Acuerdo de Tratamiento de Datos

Los términos en mayúsculas utilizados pero no definidos en este DPA tienen el significado establecido en los Términos de Servicio. A los efectos de este DPA:

"Legislación Aplicable en Materia de Protección de Datos" significa todas las leyes y reglamentos aplicables al tratamiento de datos personales en virtud de este DPA, incluyendo (a) el Reglamento General de Protección de Datos de la UE 2016/679 ("RGPD"); (b) el RGPD del Reino Unido y la Ley de Protección de Datos del Reino Unido de 2018; (c) la Ley de Privacidad del Consumidor de California, modificada por la Ley de Derechos de Privacidad de California ("CCPA/CPRA"); y (d) otras leyes de privacidad de los estados de EE. UU. (incluidas las de Virginia, Colorado, Connecticut, Utah, Texas y Oregón), cada una de ellas en vigor en cada momento.

"Responsable del Tratamiento", "Encargado del Tratamiento", "Interesado", "Datos Personales", "Tratamiento" y "Violación de Datos Personales" tienen el significado establecido en el RGPD. Conforme a la CCPA/CPRA, el "Cliente" actúa como "Empresa" ("Business") y "Bellafy" actúa como "Proveedor de Servicios" ("Service Provider").

"Usuario Final" significa una persona física que interactúa con la Aplicación Web Progresiva del Cliente impulsada por Bellafy (normalmente un cliente de la clínica de belleza del Cliente).

"Servicios" significa la plataforma Bellafy y los servicios relacionados prestados al Cliente en virtud de los Términos de Servicio.

"Cláusulas Contractuales Tipo" o "CCT" significa las cláusulas contractuales tipo para la transferencia de datos personales a terceros países conforme al Reglamento (UE) 2016/679, aprobadas por la Comisión Europea (Decisión 2021/914/UE), según se modifiquen o sustituyan periódicamente.

"Subencargado" significa cualquier tercero contratado por Bellafy para tratar Datos Personales en su nombre en relación con los Servicios.

Este DPA se aplica al Tratamiento de Datos Personales por parte de Bellafy actuando como Encargado del Tratamiento en nombre del Cliente, que actúa como Responsable del Tratamiento.

El Cliente es y sigue siendo el Responsable del Tratamiento de los Datos Personales de los Usuarios Finales tratados a través de su cuenta de Bellafy. El Cliente es responsable de la licitud de la recopilación, el uso y el tratamiento de dichos Datos Personales, incluyendo asegurar que existan bases jurídicas adecuadas para el tratamiento y que los Usuarios Finales hayan sido debidamente informados a través del aviso de privacidad propio del Cliente.

Bellafy actúa como Encargado del Tratamiento y solo tratará los Datos Personales siguiendo instrucciones documentadas del Cliente, según se establece en este DPA, los Términos de Servicio y el uso que el Cliente haga de los Servicios. Bellafy informará al Cliente sin dilación indebida si, en su opinión, una instrucción infringe la Legislación Aplicable en Materia de Protección de Datos.

Este DPA no se aplica a los Datos Personales respecto de los cuales Bellafy actúe como Responsable del Tratamiento (por ejemplo, información de cuenta de los usuarios autorizados del Cliente, información de facturación o analíticas del sitio web sobre visitantes de bellafy.app). Dicho tratamiento se rige por la Política de Privacidad de Bellafy.

Objeto del Tratamiento. Prestación de los Servicios de Bellafy, incluyendo reservas en línea, coordinación de pagos, gestión de bonos, programa de fidelización, notificaciones push y gestión de la base de datos de clientes.

Duración del Tratamiento. Durante el tiempo en que el Cliente mantenga una cuenta activa de Bellafy, más los períodos de retención establecidos en la Sección 9 (Devolución y Eliminación).

Naturaleza y finalidad del Tratamiento. Almacenamiento, organización, recuperación, consulta, uso, comunicación por transmisión (a Subencargados autorizados), restricción, supresión y destrucción de Datos Personales según sea necesario para prestar los Servicios.

Tipos de Datos Personales tratados en nombre del Cliente. Limitados al mínimo necesario para prestar los Servicios: nombre, número de teléfono, historial de citas, saldos de bonos, saldo de puntos de fidelización, preferencias de comunicación, datos de suscripción a notificaciones push (cuando se haya optado por ello) y referencias de métodos de pago tokenizados de Stripe del Usuario Final. Bellafy no recibe ni almacena en ningún momento números de tarjetas de pago en bruto.

Categorías de Interesados. Usuarios Finales registrados a través de la Aplicación Web Progresiva del Cliente (normalmente clientes de la clínica de belleza del Cliente).

Bellafy tratará los Datos Personales únicamente siguiendo las instrucciones documentadas del Cliente, incluidas las reflejadas en el uso que el Cliente haga de los Servicios y en las opciones de configuración establecidas en el panel de control de Bellafy. El Cliente instruye a Bellafy a tratar los Datos Personales: (a) para prestar y mantener los Servicios; (b) según se especifique adicionalmente en la configuración de los Servicios (por ejemplo, recordatorios de citas, notificaciones push, cálculos de puntos de fidelización); (c) para cumplir con las instrucciones razonables del Cliente coherentes con los Términos de Servicio; y (d) según lo exija la ley, en cuyo caso Bellafy informará al Cliente de ese requisito legal salvo que esté prohibido hacerlo.

Si Bellafy considera que una instrucción del Cliente infringiría la Legislación Aplicable en Materia de Protección de Datos, Bellafy informará al Cliente sin dilación indebida. El Cliente será responsable de cualquier instrucción que proporcione a Bellafy.

Bellafy garantizará que todo el personal autorizado para tratar Datos Personales esté sujeto a obligaciones de confidencialidad adecuadas, ya sean contractuales o legales, y que dicho personal trate los Datos Personales únicamente en la medida necesaria para el desempeño de sus funciones (principio de necesidad de conocer).

Bellafy adoptará medidas razonables para asegurar que el personal autorizado para tratar Datos Personales sea fiable y haya recibido la formación adecuada sobre sus responsabilidades conforme a la Legislación Aplicable en Materia de Protección de Datos.

Bellafy ha implementado y mantendrá medidas técnicas y organizativas adecuadas diseñadas para proteger los Datos Personales contra el tratamiento no autorizado o ilícito y contra la pérdida, destrucción, daño, alteración o divulgación accidentales.

Las medidas de seguridad actuales se describen en la página de Seguridad de Bellafy en https://bellafy.app/en/security e incluyen, sin limitación: cifrado de datos en tránsito (TLS 1.3) y en reposo (AES-256); Seguridad a Nivel de Fila (Row-Level Security) en la capa de base de datos para aislar los datos del Cliente; autenticación de dos factores disponible para todos los usuarios del Cliente; protección contra bots y limitación de velocidad en endpoints sensibles; principio de mínimo privilegio para el acceso interno; registro de auditoría de operaciones sensibles; y revisión periódica de la postura de seguridad.

Bellafy podrá actualizar sus medidas de seguridad periódicamente siempre que las actualizaciones no reduzcan sustancialmente el nivel general de protección.

El Cliente otorga una autorización general a Bellafy para contratar Subencargados para tratar Datos Personales en nombre del Cliente en relación con los Servicios.

En la fecha de este DPA, Bellafy contrata a los siguientes Subencargados: Stripe, Inc. (Estados Unidos) — procesamiento de pagos; Supabase Inc. (Estados Unidos) — base de datos, autenticación y almacenamiento de archivos; Vercel Inc. (Estados Unidos) — alojamiento de la aplicación; Resend (Estados Unidos) — correo electrónico transaccional; Cloudflare, Inc. (Estados Unidos) — protección contra bots y red de distribución de contenidos; Google LLC (Estados Unidos) — analíticas del sitio web.

Una lista actualizada de Subencargados, incluidas las categorías de Datos Personales tratados por cada uno, está disponible en https://bellafy.app/en/privacy y https://bellafy.app/en/security.

Bellafy notificará al Cliente con al menos 30 días de antelación antes de contratar a cualquier nuevo Subencargado que vaya a tratar Datos Personales, actualizando la lista mencionada o por otro medio razonable (incluido el correo electrónico al titular de la cuenta).

El Cliente podrá oponerse por escrito al nombramiento de un nuevo Subencargado por motivos razonables relacionados con la protección de los Datos Personales, en un plazo de 30 días desde la notificación. Si las partes no llegan a una solución mutuamente aceptable en los siguientes 30 días, el Cliente podrá rescindir los Servicios afectados por conveniencia mediante notificación por escrito, sin responsabilidad para ninguna de las partes salvo las cuotas devengadas antes de la rescisión. En ausencia de objeción por escrito dentro del plazo de 30 días, el nombramiento del nuevo Subencargado se considerará aceptado.

Bellafy celebrará un acuerdo por escrito con cada Subencargado que imponga obligaciones de protección de datos sustancialmente equivalentes a las establecidas en este DPA y seguirá siendo responsable del cumplimiento de dichas obligaciones por parte de sus Subencargados.

Bellafy está establecida en los Estados Unidos y trata los Datos Personales principalmente en los Estados Unidos. Algunos Subencargados también podrán tratar Datos Personales en otras jurisdicciones.

Cuando los Datos Personales procedentes del Espacio Económico Europeo, el Reino Unido o Suiza se transfieran a un país que no haya recibido una decisión de adecuación de la autoridad competente, dichas transferencias se regirán por las Cláusulas Contractuales Tipo (Módulo Dos: Responsable a Encargado) publicadas por la Comisión Europea (Decisión 2021/914/UE), que quedan incorporadas a este DPA por referencia. Para las transferencias sujetas al RGPD del Reino Unido, se incorpora por referencia la Adenda de Transferencia Internacional de Datos del Reino Unido a las CCT de la UE, emitida por la Oficina del Comisionado de Información del Reino Unido.

A los efectos de las CCT: (a) el Cliente es el "exportador de datos" y Bellafy es el "importador de datos"; (b) se aplica la Cláusula 7 (cláusula de acoplamiento); (c) en la Cláusula 9, se aplica la Opción 2 (autorización general por escrito para Subencargados) con un plazo de notificación de 30 días según se establece en la Sección 7 de este DPA; (d) en la Cláusula 11, no se utiliza el lenguaje opcional de reparación; (e) en la Cláusula 17, se aplica la Opción 1, siendo el Derecho irlandés la ley aplicable; (f) en la Cláusula 18, se eligen los tribunales de Irlanda como tribunales competentes; y (g) el Anexo I (lista de partes, descripción de la transferencia), el Anexo II (medidas técnicas y organizativas) y el Anexo III (lista de Subencargados) se completan por referencia a este DPA y a las páginas de Seguridad y Privacidad de Bellafy.

Bellafy implementará las medidas suplementarias necesarias para garantizar un nivel de protección esencialmente equivalente, que podrán incluir medidas técnicas (cifrado, controles de acceso), medidas contractuales (según se establece en las CCT) y medidas organizativas (impugnación de solicitudes gubernamentales excesivamente amplias, publicación de informes de transparencia si se producen).

Durante la vigencia de los Servicios, el Cliente podrá exportar en cualquier momento los Datos Personales de los Usuarios Finales a través de las funciones de exportación proporcionadas en el panel de control de Bellafy (incluyendo la lista de clientes, el historial de reservas y los registros de actividad).

Tras la rescisión o expiración de los Servicios por cualquier motivo, el Cliente podrá solicitar la devolución o eliminación de los Datos Personales. En ausencia de una instrucción específica del Cliente, Bellafy conservará los Datos Personales en un estado de solo lectura durante 30 días a partir de la rescisión para permitir su exportación, y posteriormente eliminará permanentemente los Datos Personales de sus sistemas activos.

La eliminación de las copias de seguridad se produce de acuerdo con el ciclo de retención de copias de seguridad (normalmente dentro de la ventana de recuperación a un punto en el tiempo mantenida por el proveedor de base de datos de Bellafy, actualmente hasta 7 días). Durante ese período residual, los datos de las copias de seguridad no se acceden activamente y se sobrescriben en el curso ordinario.

Bellafy podrá conservar los Datos Personales en la medida en que lo exija la ley aplicable, incluida la legislación fiscal y contable, en cuyo caso dicha conservación se limitará al mínimo requerido y los datos seguirán protegidos de conformidad con este DPA.

Como Encargado del Tratamiento, Bellafy proporcionará asistencia razonable al Cliente, teniendo en cuenta la naturaleza del Tratamiento y la información disponible para Bellafy, para cumplir con las obligaciones del Cliente de responder a las solicitudes de los Interesados que ejerzan sus derechos conforme a la Legislación Aplicable en Materia de Protección de Datos, incluidos los derechos de acceso, rectificación, supresión, limitación, portabilidad y oposición.

Si un Interesado presenta una solicitud directamente a Bellafy relativa a Datos Personales tratados en nombre del Cliente, Bellafy, sin dilación indebida, informará al Interesado de que la solicitud debe dirigirse al Cliente y, cuando corresponda, remitirá la solicitud al Cliente.

En la medida en que el Cliente no pueda obtener la información necesaria a través de las funciones de exportación y eliminación autoservicio del panel de control de Bellafy, el Cliente podrá solicitar asistencia adicional a Bellafy poniéndose en contacto con support@bellafy.app.

Bellafy notificará al Cliente sin dilación indebida y, en cualquier caso, en un plazo de 72 horas, tras tener conocimiento de una Violación de Datos Personales que afecte a los Datos Personales del Cliente.

Dicha notificación incluirá, en la medida en que se conozca en ese momento: (a) una descripción de la naturaleza de la Violación de Datos Personales, incluyendo las categorías y el número aproximado de Interesados y registros afectados; (b) las posibles consecuencias de la Violación de Datos Personales; (c) las medidas adoptadas o propuestas para abordar la Violación de Datos Personales, incluidas las medidas para mitigar sus posibles efectos adversos; y (d) un punto de contacto para obtener más información.

Cuando y en la medida en que no sea posible proporcionar toda la información al mismo tiempo, la información podrá facilitarse de manera gradual sin más dilación indebida.

La notificación o respuesta de Bellafy ante una Violación de Datos Personales no constituye un reconocimiento por parte de Bellafy de culpa o responsabilidad. El Cliente sigue siendo responsable de notificar a la autoridad de control competente y a los Interesados afectados según lo exija la Legislación Aplicable en Materia de Protección de Datos.

Bellafy proporcionará asistencia razonable al Cliente, a un coste razonable para el Cliente cuando dicha asistencia exceda sustancialmente la información ya puesta a disposición públicamente (por ejemplo, a través de las páginas de Privacidad, Seguridad y Documentación de Bellafy), con: (a) cualquier evaluación de impacto en la protección de datos que el Cliente esté obligado a realizar conforme a la Legislación Aplicable en Materia de Protección de Datos; y (b) cualquier consulta previa con una autoridad de control exigida por dicha legislación.

Bellafy pondrá a disposición del Cliente toda la información razonablemente necesaria para demostrar el cumplimiento de sus obligaciones en virtud de este DPA y de la Legislación Aplicable en Materia de Protección de Datos. Esto incluye la información publicada en la página de Seguridad de Bellafy, la lista de Subencargados y cualesquiera informes de auditoría o certificaciones de terceros que Bellafy pueda tener en cada momento.

Cuando el Cliente considere razonablemente que la información puesta a disposición es insuficiente para demostrar el cumplimiento, el Cliente podrá solicitar información adicional por escrito con al menos 30 días de antelación, no más de una vez cada doce meses (excepto tras una Violación de Datos Personales que afecte al Cliente). Bellafy responderá a dichas solicitudes en un plazo razonable.

Las auditorías in situ no están disponibles de manera general; cuando la Legislación Aplicable en Materia de Protección de Datos (incluidas las CCT) las exija, las partes acordarán previamente el alcance, el calendario y la forma de realización de la auditoría, la cual se llevará a cabo durante el horario laboral habitual, sin interrumpir las operaciones de Bellafy y con sujeción a las protecciones adecuadas de confidencialidad y seguridad. El Cliente asumirá el coste de cualquier auditoría in situ que solicite.

Esta Sección se aplica en la medida en que Bellafy trate Datos Personales de residentes de California en nombre del Cliente.

Las partes reconocen que el Cliente es la "Empresa" ("Business") y Bellafy es el "Proveedor de Servicios" ("Service Provider") con respecto a dichos Datos Personales.

Bellafy: (a) no venderá ni compartirá (según se definen dichos términos en la CCPA/CPRA) Datos Personales; (b) no conservará, utilizará ni divulgará Datos Personales para ningún fin distinto del fin específico de prestar los Servicios o según lo permita de otro modo la CCPA/CPRA; (c) no conservará, utilizará ni divulgará Datos Personales fuera de la relación comercial directa entre el Cliente y Bellafy; (d) no combinará Datos Personales recibidos del Cliente o en su nombre con Datos Personales recibidos de otra fuente, excepto según lo permita la CCPA/CPRA; y (e) cumplirá con las obligaciones aplicables conforme a la CCPA/CPRA.

Bellafy certifica que comprende las restricciones establecidas en esta Sección 14 y que las cumplirá.

La responsabilidad de cada parte en virtud de o en relación con este DPA está sujeta a las limitaciones de responsabilidad establecidas en los Términos de Servicio, excepto cuando y en la medida en que dichas limitaciones no estén permitidas por la Legislación Aplicable en Materia de Protección de Datos (incluida la Cláusula 12 de las CCT, en la medida en que se incorpore).

Este DPA entra en vigor tras la aceptación por parte del Cliente de los Términos de Servicio y permanecerá vigente mientras Bellafy trate Datos Personales en nombre del Cliente. Las secciones que por su naturaleza están destinadas a sobrevivir (incluidas las relativas a la confidencialidad, la devolución y eliminación, y la responsabilidad) continuarán aplicándose tras la rescisión.

Orden de prelación. En caso de conflicto entre este DPA y los Términos de Servicio, prevalecerá este DPA en lo relativo a cuestiones de protección de datos. En caso de conflicto entre este DPA y las CCT (cuando estén incorporadas), prevalecerán las CCT.

Modificaciones. Bellafy podrá actualizar este DPA periódicamente para reflejar cambios en la Legislación Aplicable en Materia de Protección de Datos, cambios en sus Servicios o cambios en sus prácticas de seguridad. Cuando se realicen cambios sustanciales, Bellafy notificará al Cliente con al menos 15 días de antelación a la entrada en vigor de los cambios.

Acuerdo completo. Este DPA, junto con los Términos de Servicio y la Política de Privacidad, constituye el acuerdo completo entre las partes con respecto al Tratamiento de Datos Personales.

Idioma. En caso de conflicto entre la versión en inglés de este DPA y cualquier versión traducida, prevalecerá la versión en inglés.

Copia firmada. Si bien no se requiere firma para que este DPA sea vinculante, los Clientes pueden solicitar una copia refrendada para sus registros enviando un correo electrónico a support@bellafy.app con el asunto "Solicitud de firma del DPA".

Las preguntas sobre este DPA pueden enviarse a support@bellafy.app.

Bellafy LLC

[Dirección del agente registrado, Wyoming]

Estados Unidos