Anexo de procesamiento de datos de Shopify

1. Definiciones

(a) “Legislación de protección de datos europea” hace referencia al Reglamento 2016/679 de la Unión Europea (el “Reglamento general de protección de datos [RGPD]”), la Ley de protección de datos británica de 2018 (“DPA”), el Reglamento general de protección de datos británico definido por la DPA y modificado por el Reglamento sobre protección de datos, privacidad y comunicaciones electrónicas (incluidas sus enmiendas) (Brexit) de 2019 (de manera conjunta con la DPA, el “RGPD de R. U.”), así como cualquier ley, normativa, reglamento, norma o cualquier instrumento vinculante que implemente lo anterior o que esté relacionado con la protección de datos, la privacidad, la seguridad de los datos o el tratamiento de los Datos personales en cualquier Estado miembro europeo o el Reino Unido, en cada caso según corresponda y según se haya modificado, consolidado, promulgado de nuevo o sustituido de forma periódica.

(b) “Datos personales” se interpretará de acuerdo con la Legislación de protección de datos europea y de Estados Unidos, según corresponda, y en relación con una persona identificable o identificada que visite su tienda o lleve a cabo transacciones a través de ella (un “Cliente”) que Shopify trate en calidad de Encargado de los datos o Proveedor de servicios (tal y como se definen en la legislación aplicable) con el fin de ofrecerle los Servicios a usted, en calidad de Responsable de los datos o de Empresa (tal y como se definen en dichas legislaciones). El término “Datos personales” también incluirá la “Información personal”, tal y como se define en la Legislación de protección de datos de Estados Unidos. Independientemente de lo anterior, los Datos personales no incluyen la información que Shopify trata en el contexto de los servicios ofrecidos directamente a un consumidor, tales como aquellos que se prestan mediante aplicaciones orientadas al consumidor; por ejemplo, Shop y Shop Pay.

(c) “Legislación de protección de datos de Estados Unidos” hace referencia a la Ley de privacidad del cliente de California, modificada en virtud de la Ley de derechos de privacidad de California (“CCPA”), la Ley de protección de datos del consumidor de Virginia (“VCDPA”), la Ley de privacidad de Colorado (“CPA”), La ley de privacidad de los consumidores de Utah (“UCPA”), la Ley sobre privacidad de los datos personales y de supervisión online de Connecticut (“CTDPA”), así como otras legislaciones sobre privacidad de ámbito estatal que contemplen obligaciones por parte de una Empresa o Responsable en relación con los Datos personales (según se definen en dichas leyes) y cualquier otro reglamento, norma o instrumento vinculante que implemente dichas leyes, en cada caso según corresponda y según se haya modificado, consolidado, promulgado de nuevo o sustituido de forma periódica.

(d) “Consumidor estadounidense” hace referencia a cualquier persona que la Legislación de protección de datos de Estados Unidos defina como “consumidor”.

(e) Todos los demás términos en mayúscula de este Anexo tendrán la misma definición que en el Acuerdo.

2. Detalles del tratamiento

2.1. Las partes aceptan que, en el Apéndice 1 de este Anexo, se describen el objeto y los detalles del tratamiento de los Datos personales. Shopify podrá agregar, anonimizar o desidentificar los Datos personales y tratarlos para los fines descritos en el Apéndice 1 o según lo permita la legislación aplicable. En la medida en la que Shopify reciba de usted Datos personales que se hayan desidentificado (tal y como se describe en la sección 5.1 de este Anexo), Shopify mantendrá y usará los datos solo de esta manera.

3. Unión Europea y Reino Unido

3.1. Esta sección solo se aplica en la medida en la que el tratamiento de Datos personales de Shopify esté sujeto a la Legislación de protección de datos europea. En esta sección, los términos “Encargado de los datos”, “Responsable de los datos”, “Titular de datos”, “Tratamiento”, “Subencargado” y “Autoridad supervisora” se interpretarán de acuerdo con la Legislación de protección de datos europea.

3.2. Usted reconoce que Shopify actúa como Responsable de los datos independiente en lo que respecta a los datos personales que obtiene de los consumidores a través de sus aplicaciones y servicios orientados al consumidor, como Shop y Shop Pay.

3.3. Cuando el Titular de datos se encuentre en el Espacio Económico Europeo o en Reino Unido, será la filial irlandesa de Shopify, Shopify International Ltd. (“Shopify UE”), la que trate sus Datos personales. Como parte de la prestación de los Servicios, esos Datos personales pueden transferirse a otras regiones, entre ellas, Canadá y Estados Unidos. Dichas transferencias se llevarán a cabo de conformidad con la legislación de protección de datos pertinente.

3.4. Cuando Shopify UE trate Datos personales durante la prestación de los Servicios:

  • 3.4.1. Shopify tratará los Datos personales en calidad de Encargado de los datos o Proveedor de servicios solo con el fin de proporcionar los Servicios de acuerdo con las instrucciones documentadas que usted haya dado (siempre que dichas instrucciones sean proporcionales a las funcionalidades de los Servicios) y según su aceptación posterior. Si la ley requiere que Shopify UE trate los Datos personales con cualquier otro propósito, Shopify UE le comunicará con anticipación este requisito, a menos que la ley prohíba a Shopify UE proporcionar dicho aviso.

  • 3.4.2 Shopify UE transferirá, como parte de la prestación de Servicios, los Datos personales por instrucción suya a MaxMind, un servicio de detección de fraudes que trata esos datos con el fin de proporcionarle puntuaciones de riesgo destinadas a evitar transacciones fraudulentas. Por ende, MaxMind actúa como Responsable de los datos independiente con respecto a cualquier Dato personal relacionado con los Clientes que pueda tratar y no somos responsables de la forma en que trata dichos datos. Puede encontrar más información sobre la política de privacidad de MaxMind en este enlace: www.maxmind.com/en/privacy-policy (en inglés).

  • 3.4.3. Shopify lo notificará si, según el criterio de Shopify UE, sus instrucciones sobre el tratamiento de Datos personales infringen la Legislación de protección de datos europea aplicable.

  • 3.4.4. Shopify lo notificará de inmediato, en la medida en que lo permita la ley, una vez que reciba una reclamación o queja relacionada con el tratamiento de Datos personales por parte de Shopify UE proveniente de una Autoridad supervisora.

  • 3.4.5. Shopify implementará medidas técnicas y organizacionales razonables que le permitan presentar las solicitudes relativas a los Datos personales de su cliente que usted tenga la obligación de cumplir.

  • 3.4.6. Shopify implementará y mantendrá las medidas técnicas y organizacionales apropiadas para proteger los Datos personales contra el tratamiento no autorizado o ilegal y contra la pérdida accidental, la destrucción, el daño, el robo, la alteración o la divulgación. Estas medidas se adecuarán al daño que pueda resultar de cualquier procesamiento no autorizado o ilegal, la pérdida accidental, la destrucción, el daño o el robo de Datos personales, y a la naturaleza de los Datos personales que se protegerán.

  • 3.4.7. Previa solicitud, Shopify proporcionará información razonable para ayudarlo a realizar las evaluaciones de impacto en materia de protección de datos y las consultas previas con las autoridades reguladoras.

  • 3.4.8. Shopify le proporcionará, previa solicitud, las declaraciones, los informes o los extractos actualizados, cuando estén disponibles, provenientes de la fuente encargada de auditar las prácticas de protección de datos de Shopify UE (por ejemplo, auditores externos, auditorías internas o auditores de protección de datos), así como las certificaciones adecuadas, para que pueda evaluar el cumplimiento de los términos de este Anexo.

  • 3.4.9. Shopify lo notificará sin demora indebida al tener conocimiento y confirmación de que alguien ha tratado o divulgado los Datos personales sin autorización o de forma accidental o ilegal, o que ha accedido a ellos de esa misma manera.

  • 3.4.10. Shopify se asegurará de que el personal que dispone de acceso a los Datos personales esté sujeto a obligaciones en materia de confidencialidad.

  • 3.4.11. En caso de rescisión del Acuerdo, Shopify UE iniciará de inmediato el proceso de purga para eliminar o anonimizar los Datos personales. También podrá solicitar, en un plazo de 60 días a partir de la rescisión, que Shopify le devuelva dichos Datos personales.

3.5. En el transcurso de la prestación de los Servicios, reconoce y otorga a Shopify UE una autorización general y por escrito para usar los Subencargados identificados online en https://help.shopify.com/es//manual/privacy-and-security/privacy/subprocessors (“Lista de subencargados”) para tratar los Datos personales. El uso por parte de Shopify UE de cualquier Subencargado para tratar los Datos personales deberá hacerse conforme a la Legislación de protección de datos europea y estará regulado por un contrato entre Shopify UE y el Subencargado que requiera protecciones comparables a las contempladas en este Anexo de tratamiento de datos. Si Shopify UE nombra a un nuevo subencargado o tiene la intención de realizar cambios relativos a la inclusión o la sustitución de subencargados, dichos cambios se reflejarán en nuestra Lista de subencargados. Dispondrá de siete (7) días a partir de la fecha de actualización de la Lista de subencargados para presentar objeciones a la modificación. Si lo hace, podrá finalizar este acuerdo en virtud de lo dispuesto en el Acuerdo y en el Acuerdo de Shopify Plus, si corresponde.

3.6. Usted garantiza que ha cumplido y sigue cumpliendo la Legislación de protección de datos europea. En concreto, ha obtenido los consentimientos necesarios o ha proporcionado los avisos pertinentes, y tiene un motivo legítimo para compartir datos con Shopify UE y permitir el tratamiento de los Datos personales por parte de Shopify UE según lo dispuesto en este Acuerdo.

4. Consumidores de Estados Unidos

4.1. Esta sección se aplica en la medida en la que, según la Legislación de protección de datos de Estados Unidos, usted actúe en calidad de Empresa o Responsable del tratamiento y, en el transcurso de la prestación de los Servicios, Shopify procese Datos personales de Consumidores estadounidenses que estén sujetos a la Legislación de protección de datos de Estados Unidos. En esta sección, “Empresa”, “Propósito empresarial”, “Propósito comercial”, “Responsable del tratamiento”, “Desidentificados”, “Encargado del tratamiento”, “Vender”, “Venta” y “Proveedor de servicios” tendrán el significado que se indica en la Legislación de protección de datos de Estados Unidos, y “Compartir” tendrá el significado indicado en la CCPA, que se incorporan aquí por referencia.

4.2. En relación con dichos Datos personales y en la medida en la que lo requiera la Legislación de protección de datos de Estados Unidos, Shopify:

  • 4.2.1. Tratará los Datos personales en calidad de Proveedor de servicios o Encargado del tratamiento en su nombre para prestar los Servicios o en la medida en que lo permita la Legislación de protección de datos de Estados Unidos.

  • 4.2.2. No conservará, usará ni divulgará los Datos personales fuera del ámbito de la relación empresarial que mantiene con usted ni con ningún otro fin que no sea la prestación de los Servicios. Esto incluye la conservación, el uso o la divulgación de dichos Datos personales con un Propósito comercial que no sea el cumplimiento de los Propósitos empresariales descritos en el Acuerdo o de cualquier otra forma permitida por la Legislación de protección de datos de Estados Unidos.

  • 4.2.3. No venderá ni compartirá dichos Datos personales.

  • 4.2.3. No combinará Datos personales recopilados en relación con la prestación de los Servicios con Datos personales recibidos mediante otra fuente o recopilados a partir de sus propias interacciones con la persona, excepto con el fin de prestar los Servicios, con consentimiento o según lo indicado, o de cualquier otra forma permitida por la Legislación de protección de datos de Estados Unidos.

  • 4.2.4. Cumplirá, en relación con el tratamiento de los Datos personales, con las disposiciones de la Legislación de protección de datos de Estados Unidos aplicables a los Proveedores de servicios o Encargados del tratamiento. Esto incluye ofrecer el mismo nivel de protección de la privacidad que exige la Legislación de protección de datos de Estados Unidos a las Empresas o a los Responsables del tratamiento. Asimismo, lo notificará si se determina que no es posible seguir cumpliendo con dichas obligaciones, en cuyo caso podrá, tras la recepción de dicha notificación, adoptar las medidas razonables y adecuadas para interrumpir y corregir cualquier uso no autorizado de los Datos personales por parte de Shopify.

  • 4.2.5. Solo empleará a subcontratistas para tratar los Datos personales en su nombre en virtud de un contrato por escrito que requiera medidas de protección comparables a las de este Anexo de tratamiento de datos. En el transcurso de la prestación de los Servicios, reconoce y otorga a Shopify una autorización por escrito general para usar a los subcontratistas identificados online en https://help.shopify.com/es//manual/privacy-and-security/privacy/subprocessors (“Lista de subencargados”) para tratar los Datos personales. El uso por parte de Shopify de cualquier Subencargado para tratar los Datos personales deberá hacerse conforme a la Legislación de protección de datos de Estados Unidos y estará regulado por un contrato entre Shopify y el subcontratista que requiera protecciones comparables a las contempladas en este Anexo de tratamiento de datos. Si Shopify nombra a un nuevo subcontratista o tiene la intención de realizar cambios relativos a la inclusión o la sustitución de subcontratistas, dichos cambios se reflejarán en nuestra Lista de subencargados. Dispondrá de siete (7) días a partir de la fecha de actualización de la Lista de subencargados para presentar objeciones a la modificación. Si no recibimos respuesta por su parte, la modificación se considerará aceptada. En el caso de que presente objeciones al nombramiento de un subcontratista, podrá finalizar este acuerdo en virtud de lo dispuesto en el Acuerdo y en el Acuerdo de Shopify Plus, si corresponde.

  • 4.2.6. Se asegurará de que el personal que trata los Datos personales esté sujeto a obligaciones en materia de confidencialidad con respecto a esa información.

  • 4.2.7. Tras recibir un aviso por escrito de su parte y en virtud de las obligaciones en materia de confidencialidad descritas en el Acuerdo, adoptará medidas razonables y adecuadas para ayudarlo a confirmar que el uso de los Datos personales por parte de Shopify se lleva a cabo de acuerdo con las obligaciones que usted tiene que cumplir en el marco de la Legislación de protección de datos de Estados Unidos.

  • 4.2.8. Previa solicitud, proporcionará un informe de evaluación razonable de las políticas de Shopify y de las medidas técnicas y organizacionales destinadas al cumplimiento de sus obligaciones según lo establecido en la Legislación de protección de datos de Estados Unidos, para lo cual usará un marco o estándar de control o un procedimiento de evaluación apropiados y aceptados.

  • 4.2.9 En caso de rescisión del Acuerdo, Shopify iniciará de inmediato su proceso de purga para eliminar o desidentificar los Datos personales. También podrá solicitar, en un plazo de 60 días a partir de la rescisión, que Shopify le devuelva dichos Datos personales.

4.3. Usted declara que:

  • 4.3.1. Ha obtenido los permisos, derechos y autorizaciones necesarios, y ha proporcionado los avisos respectivos en relación con la divulgación de Datos personales para que Shopify pueda llevar a cabo el tratamiento de los Datos personales con el fin de prestar los Servicios, tal y como establece la legislación aplicable.

  • 4.3.2. No compartirá con Shopify ningún Dato personal sobre ninguna persona sujeta a la Legislación de protección de datos de Estados Unidos que haya ejercido cualquier derecho de exclusión que usted se haya comprometido a cumplir.

  • 4.3.3. No compartirá con Shopify ningún dato confidencial de ningún Consumidor estadounidense que no haya otorgado su consentimiento para el tratamiento de sus datos confidenciales.

  • 4.3.4. Informará a Shopify de cualquier solicitud de derechos que las personas lleven a cabo en virtud de la Legislación de protección de datos de Estados Unidos que Shopify deba cumplir y proporcionará la información necesaria para que Shopify cumpla las solicitudes.

  • 4.3.5. El cumplimiento de la legislación aplicable es responsabilidad exclusivamente suya.

4.4 Usted y Shopify aceptan que la existencia de este Anexo no implica la admisión de que el hecho de compartir Datos personales constituya una venta o un intercambio.

5. General

5.1. En caso de conflicto o discrepancia entre las disposiciones del Acuerdo y este Anexo, prevalecerán las disposiciones de este Anexo, a menos que dichas disposiciones contradigan un requisito de la legislación aplicable, en cuyo caso prevalecerá dicho requisito. Para evitar dudas y en la medida en que lo permita la ley aplicable, cualquier responsabilidad que pudiera resultar de este Anexo, incluidas sus limitaciones, se regirá según las disposiciones relevantes del Acuerdo. Usted reconoce y acepta que Shopify puede modificar periódicamente este Anexo mediante la publicación de las modificaciones y actualizaciones correspondientes en el sitio web de Shopify, disponible en https://shopify.com/es-es/legal/apd, y que cualquier modificación hecha al Anexo entrará en vigor a partir de la fecha de publicación. Seguir usando los Servicios una vez publicadas las modificaciones del Anexo en el sitio web de Shopify constituye la aceptación del Anexo modificado. Si no está de acuerdo con los cambios hechos al Anexo, no siga usando el Servicio.

5.2. Salvo que se hayan modificado y enmendado específicamente en este Anexo, todos los términos, disposiciones y requisitos contenidos en el Acuerdo permanecerán en plena vigencia y efecto y regirán este Anexo. Si alguna disposición del Anexo se considerase ilegal o inaplicable en un procedimiento judicial, dicha disposición se separará y quedará invalidada, permaneciendo el resto de este Anexo operativo y vinculante para las partes.

5.3. Los términos del presente Anexo se regirán e interpretarán de acuerdo con las leyes de la provincia de Ontario y las leyes de Canadá aplicables, sin tener en cuenta los principios de conflicto de leyes. Las partes se someten irrevocable e incondicionalmente a la jurisdicción exclusiva de los tribunales de la provincia de Ontario con respecto a cualquier litigio o reclamo que surja del presente Anexo o esté relacionado con él.

Apéndice 1: Detalles del tratamiento

Naturaleza y propósito del tratamiento: proporcionar y mejorar los Servicios en el ámbito de los Términos del Servicio de Shopify y cualesquiera otros términos en los que se incorpore este Anexo, y ofrecer al Cliente cualquier asistencia relacionada permitida por la Legislación de protección de datos europea o de Estados Unidos, según corresponda, o iniciada por usted de forma periódica.

Asunto, tipos de Datos personales y categorías de titulares de datos: Datos personales relativos a los Clientes.

Duración del tratamiento: el período de vigencia de este Anexo más el período comprendido desde que finaliza el período de vigencia hasta que Shopify elimina todos los Datos personales del Cliente de acuerdo con las obligaciones contempladas en este Anexo.