Acuerdo de Tratamiento de Datos

Este Acuerdo de Tratamiento de Datos ("DPA") se aplica cuando usted ("Cliente", "Responsable del Tratamiento") utiliza los Servicios de Kapsule Cloud para tratar información personal sobre otros individuos ("Interesados"). Forma parte de los Términos de Servicio entre usted y Kapsule Group Limited ("Kapsule Cloud", "nosotros", "nuestro", "Encargado del Tratamiento").

Este DPA refleja los requisitos de la Privacy Act 2020 de Nueva Zelanda. En caso de que esté sujeto a otras leyes de protección de datos aplicables (por ejemplo, el Reglamento General de Protección de Datos de la UE, UK GDPR, o la Privacy Act 1988 de Australia), las disposiciones relevantes de este DPA, leídas conjuntamente con nuestra Política de Privacidad y Lista de Encargados del Tratamiento, están destinadas a proporcionar una protección comparable a la de esas leyes. Cuando se requieran medidas contractuales adicionales para respaldar su cumplimiento con una ley extranjera, consideraremos estas medidas previa solicitud.

Si está utilizando los Servicios únicamente para tratar su propia información personal (y no información personal sobre otros individuos), este DPA no se aplica; solamente se aplica la Política de Privacidad.

En este DPA:

"Leyes de Privacidad Aplicables" significa la Privacy Act 2020 y cualquier otra ley de privacidad o protección de datos aplicable al procesamiento de información personal por parte del Cliente utilizando los Servicios.

"Controlador" significa la persona natural o jurídica que determina los propósitos y medios del procesamiento de información personal.

"Información Personal del Cliente" significa la información personal procesada por nosotros en su nombre utilizando los Servicios respecto de los Interesados.

"Interesado" significa una persona física identificada o identificable a la que se refiere la Información Personal del Cliente.

"Incumplimiento de Privacidad Notificable" tiene el significado dado en la sección 112 de la Privacy Act 2020 (un incumplimiento de privacidad que ha causado, o es probable que cause, daño grave).

"Información Personal" tiene el significado dado en la Privacy Act 2020.

"Procesador" significa una persona que procesa información personal en nombre del Controlador.

"Procesamiento" significa cualquier operación o conjunto de operaciones realizadas sobre información personal, ya sea por medios automatizados o no.

"Subprocesador" significa un tercero con el que contratamos para procesar Información Personal del Cliente en nuestro nombre.

"Cláusulas Contractuales Estándar" significa las cláusulas estándar de protección de datos adoptadas por una autoridad de protección de datos reconocida (por ejemplo, las EU Standard Contractual Clauses de la Comisión Europea) para transferencias de datos personales desde una jurisdicción con reglas restrictivas de transferencia de datos transfronterizos.

Los demás términos capitalizados tienen los significados dados en los Términos de Servicio.

#2.1 Funciones. En relación con la Información Personal del Cliente, usted es el Responsable del Tratamiento y nosotros somos el Encargado del Tratamiento. Usted es responsable de la legalidad de su recopilación y tratamiento de la Información Personal del Cliente, incluyendo la provisión de todos los avisos de privacidad requeridos, la obtención de todos los consentimientos requeridos, y el cumplimiento de todas las Leyes de Privacidad Aplicables en sus tratos con los Interesados.

#2.2 Instrucciones documentadas. Trataremos la Información Personal del Cliente únicamente: (a) en la medida necesaria para proporcionar los Servicios de conformidad con los Términos de Servicio; (b) de conformidad con sus instrucciones documentadas y razonables (los Términos de Servicio, las opciones de configuración que realiza en KPanel, y cualesquiera otras instrucciones escritas que nos proporcione se consideran sus instrucciones documentadas); y (c) conforme lo requiera la ley aplicable a nosotros, en cuyo caso le informaremos del requisito legal antes del tratamiento, a menos que ello esté prohibido por esa ley por razones importantes de interés público.

#2.3 Instrucciones inconsistentes. Le informaremos si, en nuestra opinión razonable, una instrucción suya infringe una Ley de Privacidad Aplicable. Podemos rechazar el tratamiento de la Información Personal del Cliente cuando hacerlo nos colocaría en incumplimiento de una Ley de Privacidad Aplicable.

#3.1 Nos aseguraremos de que cualquier persona autorizada para procesar Información Personal del Cliente en nuestro nombre esté obligada por obligaciones de confidencialidad, ya sea por contrato o por ley, y sea informada de la naturaleza confidencial de la información.

#3.2 El acceso a la Información Personal del Cliente se limita según sea necesario y está protegido por controles de acceso, autenticación obligatoria de dos factores y registro de auditoría.

#4.1 Implementaremos y mantendremos medidas técnicas y organizativas apropiadas para proteger la Información Personal del Cliente contra el procesamiento no autorizado o ilegal, la pérdida accidental, destrucción o daño. Las medidas actuales se resumen en el Anexo B de este DPA y en kapsulecloud.com/legal/security.

#4.2 Revisaremos y actualizaremos regularmente nuestras medidas de seguridad para tener en cuenta el estado actual de la técnica, los costos de implementación, la naturaleza, alcance, contexto y propósitos del procesamiento, y el riesgo para los derechos y libertades de los Interesados.

#4.3 No reduciremos materialmente la protección general sin notificación previa a usted.

#5.1 Autorización. Usted nos autoriza a contratar a los Sub-procesadores listados en kapsulecloud.com/legal/sub-processors para procesar Información Personal del Cliente.

#5.2 Términos de Sub-procesadores. Celebraremos un contrato escrito con cada Sub-procesador que imponga obligaciones de protección de datos no menos protectoras que las de este DPA, incluyendo obligaciones de confidencialidad, seguridad y procesamiento limitado.

#5.3 Notificación de nuevos Sub-procesadores. Le notificaremos de cualquier nuevo Sub-procesador que procesará Información Personal del Cliente con al menos treinta (30) días de anticipación antes de que ese Sub-procesador comience el procesamiento. La notificación se realizará por correo electrónico y publicación en la página de Sub-procesadores.

#5.4 Objeción. Usted puede objetar por razones razonables (por ejemplo, una preocupación documentada sobre la seguridad, cumplimiento normativo o jurisdicción del Sub-procesador propuesto) enviando un correo electrónico a [email protected] dentro del período de 30 días. Si no podemos acomodar razonablemente su objeción (por ejemplo, cambiando de Sub-procesador o modificando la configuración), usted puede rescindir el Servicio afectado y recibir un reembolso prorrateado de cualquier Tarifa prepagada por la porción no utilizada del ciclo de facturación correspondiente.

#5.5 Responsabilidad por Sub-procesadores. Permanecemos responsables ante usted por los actos y omisiones de nuestros Sub-procesadores con respecto a la Información Personal del Cliente como si fueran propios.

#6.1 Proporcionaremos, teniendo en cuenta la naturaleza del tratamiento, asistencia razonable para ayudarle a responder a las solicitudes de los Interesados para ejercer sus derechos conforme a las Leyes de Protección de Datos Aplicables, incluidos los derechos de acceso, rectificación, supresión, limitación y portabilidad.

#6.2 Si recibimos una solicitud de un Interesado que se relacione con su uso de los Servicios, procederemos a: (a) remitir al Interesado a usted (el Responsable del Tratamiento); y (b) salvo que esté legalmente prohibido, notificarle de la solicitud sin dilación indebida.

#6.3 La asistencia se proporciona a través de las funciones de acceso, exportación y supresión de KPanel cuando estas sean suficientes, y a través de soporte manual cuando las funciones técnicas no puedan satisfacer la solicitud.

#6.4 Podemos cobrar una tarifa razonable por la asistencia manual que sea materialmente superior al soporte rutinario, cuando la solicitud sea manifestamente infundada o excesiva.

#7.1 Notificación. Le notificaremos sobre cualquier Incumplimiento de Privacidad Notificable confirmado que afecte a la Información Personal del Cliente sin demora indebida y, en cualquier caso, dentro de setenta y dos (72) horas desde que nos percatemos del mismo.

#7.2 Contenido de la notificación. La notificación incluirá, en la medida que sea conocida y razonablemente disponible en el momento: (a) la naturaleza del incumplimiento, incluyendo, cuando sea posible, las categorías y el número aproximado de Interesados y registros afectados; (b) las consecuencias probables del incumplimiento; (c) las medidas que hemos adoptado o proponemos adoptar para abordar el incumplimiento y mitigar sus posibles efectos adversos; y (d) el punto de contacto para información adicional.

#7.3 Actualizaciones posteriores. En caso de que parte de la información no esté disponible en el momento de la notificación inicial, la proporcionaremos en actualizaciones posteriores tan pronto como sea practicable.

#7.4 Cooperación. Cooperaremos razonablemente con usted en cualquier investigación requerida, notificación a las autoridades, notificación a los Interesados afectados y remediación.

#7.5 Responsabilidad del Cliente. Usted sigue siendo responsable de evaluar si un incumplimiento constituye un Incumplimiento de Privacidad Notificable conforme a su legislación aplicable y de efectuar las notificaciones necesarias a la Oficina del Comisionado de Privacidad, Interesados afectados u otros organismos reguladores. Le proporcionaremos la información que razonablemente necesite para hacerlo.

#8.1 Información. Pondremos a su disposición la información necesaria para demostrar el cumplimiento de este DPA, incluyendo la Declaración de Seguridad en kapsulecloud.com/legal/security, la lista de Sub-procesadores, y cualesquiera informes de auditoría de terceros o certificaciones que poseamos (si las hubiere).

#8.2 Auditoría presencial. Cuando la información en la cláusula 8.1 no sea suficiente para demostrar el cumplimiento respecto a un asunto particular que usted haya planteado por escrito, podrá realizar una auditoría de nuestro cumplimiento con este DPA bajo las siguientes condiciones: (a) las auditorías serán realizadas a su costo (incluyendo nuestros costos razonables de asistencia); (b) nos notificará por escrito con al menos treinta (30) días de anticipación; (c) las auditorías tendrán lugar durante nuestro horario comercial normal; (d) las auditorías se realizarán no más de una vez en cualquier período de doce (12) meses, excepto después de una Violación de Privacidad Notificable confirmada que le afecte, en cuyo caso podrá realizarse una auditoría adicional con notificación razonable; (e) la auditoría no interferirá de manera irrazonable con nuestras operaciones ni comprometará la confidencialidad de la información de otros clientes; (f) el auditor debe ser calificado, independiente de nuestros competidores, y estar obligado por compromisos de confidencialidad en términos aceptables para nosotros; (g) podemos, a nuestra opción, satisfacer nuestras obligaciones de auditoría proporcionando copias de informes de auditoría de terceros o certificaciones (cuando estén disponibles) o respondiendo a un cuestionario de seguridad.

#8.3 Nos proporcionará una copia de cualquier informe de auditoría y de cualesquiera hallazgos, y haremos esfuerzos razonables para abordar los hallazgos materiales dentro de un período acordado.

#9.1 Usted reconoce que algunos de nuestros Subencargados del Tratamiento se encuentran ubicados fuera de Nueva Zelanda. Las ubicaciones actuales se especifican en kapsulecloud.com/legal/sub-processors.

#9.2 Cuando la Información Personal del Cliente se transfiera fuera de Nueva Zelanda, nos aseguraremos de que se apliquen salvaguardas comparables, que incluyen: (a) garantizar que el Subencargado del Tratamiento esté sujeto a una ley de protección de datos que, en nuestra opinión, proporcione protecciones comparables a la Privacy Act 2020; o (b) celebrar acuerdos contractuales de salvaguardia con el Subencargado del Tratamiento que requieran protecciones comparables (por ejemplo, haciendo referencia a las Cláusulas Contractuales Tipo cuando corresponda); o (c) obtener su autorización expresa para la transferencia.

#9.3 Al celebrar este DPA, usted autoriza las transferencias descritas en la cláusula 7 de la Política de Privacidad y cláusula 5 de este DPA, sobre la base de las salvaguardas establecidas en la cláusula 9.2.

#10.1 Durante la vigencia de los Servicios, puede exportar Información Personal del Cliente a través de KPanel utilizando nuestras herramientas de exportación estándar (CSV, JSON, descarga de archivo o volcado de base de datos, según el tipo de datos).

#10.2 En caso de terminación de los Servicios y a su opción, nosotros: (a) pondremos Información Personal del Cliente disponible para exportación durante treinta (30) días después de la terminación (el "Período de Gracia"); y (b) posteriormente, eliminaremos permanentemente Información Personal del Cliente de los sistemas en producción.

#10.3 Las copias de seguridad cifradas serán eliminadas en el siguiente ciclo de rotación programado, no más tarde de treinta (30) días después de la eliminación de los sistemas en producción.

#10.4 Podemos retener Información Personal del Cliente después de la terminación cuando lo requiera la ley (por ejemplo, registros de facturación e impuestos conforme a la Tax Administration Act 1994, o para defender una demanda legal). Cualquier retención de este tipo se limitará a lo mínimo necesario, y la información seguirá estando sujeta a las obligaciones de confidencialidad y seguridad establecidas en este DPA.

#11.1 Las disposiciones sobre responsabilidad en los Términos de Servicio (incluyendo la limitación de responsabilidad en la cláusula 16) se aplican a este DPA.

#11.2 Sin perjuicio de la cláusula 11.1, nada en este DPA limita la responsabilidad de ninguna de las partes por fraude, representación fraudulenta, conducta maliciosa, o cualquier responsabilidad que no pueda ser legalmente limitada bajo las Leyes de Privacidad Aplicables.

#11.3 Cuando incurramos en una sanción regulatoria como resultado de, o en conexión con, su incumplimiento de sus obligaciones bajo este DPA o las Leyes de Privacidad Aplicables, el monto de esa sanción será tratado como una pérdida recuperable de usted, sujeto a los límites en los Términos de Servicio.

#11.4 Los créditos de servicio bajo el SLA no son créditos bajo este DPA.

#12.1 Este DPA entra en vigencia cuando comienza a utilizar los Servicios (o el 15 de mayo de 2026, lo que sea posterior) y continúa hasta que los Servicios se terminen y se completen nuestras obligaciones de eliminación conforme a la cláusula 10.

#12.2 Podemos actualizar este DPA de tiempo en tiempo para reflejar cambios en la ley o en nuestras operaciones. Los cambios materiales serán notificados con al menos treinta (30) días de anticipación.

#13.1 Si existe un conflicto entre este DPA y los Términos de Servicio o la Política de Privacidad respecto del tratamiento de Información Personal del Cliente, este DPA prevalece.

#13.2 Si existe un conflicto entre este DPA y una disposición imperativa aplicable de una Ley de Privacidad Aplicable, la disposición imperativa prevalece en la medida del conflicto.

Oficial de Privacidad

Kapsule Group Limited, Christchurch, Nueva Zelanda.

Correo electrónico: [email protected]

A.1 Objeto. Prestación de alojamiento en la nube, registro de dominios, alojamiento de correo electrónico y servicios relacionados tal como se describe en las Condiciones de Servicio.

A.2 Duración. Durante el período de los Servicios, más el Período de Gracia y cualquier retención requerida por la ley según se establece en la cláusula 10.

A.3 Naturaleza y propósito. Almacenamiento, transmisión, copia de seguridad, seguridad, replicación, indexación, conversión de formato (para compatibilidad técnica), prevención de abusos, facturación y otros tratamientos necesarios para operar los Servicios.

A.4 Categorías de Información Personal del Cliente. Según determine y cargue usted. Puede incluir: nombres, datos de contacto (correo electrónico, teléfono, dirección), credenciales de cuenta, información de verificación de identidad, información de pago, datos transaccionales, direcciones IP, identificadores de dispositivos, fotos y otras imágenes, contenido de sitios web y aplicaciones, contenido de correo electrónico, metadatos de mensajes, registros de gestión de relaciones con clientes, comunicaciones de soporte y cualquier otra información personal que opte por tratar a través de los Servicios.

A.5 Categorías de Interesados. Según determine usted. Puede incluir: sus empleados, contratistas, agentes, clientes, posibles clientes, proveedores, miembros, usuarios finales, donantes y otros individuos cuya información personal opte por tratar a través de los Servicios.

A.6 Categorías especiales. No debe cargar en los Servicios información personal de categorías especiales o sensibles (tales como información de salud, información biométrica, antecedentes penales, creencias religiosas, orientación sexual o afiliación a sindicatos) sin nuestro acuerdo previo por escrito sobre salvaguardas adicionales apropiadas. Si carga tal información sin nuestro acuerdo, usted es responsable de la legalidad de hacerlo e indemnizarnos en relación con cualquier reclamación relacionada.

A.7 Frecuencia y duración del tratamiento. Continuo, durante la duración de los Servicios.

Implementamos las siguientes medidas técnicas y organizativas, que podemos actualizar de vez en cuando para mantener o mejorar la protección general:

B.1 Políticas de seguridad de la información y gobernanza. Políticas documentadas de seguridad de la información y privacidad, revisadas al menos anualmente. Oficial de Privacidad designado responsable del cumplimiento normativo. Capacitación del personal en privacidad y seguridad en la incorporación y anualmente a partir de entonces. Verificaciones de antecedentes del personal con acceso a sistemas de producción, donde sea legalmente permitido.

B.2 Controles de acceso. Controles de acceso estrictos basados en roles y en principios de privilegio mínimo. Autenticación de dos factores obligatoria para todo el personal con acceso a sistemas de producción. Revisiones periódicas de acceso y revocación inmediata en caso de cambio de función o salida. Separación de entornos de producción y no producción. Registro de acceso privilegiado.

B.3 Cifrado y protección de datos. Cifrado TLS (al menos TLS 1.2) para todos los datos en tránsito. Cifrado en reposo para copias de seguridad fuera del sitio (restic) y para almacenes de datos sensibles. Copias de seguridad cifradas con restic fuera del sitio almacenadas en Cloudflare R2 (región de Oceanía). Gestión segura de claves con copias fuera de línea de claves de recuperación maestra.

B.4 Seguridad de red y sistemas. Segmentación de red entre entornos de clientes. Firewall de aplicaciones web y protección contra DDoS a través de Cloudflare. Parches de seguridad periódicos de sistemas operativos, tiempos de ejecución y aplicaciones. Escaneo de vulnerabilidades de la infraestructura expuesta a Internet. Pruebas de penetración periódicas.

B.5 Registro, monitoreo y respuesta a incidentes. Registro centralizado de acceso, cambios y eventos de seguridad. Monitoreo 24x7 de la salud de la plataforma y señales de seguridad. Plan documentado de respuesta a incidentes con severidades definidas y vías de escalada. Procedimiento de notificación de incumplimiento de privacidad notificable alineado con la Privacy Act 2020 y la cláusula 7 de este DPA.

B.6 Copia de seguridad, continuidad comercial y recuperación ante desastres. Copias de seguridad cifradas diarias fuera del sitio de datos de sitios de clientes y datos de correo electrónico. Retención de copias de seguridad fuera del sitio de al menos treinta (30) días, con retención más larga en Planes superiores. Procedimientos documentados de recuperación ante desastres y runbooks. Pruebas periódicas de restauración.

B.7 Personal y Sub-procesadores. Compromisos de confidencialidad para todo el personal. Contratos escritos con todos los Sub-procesadores que impongan protecciones no menos protectoras que este DPA. Revisión anual de Sub-procesadores para verificar su idoneidad continua.

B.8 Seguridad física. Servidores de producción operados en centros de datos de nivel III o equivalentes con acceso físico controlado, seguridad 24x7, controles ambientales y supresión de incendios.

B.9 Seguridad de aplicaciones. Ciclo de vida de desarrollo seguro de software, incluida revisión de código, escaneo de dependencias y pruebas previas al lanzamiento. Uso de gestión de secretos (sin secretos en el código fuente). Revisión de código obligatoria para cambios de producción.

B.10 Segregación y eliminación de datos. Segregación lógica de datos de clientes. Procedimientos documentados de eliminación de datos alineados con la cláusula 10 de este DPA. Procedimientos documentados para manejar solicitudes de acceso, corrección y eliminación de Sujetos de Datos.

Una versión más detallada de estas medidas se publica en kapsulecloud.com/legal/security y se actualiza de vez en cuando.