Este Acuerdo de Tratamiento de Datos (“ATD”) se celebra entre el cliente (“Cliente”) y Miranda Network SL (Granadilla de Abona, Santa Cruz de Tenerife, Spain), operador de ProfitFly(“Encargado”), y forma parte de los Términos del Servicio. Se aplica cuando el Encargado trata datos personales por cuenta del Cliente en relación con el Servicio y refleja los requisitos del artículo 28 del RGPD. Los términos en mayúscula no definidos aquí tienen el significado que les atribuye el RGPD.
1. Roles de las partes
Respecto de los datos personales tratados a través del Servicio por cuenta del Cliente, el Cliente es el responsable del tratamiento (o encargado por cuenta de sus propios responsables) y ProfitFly / Miranda Network SL es el encargado del tratamiento. El Cliente es responsable de establecer una base jurídica válida para el tratamiento y de la licitud de sus instrucciones.
2. Objeto y duración
El objeto del tratamiento es la prestación del Servicio. El tratamiento continúa durante la vigencia del acuerdo y hasta la supresión o devolución de los datos personales conforme a la Sección 9. Los detalles se establecen en el Anexo I.
3. Naturaleza y finalidad del tratamiento
El Encargado trata datos personales para proporcionar la funcionalidad de análisis de beneficio para ecommerce, incluida la importación de pedidos e inversión publicitaria, el cálculo de beneficio, margen y ROAS, y el reenvío de eventos de compra a las plataformas publicitarias a través de sus APIs de conversiones del lado del servidor, en cada caso conforme a las instrucciones documentadas del Cliente (incluida la configuración dentro del Servicio).
4. Categorías de interesados y de datos personales
Interesados: los propios clientes del Cliente (tal como figuran en los pedidos de la tienda) y los usuarios y el personal autorizados del Cliente.
Categorías de datos personales: datos de pedidos (totales, reembolsos, cancelaciones, líneas de pedido, divisa, país y marcas temporales), correo electrónico, nombre y país del cliente contenidos en los pedidos, datos de productos y costes, métricas publicitarias por cuenta y campaña, y datos de cuenta/contacto de los usuarios autorizados. El Servicio no está concebido para categorías especiales de datos personales, y el Cliente no debe enviar tales datos.
5. Obligaciones del encargado
El Encargado se compromete a:
- Tratar los datos personales únicamente conforme a las instrucciones documentadas del Cliente, también en lo relativo a las transferencias internacionales, salvo que lo exija la ley (en cuyo caso informará al Cliente, a menos que ello esté legalmente prohibido).
- Garantizar que las personas autorizadas para tratar datos personales estén sujetas a obligaciones de confidencialidad.
- Aplicar medidas técnicas y organizativas adecuadas según se describe en el Anexo II.
- Asistir al Cliente, teniendo en cuenta la naturaleza del tratamiento, en la respuesta a las solicitudes de los interesados (acceso, rectificación, supresión, limitación, portabilidad, oposición).
- Asistir al Cliente para garantizar el cumplimiento de las obligaciones de seguridad, notificación de brechas, evaluaciones de impacto relativas a la protección de datos y consulta previa (artículos 32 a 36 del RGPD).
- Poner a disposición la información necesaria para demostrar el cumplimiento del artículo 28 y contribuir a las auditorías según se describe en la Sección 8.
6. Subencargados
El Cliente otorga una autorización general para que el Encargado contrate a subencargados para el tratamiento de datos personales, con sujeción a términos escritos que impongan obligaciones de protección de datos no menos protectoras que las de este ATD. Los subencargados actuales son:
| Subencargado | Finalidad | Ubicación |
|---|---|---|
| Supabase | Base de datos y autenticación | UE / EE. UU. |
| Vercel | Alojamiento de la aplicación y del sitio web | UE / EE. UU. |
| Stripe | Facturación de suscripciones y procesamiento de pagos | EE. UU. / UE |
| Resend | Envío de correos transaccionales y de cuenta | EE. UU. / UE |
| Meta | Conversions API (reenvío de eventos de compra, cuando se habilita) | EE. UU. |
| TikTok | Events API (reenvío de eventos de compra, cuando se habilita) | EE. UU. |
El Encargado informará al Cliente de cualquier cambio previsto relativo a la incorporación o sustitución de subencargados, dando al Cliente la oportunidad de oponerse por motivos razonables de protección de datos. El Encargado seguirá siendo responsable de los actos y omisiones de sus subencargados.
7. Transferencias internacionales
Cuando la prestación del Servicio implique la transferencia de datos personales fuera del EEE, dichas transferencias se realizan sobre la base de una decisión de adecuación o de garantías adecuadas, principalmente las Cláusulas Contractuales Tipo de la Comisión Europea (“CCT”) junto con las medidas complementarias que se requieran. Las CCT se incorporan a este ATD por referencia cuando resulten aplicables.
8. Notificación de brechas de datos personales
El Encargado notificará al Cliente sin dilación indebida tras tener conocimiento de una brecha de datos personales que afecte a los datos personales del Cliente, y facilitará la información razonablemente disponible para ayudar al Cliente a cumplir sus propias obligaciones de notificación de brechas conforme a los artículos 33 y 34 del RGPD.
9. Auditorías
El Encargado pondrá a disposición la información necesaria para demostrar el cumplimiento de este ATD y permitirá y contribuirá a las auditorías, incluidas inspecciones, realizadas por el Cliente o por un auditor designado por el Cliente. Las auditorías se realizarán con un aviso previo razonable, no más de una vez al año (salvo tras una brecha o cuando lo exija una autoridad de control), en horario laboral y con sujeción a confidencialidad.
10. Devolución y supresión al terminar
Tras la terminación del Servicio, y a elección del Cliente, el Encargado suprimirá o devolverá todos los datos personales tratados por cuenta del Cliente y suprimirá las copias existentes, salvo que la conservación sea exigida por la ley. Las copias de seguridad se eliminan en el curso ordinario según el ciclo de conservación del Encargado.
Anexo I — Detalles del tratamiento
| Responsable | El Cliente |
|---|---|
| Encargado | Miranda Network SL (ProfitFly), Granadilla de Abona, Santa Cruz de Tenerife, Spain |
| Objeto | Prestación de servicios de análisis de beneficio para ecommerce. |
| Duración | Durante la vigencia del acuerdo y hasta la devolución o supresión de los datos personales. |
| Naturaleza y finalidad | Importación de pedidos e inversión publicitaria, cálculo de beneficio, margen y ROAS, y reenvío de eventos de compra a las plataformas publicitarias cuando se habilita. |
| Categorías de interesados | Los propios clientes del Cliente (a partir de los pedidos) y el personal autorizado. |
| Categorías de datos personales | Datos de pedidos, correo/nombre/país del cliente contenidos en los pedidos, datos de productos y costes, métricas publicitarias y datos de cuenta/contacto de los usuarios autorizados. |
| Categorías especiales | Ninguna prevista; el Cliente no debe enviar datos de categorías especiales. |
Anexo II — Medidas técnicas y organizativas
El Encargado mantiene las siguientes medidas de seguridad técnicas y organizativas, que pueden actualizarse a medida que evoluciona el Servicio siempre que el nivel de protección no disminuya:
| Medida | Descripción |
|---|---|
| Cifrado | TLS para los datos en tránsito; cifrado en reposo para los datos personales almacenados. |
| Control de acceso | Acceso basado en roles, principios de mínimo privilegio, cuentas únicas y autenticación reforzada para el personal. |
| Seudonimización y minimización | Minimización de datos y seudonimización cuando sea factible en el tratamiento de datos personales. |
| Confidencialidad e integridad | Compromisos de confidencialidad, controles de red y monitorización de la integridad. |
| Disponibilidad y resiliencia | Copias de seguridad, redundancia y procedimientos de recuperación ante desastres. |
| Registro y monitorización | Registro de auditoría, monitorización de seguridad y alertas ante actividad anómala. |
| Desarrollo seguro | SDLC seguro, revisión de código, gestión de dependencias y control de cambios. |
| Gestión de proveedores | Diligencia debida y términos de protección de datos con los subencargados. |
| Pruebas y evaluación | Revisión y prueba periódicas de la eficacia de las medidas de seguridad. |
Para una descripción más completa de nuestro programa de seguridad, consulte nuestra página de Seguridad. Las preguntas sobre este ATD pueden enviarse a support@mirandanetwork.es o support@mirandanetwork.es.