Iniciar sesión

Acuerdo de Tratamiento de Datos

Última actualización: 15 April 2026

Este Acuerdo de Tratamiento de Datos (“DPA”) forma parte del acuerdo entre la entidad identificada en la cuenta de Accsible (“Cliente”, “Responsable”) y Denizcom Ltd, que opera como Accsible, registrada en 71-75 Shelton Street, Covent Garden, London, WC2H 9JQ, United Kingdom (“Accsible”, “Encargado”), y complementa los Términos de uso y la Política de privacidad (conjuntamente, el “Acuerdo Principal”).

Este DPA se aplica cuando y en la medida en que Accsible trate Datos Personales en nombre del Cliente en el curso de la prestación del Servicio. Está diseñado para garantizar el cumplimiento del artículo 28 del UK GDPR, del EU GDPR (Reglamento 2016/679) y de otra legislación aplicable en materia de protección de datos.

1. Definiciones

En este DPA, salvo que el contexto exija lo contrario:

  • “Leyes de Protección de Datos” — el UK GDPR, el EU GDPR, la Data Protection Act 2018, las Privacy and Electronic Communications Regulations 2003 y cualquier otra legislación aplicable en materia de protección de datos.
  • “Datos Personales” — cualquier información relativa a una persona física identificada o identificable que sea tratada por Accsible en nombre del Cliente en virtud del Acuerdo Principal.
  • “Tratamiento” — cualquier operación realizada sobre Datos Personales, incluida la recogida, el registro, el almacenamiento, la recuperación, el uso, la divulgación, el borrado o la destrucción.
  • “Subencargado” — cualquier tercero designado por Accsible para tratar Datos Personales en nombre del Cliente.
  • “Interesado” — la persona física identificada o identificable a la que se refieren los Datos Personales.
  • “Usuario Final” — un visitante del sitio web del Cliente que interactúa con el Widget de Accsible.
  • “Incidente de Seguridad” — una violación de la seguridad que ocasione la destrucción, pérdida, alteración, divulgación no autorizada de, o acceso no autorizado a, Datos Personales, de manera accidental o ilícita.
  • “SCCs” — las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Decisión 2021/914) o el UK International Data Transfer Agreement (IDTA), según corresponda.

2. Alcance y detalles del Tratamiento

2.1 Objeto

Accsible proporciona un widget de accesibilidad y una plataforma SaaS. Cuando el Cliente integra el Widget en su(s) sitio(s) web, Accsible trata determinados Datos Personales de los Usuarios Finales en nombre del Cliente.

2.2 Duración

El Tratamiento comienza cuando el Cliente activa el Widget y continúa durante la vigencia del Acuerdo Principal. Tras la terminación, se aplica la Sección 11 de este DPA.

2.3 Naturaleza y finalidad del Tratamiento

Aspecto Detalle
Finalidad Entregar y operar el widget de accesibilidad; proporcionar analíticas de uso y puntuaciones de accesibilidad al Cliente a través del Panel; tratar los comentarios enviados por los Usuarios Finales.
Naturaleza del tratamiento Recogida, almacenamiento, agregación, análisis y eliminación de Datos Personales según sea necesario para prestar el Servicio.

2.4 Tipos de Datos Personales

  • Direcciones IP (anonimizadas para analíticas; IP completa en registros de seguridad durante un máximo de 90 días)
  • Tipo de navegador, versión y cadena de agente de usuario
  • Tipo de dispositivo y sistema operativo
  • Páginas visitadas y marcas de tiempo en el sitio web del Cliente
  • Preferencias de accesibilidad seleccionadas por los Usuarios Finales (almacenadas localmente en el dispositivo del Usuario Final; no se transmiten a menos que se envíen comentarios)
  • Envíos de comentarios (nombre y/o correo electrónico si el Usuario Final los proporciona voluntariamente)
  • Métricas agregadas de vistas de página

2.5 Categorías de Interesados

  • Usuarios Finales — visitantes del/de los sitio(s) web del Cliente que interactúan con el Widget de Accsible
  • Personal del Cliente — personas que acceden al Panel de Accsible en nombre del Cliente

3. Obligaciones del Cliente (Responsable)

El Cliente deberá:

  • Garantizar que dispone de una base jurídica para el Tratamiento de Datos Personales y para instruir a Accsible a tratarlos.
  • Proporcionar todos los avisos requeridos y obtener todos los consentimientos necesarios de los Interesados según lo exijan las Leyes de Protección de Datos, incluyendo informar a los Usuarios Finales sobre el uso del Widget de Accsible en la propia política de privacidad del Cliente.
  • Garantizar que sus instrucciones a Accsible cumplen con las Leyes de Protección de Datos.
  • Notificar puntualmente a Accsible cualquier cambio en las Leyes de Protección de Datos aplicables que pueda afectar a las obligaciones de tratamiento de Accsible.

4. Obligaciones de Accsible (Encargado)

Accsible deberá:

  • Tratar Datos Personales únicamente siguiendo instrucciones documentadas del Cliente (incluyendo las instrucciones establecidas en este DPA y en el Acuerdo Principal), salvo que esté obligado a hacerlo por la legislación aplicable — en cuyo caso Accsible informará al Cliente antes del tratamiento, a menos que la ley lo prohíba.
  • Garantizar que las personas autorizadas para tratar Datos Personales se hayan comprometido a la confidencialidad o estén sujetas a una obligación legal apropiada de confidencialidad.
  • Implementar y mantener las medidas de seguridad técnicas y organizativas descritas en la Sección 5.
  • Cumplir las condiciones para la contratación de Subencargados establecidas en la Sección 6.
  • Asistir al Cliente, mediante medidas técnicas y organizativas apropiadas, en el cumplimiento de su obligación de responder a las solicitudes de los Interesados (Sección 7).
  • Asistir al Cliente en garantizar el cumplimiento de sus obligaciones en virtud de los artículos 32–36 del GDPR (seguridad, notificación de brechas, evaluaciones de impacto y consulta previa), teniendo en cuenta la naturaleza del tratamiento y la información disponible para Accsible.
  • A elección del Cliente, borrar o devolver todos los Datos Personales tras la terminación del Acuerdo Principal (Sección 11).
  • Poner a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el artículo 28 del GDPR, y permitir y contribuir a auditorías e inspecciones (Sección 10).
  • Informar inmediatamente al Cliente si, en opinión de Accsible, una instrucción del Cliente infringe las Leyes de Protección de Datos.

5. Medidas de seguridad

Accsible implementa y mantiene las siguientes medidas técnicas y organizativas para proteger los Datos Personales frente al tratamiento no autorizado o ilícito, y frente a la pérdida, destrucción o daño accidentales:

5.1 Medidas técnicas

  • Cifrado en tránsito mediante TLS/HTTPS para todas las conexiones, incluyendo la entrega por CDN, la comunicación de la API y el acceso al Panel.
  • Hash de contraseñas utilizando algoritmos criptográficos unidireccionales con sal.
  • Cabeceras de Content Security Policy (CSP) para mitigar ataques de cross-site scripting e inyección.
  • Protección DDoS a través de Cloudflare.
  • Supervisión de errores (Sentry) configurada para enmascarar todo el texto y bloquear todos los medios en las reproducciones de sesión.
  • Anonimización de direcciones IP en el tratamiento de analíticas.
  • Preferencias de accesibilidad de Usuarios Finales almacenadas en el almacenamiento local del navegador (solo en el dispositivo; no se transmiten a los servidores a menos que se envíen comentarios).

5.2 Medidas organizativas

  • Controles de acceso basados en roles; el acceso a Datos Personales se limita al personal que lo requiere para desempeñar sus funciones.
  • Obligaciones de confidencialidad para todo el personal y contratistas con acceso a Datos Personales.
  • Evaluaciones de seguridad periódicas y supervisión de la infraestructura.
  • Procedimientos de respuesta a incidentes según se describe en la Sección 8.
  • Políticas de conservación que garantizan que los Datos Personales no se mantengan más tiempo del necesario (véase la Sección 9).

6. Subencargados

6.1 Autorización general

El Cliente otorga a Accsible una autorización general por escrito para contratar Subencargados que lleven a cabo actividades específicas de tratamiento en nombre del Cliente. Accsible impondrá a cada Subencargado obligaciones de protección de datos no menos protectoras que las de este DPA mediante un contrato escrito.

6.2 Subencargados actuales

Los siguientes Subencargados están contratados a la fecha de este DPA:

Subencargado Finalidad Ubicación
Cloudflare, Inc. CDN, protección DDoS, entrega de contenido para el Widget y la API Global (sede en USA); tratamiento de datos de la UE/Reino Unido bajo SCCs
Functional Software, Inc. (Sentry) Supervisión de errores y diagnósticos de rendimiento USA; tratamiento bajo SCCs
Google LLC (Google Analytics) Analíticas agregadas de tráfico del sitio web (solo basado en consentimiento) USA; tratamiento bajo SCCs y EU-US Data Privacy Framework
Stripe, Inc. Procesamiento de pagos y gestión de suscripciones USA; certificado PCI DSS Nivel 1; tratamiento bajo SCCs

6.3 Cambios en los Subencargados

Accsible notificará al Cliente por correo electrónico al menos 30 días antes de añadir o sustituir a un Subencargado. La notificación incluirá el nombre del Subencargado, el tratamiento que realizará y su ubicación.

Si el Cliente tiene una objeción razonable a un nuevo Subencargado basada en motivos de protección de datos, el Cliente deberá notificarlo por escrito a Accsible en un plazo de 14 días desde la recepción de la notificación. Las partes discutirán la preocupación de buena fe. Si las partes no pueden resolver la objeción en un plazo de 30 días, el Cliente podrá rescindir el Servicio afectado mediante notificación por escrito, y Accsible reembolsará cualquier tarifa pagada por adelantado correspondiente a la parte no utilizada del período de suscripción.

7. Derechos de los Interesados

Accsible, teniendo en cuenta la naturaleza del tratamiento, asistirá al Cliente mediante medidas técnicas y organizativas apropiadas para cumplir sus obligaciones de responder a las solicitudes de los Interesados que ejerzan sus derechos en virtud de las Leyes de Protección de Datos, incluyendo:

  • Derecho de acceso
  • Derecho de rectificación
  • Derecho de supresión (“derecho al olvido”)
  • Derecho a la limitación del tratamiento
  • Derecho a la portabilidad de los datos
  • Derecho de oposición

Si Accsible recibe directamente una solicitud de un Interesado relativa a los datos del Cliente, Accsible redirigirá sin demora al Interesado al Cliente y notificará al Cliente la solicitud, a menos que la ley prohíba hacerlo. Accsible no responderá directamente a dichas solicitudes salvo que el Cliente lo instruya o que la ley lo exija.

8. Notificación de Incidentes de Seguridad

8.1 Notificación

Accsible notificará al Cliente cualquier Incidente de Seguridad confirmado sin dilación indebida y, en cualquier caso, en un plazo máximo de 48 horas desde que tenga conocimiento del mismo. La notificación se enviará a la dirección de correo electrónico asociada con la cuenta del Cliente (o a una dirección alternativa designada por el Cliente para este fin).

8.2 Contenido de la notificación

La notificación incluirá, en la medida en que esté disponible en ese momento:

  • Una descripción de la naturaleza del Incidente de Seguridad, incluyendo las categorías y el número aproximado de Interesados y de registros de datos afectados.
  • El nombre y los datos de contacto del punto de contacto en Accsible.
  • Una descripción de las posibles consecuencias del incidente.
  • Una descripción de las medidas adoptadas o propuestas para abordar el incidente, incluyendo las medidas para mitigar sus efectos.

8.3 Obligaciones continuas

Accsible proporcionará información adicional a medida que esté disponible y cooperará con las solicitudes razonables del Cliente para investigar, remediar y mitigar los efectos del Incidente de Seguridad. Accsible también asistirá al Cliente en el cumplimiento de sus propias obligaciones de notificación de brechas ante las autoridades de control y los Interesados en virtud de los artículos 33 y 34 del GDPR.

8.4 Conservación de registros

Accsible mantendrá un registro de todos los Incidentes de Seguridad, incluyendo los hechos relacionados con el incidente, sus efectos y las medidas correctivas adoptadas.

9. Conservación de datos

Accsible conserva los Datos Personales tratados en virtud de este DPA de la siguiente manera:

  • Registros de seguridad (direcciones IP completas): Hasta 90 días, luego se eliminan de forma permanente.
  • Datos de analíticas agregadas: Se anonimizan mensualmente; no se conservan datos de sesiones individuales.
  • Envíos de comentarios de Usuarios Finales: Se conservan durante la vigencia del Acuerdo Principal; se eliminan en un plazo de 30 días tras la terminación.
  • Datos de supervisión de errores (Sentry): Hasta 90 días.
  • Métricas de uso del Widget: Agregadas y anonimizadas; no se conservan datos a nivel individual más allá del tratamiento.

Accsible no conservará Datos Personales más tiempo del necesario para las finalidades de prestación del Servicio o según lo exija la legislación aplicable.

10. Auditorías y cumplimiento

10.1 Información

Accsible pondrá a disposición del Cliente, previa solicitud razonable, toda la información razonablemente necesaria para demostrar el cumplimiento de sus obligaciones en virtud de este DPA y del artículo 28 del GDPR.

10.2 Derechos de auditoría

El Cliente (o un auditor tercero independiente designado por el Cliente) podrá llevar a cabo una auditoría de las actividades de tratamiento y las medidas de seguridad de Accsible, sujeto a las siguientes condiciones:

  • El Cliente deberá proporcionar al menos 30 días de preaviso por escrito de una solicitud de auditoría.
  • Las auditorías se llevarán a cabo durante el horario laboral normal (lunes–viernes, 09:00–18:00 GMT) y no deberán interrumpir de forma irrazonable las operaciones de Accsible.
  • El Cliente no podrá realizar más de una auditoría por período de 12 meses, salvo que lo exija una autoridad de control o tras un Incidente de Seguridad confirmado.
  • El auditor estará sujeto a obligaciones de confidencialidad no menos protectoras que las del Acuerdo Principal.
  • Accsible podrá satisfacer una solicitud de auditoría proporcionando un informe SOC 2 Tipo II vigente, un certificado ISO 27001 o una certificación independiente equivalente, si está disponible.

10.3 Cooperación

Accsible cooperará con el Cliente y con cualquier autoridad de control que requiera acceso a las instalaciones o registros de Accsible en relación con este DPA.

11. Devolución y eliminación de datos

Tras la terminación o expiración del Acuerdo Principal, el Cliente podrá solicitar, en un plazo de 30 días, que Accsible:

  • Devuelva todos los Datos Personales en un formato estructurado, de uso común y lectura mecánica; o
  • Elimine todos los Datos Personales y confirme la eliminación por escrito.

Si el Cliente no realiza una solicitud en un plazo de 30 días desde la terminación, Accsible eliminará de forma permanente todos los Datos Personales, salvo en la medida en que la conservación sea requerida por la legislación aplicable (por ejemplo, registros de facturación para el cumplimiento fiscal). Cuando la conservación sea legalmente requerida, Accsible aislará y protegerá los datos y limitará el tratamiento a la finalidad exigida por la ley.

12. Transferencias internacionales

Accsible está establecida en el Reino Unido. Cuando los Datos Personales se transfieran a Subencargados ubicados fuera del Reino Unido o del EEE, Accsible garantiza que se aplican las salvaguardias adecuadas, incluyendo:

  • UK International Data Transfer Agreement (IDTA) o UK Addendum a las SCCs
  • Cláusulas Contractuales Tipo de la UE (SCCs) — Decisión de la Comisión 2021/914
  • Decisiones de adecuación del Secretario de Estado del Reino Unido o de la Comisión Europea
  • Cuando corresponda, medidas suplementarias adicionales según lo recomendado por el ICO o el EDPB

Se pondrá a disposición del Cliente una copia del mecanismo de transferencia pertinente previa solicitud por escrito.

13. Responsabilidad

La responsabilidad de cada parte en virtud de este DPA está sujeta a las limitaciones y exclusiones de responsabilidad establecidas en el Acuerdo Principal (Términos de uso), salvo que ninguna de las partes excluye ni limita la responsabilidad por infracciones de las Leyes de Protección de Datos en la medida en que dicha exclusión o limitación no esté permitida por la legislación aplicable.

14. Vigencia y prevalencia

14.1 Vigencia

Este DPA entra en vigor en la fecha en que el Cliente integra por primera vez el Widget de Accsible y permanece en vigor durante la vigencia del Acuerdo Principal, y posteriormente hasta que todos los Datos Personales hayan sido eliminados o devueltos de conformidad con la Sección 11.

14.2 Prevalencia

En caso de conflicto entre este DPA y el Acuerdo Principal, este DPA prevalecerá con respecto al tratamiento y la protección de Datos Personales.

14.3 Modificaciones

Accsible podrá actualizar este DPA para reflejar cambios en las Leyes de Protección de Datos o en las actividades de tratamiento. Los cambios materiales se notificarán al Cliente con al menos 30 días de antelación por correo electrónico. El uso continuado del Servicio después de la fecha de entrada en vigor de los cambios constituye aceptación.

15. Contacto

Para preguntas o solicitudes relacionadas con este DPA, contáctenos en:

  • Contacto de protección de datos: [email protected]
  • Incidentes de seguridad: [email protected]
  • Domicilio social: Denizcom Ltd, 71-75 Shelton Street, Covent Garden, London, WC2H 9JQ, United Kingdom
  • Registro en ICO: ZC114350