Aviso de traducción: Este documento ha sido traducido del inglés por comodidad y accesibilidad. En la medida permitida por la legislación aplicable, la versión en lengua inglesa será la versión prevalente y regirá en caso de conflicto, incoherencia, ambigüedad o diferencia de interpretación.
Este Data Processing Agreement ("DPA"), incluidos sus calendarios y anexos, forma parte del Acuerdo entre Rochen Limited ("Rochen") y el Cliente para la prestación de los Servicios.
Este DPA se aplica cuando y en la medida en que Rochen trate Datos Personales del Cliente por cuenta del Cliente en relación con los Servicios. Los Términos de Servicio de Rochen ("TOS") incorporan este DPA por referencia.
Los términos con mayúscula inicial definidos en este DPA se aplican a efectos de este DPA. Los términos con mayúscula inicial utilizados pero no definidos en este DPA tienen el significado que se les atribuye en los TOS.
Este DPA se celebra entre:
Rochen Limited ("Rochen"), una sociedad constituida en Escocia, Reino Unido, con número de sociedad SC242971 y domicilio social en 11 Dudhope Terrace, Dundee, DD3 6TS, Reino Unido, en su propio nombre y en nombre de sus Afiliadas implicadas en la prestación de los Servicios, incluida Rochen US, Inc.; y
Cliente, la persona o entidad que ha celebrado un acuerdo con Rochen para los Servicios.
Rochen y el Cliente son cada uno una “parte” y conjuntamente las “partes”.
En este DPA:
Afiliada significa cualquier entidad que controle directa o indirectamente a una parte, sea controlada por una parte o esté bajo control común con una parte.
Acuerdo significa los Términos de Servicio de Rochen, junto con cualquier pedido, acuerdo de servicio u otro acuerdo escrito o electrónico aplicable entre el Cliente y Rochen que rija el uso de los Servicios por parte del Cliente, incluidos cualesquiera documentos incorporados por referencia, como la Política de Uso Aceptable de Rochen y otras políticas aplicables.
Leyes Aplicables de Protección de Datos significa todas las leyes de protección de datos y privacidad aplicables al tratamiento de Datos Personales del Cliente en virtud del Acuerdo, incluidos, cuando proceda, el UK GDPR, la Ley de Protección de Datos del Reino Unido de 2018, el EU GDPR, las leyes nacionales de aplicación del Espacio Económico Europeo, la Ley Federal Suiza de Protección de Datos y otras leyes similares de protección de datos.
Datos Personales tiene el significado que se le atribuye en las Leyes Aplicables de Protección de Datos.
Datos Personales del Cliente significa Datos Personales que Rochen trata por cuenta del Cliente en relación con los Servicios, incluidos Datos Personales cargados, enviados, almacenados, transmitidos o puestos de otro modo a disposición por el Cliente o en su nombre utilizando los Servicios.
Datos de Relación con el Cliente significa Datos Personales tratados por Rochen como responsable independiente en relación con la administración de cuentas, facturación, pagos, soporte, seguridad y funcionamiento de la relación con el cliente, y no Datos Personales del Cliente tratados por cuenta del Cliente utilizando los Servicios.
Aplicaciones del Cliente significa cualesquiera aplicaciones, sitios web, software, código, bases de datos u otros componentes desplegados, alojados u operados por el Cliente o en su nombre utilizando los Servicios, incluidos el contenido y las configuraciones asociados.
Interesado, Violación de Datos Personales, tratar, tratamiento, responsable del tratamiento, encargado del tratamiento y autoridad de control tienen el significado que se les atribuye en las Leyes Aplicables de Protección de Datos.
Transferencia Restringida significa una transferencia de Datos Personales sujeta a restricciones de transferencia en virtud de las Leyes Aplicables de Protección de Datos.
Servicios significa cualesquiera servicios prestados por Rochen en virtud del Acuerdo, incluidos alojamiento web, alojamiento cloud gestionado, servidor, computación, almacenamiento, registro de dominios, red de distribución de contenido (CDN), DNS, copias de seguridad, seguridad, alojamiento de aplicaciones, alojamiento de correo electrónico, alojamiento de bases de datos, certificado SSL, soporte técnico, migración, servicios profesionales y servicios relacionados.
Subencargado significa cualquier tercero, incluidas las Afiliadas de Rochen, contratado por Rochen para tratar Datos Personales del Cliente por cuenta del Cliente en relación con los Servicios.
UK GDPR significa la versión del Reglamento General de Protección de Datos incorporada al derecho retenido de la UE en el Reino Unido.
EU GDPR significa el Reglamento (UE) 2016/679.
3.1 Este DPA se aplica únicamente en la medida en que Rochen trate Datos Personales del Cliente como encargado o subencargado por cuenta del Cliente en relación con los Servicios.
3.2 El Cliente actúa como responsable del tratamiento, o como encargado del tratamiento por cuenta de un responsable tercero. Rochen actúa como encargado del tratamiento, o como subencargado cuando el Cliente actúa como encargado del tratamiento.
3.3 Rochen trata determinados Datos Personales como responsable independiente. Esto incluye datos de registro de cuenta, datos de facturación y pago, comunicaciones de soporte, metadatos de uso del servicio, datos relacionados con abuso y seguridad, y otros datos administrativos u operativos relativos a la relación con el cliente ("Datos de Relación con el Cliente"). Para mayor claridad, los Datos de Relación con el Cliente no incluyen datos almacenados, alojados o tratados por el Cliente utilizando los Servicios, que siguen siendo Datos Personales del Cliente. Cuando las comunicaciones de soporte incluyan Datos Personales del Cliente enviados por el Cliente o en su nombre con el fin de recibir soporte, Rochen tratará esos Datos Personales del Cliente de conformidad con este DPA.
3.4 El tratamiento de Datos de Relación con el Cliente se rige por el Aviso de Privacidad de Rochen y no por este DPA.
3.5 En caso de conflicto entre este DPA y el Acuerdo, este DPA prevalecerá respecto del tratamiento de Datos Personales del Cliente. En caso de conflicto entre este DPA y las Cláusulas Contractuales Tipo o el Addendum del Reino Unido, las Cláusulas Contractuales Tipo o el Addendum del Reino Unido prevalecerán en la medida del conflicto.
3.6 Este DPA está destinado a aplicarse globalmente. Cuando se apliquen leyes distintas del UK GDPR o EU GDPR, incluidas leyes de Estados Unidos, Canadá, Brasil, India u otras jurisdicciones, las partes acuerdan que este DPA se interpretará y aplicará para cumplir los requisitos de dichas leyes en la medida aplicable.
3.7 En la medida aplicable conforme a las leyes de privacidad de Estados Unidos, incluidas la California Consumer Privacy Act (CCPA) y la California Privacy Rights Act (CPRA), el Cliente es una "business" o "controller" y Rochen es un "service provider" o "processor". Rochen no venderá ni compartirá Datos Personales del Cliente según se definen esos términos en las leyes estatales de privacidad de EE. UU. aplicables, salvo según lo permitido por dichas leyes.
4.1 Rochen tratará Datos Personales del Cliente únicamente conforme a las instrucciones documentadas del Cliente, salvo que la ley aplicable exija lo contrario. El Acuerdo, este DPA, el uso y configuración de los Servicios por parte del Cliente, y las instrucciones del Cliente proporcionadas a través del portal My Rochen, canales de soporte u otros medios acordados constituyen las instrucciones documentadas del Cliente.
4.2 Rochen no está obligada a evaluar o supervisar la legalidad del uso de los Servicios o de las instrucciones del Cliente, salvo en la medida exigida por las Leyes Aplicables de Protección de Datos. Rochen informará al Cliente si, a juicio razonable de Rochen y sobre la base de la información de que disponga, una instrucción infringe claramente las Leyes Aplicables de Protección de Datos, salvo que la ley le prohíba hacerlo.
4.3 El Cliente es responsable de garantizar que sus instrucciones sean lícitas y que haya proporcionado todos los avisos requeridos y obtenido todos los derechos, permisos y bases legales necesarios para el tratamiento de Datos Personales del Cliente utilizando los Servicios.
5.1 Rochen trata Datos Personales del Cliente para prestar, proteger, soportar, mantener, supervisar, mejorar y solucionar problemas de los Servicios; realizar copias de seguridad y restauraciones; prevenir abusos e incidentes de seguridad; cumplir las instrucciones del Cliente; y conforme se describa de otro modo en el Acuerdo y en este DPA.
5.2 Los detalles del objeto, duración, naturaleza y finalidad del tratamiento, tipos de Datos Personales y categorías de Interesados se establecen en el Anexo 1.
6.1 El Cliente es responsable de:
6.2 Para mayor claridad, el Cliente es el único responsable de la seguridad, configuración, actualizaciones, parcheado, eliminación y gestión de las Aplicaciones del Cliente alojadas o tratadas utilizando los Servicios, incluidos cualesquiera Datos Personales del Cliente tratados por o dentro de las Aplicaciones del Cliente. Esta responsabilidad se aplica incluso cuando las Aplicaciones del Cliente son instaladas, configuradas, migradas, actualizadas o asistidas de otro modo utilizando herramientas, funciones o soporte proporcionados por Rochen como parte de los Servicios, salvo que el Acuerdo disponga expresamente lo contrario.
6.3 El Cliente reconoce que Rochen no controla las categorías ni el volumen de Datos Personales del Cliente que el Cliente decide cargar, almacenar, transmitir o tratar de otro modo utilizando los Servicios.
Rochen garantizará que el personal autorizado para tratar Datos Personales del Cliente esté sujeto a obligaciones de confidencialidad adecuadas, ya sean contractuales, legales o profesionales, y que trate Datos Personales del Cliente únicamente en la medida necesaria para prestar los Servicios o conforme se permita de otro modo en este DPA.
8.1 Rochen implementará y mantendrá medidas técnicas y organizativas adecuadas diseñadas para proteger los Datos Personales del Cliente contra destrucción, pérdida, alteración, divulgación no autorizada o acceso no autorizado accidentales o ilícitos.
8.2 Las medidas tendrán en cuenta la naturaleza, alcance, contexto y finalidades del tratamiento, los riesgos presentados por el tratamiento, el estado de la técnica, los costes de implementación y la naturaleza de los Servicios.
8.3 Las medidas de seguridad de Rochen incluyen, según sean aplicables a los Servicios y limitadas a la infraestructura y plataforma gestionadas por Rochen:
8.4 Para mayor claridad, las medidas de seguridad de Rochen no se extienden a las Aplicaciones del Cliente. Rochen no realiza pruebas de seguridad a nivel de aplicación, incluidas evaluaciones de vulnerabilidades o pruebas de penetración de las Aplicaciones del Cliente, salvo que el Acuerdo disponga expresamente lo contrario.
8.5 Se establecen detalles adicionales en el Anexo 2.
9.1 Rochen notificará al Cliente sin dilación indebida después de tener conocimiento de una Violación de Datos Personales confirmada que afecte a Datos Personales del Cliente.
9.2 La notificación de Rochen incluirá, en la medida en que esté razonablemente disponible, información para ayudar al Cliente a cumplir sus propias obligaciones de notificación de violaciones, incluida la naturaleza del incidente, las categorías y el número aproximado de Interesados y registros afectados cuando se conozcan, las consecuencias probables y las medidas adoptadas o propuestas para abordar el incidente.
9.3 La notificación o respuesta de Rochen a una Violación de Datos Personales no constituye reconocimiento de culpa o responsabilidad.
9.4 El Cliente es responsable de determinar si una Violación de Datos Personales debe notificarse a una autoridad de control, a los Interesados o a cualquier otra parte, salvo que las Leyes Aplicables de Protección de Datos exijan a Rochen notificar directamente.
10.1 El Cliente otorga a Rochen autorización general para contratar Subencargados para tratar Datos Personales del Cliente en relación con los Servicios.
10.2 Rochen mantendrá una lista de Subencargados en https://rochen.com/legal/subprocessors. La lista identificará al Subencargado, la finalidad del tratamiento, la ubicación de la entidad y, cuando proceda, la ubicación del tratamiento. La misma página también podrá identificar otros proveedores terceros utilizados por Rochen en relación con Datos de Relación con el Cliente, operaciones comerciales, facturación, comunicaciones, prevención del fraude, analítica, marketing u otro tratamiento del lado del responsable descrito en el Aviso de Privacidad de Rochen.
10.3 Rochen impondrá obligaciones escritas de protección de datos a cada Subencargado que no sean menos protectoras en sustancia que las impuestas a Rochen en virtud de este DPA, en la medida aplicable a la naturaleza de los servicios prestados por el Subencargado.
10.4 Rochen sigue siendo responsable ante el Cliente del cumplimiento de las obligaciones de sus Subencargados en la medida exigida por las Leyes Aplicables de Protección de Datos.
10.5 Rochen notificará los Subencargados nuevos o sustitutos actualizando la lista de Subencargados o mediante otro método adecuado. Cuando sea razonablemente posible, dicha notificación se proporcionará antes del cambio. El Cliente podrá oponerse a un Subencargado nuevo o sustituto por motivos razonables de protección de datos notificándolo a Rochen por escrito dentro de los 30 días posteriores a la notificación. Las partes trabajarán de buena fe para resolver la objeción. Si las partes no pueden resolver la objeción, el Cliente podrá terminar los Servicios afectados, y Rochen reembolsará cualquier tarifa prepagada por la parte no utilizada de los Servicios terminados, salvo que el Acuerdo disponga lo contrario.
11.1 El Cliente puede seleccionar la región del centro de datos para cada sitio web o servicio cuando la selección de región esté disponible. Actualmente Rochen ofrece regiones de alojamiento en Estados Unidos, Canadá, Reino Unido, Alemania, Australia, India y Brasil, sujetas a disponibilidad y configuración del servicio.
11.2 El Cliente reconoce que algunos Servicios, incluida la distribución de contenido, DNS, seguridad, supervisión, soporte, enrutamiento de correo electrónico, administración remota, facturación, prevención del fraude, copias de seguridad, almacenamiento de copias de seguridad fuera del sitio, recuperación ante desastres y otras funciones operativas, pueden implicar tratamiento o acceso desde ubicaciones fuera de la región de alojamiento seleccionada.
11.3 El personal y las Afiliadas de Rochen pueden tratar Datos Personales del Cliente desde el Reino Unido, Estados Unidos, Canadá, Brasil, India y otras ubicaciones donde Rochen o sus Subencargados aprobados operen, según sea necesario para prestar, soportar, proteger y mantener los Servicios.
11.4 Para Transferencias Restringidas sujetas al EU GDPR, las partes acuerdan que las Cláusulas Contractuales Tipo adoptadas por la Decisión de Ejecución (UE) 2021/914 de la Comisión (las “Cláusulas Contractuales Tipo”) se incorporan por referencia a este DPA y se aplican de la siguiente manera:
11.5 Para Transferencias Restringidas sujetas al UK GDPR, las partes acuerdan que el Addendum Internacional de Transferencia de Datos del Reino Unido a las Cláusulas Contractuales Tipo de la UE se aplica según lo establecido en el Anexo 4.
11.6 Para transferencias desde Suiza, las partes acuerdan que las Cláusulas Contractuales Tipo se aplican con modificaciones apropiadas específicas para Suiza.
11.7 Cuando se aplique una decisión de adecuación u otro mecanismo lícito de transferencia, Rochen podrá basarse en dicho mecanismo en lugar de, o además de, las Cláusulas Contractuales Tipo o el Addendum del Reino Unido.
11.8 Rochen tomará medidas razonables diseñadas para garantizar que las transferencias internacionales de Datos Personales del Cliente estén protegidas de conformidad con las Leyes Aplicables de Protección de Datos en todas las jurisdicciones donde se presten los Servicios, incluidos Estados Unidos y Canadá.
12.1 Teniendo en cuenta la naturaleza del tratamiento, Rochen proporcionará asistencia razonable al Cliente, mediante medidas técnicas y organizativas adecuadas, para ayudar al Cliente a responder a solicitudes de Interesados en virtud de las Leyes Aplicables de Protección de Datos.
12.2 Si Rochen recibe una solicitud de un Interesado relacionada con Datos Personales del Cliente, Rochen, salvo prohibición legal, dirigirá al Interesado al Cliente o notificará al Cliente. Rochen no responderá a la solicitud salvo conforme a instrucciones documentadas del Cliente o según lo exija la ley.
12.3 El Cliente es responsable de utilizar los controles disponibles en los Servicios para acceder, corregir, exportar, eliminar o restringir Datos Personales del Cliente cuando dichos controles estén disponibles.
Teniendo en cuenta la naturaleza del tratamiento y la información disponible para Rochen, Rochen proporcionará asistencia razonable al Cliente respecto de las obligaciones del Cliente relativas a seguridad, notificación de violaciones, evaluaciones de impacto relativas a la protección de datos y consulta previa con autoridades de control, en la medida exigida por las Leyes Aplicables de Protección de Datos y cuando el Cliente no tenga acceso de otro modo a la información pertinente.
Dicha asistencia se proporcionará de forma razonable. En la medida en que dicha asistencia requiera recursos o esfuerzos adicionales significativos más allá de la prestación estándar de los Servicios, Rochen podrá cobrar al Cliente dicha asistencia a sus tarifas estándar.
14.1 Durante la vigencia de los Servicios, el Cliente puede acceder, exportar, modificar y eliminar Datos Personales del Cliente utilizando las herramientas y protocolos puestos a disposición a través de los Servicios.
14.2 Tras la terminación o expiración de los Servicios, Rochen eliminará o devolverá Datos Personales del Cliente de conformidad con el Acuerdo, la configuración del servicio aplicable y las instrucciones documentadas del Cliente, salvo que la ley aplicable exija su conservación.
14.3 El Cliente reconoce que los Datos Personales del Cliente eliminados pueden permanecer en copias de seguridad durante un periodo limitado hasta que sean sobrescritos o eliminados de conformidad con el ciclo de vida de copias de seguridad de Rochen. Los datos de copia de seguridad están aislados del tratamiento ordinario y no se restauran salvo como parte de procesos de restauración de copias de seguridad, continuidad del negocio, seguridad o cumplimiento legal.
15.1 Rochen pondrá a disposición información razonablemente necesaria para demostrar el cumplimiento de este DPA y de las Leyes Aplicables de Protección de Datos.
15.2 El Cliente podrá solicitar una auditoría no más de una vez por año natural, salvo que lo exija una autoridad de control o tras una Violación de Datos Personales confirmada que afecte a Datos Personales del Cliente. Toda auditoría debe estar sujeta a requisitos razonables de confidencialidad, seguridad, calendario y alcance, y no debe interferir de forma irrazonable con las operaciones comerciales de Rochen.
15.3 Rochen podrá satisfacer obligaciones de auditoría proporcionando certificaciones de terceros pertinentes, informes de auditoría, resúmenes, políticas, cuestionarios u otra documentación que demuestre el cumplimiento, cuando proceda.
15.4 Las auditorías se realizarán principalmente mediante la provisión de documentación y medios remotos. No se permiten auditorías in situ salvo cuando lo exijan las Leyes Aplicables de Protección de Datos y cuando no exista una alternativa razonable disponible.
15.5 El Cliente es responsable de los costes razonables incurridos por Rochen en el apoyo a auditorías, incluido tiempo, recursos y cualesquiera costes de terceros, salvo que dicha auditoría sea requerida debido a un incumplimiento de este DPA o de las Leyes Aplicables de Protección de Datos por parte de Rochen.
16.1 Si Rochen recibe una solicitud jurídicamente vinculante de una autoridad pública relativa a Datos Personales del Cliente, Rochen, salvo prohibición legal, notificará al Cliente y dirigirá a la autoridad solicitante al Cliente.
16.2 Rochen revisará dichas solicitudes y las impugnará o limitará cuando Rochen determine razonablemente que la solicitud es ilícita, excesivamente amplia o de otro modo inadecuada, teniendo en cuenta las circunstancias y la ley aplicable.
17.1 Rochen podrá prestar los Servicios a través de Afiliadas de Rochen, incluida Rochen US, Inc. Cuando una Afiliada de Rochen trate Datos Personales del Cliente por cuenta del Cliente, Rochen garantizará que la Afiliada esté vinculada por obligaciones coherentes con este DPA.
17.2 Rochen sigue siendo responsable del desempeño de las Afiliadas de Rochen en virtud de este DPA en la medida exigida por las Leyes Aplicables de Protección de Datos.
La responsabilidad de cada parte en virtud de este DPA está sujeta a las limitaciones y exclusiones de responsabilidad del Acuerdo, salvo en la medida prohibida por las Leyes Aplicables de Protección de Datos o las Cláusulas Contractuales Tipo.
Este DPA comienza cuando el Cliente acepta el Acuerdo o empieza a utilizar los Servicios y continúa hasta que Rochen deje de tratar Datos Personales del Cliente por cuenta del Cliente.
Rochen podrá actualizar este DPA de vez en cuando para reflejar cambios en la ley, orientación regulatoria, los Servicios o las actividades de tratamiento de Rochen. Rochen notificará los cambios materiales por medios adecuados, como publicar una versión actualizada en su sitio web, por correo electrónico o mediante aviso a través del portal del cliente.
Rochen tratará Datos Personales del Cliente según sea necesario para prestar, soportar, proteger, mantener, administrar y mejorar los Servicios en virtud del Acuerdo, incluido el soporte técnico relacionado y las solicitudes de clientes, y conforme a las instrucciones del Cliente mediante su uso de los Servicios.
Durante la vigencia del Acuerdo y cualquier periodo durante el cual Rochen trate Datos Personales del Cliente como parte de la retención de copias de seguridad, cierre de cuenta, cumplimiento legal, resolución de disputas u otros fines lícitos permitidos por el Acuerdo y las Leyes Aplicables de Protección de Datos.
Rochen trata Datos Personales del Cliente según sea necesario para prestar, soportar, proteger, mantener, administrar y mejorar los Servicios en virtud del Acuerdo, y conforme a las instrucciones del Cliente mediante su uso de los Servicios.
Esto incluye, según proceda:
El Cliente determina las categorías de Interesados. Pueden incluir:
El Cliente determina las categorías de Datos Personales. Pueden incluir:
Los Servicios no están diseñados específicamente para el tratamiento de categorías especiales de Datos Personales, datos relativos a condenas penales, información sanitaria protegida, datos de tarjetas de pago almacenados por el Cliente o datos de sensibilidad similar, salvo que el Acuerdo disponga lo contrario o salvo que el Cliente haya configurado los Servicios y sus propias aplicaciones para cumplir los requisitos legales y de seguridad aplicables.
Continua durante la duración de los Servicios.
El Cliente puede elegir la región de alojamiento para cada sitio web o servicio cuando la selección de región esté disponible. Algún tratamiento puede seguir ocurriendo fuera de la región de alojamiento seleccionada, incluido acceso de soporte, administración de cuenta, supervisión de seguridad, distribución de contenido, DNS, enrutamiento de correo electrónico, procesamiento de pagos, prevención de fraude, copias de seguridad, almacenamiento de copias de seguridad fuera del sitio, recuperación ante desastres y otro tratamiento operativo.
Rochen mantiene medidas técnicas y organizativas adecuadas a la naturaleza de los Servicios, incluidas cuando proceda:
Rochen contrata Subencargados para prestar determinados aspectos de los Servicios.
Rochen mantiene una lista actualizada de Subencargados, incluida su identidad, finalidad y ubicación, en: https://www.rochen.com/legal/subprocessors
Esta lista podrá actualizarse de vez en cuando de conformidad con la Sección 10 de este DPA.
Este Anexo 3 forma parte de la información requerida por las Leyes Aplicables de Protección de Datos y, cuando proceda, las Cláusulas Contractuales Tipo.
Este Anexo 4 forma parte del Data Processing Agreement (DPA) y se aplica a Transferencias Restringidas sujetas al UK GDPR.
Las partes acuerdan que el Addendum Internacional de Transferencia de Datos del Reino Unido ("Addendum del Reino Unido"), versión B1.0 emitida por la Information Commissioner’s Office del Reino Unido y en vigor desde el 21 de marzo de 2022, se incorpora a este DPA y se aplica a las Cláusulas Contractuales Tipo de la UE ("EU SCCs") según se completan a continuación.
Los detalles de las partes, incluida la información de contacto, se establecen en el Acuerdo y este DPA. Las Afiliadas de Rochen y los Subencargados aprobados pueden participar en el tratamiento según se describe en este DPA.
Cualquiera de las partes podrá terminar este Addendum del Reino Unido según lo establecido en la Sección 19 del Addendum del Reino Unido.
Cuando exista cualquier conflicto entre este Anexo 4 y las EU SCCs o el Addendum del Reino Unido, las EU SCCs y el Addendum del Reino Unido prevalecerán en la medida del conflicto.
Este Anexo 4 forma parte de las salvaguardas para Transferencias Restringidas en virtud de las Leyes Aplicables de Protección de Datos.
Última actualización: 29 de abril de 2026