Anexo de procesamiento de datos de Shopify

Última actualización: 10 de septiembre de 2024

Anexo de tratamiento de datos (DPA) de Shopify

I. PROPÓSITO

Este Anexo de tratamiento de datos (“DPA”) de Shopify complementa y se incorpora por referencia en los Términos de servicio de Shopify, junto con cualquier término aplicable a los servicios adicionales de Shopify que elija usar (los “Términos”), entre Usted (o el “Comerciante”) y la Entidad contratante de Shopify (“Shopify”), como se establece en los Términos, que describen los propósitos comerciales específicos y los servicios relacionados con el DPA. En caso de cualquier conflicto entre los Términos y este DPA, prevalecerá el DPA en lo que respecta al procesamiento de Sus datos personales.

Cuando el tratamiento de los Datos personales que se hace en el DPA está sujeto a los requisitos de protección de datos en el Espacio Económico Europeo (“EEE”), el Reino Unido (“R. U.”) o Suiza, el Apéndice C complementa este DPA. En caso de cualquier conflicto entre el Apéndice C y otras secciones de este DPA, prevalecerá el Apéndice C con respecto al tratamiento de Sus datos personales sujeto a los requisitos de privacidad del EEE, el R. U. y Suiza.

Usted y Shopify (cada uno, una “Parte”; juntos, las “Partes”) acuerdan que este DPA establece las obligaciones de las Partes con respecto al tratamiento de Sus datos personales en relación con los Términos y Su uso de los Servicios. Para evitar dudas, este DPA no se aplicará al tratamiento de Shopify de cualquier Dato personal como Responsable de los datos, incluidos los Datos personales sobre Clientes que reciba como resultado de la relación directa con el Cliente o la interacción intencional con Shopify, por ejemplo, a través de los servicios orientados al consumidor de Shopify, como Shop y Shop Pay.

II. DEFINICIONES

Los términos en mayúsculas que se usan, pero no se definen en este DPA tendrán el mismo significado que se les da en los Términos:

A. Ley(es) aplicable(s) de protección de datos: Cualquier ley de protección de datos o privacidad aplicable al tratamiento de Sus datos personales por parte de Shopify de conformidad con los Términos, sus regulaciones de implementación y legislación secundaria, cada una de ellas según se modifique, actualice o reemplace ocasionalmente, lo que incluye (cuando corresponda, con base en la ubicación o residencia del Comerciante o de Su[s] cliente[s]):

**1.**Ley de protección de datos personales y documentos electrónicos de Canadá 2000 (“PIPEDA”);

2. La (2) Ley de privacidad del consumidor de California, enmendada por la Ley de derechos de privacidad de California (“CCPA”), (2) Ley de protección de datos del consumidor de Virginia, (3) Ley de privacidad de Colorado, (4) Ley de privacidad de datos de Connecticut, (5) Ley de privacidad del consumidor de Utah, (6) Ley de privacidad del consumidor de Oregón, (7) Ley de privacidad y seguridad de datos de Texas, (8) Ley de privacidad de datos del consumidor de Montana y (9) leyes de privacidad integrales similares en otros estados de EE. UU. una vez que entren en vigor (conjuntamente, las “Leyes de protección de datos de EE. UU.”);

3. Reglamento General de Protección de Datos (Reglamento [UE] 2016/679) (“RGPD”) y cualquier ley nacional de desarrollo aplicable;

4. Directiva de privacidad electrónica de la UE (Directiva 2002/58/EC), según enmienda (“Ley de privacidad electrónica”);

**5.**Reglamento general de protección de datos del Reino Unido (“RGPD del R. U.”) y la Ley de protección de datos del Reino Unido 2018 (“DPA del R. U.”);

6. Ley de protección de datos personales de Singapur 2012 (“PDPA”); y

7. Ley federal suiza de protección de datos (“FDPA de Suiza”)

B. Cliente: Un individuo o entidad que visita, interactúa con Su(s) tienda(s) o compra un producto, bien o servicio de Su(s) tienda(s)

C. Datos personales: Información o datos definidos como “datos personales”, “información personal” o “información de identificación personal” (o término análogo) según las Leyes aplicables de protección de datos de Sus clientes que están disponibles para Shopify (o terceros que actúen en nombre de Shopify) por Usted (o terceros que actúen en Su nombre) como parte del uso de los Servicios, así como otros datos personales que Usted elija compartir con Shopify sobre Sus clientes como parte del uso de los Servicios. Para mayor claridad, los Datos personales no incluirán ningún dato personal sobre Clientes que Shopify procese como Responsable de los datos y/o reciba como resultado de la relación directa con el Cliente o la interacción intencional con Shopify o con otros comerciantes de Shopify.

D. Solicitud de derechos de datos: Una solicitud válida y legal por parte de un individuo para ejercer los derechos disponibles relacionados con los Datos personales de conformidad con una Ley aplicable de protección de datos.

E. Responsable de los datos: La Parte que determina los propósitos y medios del tratamiento de los Datos personales o según se defina de otra manera en consonancia con cualquier Ley aplicable de protección de datos.

F. Encargado de los datos o Proveedor de servicios: La Parte u otra entidad o negocio que presta servicios y procesa Datos personales bajo la dirección y en nombre del Responsable de los datos, y se interpretará de acuerdo con las Leyes aplicables de protección de datos.

G. Violación de datos personales: En relación con Sus datos personales, se interpretará de acuerdo con la Ley aplicable de protección de datos.

H.Procesar”, “procesos” o “tratamiento”: (a) Cualquier operación o conjunto de operaciones que se realice sobre los Datos personales o sobre conjuntos de Datos personales, ya sea por medios automatizados o no, como la recopilación, grabación, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación por transmisión, difusión, o de otro modo, puesta a disposición, alineación o combinación, restricción, supresión o destrucción; o (b) la definición dada a dicho(s) término(s) en la Ley aplicable de protección de datos.

I.Subencargado(s)”: Empresas afiliadas o Encargados de los datos de terceros o Proveedores de servicios que pueden procesar Datos personales bajo la dirección de Shopify con el fin de proporcionar los Servicios.

J.Usted”, “Su(s)” o “Comerciante”: Significa el negocio que usa los Servicios y es una Parte de los Términos con Shopify.

III. NATURALEZA DEL TRATAMIENTO Y ROLES DE LAS PARTES

Shopify recibe y procesa Sus datos personales para proporcionar a Usted los Servicios como se establece a continuación. En función de los Servicios que Usted solicite o use, Shopify procesará las categorías de Datos personales establecidas en el Apéndice A, de la manera y sobre las bases contenidas en este.

Shopify solo procesará Sus datos personales como Encargado de los datos o Proveedor de servicios según sea necesario para proporcionar y mejorar sus Servicios o como lo permitan las Leyes aplicables de protección de datos. Como parte de la provisión y mejora continua de sus Servicios, Shopify puede agregar, anonimizar o desidentificar Sus datos personales.

En la medida en que Shopify reciba de Usted los Datos personales que hayan sido desidentificados, Shopify mantendrá y usará los datos solo de forma desidentificada.

IV. OBLIGACIONES DE LAS PARTES

En la siguiente sección, se describen las respectivas obligaciones de las Partes con respecto al tratamiento de Datos personales cubiertos en este DPA.

A. Cumplimiento general

1. Las Partes cumplirán con sus respectivas obligaciones de acuerdo con las Leyes aplicables de protección de datos.

2. Shopify no tendrá ninguna obligación de interpretar o asesorarlo a Usted sobre Sus obligaciones según las Leyes aplicables de protección de datos, que abarca lo relacionado con los Datos personales cubiertos en este DPA. Usted es el único responsable de determinar Sus obligaciones legales y regulatorias, lo que incluye evaluar si las medidas técnicas y organizativas de los Servicios son consistentes con Sus obligaciones legales y regulatorias independientes.

B. Obligaciones de Shopify

1. Seguridad de los datos:
Shopify implementará y mantendrá medidas técnicas y organizativas apropiadas diseñadas para proteger Sus datos personales contra el tratamiento no autorizado o ilegal y contra la pérdida accidental, destrucción, daño, robo, alteración o divulgación, como se establece en el Apéndice B.

2. Notificación e investigación de violación de datos personales:
a) Como lo requieren las Leyes aplicables de protección de datos, Shopify lo notificará una vez que confirme cualquier Violación de datos personales.

b) Dicha notificación incluirá la información requerida según las Leyes de protección de datos aplicables, en la medida en que dicha información esté razonablemente disponible para Shopify. La respuesta de Shopify a, o la notificación de, una Violación de datos personales no constituye un reconocimiento por parte de Shopify de ninguna culpa o responsabilidad.

c) Shopify se compromete a investigar cualquier Violación de datos personales y a utilizar esfuerzos comercialmente razonables para identificar, prevenir, mitigar y remediar los efectos.

3. Solicitudes de derechos sobre datos:
a) En la medida en que lo exijan las Leyes de protección de datos aplicables, Shopify facilitará Su capacidad para procesar y responder a las Solicitudes de derechos sobre datos de Sus clientes relacionadas con Su uso de los Servicios.

b) Para obtener asistencia en la respuesta a cualquier Solicitud de derechos sobre datos, reenvíe la Solicitud a Shopify a través del portal/consola administrativa del comerciante de Shopify, a menos que Shopify lo notifique a Usted de un mecanismo diferente.

C. Sus obligaciones con respecto a los Datos personales

1. Avisos de privacidad y transparencia: Usted declara y garantiza que cumple con todas las obligaciones enumeradas en las Leyes de protección de datos aplicables para proporcionar avisos y transparencia sobre Su tratamiento de los Datos personales bajo los Términos y en relación con Su uso de los Servicios. En la medida en que lo exijan las Leyes de protección de datos aplicables, Usted deberá comunicarles a las personas relevantes todas las divulgaciones necesarias para que Shopify pueda procesar los Datos personales de manera legal y justa en relación con este DPA, incluso proporcionando un enlace a la Política de privacidad de Shopify o a Su propia Política de privacidad.

2. Derechos y permisos del cliente: Usted declara y garantiza que tiene todos los derechos, permisos y consentimientos necesarios para poner a disposición de Shopify los Datos personales de acuerdo con los Términos, Su uso de los Servicios que recibe y las Leyes de protección de datos aplicables.

3. Solicitudes de derechos sobre datos: Usted declara y garantiza que proporciona la capacidad para que sus Clientes ejerzan Solicitudes de derechos sobre datos, según lo requerido por las Leyes de protección de datos aplicables, con respecto a todos los Datos personales procesados por Shopify para los cuales es el Responsable de los datos.

4. Reclamaciones regulatorias: A menos que esté prohibido por la ley aplicable, Usted nos notificará de inmediato de acuerdo con la disposición de Notificación en los Términos de cualquier reclamación o queja gubernamental, regulatoria u otra de terceros relacionada con Su uso de los Servicios.

V. LEYES DE PROTECCIÓN DE DATOS DE EE. UU.

Esta sección se aplica solo en la medida en que suceda lo siguiente: (i) las Leyes de protección de datos de EE. UU. se aplican a Usted en relación con Su uso de los Servicios; y (ii) las siguientes disposiciones son requeridas por las Leyes de protección de datos de EE. UU. y Usted es un “comercio” o “responsable de los datos” de acuerdo con estas leyes.

A. Shopify no hará lo siguiente: (i) retener, usar o divulgar dichos Datos personales fuera de su relación comercial directa con Usted o para cualquier otro propósito que no sean los fines limitados y específicos identificados en este DPA y/o los Términos, lo que incluye retener, usar o divulgar dichos Datos personales para un propósito comercial que no sean los fines limitados y específicos identificados en este DPA y/o los Términos; (ii) “vender” o “compartir” dichos Datos personales en el sentido de la Ley de privacidad del consumidor de California; o (iii) combinar dichos Datos personales con Datos personales que reciba de otras fuentes, en cada caso excepto según lo permitido por las Leyes de protección de datos de EE. UU.

B. Shopify (i) proporcionará el mismo nivel de protección de la privacidad requerido de las empresas o Responsables de los datos por tales leyes y le informará a Usted si determina que ya no puede cumplir con estas obligaciones, en cuyo caso Usted puede tomar medidas razonables y apropiadas para detener o remediar cualquier tratamiento no autorizado de dichos Datos personales; (ii) garantizará que el personal que autorice procesar Datos personales firme acuerdos de confidencialidad por escrito o esté sujeto a obligaciones legales de confidencialidad; (iii) previa solicitud razonable por escrito, y como parte de permitirle tomar medidas razonables y apropiadas para garantizar que Shopify use dichos Datos personales de manera consistente con las Leyes de protección de datos de EE. UU., proporcionará el informe SOC2 que mostrará una evaluación razonable del programa de seguridad de la información de Shopify; y, (iv) al rescindir sus Servicios con Usted, Shopify iniciará su proceso de purga para eliminar o anonimizar los Datos personales.

C. Usted declara que no compartirá con Shopify ningún Dato personal de un individuo que haya ejercido un derecho de exclusión que Usted se haya comprometido a respetar ni ningún Dato personal confidencial de un individuo que no haya consentido el tratamiento de dichos datos.

VI. DISPOSICIONES VARIAS

A. Transferencias globales de datos
Usted reconoce que los Datos personales pueden transferirse y procesarse en cualquier país en el que Shopify, sus empresas afiliadas o proveedores de servicios externos se encuentren (incluidos Singapur y Canadá). Cualquier transferencia de Datos personales a estos destinatarios se realizará en cumplimiento de las Leyes de protección de datos aplicables. Para obtener más información sobre las transferencias internacionales de datos, con sujeción de Shopify a requisitos de privacidad en el EEE, el R. U. o Suiza, consulte la sección II(B) (8) del Apéndice C.

B. Respuesta a solicitudes legales

  1. Usted reconoce que, en el curso de la prestación de los Servicios a Usted, Shopify puede compartir Sus datos personales (i) para cumplir con los requisitos legales o responder a órdenes judiciales u otras demandas gubernamentales o regulatorias similares; o (ii) para prevenir o investigar sospechas de fraude, amenazas a la seguridad física, actividades ilegales o violaciones de un contrato (como los Términos) o de nuestras políticas (como nuestra Política de uso aceptable).

  2. Shopify hará esfuerzos razonables antes de producir dichos Datos personales para asegurarse de que dicha divulgación esté permitida por las Leyes de protección de datos aplicables y se tratará como información confidencial según el marco legal aplicable.

C. Divulgación en transacciones corporativas
Usted reconoce que, en el curso de la prestación de los Servicios a Usted, Shopify puede verse en la obligación de compartir Datos personales con posibles contrapartes en cualquier transacción corporativa o de reestructuración.

** D. Uso de Subencargados/Proveedores de Servicios por parte de Shopify**

  1. Usted reconoce que, en el curso de la prestación de los Servicios a Usted, Shopify puede utilizar Subencargados para procesar Datos personales. Shopify mantiene una lista actualizada de todos los Subencargados utilizados. Si las Leyes de protección de datos aplicables le otorgan tales derechos, Usted puede oponerse al uso de un Subencargado por parte de Shopify, y si Shopify no puede o no pretende satisfacer tales solicitudes, Usted puede, de acuerdo con dichas leyes, rescindir Su uso de los Servicios afectados dentro de los 30 días de dicha notificación de acuerdo con los Términos.

  2. El uso de Subencargados por parte de Shopify para procesar los Datos personales que Usted proporciona estará en cumplimiento de las Leyes de protección de datos aplicables. Cuando Shopify contrate a un Subencargado, Shopify firmará un acuerdo por escrito con el Subencargado que imponga obligaciones contractuales sustancialmente iguales a las establecidas en este DPA.

E. Modificación del DPA
Usted reconoce y acepta que Shopify puede modificar este DPA ocasionalmente publicando el DPA modificado y reformulado en el sitio web de Shopify, disponible en https://shopify.com/legal/dpa, y tales modificaciones al DPA son efectivas a partir de la fecha de publicación. Su uso continuo de los Servicios después de que el DPA modificado sea publicado en el sitio web de Shopify constituye Su acuerdo y aceptación del DPA modificado. Si Usted no está de acuerdo con algún cambio en el DPA, no continúe utilizando el Servicio.

VII Apéndices

  1. Apéndice A: Categorías de datos personales
  2. Apéndice B: Seguridad de los datos
  3. Apéndice C: Apéndice de Tratamiento de datos conforme al RGPD, RGPD del R. U. y Suiza

APÉNDICE A: CATEGORÍAS DE DATOS PERSONALES

Como parte de Su uso de los Servicios, y según los Servicios que utilice, podemos recibir y procesar las siguientes categorías de Datos personales para prestar los Servicios:

  • Nombre del Cliente, correo electrónico, contacto, información de envío y facturación.
  • Información de compras y otras transacciones de Su(s) tienda(s).
  • Actualizaciones sobre el estado de las transacciones con Usted o Su(s) tienda(s).
  • Actividad del Cliente en Su(s) tienda(s), lo que incluye productos vistos y/o agregados en carritos de compra.
  • Señales de preferencia del Cliente, incluidas las señales de Control Global de Privacidad (“GPC”) y las opciones de exclusión y de inclusión.
  • Información del dispositivo del Cliente para los dispositivos utilizados al visitar Su(s) tienda(s), lo que incluye dirección IP, navegador y actividad de red.
  • Otra información sobre las interacciones de los Clientes con Usted.
  • Cualquier otro Dato personal que Usted decida compartir con Shopify.

APÉNDICE B: SEGURIDAD DE LOS DATOS

Shopify mantendrá un programa de seguridad de la información diseñado a fin de (a) permitirle proteger Sus datos personales contra el procesamiento no autorizado o ilegal y contra la pérdida accidental, destrucción, daño, robo, alteración o divulgación; de (b) identificar riesgos razonablemente previsibles para la seguridad y disponibilidad de los Servicios que Usted recibe; y de (c) minimizar los riesgos de seguridad para los Servicios.

I. El programa de seguridad de la información de Shopify incluirá las siguientes salvaguardas:

A. Seguridad lógica

  1. Controles de acceso: Shopify hará que sus sistemas sean accesibles solo para personal autorizado y solo en la medida necesaria para mantener y proporcionar los Servicios. Shopify mantendrá controles de acceso y políticas diseñadas para gestionar las autorizaciones de acceso a sus sistemas, incluido el uso de cortafuegos y/u otra tecnología y controles de autenticación.

  2. Acceso restringido de usuarios: Shopify (i) proporcionará y restringirá el acceso a sus sistemas de acuerdo con los principios de privilegio mínimo basados en las funciones laborales del personal, y (ii) requerirá autenticación de dos factores (2FA) para acceder a sus sistemas.

  3. Evaluaciones de vulnerabilidades: Shopify mantendrá un programa de evaluación de vulnerabilidades y pruebas de penetración, responsable de investigar y rastrear los problemas identificados con los Servicios hasta su resolución cuando sea necesario.

  4. Seguridad de aplicaciones: Shopify mantiene un programa de seguridad de aplicaciones responsable de proteger los Servicios contra amenazas de seguridad de aplicaciones.

  5. Gestión de cambios: Shopify mantendrá controles diseñados para registrar, autorizar, probar, aprobar y documentar cambios en los recursos existentes de los Servicios, y documentará los detalles de los cambios dentro de sus herramientas de gestión de cambios o implementación. Shopify probará los cambios de acuerdo con sus estándares de gestión de cambios antes de la migración a producción.

  6. Integridad de los datos: Según corresponda, Shopify mantendrá controles diseñados para proporcionar integridad de los datos durante la transmisión, almacenamiento y tratamiento dentro de los Servicios.

  7. Disponibilidad: Shopify (i) implementará redundancia donde sea apropiado para los Servicios, para minimizar el efecto de un mal funcionamiento en los Servicios, (ii) diseñará los Servicios para anticipar y tolerar fallas, e (iii) implementará procesos adecuados diseñados para mover el tráfico de Datos personales fuera de las áreas afectadas cuando sea necesario con el fin de recuperarse de fallas.

  8. Continuidad del negocio y recuperación ante desastres: Shopify mantendrá un programa de gestión de riesgos diseñado para apoyar la continuidad de sus funciones comerciales esenciales, lo que incluye procesos y procedimientos para la identificación, respuesta y recuperación de eventos que podrían impedir o afectar materialmente la prestación de los Servicios que Usted recibe.

  9. Gestión de Incidentes: Shopify proporciona documentación para que Usted pueda informar sobre incidentes de seguridad o disponibilidad, hacer preguntas sobre seguridad o disponibilidad y enviar información sobre posibles problemas de seguridad o disponibilidad. Shopify mantendrá planes de acción correctiva y planes de respuesta a incidentes diseñados para detectar, mitigar, investigar y responder a posibles amenazas de seguridad para los Servicios.

B. Seguridad física Donde sea necesario para proteger los Servicios, Shopify (i) implementará medidas razonables diseñadas con el objetivo de prevenir el acceso físico no autorizado, daño o interferencia a los Servicios, (ii) utilizará dispositivos de control adecuados diseñados para restringir el acceso físico a los Servicios solo al personal autorizado que tenga una necesidad legítima del negocio para dicho acceso, y (iii) realizará revisiones periódicas a fin de validar la adherencia a estos estándares.

C. Empleados de Shopify Los empleados de Shopify que están autorizados a acceder a los Datos personales están sujetos a obligaciones de confidencialidad como parte de sus términos de empleo. Shopify implementará y mantendrá programas de capacitación en seguridad para los empleados con respecto a los requisitos de seguridad de la información de Shopify. Los programas de conocimiento en seguridad serán revisados y actualizados periódicamente.

II. Modificaciones a este Apéndice

Shopify revisa sus medidas de seguridad ocasionalmente y puede actualizar este Apéndice a su entera discreción. Cualquier actualización reemplazará versiones anteriores de este Apéndice a partir de la fecha en la que Shopify publique la versión actualizada.

APÉNDICE C: APÉNDICE DE TRATAMIENTO DE DATOS CONFORME AL RGPD, RGPD DEL R. U. Y SUIZA

Cuando el procesamiento de Datos personales según el DPA esté sujeto a los requisitos de protección de datos en el Espacio Económico Europeo (el “EEE”), el Reino Unido (R. U.) o Suiza (colectivamente, las “Leyes europeas de protección de datos”), este Apéndice C complementará el DPA.

I. Naturaleza del tratamiento y roles de las partes

A. Datos personales

  1. De acuerdo con este Apéndice, Usted actuará como Responsable de los datos y Shopify actuará como Encargado de los datos con respecto al procesamiento de Sus datos personales, conforme a lo descrito en el Anexo 1, según sea necesario para cumplir con los fines comerciales descritos en los Términos y proporcionarle los Servicios que elija utilizar.
  2. Para evitar dudas, Shopify actuará como Responsable de los datos independiente con respecto a los Datos personales de los Clientes que Shopify recibe como resultado de la relación directa con el Cliente, o a interacciones intencionales con Shopify, tal como se describe en la Política de privacidad de Shopify.

II. Obligaciones de las partes

A. Sus obligaciones

Deberá cumplir con lo siguiente:

  • Las Leyes europeas de protección de datos que lo vinculan a Usted en la ejecución de este Apéndice; y
  • Sus obligaciones establecidas en el DPA, incluidas Sus obligaciones establecidas en este Apéndice.

Usted representa y garantiza que tiene una base legal válida para procesar los Datos personales (lo que incluye hacer que dichos datos estén disponibles para Shopify) y que obtuvo los consentimientos, derechos y autorizaciones necesarios y proporcionó los avisos requeridos a los individuos sobre Su divulgación de los Datos personales a Shopify, a fin de permitir el tratamiento de los Datos personales por parte de Shopify con el objeto de prestar los Servicios, según lo exigen las Leyes europeas de protección de datos.

B. Obligaciones de Shopify

1. Instrucciones del Controlador e infracción de las Leyes europeas de protección de datos

a) Las Partes acuerdan que los Términos, junto con este DPA, constituyen Sus instrucciones documentadas con respecto al tratamiento de Sus datos personales por parte de Shopify (“Instrucciones documentadas”).

b) Shopify procesará los Datos personales como Encargado solo si se cumple lo siguiente: (i) de acuerdo con Sus Instrucciones documentadas, o (ii) para cumplir con las obligaciones de Shopify bajo las leyes aplicables, de conformidad con cualquier requisito de notificación de la legislación de la Unión Europea o del estado miembro de la Unión Europea al cual Shopify esté sujeto.

c) Shopify lo notificará si recibe una instrucción que razonablemente determine que infringe las Leyes europeas de protección de datos (pero Shopify no tiene la obligación de monitorear activamente Su cumplimiento de las Leyes europeas de protección de datos).

2. Obligación de confidencialidad

Shopify garantizará que las personas a las que autoriza para procesar Datos personales firmen acuerdos de confidencialidad por escrito o estén sujetas a obligaciones legales de confidencialidad.

3. Medidas de seguridad

a) Shopify implementará y mantendrá medidas técnicas y organizativas apropiadas diseñadas para proteger Sus datos personales contra el tratamiento no autorizado o ilegal y contra la pérdida accidental, destrucción, daño, robo, acceso no autorizado, alteración o divulgación, tal como se establece en el Anexo 2.

b) Teniendo presente la naturaleza de los Datos personales y el tratamiento relacionado, Shopify proporcionará la asistencia razonable que Usted pueda solicitar para ayudarlo a cumplir con Sus obligaciones de seguridad de conformidad con las Leyes europeas de protección de datos.

c) Shopify lo notificará, sin demora indebida, al tomar conocimiento de una violación de seguridad que conduzca a la destrucción, pérdida, alteración, divulgación no autorizada o acceso a Sus datos personales transmitidos, almacenados o, de otro modo, procesados.

d) Shopify se compromete a investigar cualquier violación de seguridad y a utilizar esfuerzos comercialmente razonables para mitigar los efectos.

4. Subencargados

a) Usted autoriza de manera general a Shopify a contratar Subencargados para procesar Datos personales. También acepta que Shopify pueda contratar a sus afiliados como Subencargados.

b) El uso que Shopify haga de Subencargados para procesar Sus datos personales cumplirá con las Leyes europeas de protección de datos.

c) Shopify mantiene una lista de todos los Subencargados actualizada según se establece en el Anexo 3. Shopify actualizará la lista de Subencargados según sea necesario y le proporcionará un mecanismo para recibir notificaciones sobre la adición o reemplazo de un Subencargado. Usted puede oponerse al uso de un nuevo Subencargado por parte de Shopify.

d) En la medida en la que se oponga al uso de un Subencargado por parte de Shopify, y Shopify no pueda o no esté dispuesto a cumplir con dicha solicitud, Usted podrá cancelar Su uso de los Servicios afectados dentro de los 30 días de dicha notificación, de acuerdo con los Términos.

e) Cuando Shopify contrate un nuevo Subencargado, Shopify celebrará un acuerdo por escrito con el Subencargado e impondrá al Subencargado obligaciones contractuales sustancialmente iguales a las establecidas en este DPA. Shopify será totalmente responsable de los actos y omisiones de sus Subencargados en la misma medida en la que Shopify sería responsable si realizara los servicios de cada Subencargado directamente según los términos de este DPA. La responsabilidad de Shopify, no obstante, estará sujeta a las condiciones y limitación de responsabilidad establecidas en los Términos.

5. Asistencia al Responsable de los datos
Teniendo presente la naturaleza de Sus datos personales y el tratamiento relacionado, Shopify proporcionará la asistencia razonable que pueda solicitar para ayudarlo a cumplir con Sus obligaciones:

  • Responder a las Solicitudes de derechos de datos de conformidad con las Leyes europeas de protección de datos;
  • Notificar a las autoridades competentes y/o a los interesados sobre una Violación de datos personales;
  • Realizar evaluaciones de impacto sobre la protección de datos y consultas previas;
  • Garantizar la seguridad del tratamiento de acuerdo con la sección 3.

6. Evaluación del cumplimiento

a) Shopify puede cumplir con Su derecho de auditoría según las Leyes europeas de protección de datos en relación con el tratamiento de datos personales, proporcionándole, a partir de la recepción de Su solicitud por escrito y sujeto a la confidencialidad, lo siguiente:

(i) Los resultados más recientes del informe de auditoría de Shopify, ya sea de auditorías internas de Shopify o preparadas por un auditor independiente;
(ii) información adicional con control de Shopify si una autoridad de protección de datos o gubernamental lo solicita.

b) Siempre y cuando las Leyes europeas de protección de datos le otorguen este derecho, Usted puede ejercer Su derecho de auditoría: (i) en la medida en que un auditor independiente reconocido internacionalmente certifique que el informe de auditoría de Shopify no proporciona suficiente información para que Usted verifique el cumplimiento de Shopify con este DPA y con las Leyes europeas de protección de datos o (ii) según sea necesario para que Usted responda a una auditoría de una autoridad gubernamental. Cada auditoría debe cumplir con los siguientes parámetros: (i) ser realizada por un tercero independiente que firme un acuerdo de confidencialidad con Shopify; (ii) estar limitada en alcance a los asuntos razonablemente requeridos, y acordados mutuamente, para que Usted pueda evaluar el cumplimiento de Shopify con este DPA y el cumplimiento de las partes con las Leyes europeas de protección de datos; (iii) que ocurra en una fecha y hora mutuamente acordadas y solo durante el horario de apertura regular de Shopify; (iv) que ocurra no más de una vez al año (a menos que lo exijan las Leyes europeas de protección de datos); (v) que cubra solo las instalaciones controladas por Shopify; (vi) que se restrinjan los hallazgos solo a los Datos personales; y (vii) que se trate cualquier resultado como información confidencial en la mayor medida permitida por las Leyes europeas de protección de datos. Para mayor claridad, Shopify cumplirá con cualquiera de Sus derechos en esta sección 6 de acuerdo con sus obligaciones de confidencialidad con terceros.

7. Fin del procesamiento

a) Durante Su uso de los Servicios, Usted puede utilizar herramientas de cuenta para acceder, recuperar o eliminar Datos personales.

b) Tras la rescisión, Shopify, a Su elección, eliminará o devolverá Sus datos personales. No obstante lo anterior, Shopify puede retener Datos personales: (i) según lo exija la ley, incluidas las Leyes europeas de protección de datos; y (ii) de acuerdo con sus políticas estándar de respaldo o retención de registros, siempre y cuando, en cualquier caso, Shopify mantenga la confidencialidad de los Datos personales retenidos y cumpla con las disposiciones aplicables de este DPA con respecto a dichos Datos personales retenidos y no procese dichos Datos personales retenidos más allá de lo permitido por dichas leyes aplicables y durante la duración permitida por estas.

8. Transferencias internacionales

a) Sujeto al cumplimiento de las Leyes europeas de protección de datos, Shopify International Ltd. puede transferir Datos personales procesados de conformidad con este Apéndice fuera del EEE, el R. U. y Suiza según sea necesario para proporcionar sus Servicios (“Transferencias internacionales”).

b) Dichas transferencias consisten principalmente en transferir Datos personales a Shopify Inc., con sede en Canadá, que se beneficia de la decisión de la Comisión de la UE 2002/2/CE del 20 de diciembre de 2001 sobre la protección adecuada de los datos personales proporcionada por la Ley de Protección de Información Personal y Documentos Electrónicos de Canadá.

c) Cualquier Transferencia internacional a países que no garanticen un nivel adecuado de protección de datos, según el significado de las Leyes europeas de protección de datos, estará sujeta a las salvaguardas apropiadas, incluidos los siguientes mecanismos de transferencia:

  • los módulos relevantes según las Cláusulas Contractuales Estándar de 2021 aprobadas por la Comisión Europea en su decisión 2021/914/CE del 4 de junio de 2021;
  • el Anexo de Transferencia Internacional de Datos a las cláusulas contractuales estándar de la Comisión Europea para transferencias internacionales de datos emitidas por la Oficina del Comisionado de Información del Reino Unido de conformidad con el S119A(1) de la Ley de Protección de Datos del Reino Unido de 2018;
  • las Cláusulas Contractuales Estándar de 2021 modificadas para cumplir con los requisitos de la Ley Federal Suiza de Protección de Datos (según enmiendas periódicas) del 19 de junio de 1992 revisada a partir del 25 de septiembre de 2001; y
  • cualquier cláusula contractual estándar, anexo de transferencia internacional de datos u otras cláusulas, anexos o mecanismos de transferencia que puedan reemplazar las cláusulas y anexos actuales.

d) Shopify puede, a su sola discreción, reemplazar cualquier mecanismo de transferencia para asegurar que las transferencias de datos cumplan con las leyes aplicables. Si una transferencia se basa en cláusulas contractuales estándar, y dichas cláusulas son actualizadas por las autoridades correspondientes, dichas cláusulas actualizadas o acuerdos similares se incorporarán a este DPA como si estuvieran completamente expresadas aquí.

ANEXO 1: DATOS PERSONALES

DESCRIPCIÓN DEL TRATAMIENTO DE DATOS PERSONALES

I. Objeto del tratamiento

Prestación de los Servicios de Shopify al Comerciante.

II. Categorías de Titulares de datos

Clientes del Comerciante.

III. Categorías de Datos personales procesados

Consulte el Apéndice A arriba.

IV. Frecuencia de la transferencia

Continua.

V. Naturaleza del tratamiento

Recopilación, registro, alojamiento, acceso, uso, transferencia y eliminación de Datos personales según lo descrito en los Términos.

VI. Finalidades para las cuales el Controlador procesa los Datos personales

Para la prestación y mejora de los Servicios según lo descrito en los Términos.

VII. Duración del tratamiento

Duración de los Servicios según los Términos o el acuerdo aplicable, más el período posterior a dicho vencimiento hasta la anonimización, devolución o eliminación de los datos.

VIII. Autoridad supervisora competente La autoridad supervisora competente será la Comisión de protección de datos de Irlanda.

ANEXO 2: MEDIDAS DE SEGURIDAD

La información sobre las medidas de seguridad se proporciona en el Apéndice B del DPA.

ANEXO 3: LISTA DE SUBENCARGADOS

Los Subencargados que Shopify utiliza para la prestación de los Servicios de conformidad con los Términos se enumeran aquí.

Los Subencargados procesarán las categorías de Datos personales descritas anteriormente en relación con los Servicios durante la duración de su acuerdo con Shopify.