Taptap Digital | Data Processing Agreement (DPA)

Data Processing Agreement (DPA)

Donde TAPTAP Digital S.L. accede a los datos personales como encargado del tratamiento de datos (en adelante, "Encargado del Tratamiento") para la prestación del servicio aplicable (en adelante, referido como "el Acuerdo") y de acuerdo con los requisitos del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo del 27 de abril de 2016 sobre la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE (en adelante "GDPR"), el tratamiento de datos personales por el Encargado del Tratamiento en nombre y por cuenta del Responsable del Tratamiento se llevará a cabo de acuerdo con las siguientes cláusulas.

Objeto

El propósito de este DPA es permitir que el Encargado del Tratamiento procese en nombre del Responsable del Tratamiento los datos personales necesarios para cumplir con el propósito del Acuerdo, y definir las condiciones bajo las cuales el Encargado del Tratamiento procesará los datos personales a los que tiene acceso durante la ejecución del Acuerdo, estableciendo las obligaciones y responsabilidades derivadas del procesamiento de datos realizado por el Encargado del Tratamiento exclusivamente para y con ocasión del Acuerdo.

2. Descripción del Procesamiento

El Apéndice I especifica los detalles de las operaciones de procesamiento y, en particular, las categorías de datos personales y los fines para los cuales se procesan los datos personales en nombre del Responsable del Tratamiento.

3. Obligaciones de las Partes

3.1 Instrucciones

a. Las Partes acuerdan que este DPA y el Acuerdo constituyen las instrucciones documentadas del Responsable respecto al procesamiento de datos personales por parte del Encargado del Tratamiento detallado en el Apéndice I ("Instrucciones Documentadas").

El Encargado del Tratamiento procesará los datos personales únicamente de acuerdo con las Instrucciones Documentadas del Responsable, a menos que se requiera hacerlo por una ley de la Unión o del Estado miembro aplicable al Encargado del Tratamiento. En tal caso, el Encargado del Tratamiento informará al Responsable del Tratamiento de dicho requisito legal antes del procesamiento, a menos que dicha ley lo prohíba por razones importantes de interés público. Instrucciones adicionales fuera del alcance de las Instrucciones Documentadas (si las hay) requieren un acuerdo previo por escrito entre el Encargado del Tratamiento y el Responsable del Tratamiento.

b. El Encargado del Tratamiento informará inmediatamente al Responsable del Tratamiento si las instrucciones dadas por el Responsable del Tratamiento infringen, en opinión del Encargado del Tratamiento, el GDPR o las disposiciones aplicables de la ley de protección de datos de la Unión o del Estado miembro.

3.2 Limitación de propósito

El Encargado del Tratamiento procesará los datos personales únicamente para el/los propósito(s) específico(s) del procesamiento, tal como se establece en el Apéndice I, a menos que reciba instrucciones adicionales del Responsable del Tratamiento.

3.3 Duración del procesamiento de datos personales

El procesamiento por parte del Encargado del Tratamiento solo tendrá lugar durante la duración especificada en el Apéndice I.

3.4 Registro de Actividades de Procesamiento

El Encargado del Tratamiento se compromete a mantener, por escrito, un registro de todas las categorías de actividades de procesamiento realizadas en nombre del Responsable del Tratamiento, conteniendo al menos toda la información requerida por el Artículo 30.2 del GDPR.

3.5 Seguridad del procesamiento

a. El Encargado del Tratamiento implementará las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos personales. Al determinar un nivel de seguridad apropiado, las Partes tendrán en cuenta el estado de la técnica, los costos de implementación, la naturaleza, el alcance, el contexto y los fines del procesamiento, y los riesgos que el procesamiento plantea para los sujetos de datos.

b. El Encargado del Tratamiento concederá acceso a los datos personales objeto de tratamiento únicamente al personal estrictamente necesario para la implementación, gestión y monitoreo del contrato. El Encargado del Tratamiento asegurará que las personas autorizadas a procesar los datos personales recibidos se hayan comprometido a la confidencialidad o estén bajo una obligación legal adecuada de confidencialidad. Además, el Encargado del Tratamiento garantiza que lleva a cabo la formación necesaria en protección de datos personales para los miembros de su personal autorizados a procesar datos personales.

3.6 Datos sensibles

Si el procesamiento involucrara datos personales que revelen el origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, o la afiliación sindical, datos genéticos o datos biométricos con el propósito de identificar de manera única a una persona natural, datos relativos a la salud o a la vida sexual o la orientación sexual de una persona, o datos relativos a condenas y delitos penales ("datos sensibles"), el Encargado del Tratamiento aplicaría restricciones específicas y/o salvaguardias adicionales.

3.7 Documentación y cumplimiento

a. Las Partes deberán poder demostrar el cumplimiento de las cláusulas de este DPA.

b. El Encargado del Tratamiento tratará de manera rápida y adecuada las consultas del Responsable del Tratamiento sobre el procesamiento de datos de acuerdo con estas cláusulas.

c. El Encargado del Tratamiento pondrá a disposición del Responsable del Tratamiento toda la información necesaria para demostrar el cumplimiento con las obligaciones que se establecen en estas cláusulas y que derivan directamente del GDPR.

A petición del Responsable, el Encargado del Tratamiento también permitirá y contribuirá a las auditorías de las actividades de procesamiento cubiertas por estas cláusulas, a intervalos razonables o si hay indicaciones de incumplimiento. Al decidir sobre una revisión o una auditoría, el Responsable del Tratamiento puede tener en cuenta las certificaciones relevantes que posea el Encargado del Tratamiento.

4. Declaraciones y garantías del Responsable del Tratamiento

a. El Responsable declara y certifica al Procesador:

i. Que los datos personales que serán procesados por el Encargado del Tratamiento tienen un origen lícito, garantizando que han sido obtenidos cumpliendo con los requisitos establecidos en el GDPR.

ii. Haber informado a los sujetos de datos, cuyos datos personales procesa el Encargado del Tratamiento, de los fines del uso de sus datos personales, y haber proporcionado información suficiente en cumplimiento con los Artículos 13 y/o 14 del GDPR.

b. El Responsable del Tratamiento pondrá a disposición del Encargado del Tratamiento toda la información necesaria para demostrar el cumplimiento con las declaraciones que se establecen en la cláusula 4.a).

5. Asistencia al Responsable del Tratamiento

a. El Encargado del Tratamiento notificará de inmediato al Responsable del Tratamiento cualquier solicitud que haya recibido de parte del sujeto de datos. No responderá a tal solicitud por sí mismo, a menos que el Responsable del Tratamiento lo haya autorizado para hacerlo.

b. El Encargado del Tratamiento asistirá al Responsable del Tratamiento en el cumplimiento de sus obligaciones para responder a las solicitudes de los sujetos de datos para ejercer sus derechos, teniendo en cuenta la naturaleza del procesamiento. En el cumplimiento de sus obligaciones de acuerdo con a) y b), el Encargado del Tratamiento cumplirá con las instrucciones del Responsable.

c. Además de la obligación del Encargado del Tratamiento de asistir al Responsable del Tratamiento conforme a la cláusula 5.b), el Encargado del Tratamiento además asistirá al Responsable del Tratamiento en asegurar el cumplimiento con las siguientes obligaciones, teniendo en cuenta la naturaleza del procesamiento de datos y la información disponible para el Encargado del Tratamiento:

i. La obligación de realizar una evaluación del impacto de las operaciones de procesamiento previstas sobre la protección de datos personales (una 'evaluación de impacto sobre la protección de datos') cuando se prevea que un tipo de procesamiento resultará en un riesgo alto para los derechos y libertades de las personas naturales;

ii. la obligación de consultar a la autoridad/supervisora competente antes del procesamiento cuando una evaluación de impacto sobre la protección de datos indique que el procesamiento resultaría en un alto riesgo en ausencia de medidas tomadas por el Responsable para mitigar el riesgo; y

iii. las obligaciones en el Artículo 32 del GDPR.

6. Notificación de brecha de datos personales

a. En caso de una brecha de datos personales concerniente a datos procesados por el Encargado del Tratamiento, el Encargado del Tratamiento notificará al Responsable del Tratamiento sin demoras indebidas después de que el Encargado del Tratamiento haya tenido conocimiento de la brecha. Dicha notificación contendrá, al menos:

i. Descripción de la naturaleza de la brecha de seguridad de datos personales incluyendo, cuando sea posible, las categorías y el número aproximado de sujetos de datos afectados, y las categorías y el número aproximado de registros de datos personales afectados.

ii. El nombre y los detalles de contacto del Oficial de Protección de Datos (DPO) del Encargado del Tratamiento y otro punto de contacto para obtener más información.

iii. Descripción de las posibles consecuencias de la brecha de seguridad de datos personales.

b. El Encargado del Tratamiento cooperará con y asistirá al Responsable para cumplir con sus obligaciones bajo los Artículos 33 y 34 del GDPR, cuando sea aplicable, teniendo en cuenta la naturaleza del procesamiento y la información disponible para el Encargado del Tratamiento.

7. Subprocesamiento

7.1 Subcontratación necesaria

a. El Encargado del Tratamiento requiere la subcontratación de terceros que procesarán los datos personales bajo la responsabilidad del Responsable del Tratamiento. Algunas de estas subcontrataciones son necesarias para proporcionar el servicio aplicable, ya que el funcionamiento de los sistemas del Encargado del Tratamiento y la provisión de ciertos servicios dependen de ellos. La subcontratación necesaria se refleja en el Apéndice II.

b. Con todos los subencargados necesarios, el Encargado del Tratamiento mantiene un acuerdo que impone obligaciones de protección de datos que proporcionan garantías suficientes de implementación de medidas técnicas y organizativas apropiadas al procesamiento.

c. El Responsable del Tratamiento autoriza por la presente la subcontratación referida en los términos actuales.

7.1 Nueva subcontratación

a. Cuando sea necesario subcontratar cualquier otro procesamiento, el Encargado del Tratamiento puede hacerlo siempre que el Responsable del Tratamiento no haya expresado su oposición a la subcontratación dentro de los diez (10) días hábiles desde la notificación.

b. El Encargado del Tratamiento notificará al Responsable del Tratamiento dentro de un período razonable de tiempo y no menos de diez (10) días hábiles antes de la contratación del subencargado en cuestión, junto con la información necesaria para que el Responsable del Tratamiento objete. La identificación del subencargado, sus detalles de contacto y la indicación del procesamiento que se pretende subcontratar se considerarán información necesaria suficiente.

c. La subcontratación puede llevarse a cabo siempre que el Responsable del Tratamiento no haya expresado su oposición a ella dentro de los diez (10) días hábiles desde la notificación.

d. En cualquier caso, el procesamiento de datos por parte del subencargado cumplirá con las instrucciones del Responsable del Tratamiento, y el Encargado del Tratamiento celebrará un contrato con el subencargado bajo los términos previstos en este DPA y de acuerdo con las disposiciones del artículo 28 del GDPR, con el subencargado comprometiéndose, de manera expresa y por escrito, a asumir obligaciones idénticas a las establecidas para el Encargado del Tratamiento bajo este DPA. En caso de incumplimiento por parte del subencargado, el Encargado del Tratamiento será totalmente responsable ante el Responsable del Tratamiento por el cumplimiento de las obligaciones.

8. Transferencias internacionales de datos

a. Las transferencias de datos a un tercer país o a una organización internacional por parte del Encargado del Tratamiento solo pueden llevarse a cabo bajo instrucciones documentadas del Responsable del Tratamiento o conforme a un requisito expreso de la ley de la Unión o del Estado miembro al cual el Encargado del Tratamiento está sujeto; y se llevarán a cabo de acuerdo con el Capítulo V del GDPR.

b. El Responsable del Tratamiento acepta que, cuando el Encargado del Tratamiento utilice un subencargado de acuerdo con la cláusula 7 para llevar a cabo actividades de procesamiento específicas (en nombre del Responsable del Tratamiento) y dichas actividades impliquen una transferencia de datos personales en el sentido del Capítulo V del GDPR, el Encargado del Tratamiento y el subencargado pueden asegurar el cumplimiento del Capítulo V del GDPR utilizando cláusulas contractuales estándar adoptadas por la Comisión, de conformidad con el Artículo 46(2) del GDPR, siempre que se cumplan las condiciones para el uso de dichas cláusulas contractuales estándar.

9. Responsabilidad

Cada parte indemnizará a la otra parte (en adelante, “la Parte Indemnizadora”) por todas las pérdidas, costos, daños, responsabilidades o daños sufridos o incurridos por la otra parte (en adelante, “la Parte Indemnizada”) como resultado del incumplimiento por parte de la Parte de las disposiciones de protección de datos establecidas en este DPA, siempre que: (i) la Parte Indemnizada proporcione a la Parte Indemnizadora un aviso pronto de cualquier circunstancia de la cual sea consciente que dé lugar a un reclamo de indemnización bajo este DPA; y (ii) la Parte Indemnizada tome medidas y acciones razonables para mitigar cualquier daño continuo que pueda sufrir como consecuencia del incumplimiento por parte de la Parte Indemnizadora.

10. Legislación aplicable y tribunales competentes

a. En materias no previstas en este DPA, así como en la interpretación y resolución de conflictos que puedan surgir entre las Partes como consecuencia del mismo, se aplicará la legislación española.

b. Para la resolución de cualquier disputa que pueda surgir de este DPA, ambas Partes se someterán a la jurisdicción de los tribunales de la ciudad de Madrid, renunciando expresamente a cualquier otra jurisdicción que pudiera corresponderles.

Esta política ha sido actualizada el 25 de Enero de 2025.

DESCARGAR PDF

Where TAPTAP Digital S.L. accesses the personal data as data processor (hereinafter “Data Processor”) for the provision of the applicable service (hereinafter referred as to the “Agreement”) and in accordance with the requirements of Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons regarding the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (hereinafter “GDPR”), the processing of personal data by Data Processor in name and on behalf of the Data Controller will be carried out in accordance with the following

Object

The purpose of this DPA is to enable the Data Processor to process on behalf of the Data Controller the personal data necessary to fulfill the purpose of the Agreement, and to define the conditions under which the Data Processor shall process personal data to which it has access during the execution of the Agreement and to establish the obligations and responsibilities derived from the data processing performed by the Data Processor exclusively for and on the occasion of the Agreement.

2. Description of the Processing

Annex I specifies the details of the processing operations and, in particular, the categories of personal data and the purposes for which personal data are processed on behalf of the Data Controller.

3. Obligations of the Parties

3.1 Instructions

a. The Parties agree that this DPA and the Agreement constitute Controller’s documented instructions regarding Data Processor’s processing of personal data detailed in Annex I (“Documented Instructions”). The Data Processor shall process personal data only in accordance with Documented Instructions from the Controller, unless it is required to do so by Union or Member State law applicable to the Data Processor. In such a case, the Data Processor shall inform the Data Controller of such legal requirement prior to processing, unless such law prohibits it for important reasons of public interest. Additional instructions outside the scope of the Documented Instructions (if any) require prior written agreement between Data Processor and Data Controller.

b. The Data Processor shall immediately inform the Data Controller if the instructions given by the Data Controller infringe, in the opinion of the Data Processor, the GDPR or the applicable provisions of Union or Member State data protection law.

3.2 Purpose limitation

The Data Processor shall process the personal data only for the specific purpose(s) of the processing, as set out in Annex I, unless it receives further instructions from the Data Controller.

3.3 Duration of the processing of personal data

Processing by the Data Processor shall only take place for the duration specified in Annex I.

3.4 Record of Processing Activities

The Data Processor undertakes to maintain, in writing, a record of all categories of processing activities carried out on behalf of the Data Controller, containing at least all the information required by Article 30.2 of the GDPR.

3.5 Security of processing

a. The Data Processor shall implement the necessary technical and organizational measures to ensure the security of the personal data. In determining an appropriate level of security, the Parties shall take due account of the state of the art, the costs of implementation, the nature, scope, context and purposes of the processing, and the risks posed by the processing to the data subjects.

b. The Data Processor shall grant access to the personal data undergoing processing to members of its personnel only to the extent strictly necessary for implementing, managing and monitoring of the contract. The Data Processor shall ensure that persons authorized to process the personal data received have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality. In addition, the Data Processor guarantees that it carries out the necessary training on personal data protection for the members of its staff authorized to process personal data.

3.6 Sensitive data

If the processing involves personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, genetic data or biometric data for the purpose of uniquely identifying a natural person, data concerning health or a person’s sex life or sexual orientation, or data relating to criminal convictions and offences (“sensitive data”), the Data Processor shall apply specific restrictions and/or additional safeguards.

3.7 Documentation and compliance

a. The Parties shall be able to demonstrate compliance with these clauses.

b. The Data processor shall deal promptly and adequately with inquiries from the Data Controller about the processing of data in accordance with these clauses.

c. The Data Processor shall make available to the Data Controller all information necessary to demonstrate compliance with the obligations that are set out in these clauses and stem directly from the GDPR. At the Controller’s request, the Data Processor shall also permit and contribute to audits of the processing activities covered by these clauses, at reasonable intervals or if there are indications of non-compliance. In deciding on a review or an audit, the Data Controller may take into account relevant certifications held by the Data Processor.

4. Declarations and guarantees of the Data Controller

a. The Controller declares and certifies to the Processor:

i. That the personal data which shall be processed by the Data Processor have a lawful origin, guaranteeing that they have been obtained in compliance with the requirements established in the GDPR.

ii. To have informed the data subjects, which personal data the Data Processor processes, of the purposes of use of their personal data, and to have provided sufficient information in compliance with Articles 13 and/or 14 of the GDPR.

b. The Data Controller shall make available to the Data Processor all information necessary to demonstrate compliance with the declarations that are set out in clause 4.a).

5. Assistance to the Controller

a. The Data Processor shall promptly notify the Data Controller of any request it has received from the data subject. It shall not respond to such a request itself, unless the Data Controller has authorized it to do so.

b. The Data Processor shall assist the Data Controller in fulfilling its obligations to respond to data subjects’ requests to exercise their rights, taking into account the nature of the processing. In fulfilling its obligations in accordance with a) and b), the Data Processor shall comply with the Controller’s instructions.

c. In addition to the Data Processor’s obligation to assist the Data Controller pursuant to clause 5.b), the Data Processor shall furthermore assist the Data Controller in ensuring compliance with the following obligations, taking into account the nature of the data processing and the information available to the Data Processor:

i. The obligation to carry out an assessment of the impact of the envisaged processing operations on the protection of personal data (a ‘data protection impact assessment’) where a type of processing is likely to result in a high risk to the rights and freedoms of natural persons;

ii. the obligation to consult the competent supervisory authority/ies prior to processing where a data protection impact assessment indicates that the processing would result in a high risk in the absence of measures taken by the controller to mitigate the risk; and

iii. the obligations in Article 32 of the GDPR.

6. Notification of personal data breach

a. In the event of a personal data breach concerning data processed by the Data Processor, the Data Processor shall notify the Data Controller without undue delay after the Data Processor having become aware of the breach. Such notification shall contain, at least:

i. Description of the nature of the personal data security breach including, when possible, the categories and approximate number of data subjects affected, and the categories and approximate number of personal data records affected.

ii. The name and contact details of the Data Processor’s Data Protection Officer (DPO) and another point of contact to obtain more information.

iii. Description of the possible consequences of the personal data security breach.

b. The Data Processor shall cooperate with and assist the Controller to comply with its obligations under Articles 33 and 34 of the GDPR, where applicable, taking into account the nature of processing and the information available to the Data Processor.

7. Sub-processing

7.1 Necessary subcontracting

a. The Data Processor requires the subcontracting of third parties that will process the personal data under the responsibility of the Data Controller. Some of these subcontracts are necessary in order to provide the applicable service, since the operation of the Data Processor's systems and the provision of certain services depend on them. The necessary subcontracting is reflected in Annex II.

b. With all necessary sub-processors, the Data Processor maintains an agreement imposing data protection obligations that provide sufficient guarantees of implementation of technical and organizational measures appropriate to the processing.

c. The Data Controller hereby authorizes the subcontracting referred to in the current terms.

7.2 New subcontracting

a. When it is necessary to subcontract any other processing, the Data Processor may do so provided that the Data Controller has not expressed its opposition to the subcontract within ten (10) working days from the notification.

b. The Data Processor shall notify the Data Controller within a reasonable period of time and not less than ten (10) working days prior to the hiring of the sub-processor in question, together with the information necessary for the Data Controller to object. The identification of the sub-processor, its contact details and the indication of the processing intended to be outsourced shall be considered sufficient necessary information.

c. The subcontracting may be carried out as long as the Data Controller has not expressed its opposition to it within ten (10) working days from the notification.

d. In any case, the processing of data by the sub-processor shall comply with the instructions of the Data Controller, and the Data Processor shall enter into a contract with the sub-processor under the terms provided for in this DPA and in accordance with the provisions of 28 of the GDPR, with the sub-processor undertaking, expressly and in writing, to assume obligations identical to those established for the Data Processor under this DPA. In the event of non-compliance by the sub-processor, the Data Processor shall be fully liable to the Data Controller for the fulfillment of the obligations.

8. International data transfers

a.Transfers of data to a third country or to an international organization by the Data Processor may only be carried out upon documented instructions from the Data Controller or pursuant to an express requirement of Union or Member State law to which the Data Processor is subject; and shall be carried out in accordance with Chapter V of the GDPR.

b. The Data Controller agrees that, where the Data Processor uses a sub-processor in accordance with clause 7 to carry out specific processing activities (on behalf of the Data Controller) and such activities entail a transfer of personal data within the meaning of Chapter V of the GDPR, the Data Processor and the sub-processor may ensure compliance with Chapter V of the GDPR by using standard contractual clauses adopted by the Commission, pursuant to Article 46(2) of the GDPR, provided that the conditions for the use of such standard contractual clauses are met.

9. Liability

Each party shall indemnify the other party (hereinafter “the Indemnifying Party”) from and against all loss, cost, harm, liabilities or damage suffered or incurred by the other party (hereinafter “the Indemnified Party”) as a result of the party's breach of the data protection provisions set out in this DPA, and provided that: (i) the Indemnified Party gives the Indemnifying Party prompt notice of any circumstances of which it is aware that give rise to an indemnity claim under this DPA; and (ii) the Indemnified Party takes reasonable steps and actions to mitigate any ongoing damage it may suffer as a consequence of the Indemnifying Party's breach.

10. Applicable legislation and competent courts

a. In matters not provided for in this DPA, as well as in the interpretation and resolution of conflicts that may arise between the Parties as a consequence thereof, Spanish legislation shall apply.

b. For the resolution of any dispute that may arise from this DPA, both Parties will submit to the jurisdiction of the courts of the city of Madrid, expressly waiving any other jurisdiction that may correspond to them.

This policy was last updated on the 25th of January, 2025.

DOWNLOAD IN PDF