ObligoBoard← Back to home

Version: 2026-06-25

¿Necesitas un DPA firmado? Customers can self-sign a pre-filled copy from Settings → Legal once signed in. The signed PDF is stored alongside your organisation record and can be downloaded any time. Replace the bracketed customer-side placeholders below with your organisation's details before signing.

ACUERDO DE TRATAMIENTO DE DATOS

Última actualización: 2026-06-25

entre

[CUSTOMER LEGAL NAME] (el «Responsable del tratamiento» / Controller) [CUSTOMER REGISTERED ADDRESS] [CUSTOMER VAT / REGISTRATION NUMBER] representado por [CUSTOMER SIGNATORY NAME], [CUSTOMER SIGNATORY ROLE]

y

Grewing Mirko D.I. (el «Encargado del tratamiento» / Processor o «ObligoBoard») Via delle Casine 19, Firenze, Italia P.IVA: IT07214970480 Codice Fiscale: GRWMRK79T26H501F PEC: mirko.grewing@pec.net representado por Mirko Grewing, Titular

cada uno una «Parte» y conjuntamente las «Partes».

ANTECEDENTES

(A) El Responsable del tratamiento y el Encargado del tratamiento han celebrado uno o varios contratos de servicio relativos al uso de la plataforma de software como servicio ObligoBoard (el «Contrato Principal»).

(B) La ejecución del Contrato Principal requiere que el Encargado del tratamiento trate datos personales por cuenta del Responsable del tratamiento en el sentido del Reglamento (UE) 2016/679 («RGPD») y, cuando proceda, de la legislación equivalente conservada del Reino Unido (UK GDPR).

(C) El presente Acuerdo de Tratamiento de Datos (el «DPA») establece las condiciones en las que el Encargado del tratamiento trata dichos datos personales y forma parte integrante del Contrato Principal, de conformidad con el artículo 28 RGPD.

1. DEFINICIONES

1.1 Los términos en mayúscula no definidos en el presente DPA tendrán el significado que les atribuye el RGPD. Se aplican las siguientes definiciones:

  • «Responsable del tratamiento» (Controller) — la persona física o jurídica identificada como cliente en el Contrato Principal, que determina los fines y medios del tratamiento de los Datos Personales.
  • «Datos Personales» — cualquier dato personal en el sentido del artículo 4, apartado 1, RGPD tratado por el Encargado del tratamiento por cuenta del Responsable del tratamiento en relación con el Contrato Principal.
  • «Violación de la seguridad de los datos personales» — una violación de la seguridad en el sentido del artículo 4, apartado 12, RGPD.
  • «Tratamiento» — cualquier operación o conjunto de operaciones en el sentido del artículo 4, apartado 2, RGPD.
  • «Encargado del tratamiento» (Processor) — Grewing Mirko D.I., que opera como ObligoBoard.
  • «Cláusulas Contractuales Tipo» o «CCT/SCC» — las cláusulas contractuales tipo para la transferencia de datos personales a terceros países adoptadas por la Decisión de Ejecución (UE) 2021/914 de la Comisión, de 4 de junio de 2021.
  • «Subencargado del tratamiento» (Sub-processor) — cualquier tercero contratado por el Encargado del tratamiento para tratar Datos Personales por cuenta del Responsable del tratamiento.

2. OBJETO, NATURALEZA Y FINALIDAD

2.1 Objeto. Prestación de la plataforma SaaS ObligoBoard (software de gestión del cumplimiento) al Responsable del tratamiento, según se describe con mayor detalle en el Contrato Principal.

2.2 Naturaleza y finalidad. Alojamiento, almacenamiento, recuperación, transmisión, organización y supresión de los Datos Personales necesarios para el funcionamiento de las funcionalidades de la plataforma utilizadas por el Responsable del tratamiento, incluyendo, entre otras: autenticación de usuarios, gestión de organizaciones, seguimiento de tareas de cumplimiento, almacenamiento de pruebas, generación de documentos (políticas de privacidad, políticas de cookies), análisis de cookies, administración de facturación y atención al cliente.

2.3 Instrucciones documentadas. Las instrucciones documentadas del Responsable del tratamiento al Encargado del tratamiento están constituidas por el Contrato Principal, el presente DPA y el uso por parte del Responsable del tratamiento de las funcionalidades de la plataforma dentro de su funcionalidad prevista. Cualquier instrucción adicional deberá impartirse por escrito.

3. DURACIÓN

3.1 El presente DPA entra en vigor en la fecha de efecto del Contrato Principal y permanece en vigor durante la vigencia del Contrato Principal, más cualquier periodo posterior a la terminación que el Encargado del tratamiento necesite para cumplir sus obligaciones en virtud de la Sección 6.8 (Devolución o Supresión).

4. CATEGORÍAS DE INTERESADOS Y DE DATOS PERSONALES

4.1 Categorías de interesados.

  • Empleados, contratistas y usuarios autorizados de la plataforma del Responsable del tratamiento
  • Personas de contacto, proveedores y otros terceros del Responsable del tratamiento cuyos datos este decida cargar en la plataforma
  • Interesados cuyos datos se mencionen en la documentación de cumplimiento, políticas, pruebas o registros cargados por el Responsable del tratamiento

4.2 Categorías de Datos Personales.

  • Datos de identidad: nombre, correo electrónico, rol/cargo
  • Datos de autenticación: hashes de contraseñas, tokens de sesión, identificadores de autenticación de doble factor
  • Datos de organización: nombre de la organización, dirección, número de IVA, datos de contacto
  • Datos de actividad: acciones realizadas en la plataforma, marcas de tiempo, direcciones IP, registros de auditoría
  • Datos de contenido: documentos, archivos de prueba, registros de cumplimiento, texto de políticas, resultados de análisis de cookies, campos de texto libre introducidos por los usuarios
  • Datos de facturación: información de facturación tratada a través de Stripe (limitada; véase Anexo III)
  • Cualquier otro Dato Personal que el Responsable del tratamiento decida cargar a través de las funcionalidades de la plataforma

4.3 Categorías especiales. El Responsable del tratamiento no cargará categorías especiales de Datos Personales en el sentido del artículo 9 RGPD, ni datos relativos a condenas e infracciones penales (artículo 10 RGPD), salvo acuerdo previo expreso por escrito con el Encargado del tratamiento.

5. OBLIGACIONES DEL RESPONSABLE DEL TRATAMIENTO

5.1 El Responsable del tratamiento garantiza que:

  • (a) dispone de una base jurídica válida con arreglo al artículo 6 RGPD (y, cuando proceda, al artículo 9 RGPD) para el Tratamiento que instruye realizar al Encargado del tratamiento;
  • (b) facilita a los interesados la información exigida por los artículos 13 y 14 RGPD;
  • (c) mantiene el registro de las actividades de tratamiento exigido por el artículo 30, apartado 1, RGPD respecto del tratamiento realizado como Responsable del tratamiento;
  • (d) imparte instrucciones documentadas únicamente para tratamientos lícitos, necesarios y proporcionados.

5.2 El Responsable del tratamiento es responsable de la exactitud, calidad y licitud de los Datos Personales que facilita al Encargado del tratamiento.

6. OBLIGACIONES DEL ENCARGADO DEL TRATAMIENTO

6.1 Instrucciones documentadas. El Encargado del tratamiento tratará los Datos Personales únicamente siguiendo instrucciones documentadas del Responsable del tratamiento, también en lo que respecta a las transferencias a terceros países, salvo que el Derecho de la Unión o de los Estados miembros al que esté sujeto el Encargado del tratamiento le obligue a otra cosa. En tal caso, el Encargado del tratamiento informará al Responsable del tratamiento de dicha exigencia legal antes del tratamiento, salvo que el Derecho lo prohíba por razones importantes de interés público.

6.2 Confidencialidad del personal. El Encargado del tratamiento garantizará que las personas autorizadas para tratar los Datos Personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación legal apropiada de confidencialidad.

6.3 Medidas de seguridad. El Encargado del tratamiento aplicará y mantendrá las medidas técnicas y organizativas descritas en el Anexo II para garantizar un nivel de seguridad adecuado al riesgo, de conformidad con el artículo 32 RGPD. El Encargado del tratamiento comprobará, evaluará y valorará periódicamente la eficacia de dichas medidas.

6.4 Subencargados del tratamiento.

(a) Autorización general. El Responsable del tratamiento otorga al Encargado del tratamiento una autorización general por escrito para contratar Subencargados del tratamiento para el Tratamiento de los Datos Personales, con sujeción a la presente Sección 6.4. La lista actual de Subencargados del tratamiento figura en el Anexo III.

(b) Notificación de cambios. El Encargado del tratamiento informará al Responsable del tratamiento de cualquier incorporación o sustitución prevista de Subencargados del tratamiento con al menos treinta (30) días de antelación, mediante correo electrónico al contacto de facturación o administración del Responsable del tratamiento, o mediante notificación dentro de la plataforma.

(c) Derecho de oposición. En un plazo de treinta (30) días desde dicha notificación, el Responsable del tratamiento podrá oponerse por motivos razonables y documentados de protección de datos. Si las Partes no logran acordar una solución en un nuevo plazo de treinta (30) días, el Responsable del tratamiento podrá resolver el Contrato Principal y el presente DPA mediante notificación por escrito, sin penalización, respecto de la parte evitada. El uso continuado de la plataforma tras el periodo de preaviso se considerará aceptación del cambio de Subencargado del tratamiento.

(d) Obligaciones del Subencargado del tratamiento. El Encargado del tratamiento impondrá a cada Subencargado del tratamiento, mediante contrato escrito, obligaciones de protección de datos equivalentes a las que le incumben en virtud del presente DPA. El Encargado del tratamiento seguirá siendo plenamente responsable frente al Responsable del tratamiento del cumplimiento de dichas obligaciones por parte del Subencargado del tratamiento.

6.5 Asistencia en los derechos de los interesados. Teniendo en cuenta la naturaleza del Tratamiento, el Encargado del tratamiento asistirá al Responsable del tratamiento, mediante medidas técnicas y organizativas apropiadas y en la medida de lo posible, en el cumplimiento de su obligación de responder a las solicitudes de ejercicio de los derechos de los interesados con arreglo a los artículos 12 a 22 RGPD. Cuando las solicitudes se dirijan directamente al Encargado del tratamiento, este lo notificará sin demora al Responsable del tratamiento y no responderá directamente, salvo por instrucción del Responsable del tratamiento o exigencia legal.

6.6 Notificación de Violación de la seguridad de los datos personales. El Encargado del tratamiento notificará al Responsable del tratamiento sin dilación indebida y, en todo caso, en un plazo de setenta y dos (72) horas desde que tenga conocimiento de una Violación de la seguridad de los datos personales que afecte a los Datos Personales. La notificación incluirá, en la medida en que se conozca en ese momento:

  • (a) la naturaleza de la violación, incluidas las categorías y el número aproximado de interesados y de registros afectados;
  • (b) las consecuencias probables;
  • (c) las medidas adoptadas o propuestas para hacer frente a la violación y mitigar sus efectos;
  • (d) el punto de contacto para más información.

El Encargado del tratamiento facilitará información adicional a medida que esté disponible y cooperará con el Responsable del tratamiento en el cumplimiento de sus obligaciones de notificación con arreglo a los artículos 33 y 34 RGPD.

6.7 Asistencia para la EIPD. El Encargado del tratamiento prestará asistencia razonable al Responsable del tratamiento, teniendo en cuenta la naturaleza del Tratamiento y la información a su disposición, en cualquier evaluación de impacto relativa a la protección de datos y consulta previa a las autoridades de control exigidas por los artículos 35 y 36 RGPD.

6.8 Devolución o supresión. A la terminación o expiración del Contrato Principal, el Encargado del tratamiento, a elección del Responsable del tratamiento expresada por escrito en un plazo de treinta (30) días desde la terminación, bien:

  • (a) devolverá todos los Datos Personales al Responsable del tratamiento en un formato estructurado, de uso común y de lectura mecánica; o bien
  • (b) suprimirá todos los Datos Personales,

salvo que el Derecho de la Unión o de los Estados miembros exija la conservación de los Datos Personales. Transcurrido el plazo de elección, la supresión se aplicará por defecto. El Encargado del tratamiento confirmará por escrito la finalización de la devolución o supresión en un plazo de sesenta (60) días. Las copias de seguridad se suprimirán conforme al calendario ordinario de rotación de copias de seguridad del Encargado del tratamiento, con una conservación residual máxima de noventa (90) días.

6.9 Cooperación en auditorías.

  • (a) El Encargado del tratamiento pondrá a disposición del Responsable del tratamiento toda la información necesaria para demostrar el cumplimiento del artículo 28 RGPD.
  • (b) El Responsable del tratamiento podrá auditar el cumplimiento del presente DPA por el Encargado del tratamiento, a su costa, como máximo una vez por periodo de doce meses (salvo tras una Violación de la seguridad de los datos personales que afecte al Responsable del tratamiento), con un preaviso por escrito de al menos treinta (30) días y durante el horario laboral normal del Encargado del tratamiento.
  • (c) El Encargado del tratamiento podrá atender las solicitudes de auditoría facilitando certificaciones, atestaciones o informes de auditoría de terceros pertinentes (incluidas certificaciones ISO 27001 e informes SOC 2 de los Subencargados del tratamiento) cuando sea razonablemente apropiado.
  • (d) El Responsable del tratamiento y sus auditores cumplirán los requisitos razonables de seguridad y confidencialidad del Encargado del tratamiento durante cualquier auditoría in situ.
  • (e) Las conclusiones de la auditoría serán abordadas sin demora por el Encargado del tratamiento mediante un plan de remediación documentado.

7. TRANSFERENCIAS INTERNACIONALES

7.1 El Encargado del tratamiento no transferirá Datos Personales fuera del Espacio Económico Europeo («EEE») o del Reino Unido, salvo:

  • (a) a un país amparado por una decisión de adecuación con arreglo al artículo 45 RGPD; o
  • (b) con sujeción a garantías adecuadas con arreglo al artículo 46 RGPD, incluidas las Cláusulas Contractuales Tipo (Módulo 2 — Responsable del tratamiento a Encargado del tratamiento, o Módulo 3 — Encargado del tratamiento a Subencargado del tratamiento, según proceda); o
  • (c) en virtud de otro mecanismo de transferencia lícito previsto en el Capítulo V RGPD.

7.2 Cuando los Subencargados del tratamiento estén ubicados fuera del EEE o del Reino Unido, el Encargado del tratamiento garantiza que existe un mecanismo de transferencia adecuado, según se detalla en el Anexo III.

7.3 En la medida en que el Encargado del tratamiento se base en las CCT/SCC para transferir Datos Personales a un Subencargado del tratamiento en un tercer país, el Responsable del tratamiento confiere por el presente al Encargado del tratamiento la facultad necesaria para celebrar dichas CCT/SCC por cuenta del Responsable del tratamiento, en condiciones no menos protectoras que las impuestas por el presente DPA.

8. RESPONSABILIDAD

8.1 La responsabilidad de cada Parte en virtud o en relación con el presente DPA está sujeta a las limitaciones y exclusiones de responsabilidad previstas en el Contrato Principal, salvo cuando tales limitaciones entren en conflicto con normas imperativas aplicables (incluido el artículo 1229 del código civil italiano, que prohíbe las exclusiones de responsabilidad por colpa grave y dolo — culpa grave y dolo).

8.2 No obstante cualquier límite de responsabilidad en el Contrato Principal, cada Parte conserva su responsabilidad frente a los interesados con arreglo al artículo 82 RGPD. Cuando una Parte haya abonado la totalidad de la indemnización por el daño sufrido por un interesado, podrá reclamar a la otra Parte la parte de la indemnización correspondiente a la responsabilidad de esa otra Parte en el daño.

8.3 La responsabilidad global del Encargado del tratamiento en virtud del presente DPA está limitada de conformidad con el Contrato Principal, con la excepción de:

  • (a) la responsabilidad por daños causados por un Tratamiento que infrinja instrucciones claramente documentadas del Responsable del tratamiento;
  • (b) la responsabilidad por incumplimientos de la Sección 6.6 (Notificación de Violación);
  • (c) la responsabilidad por incumplimientos de la Sección 6.8 (Devolución o Supresión) cuando dicho incumplimiento cause una Violación de la seguridad de los datos personales;
  • (d) las multas administrativas impuestas al Encargado del tratamiento atribuibles a dolo o culpa grave del Encargado del tratamiento.

9. VIGENCIA Y TERMINACIÓN

9.1 El presente DPA termina automáticamente con la terminación del Contrato Principal, sin perjuicio de la Sección 6.8 (Devolución o Supresión) y de cualquier otra obligación que sobreviva.

9.2 Toda disposición destinada a sobrevivir a la terminación continuará en vigor tras esta, incluidas (sin limitación) las Secciones 6.8 (Devolución o Supresión), 8 (Responsabilidad) y 11 (Ley Aplicable).

10. MODIFICACIONES

10.1 El Encargado del tratamiento podrá actualizar el presente DPA para reflejar cambios en la legislación aplicable, orientaciones regulatorias o cambios sustanciales en sus operaciones de tratamiento. Las modificaciones sustanciales requieren un preaviso por escrito de treinta (30) días al Responsable del tratamiento.

10.2 Si el Responsable del tratamiento se opone a una modificación sustancial por motivos documentados de protección de datos y las Partes no logran acordar una solución en un plazo de treinta (30) días, el Responsable del tratamiento podrá resolver el Contrato Principal sin penalización respecto de la parte evitada.

11. LEY APLICABLE Y JURISDICCIÓN

11.1 El presente DPA se rige por la ley italiana.

11.2 Las Partes se someten a la jurisdicción exclusiva del Tribunale di Firenze (Tribunal de Florencia, Italia), sin perjuicio de los derechos imperativos de los interesados con arreglo al artículo 79, apartado 2, RGPD.

12. ORDEN DE PRELACIÓN

12.1 En caso de conflicto entre el presente DPA y el Contrato Principal, prevalece el presente DPA en la medida en que el conflicto se refiera al tratamiento de los Datos Personales.

12.2 En caso de conflicto entre el presente DPA y las CCT/SCC (cuando proceda), prevalecen las CCT/SCC en la medida del conflicto.

13. DIVISIBILIDAD

13.1 Si alguna disposición del presente DPA se declara inválida o inaplicable, las disposiciones restantes permanecerán en pleno vigor y efecto, y las Partes sustituirán la disposición inválida por una disposición válida que refleje del modo más fiel posible la intención original.

ANEXO I — DESCRIPCIÓN DEL TRATAMIENTO

ElementoEspecificación
ObjetoPrestación de la plataforma SaaS ObligoBoard de gestión del cumplimiento
DuraciónDurante la vigencia del Contrato Principal, más los periodos de cierre de las Secciones 6.8 y 9
Naturaleza y finalidadAutenticación, alojamiento, almacenamiento, recuperación, transmisión, organización, presentación y supresión de los Datos Personales cargados o generados a través de la plataforma
Categorías de interesadosEmpleados, contratistas, usuarios autorizados del Responsable del tratamiento; proveedores y contactos cargados por el Responsable del tratamiento; interesados mencionados en la documentación de cumplimiento
Categorías de Datos PersonalesDatos de identidad, autenticación, organización, actividad, contenido y facturación — véase la Sección 4.2 del DPA
Categorías especialesNo permitidas salvo acuerdo previo expreso
FrecuenciaContinua durante la vigencia del Contrato Principal
ConservaciónDurante la vigencia del Contrato Principal y según la configuración del Responsable del tratamiento; supresión o devolución con arreglo a la Sección 6.8

ANEXO II — MEDIDAS TÉCNICAS Y ORGANIZATIVAS (artículo 32 RGPD)

El Encargado del tratamiento mantiene las siguientes medidas, que revisa y actualiza periódicamente.

Cifrado

  • Cifrado en tránsito (TLS 1.2 o superior) para todos los puntos finales de la plataforma
  • Cifrado en reposo (AES-256) para los Datos Personales almacenados en la base de datos de producción
  • Cifrado en reposo para los Datos Personales almacenados en el almacenamiento de objetos (Vercel Blob)

Control de acceso

  • Autenticación con contraseña robusta (credenciales con hash bcrypt) con expiración de tokens de sesión para todos los accesos administrativos y de clientes
  • Control de acceso basado en roles dentro de la plataforma
  • Principio de mínimo privilegio para todos los accesos internos
  • Tiempo de espera de sesión y cierre de sesión por inactividad
  • Registros de auditoría de las acciones administrativas, conservados al menos doce (12) meses

Seudonimización y anonimización

  • Seudonimización aplicada a los identificadores en entornos no productivos
  • Anonimización de la telemetría de uso cuando sea posible

Resiliencia

  • Copias de seguridad diarias automatizadas con recuperación a un punto en el tiempo (point-in-time)
  • Redundancia multirregión a través de la infraestructura del proveedor de la nube
  • Procedimientos de recuperación ante desastres con RTO y RPO documentados

Prueba y evaluación

  • Análisis de vulnerabilidades de las dependencias de terceros mediante las alertas automatizadas de GitHub en cada versión
  • Conjunto de pruebas automatizado (unitarias, de integración, de extremo a extremo y un conjunto de fuzzing de aislamiento de inquilinos que ejercita los límites de acceso a datos multiinquilino) ejecutado en cada pull request antes de la fusión en la rama de producción
  • Comprobación estática de tipos TypeScript en cada pull request
  • Verificación de sumas de comprobación de migraciones en cada pull request (evita la deriva del esquema entre desarrollo, preproducción y producción)
  • Revisión obligatoria de pull request para cada fusión en la rama de producción (sin pushes directos; protección de rama aplicada)

Personal

  • El Operador es una Ditta Individuale (empresario individual italiano); la persona física Mirko Grewing es la única persona con acceso administrativo a los Datos Personales. Las obligaciones de confidencialidad se cumplen personalmente y al amparo de los deberes de secreto profesional que vinculan al operador conforme al Derecho italiano.
  • El Operador mantiene actualizados sus conocimientos en materia de protección de datos y seguridad de la información mediante el estudio continuo de las directrices del CEPD (EDPB), las directrices de la Garante italiana y las publicaciones de seguridad del sector. Se introducirán procedimientos formalizados de incorporación/salida y programas estructurados de concienciación a medida que la actividad crezca más allá de un empresario individual; el contrato se modificará en ese momento con arreglo a la Sección 10.1.

Respuesta a incidentes

  • Alerta de seguridad 24/7 a través de la infraestructura del proveedor de la nube (supervisión de las plataformas Vercel + Neon)
  • La respuesta a incidentes sigue los principios de los artículos 33 y 34 RGPD, con notificación a los Responsables del tratamiento afectados en un plazo de 72 horas con arreglo a la Sección 6.6 del presente DPA
  • Se mantendrá un runbook escrito de respuesta a incidentes a medida que la actividad crezca más allá de un empresario individual; hasta entonces, las decisiones de respuesta las adopta personalmente el Operador en el marco de los artículos 33-34 RGPD anteriores

Diligencia sobre los Subencargados del tratamiento

  • Criterios de selección de Subencargados del tratamiento que incluyen una evaluación en materia de protección de datos
  • Obligaciones contractuales impuestas mediante acuerdo escrito (DPA/MSA)
  • La diligencia se basa en las atestaciones de seguridad publicadas por cada Subencargado del tratamiento (p. ej., ISO 27001, SOC 2 Type II) cuando estén disponibles; el Encargado del tratamiento revisa cualquier cambio sustancial en dichas atestaciones tan pronto como tenga conocimiento de él

ANEXO III — SUBENCARGADOS DEL TRATAMIENTO

Los siguientes Subencargados del tratamiento están contratados por el Encargado del tratamiento en la fecha del presente DPA. La lista se actualiza de conformidad con la Sección 6.4.

Subencargado del tratamientoRol / ServicioRegión (ubicación de los datos)Mecanismo de transferencia (cuando proceda)
Vercel Inc.Alojamiento de aplicaciones, CDN, edge runtime, almacenamiento blobUE (Fráncfort) principal; edge globalCCT/SCC UE (Módulo 3) para cualquier repliegue a EE. UU.; DPA de Vercel en vigor
Neon Inc.Alojamiento de base de datos PostgreSQL gestionadaUE (Fráncfort)CCT/SCC UE (Módulo 3); DPA de Neon en vigor
Stripe Payments Europe Ltd.Procesamiento de pagos, facturación de suscripcionesUE (Irlanda) principal; algún enrutamiento a EE. UU. a través de la infraestructura global de StripeDPA de Stripe + CCT/SCC UE (Módulo 3); Stripe actúa además como Responsable del tratamiento autónomo con fines de prevención del fraude
Resend Inc.Entrega de correo electrónico transaccionalUE (Fráncfort) y EE. UU.CCT/SCC UE (Módulo 3) para el tratamiento en la región de EE. UU.; DPA de Resend en vigor
Font Awesome (Fonticons, Inc.)Distribución de iconos por CDNEdge global (sede en EE. UU.)CCT/SCC UE (Módulo 3); DPA de Font Awesome disponible; Datos Personales mínimos — únicamente dirección IP y User-Agent a través de los registros del CDN

La versión más reciente de esta lista se publica en https://obligoboard.com/sub-processors. Las actualizaciones sustanciales activan el mecanismo de notificación de la Sección 6.4(b).

ANEXO IV — CLÁUSULAS CONTRACTUALES TIPO

Cuando se transfieran Datos Personales a un Subencargado del tratamiento en un tercer país en ausencia de una decisión de adecuación, las Partes incorporan las Cláusulas Contractuales Tipo adoptadas por la Decisión de Ejecución (UE) 2021/914 de la Comisión, con:

  • Módulo 3 (Encargado del tratamiento a Encargado del tratamiento) seleccionado para las transferencias Encargado del tratamiento → Subencargado del tratamiento;
  • Módulo 2 (Responsable del tratamiento a Encargado del tratamiento) cuando el Responsable del tratamiento transfiera datos directamente a un Encargado del tratamiento fuera del EEE;
  • Cláusula 7 (cláusula de acoplamiento) seleccionada;
  • Cláusula 9(a) Opción 2 (autorización general por escrito) seleccionada, con el plazo de notificación fijado en treinta (30) días como en la Sección 6.4(b);
  • Cláusula 11(a) opción (organismo independiente de resolución de litigios) no seleccionada;
  • Cláusula 17 Opción 1 (ley de un Estado miembro de la UE que permite los derechos de terceros beneficiarios): ley de Italia;
  • Cláusula 18 (fuero y jurisdicción): Italia;
  • Anexo I.A y I.B cumplimentados con los datos de las Partes del presente DPA;
  • Anexo I.C: la Garante per la protezione dei dati personali italiana;
  • Anexo II cumplimentado con las medidas técnicas y organizativas del Anexo II del presente DPA;
  • Anexo III cumplimentado con los Subencargados del tratamiento del Anexo III del presente DPA.

Para las transferencias al Reino Unido, se aplica el UK International Data Transfer Addendum a las CCT/SCC UE (emitido por la ICO).

BLOQUE DE FIRMAS

Por el Responsable del tratamientoPor el Encargado del tratamiento
Nombre: [CUSTOMER SIGNATORY NAME]Nombre: Mirko Grewing
Rol: [CUSTOMER SIGNATORY ROLE]Rol: Titular (titolare)
Fecha: [DATE]Fecha: [DATE]
Firma: ________________________Firma: ________________________