentadas del cliente, incluidas las contenidas en la configuración del Servicio establecida por el cliente a través del panel de control de Yovale.

Cuando Yovale recopila datos personales directamente de las personas para sus propios fines — por ejemplo, en la relación con el titular de la cuenta — Yovale actúa como responsable del tratamiento para esos datos, y ese tratamiento se rige por la Política de privacidad de Yovale en lugar de por este APD.

El objeto del tratamiento es el alojamiento, almacenamiento, transmisión, copia de seguridad y mantenimiento operativo de los datos personales del cliente dentro de los sitios WordPress del cliente y las interfaces del panel asociadas.

La duración del tratamiento coincide con la duración del Servicio. Las obligaciones de Yovale en virtud de este APD continúan hasta que todos los datos personales del cliente hayan sido eliminados o devueltos de conformidad con la Sección 10.

La naturaleza del tratamiento comprende la recopilación, registro, organización, estructuración, almacenamiento, recuperación, transmisión, alojamiento y supresión de datos personales del cliente, según sea necesario para prestar el Servicio.

La finalidad del tratamiento es permitir al cliente operar el/los sitio(s) WordPress alojado(s) por el Servicio, incluida la entrega de contenido del sitio a los visitantes, la aceptación de envíos de formularios, la provisión del panel de administración, la generación de copias de seguridad, la presentación de registros y el apoyo a las integraciones elegidas por el cliente.

Categorías de datos personales del cliente: datos de identificación (nombres, direcciones de correo electrónico, identificadores de cuenta), datos de contacto enviados a través de formularios del sitio del cliente, contenido elaborado por usuarios del cliente, datos transaccionales en sitios WooCommerce cuando corresponda, señales técnicas (direcciones IP, agentes de usuario, marcas de tiempo), y cualquier otro dato personal que el cliente elija almacenar en el Servicio.

Categorías de interesados: propios usuarios y personal del cliente, visitantes del sitio del cliente, clientes y miembros del cliente, y otras personas físicas cuyos datos personales el cliente elija procesar a través del Servicio.

Datos de categoría especial: el cliente no debe cargar datos personales de categoría especial según lo definido en el Artículo 9 del RGPD sin notificar previamente a Yovale por escrito.

Yovale procesa datos personales del cliente únicamente en base a instrucciones documentadas del cliente. Las instrucciones son: (i) este APD, (ii) el Acuerdo de licencia de usuario final de Yovale, (iii) la configuración del Servicio que el cliente establece a través del panel, y (iv) cualquier instrucción escrita adicional que el cliente emita a Yovale por correo electrónico a dpo@yovale.com.

Si Yovale está obligado por el derecho de la UE o de un Estado miembro a tratar datos personales del cliente de forma distinta a las instrucciones del cliente, Yovale informará al cliente de esa obligación legal antes del tratamiento, a menos que ese derecho prohíba dicha notificación por razones de importante interés público.

Yovale garantiza que el personal autorizado para procesar datos personales del cliente está sujeto a obligaciones de confidencialidad apropiadas, ya sea a través de su contrato de trabajo o mediante compromisos escritos equivalentes.

El acceso a los datos personales del cliente dentro de Yovale está limitado al personal que requiere acceso para realizar sus funciones y se registra para fines de auditoría.

Red: TLS 1.2 o superior para todos los datos en tránsito. Protección DDoS de Cloudflare en cada sitio del cliente. Reglas WAF ajustadas a los patrones de amenazas de WordPress.

Cómputo: cada sitio WordPress del cliente se ejecuta en un contenedor Docker dedicado con sistema de archivos aislado, límites de memoria y workers PHP-FPM dedicados. Sin entorno PHP compartido entre clientes.

Almacenamiento: cifrado en reposo en el almacenamiento de copias de seguridad (Cloudflare R2) mediante AES-256. Claves de cifrado gestionadas bajo el contrato estándar de gestión de claves del proveedor.

Autenticación: el acceso al panel requiere credenciales verificadas por correo electrónico. Las llamadas entre servicios entre el panel y los agentes por VPS están firmadas con HMAC con secretos por servidor.

Supervisión: registros de actividad por sitio y registros de rastreadores de IA presentados en el panel del cliente; métricas a nivel de infraestructura conservadas y revisadas para la detección de anomalías.

Yovale mantiene una política de seguridad de la información escrita revisada al menos anualmente.

El personal con acceso a los sistemas de producción está sujeto a un proceso documentado de incorporación y salida, incluida la emisión, revocación y revisión de credenciales.

La gestión de cambios en la infraestructura de producción es revisada y registrada. Los cambios críticos son validados en un entorno de ensayo antes de su implementación.

Las copias de seguridad se prueban para verificar su restaurabilidad como mínimo trimestralmente.

Yovale realiza pruebas, evaluaciones y valoraciones periódicas de la eficacia de sus medidas técnicas y organizativas, incluido el análisis de vulnerabilidades de la pila de producción y la revisión de los registros de acceso.

Las debilidades significativas identificadas mediante pruebas se abordan a través del proceso de gestión de cambios de Yovale. Los hallazgos relevantes para los clientes — por ejemplo, vulnerabilidades que afectan al núcleo WordPress alojado — se comunican a los clientes a través del panel o por correo electrónico.

El cliente autoriza a Yovale a contratar subencargados para procesar datos personales del cliente sujeto a las condiciones de esta Sección 5. Yovale mantiene la lista actual de subencargados en su página de confianza y proporciona al menos 30 días de aviso previo de cualquier adición o reemplazo.

Infraestructura: Hetzner (DE), OVH (FR, CA, DE), Vultr (múltiples regiones), Cloudflare (borde global, DNS, WAF, almacenamiento R2).

Entrega de correo electrónico: Postmark, cuando el cliente activa el correo electrónico transaccional enviado por Yovale. Si el cliente configura su propio proveedor SMTP, ese proveedor no es un subencargado de Yovale.

Pagos: Razorpay (primario), PayPal (secundario), Stripe (cuando corresponda). Los procesadores de pago solo reciben los datos necesarios para procesar una transacción.

Soporte al cliente: los datos de contacto y las comunicaciones de soporte del cliente se procesan en el sistema de helpdesk interno de Yovale.

Cada subencargado se contrata bajo un contrato escrito que contiene obligaciones de protección de datos equivalentes en sustancia a las establecidas en este APD, incluidas las obligaciones de seguridad bajo el Artículo 32 del RGPD.

Si el cliente objeta razonablemente a un nuevo subencargado por motivos de protección de datos dentro de los 30 días de la notificación, las partes discutirán la objeción de buena fe. Si no se puede llegar a una resolución, el cliente puede rescindir la parte afectada del Servicio por causa justificada sin penalización, con efecto desde la fecha de incorporación propuesta del subencargado.

El cliente puede exportar, modificar o eliminar directamente los datos personales del cliente almacenados en el Servicio a través del panel de Yovale, el acceso WP-CLI y la interfaz administrativa de WordPress.

Estas herramientas de autoservicio son normalmente suficientes para que el cliente responda a las solicitudes de acceso, rectificación, supresión, limitación y portabilidad bajo los Artículos 15 a 20 del RGPD.

Cuando las herramientas de autoservicio son insuficientes — por ejemplo, la recuperación de datos de un entorno eliminado — el cliente puede presentar una solicitud escrita a dpo@yovale.com. Yovale proporcionará asistencia razonable dentro de los 10 días hábiles siguientes a la recepción, sujeto a restricciones legales y técnicas, y sin cargo adicional a menos que la solicitud requiera un esfuerzo materialmente desproporcionado.

Si un interesado se pone en contacto directamente con Yovale sobre los datos personales del cliente, Yovale no responderá al fondo de la solicitud y en su lugar la reenviará al cliente correspondiente sin demora indebida.

Yovale notificará al cliente de cualquier brecha de datos personales confirmada que afecte a los datos personales del cliente sin demora indebida y en todo caso dentro de las 72 horas siguientes a su confirmación.

La notificación se enviará a la dirección de correo electrónico asociada a la cuenta del cliente. Si ese canal no está disponible, Yovale intentará la notificación a través del panel de Yovale y cualquier contacto alternativo registrado.

Cada notificación describirá, en la medida en que se conozca en ese momento, la naturaleza de la brecha, las categorías y el número aproximado de interesados y registros de datos personales afectados, las posibles consecuencias de la brecha y las medidas adoptadas o propuestas para abordarla y mitigar sus posibles efectos adversos.

La información no disponible en la ventana inicial de 72 horas se proporcionará en actualizaciones posteriores conforme esté disponible. Yovale cooperará con el cliente en el cumplimiento de las obligaciones que el cliente pueda tener de notificar a las autoridades supervisoras o a los interesados bajo los Artículos 33 y 34 del RGPD.

Yovale pone a disposición del cliente la información razonablemente necesaria para demostrar el cumplimiento del Artículo 28 del RGPD, incluido este APD, la lista pública de subencargados y la descripción de seguridad de Yovale publicada en /security.

Ante una solicitud escrita razonable, Yovale responderá dentro de los 30 días a preguntas específicas razonablemente necesarias para permitir al cliente cumplir con sus propias obligaciones RGPD.

Cuando el cliente tenga motivos razonables para creer que la información anterior no proporciona evidencia suficiente de cumplimiento, puede solicitar una auditoría de las actividades de tratamiento de Yovale. Las auditorías están limitadas a una vez por período de doce meses, deben realizarse durante el horario comercial normal, no deben interrumpir las operaciones de Yovale ni comprometer la seguridad de otros clientes, y deben ser realizadas por el cliente o por un auditor tercero independiente bajo un compromiso de confidencialidad aceptable para Yovale.

El cliente asume los costes de cualquier auditoría que inicie bajo esta sección, excepto cuando la auditoría revele un incumplimiento material de este APD por parte de Yovale, en cuyo caso Yovale asumirá los costes de auditoría razonables.

Los clientes pueden seleccionar su región de alojamiento en el momento del aprovisionamiento. Yovale opera infraestructura en la Unión Europea (Hetzner DE, OVH FR/DE) y varias regiones fuera de la UE. Los datos personales del cliente permanecen en la región que el cliente seleccione, sujeto al comportamiento necesario de la caché perimetral de Cloudflare y el alcance global del plano de control del panel.

Cuando los datos personales del cliente se transfieren fuera del Espacio Económico Europeo, el Reino Unido o Suiza a un país no sujeto a una decisión de adecuación aplicable, la transferencia está sujeta a las Cláusulas Contractuales Estándar de la UE (2021/914) y el Addendum de Transferencia Internacional de Datos del Reino Unido, que se incorporan a este APD por referencia y se aplican automáticamente a dichas transferencias.

Yovale y cualquier subencargado fuera del EEE actúan respectivamente como exportador e importador de datos a los efectos de las Cláusulas Contractuales Estándar. Yovale proporcionará una copia de las cláusulas relevantes a petición.

Al finalizar el Servicio, el cliente puede, dentro de los 30 días siguientes a la fecha de finalización, solicitar la devolución de los datos personales del cliente a través de las herramientas de exportación estándar disponibles en el panel, o solicitar que Yovale los elimine.

Transcurrida esta ventana de 30 días, Yovale eliminará permanentemente los datos personales del cliente en un plazo adicional de 30 días, excepto en la medida en que la conservación sea requerida por el derecho de la UE o de un Estado miembro, en cuyo caso Yovale continuará aplicando las obligaciones de seguridad y confidencialidad de este APD durante el tiempo que los datos se conserven.

Las copias de seguridad rutinarias del entorno de producción pueden continuar conteniendo copias residuales de datos personales del cliente eliminados hasta 90 días a partir de la fecha de eliminación. Dichas copias residuales están sujetas a las mismas obligaciones de seguridad y no se utilizan para ningún otro propósito.

La responsabilidad bajo este APD está sujeta a las limitaciones establecidas en el Acuerdo de licencia de usuario final de Yovale.

Cuando cualquier disposición de este APD entre en conflicto con el Acuerdo de licencia de usuario final de Yovale en una cuestión de protección de datos, este APD prevalecerá en la medida del conflicto.

Contacto del Delegado de Protección de Datos: dpo@yovale.com. Las consultas generales de protección de datos también pueden enviarse a support@yovale.com.

El Representante en la UE de Yovale puede ser contactado a petición a través de dpo@yovale.com.