PrismaNote
Legal

Acuerdo de tratamiento de datos

Este Acuerdo de tratamiento de datos entre PrismaNote y los Minoristas o Marcas complementa las Condiciones del servicio.

Conforme al RGPD de la UE, PrismaNote actúa como ‘Encargado del tratamiento’ y los usuarios de PrismaNote como ‘Responsable del tratamiento’ respecto de los datos personales facilitados por los usuarios.

Este Acuerdo forma parte integrante de las Condiciones del servicio. Sus disposiciones prevalecen sobre cualquier cláusula contraria de las Condiciones generales.

Nuestra política de privacidad describe los casos en que PrismaNote actúa como Responsable.

1. Definiciones

Los términos ‘Encargado’ (PrismaNote), ‘Responsable’ (usuario registrado), ‘Tratamiento’, ‘Datos’, ‘Interesado’ y ‘Violación de datos’ tienen el significado establecido en el RGPD.

2. Tratamiento

El Encargado tratará los Datos únicamente según instrucciones documentadas del Responsable y conforme al RGPD. La propiedad de los Datos permanece en el Responsable.

3. Personal

Toda persona que actúe bajo la autoridad del Encargado está sujeta a una estricta obligación de confidencialidad y trata los Datos solo bajo instrucciones del Responsable.

4. Seguridad

El Encargado implementa medidas técnicas y organizativas adecuadas: seudonimización, cifrado, confidencialidad, integridad, disponibilidad y resiliencia continuas.

5. Subencargados

No se contratará a otro encargado sin autorización escrita del Responsable. Con autorización general, este podrá oponerse en un plazo de 15 días tras la notificación. Se trasladan las mismas obligaciones de protección de datos.

6. Derechos de los interesados

El Encargado asiste al Responsable para responder a las solicitudes de los interesados y solo responde bajo instrucciones documentadas.

7. Violación de datos

Toda violación se notifica al Responsable sin demora indebida, con la información necesaria para cumplir las obligaciones de notificación.

8. Evaluación de impacto

El Encargado presta asistencia razonable en las evaluaciones de impacto y consultas previas con las autoridades.

9. Supresión o devolución

Tras la finalización, los Datos se eliminan en 30 días o se devuelven a petición. El cumplimiento se certifica por escrito en 60 días.

10. Derechos de auditoría

El Responsable podrá auditar el cumplimiento de este Acuerdo; el Encargado facilita la información necesaria.

11. Disposiciones finales

Cualquier cuestión no regulada se rige por las Condiciones. La invalidez de una cláusula no afecta a las demás.

Anexo 1: medidas técnicas y organizativas

El Encargado implementa las siguientes medidas en el sentido del artículo 28 del RGPD:

Confidencialidad

  • Asignación de derechos de usuario
  • Perfiles de usuario
  • Autenticación por usuario y contraseña
  • Políticas de contraseñas (longitud, complejidad, rotación)
  • VPN, antivirus, cortafuegos
  • Separación de red corporativa y WLAN de invitados
  • Autorizaciones por roles
  • Destrucción segura y cifrado TLS
  • Seudonimización mediante números de cliente / usuario

Integridad

  • Registro de sistemas TI
  • Protección de archivos de registro
  • Contratos con subencargados conforme al art. 28 RGPD
  • Confidencialidad de los empleados

Precauciones y seguridad

  • Puertas cortafuegos
  • Extintores
  • Copias de seguridad periódicas

Supervisión y revisión periódicas

  • Gestión y políticas de protección de datos
  • Registro de actividades de tratamiento
  • Formación periódica
  • Obligaciones de confidencialidad

Última actualización: junio de 2026