Iniciar sesión

Acuerdo de procesamiento de datos

Última actualización: 15 April 2026

Este Acuerdo de Tratamiento de Datos (“DPA”) forma parte del acuerdo entre la entidad identificada en la cuenta de Accsible (“Cliente”, “Responsable del tratamiento”) y Denizcom Ltd, que opera como Accsible, registrada en 71-75 Shelton Street, Covent Garden, London, WC2H 9JQ, United Kingdom (“Accsible”, “Encargado del tratamiento”), y complementa los Términos de uso y la Política de privacidad (conjuntamente, el “Acuerdo Principal”).

Este DPA se aplica cuando y en la medida en que Accsible trate Datos Personales en nombre del Cliente en el curso de la prestación del Servicio. Está diseñado para garantizar el cumplimiento del artículo 28 del UK GDPR, el GDPR de la UE (Reglamento 2016/679), y demás legislación aplicable en materia de protección de datos.

1. Definiciones

En este DPA, salvo que el contexto requiera otra cosa:

  • “Leyes de Protección de Datos” — el UK GDPR, el GDPR de la UE, la Data Protection Act 2018, las Privacy and Electronic Communications Regulations 2003, y cualquier otra legislación aplicable en materia de protección de datos.
  • “Datos Personales” — cualquier información relativa a una persona física identificada o identificable que sea tratada por Accsible en nombre del Cliente en virtud del Acuerdo Principal.
  • “Tratamiento” — cualquier operación realizada sobre Datos Personales, incluida la recogida, registro, almacenamiento, recuperación, uso, divulgación, supresión o destrucción.
  • “Subencargado” — cualquier tercero designado por Accsible para tratar Datos Personales en nombre del Cliente.
  • “Interesado” — la persona física identificada o identificable a la que se refieren los Datos Personales.
  • “Usuario Final” — un visitante del sitio web del Cliente que interactúa con el Widget de Accsible.
  • “Incidente de Seguridad” — una violación de la seguridad que provoque la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilícito a Datos Personales.
  • “SCCs” — las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Decisión 2021/914) o el UK International Data Transfer Agreement (IDTA), según corresponda.

2. Alcance y detalles del tratamiento

2.1 Objeto

Accsible proporciona un widget de accesibilidad y una plataforma SaaS. Cuando el Cliente integra el Widget en su(s) sitio(s) web, Accsible trata determinados Datos Personales de Usuarios Finales en nombre del Cliente.

2.2 Duración

El tratamiento comienza cuando el Cliente activa el Widget y continúa durante la vigencia del Acuerdo Principal. Tras la terminación, se aplica la Sección 11 de este DPA.

2.3 Naturaleza y finalidad del tratamiento

Aspecto Detalle
Finalidad Entrega y funcionamiento del widget de accesibilidad; proporcionar análisis de uso y puntuaciones de accesibilidad al Cliente a través del Panel; tratar los comentarios enviados por los Usuarios Finales.
Naturaleza del tratamiento Recogida, almacenamiento, agregación, análisis y supresión de Datos Personales según sea necesario para prestar el Servicio.

2.4 Tipos de Datos Personales

  • Direcciones IP (anonimizadas para análisis; IP completa en registros de seguridad durante hasta 90 days)
  • Tipo de navegador, versión y cadena de agente de usuario
  • Tipo de dispositivo y sistema operativo
  • Páginas visitadas y marcas de tiempo en el sitio web del Cliente
  • Preferencias de accesibilidad seleccionadas por los Usuarios Finales (almacenadas localmente en el dispositivo del Usuario Final; no se transmiten salvo que se envíe comentarios)
  • Envíos de comentarios (nombre y/o email si el Usuario Final los proporciona voluntariamente)
  • Métricas agregadas de visualización de páginas

2.5 Categorías de Interesados

  • Usuarios Finales — visitantes del/de los sitio(s) web del Cliente que interactúan con el Widget de Accsible
  • Personal del Cliente — personas que acceden al Panel de Accsible en nombre del Cliente

3. Obligaciones del Cliente (Responsable del tratamiento)

El Cliente deberá:

  • Asegurarse de que dispone de una base jurídica para el Tratamiento de Datos Personales y para instruir a Accsible a tratarlos.
  • Proporcionar todos los avisos requeridos y obtener todos los consentimientos necesarios de los Interesados según exijan las Leyes de Protección de Datos, incluida la información a los Usuarios Finales sobre el uso del Widget de Accsible en la propia política de privacidad del Cliente.
  • Asegurarse de que sus instrucciones a Accsible cumplen con las Leyes de Protección de Datos.
  • Notificar sin demora a Accsible cualquier cambio en las Leyes de Protección de Datos aplicables que pueda afectar a las obligaciones de tratamiento de Accsible.

4. Obligaciones de Accsible (Encargado del tratamiento)

Accsible deberá:

  • Tratar Datos Personales únicamente siguiendo instrucciones documentadas del Cliente (incluidas las instrucciones establecidas en este DPA y en el Acuerdo Principal), salvo que la ley aplicable exija hacerlo — en cuyo caso Accsible informará al Cliente antes del tratamiento, salvo que esté legalmente prohibido hacerlo.
  • Asegurarse de que las personas autorizadas para tratar Datos Personales se hayan comprometido a la confidencialidad o estén sujetas a una obligación legal adecuada de confidencialidad.
  • Implementar y mantener las medidas de seguridad técnicas y organizativas descritas en la Sección 5.
  • Cumplir con las condiciones para la contratación de Subencargados establecidas en la Sección 6.
  • Ayudar al Cliente, mediante medidas técnicas y organizativas apropiadas, a cumplir su obligación de responder a las solicitudes de los Interesados (Sección 7).
  • Ayudar al Cliente a garantizar el cumplimiento de sus obligaciones en virtud de los artículos 32–36 del GDPR (seguridad, notificación de violaciones, evaluaciones de impacto y consulta previa), teniendo en cuenta la naturaleza del tratamiento y la información disponible para Accsible.
  • A elección del Cliente, suprimir o devolver todos los Datos Personales tras la terminación del Acuerdo Principal (Sección 11).
  • Poner a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el artículo 28 del GDPR, y permitir y contribuir a auditorías e inspecciones (Sección 10).
  • Informar inmediatamente al Cliente si, en opinión de Accsible, una instrucción del Cliente infringe las Leyes de Protección de Datos.

5. Medidas de seguridad

Accsible implementa y mantiene las siguientes medidas técnicas y organizativas para proteger los Datos Personales frente al tratamiento no autorizado o ilícito, la pérdida accidental, la destrucción o el daño:

5.1 Medidas técnicas

  • Cifrado en tránsito mediante TLS/HTTPS para todas las conexiones, incluida la entrega por CDN, la comunicación con la API y el acceso al Panel.
  • Hashing de contraseñas mediante algoritmos criptográficos salados y unidireccionales.
  • Encabezados de Content Security Policy (CSP) para mitigar ataques de cross-site scripting e inyección.
  • Protección DDoS a través de Cloudflare.
  • Monitorización de errores (Sentry) configurada para ocultar todo el texto y bloquear todos los medios en las reproducciones de sesión.
  • Anonimización de direcciones IP en el tratamiento analítico.
  • Preferencias de accesibilidad del Usuario Final almacenadas en el almacenamiento local del navegador (solo en el dispositivo; no se transmiten a los servidores salvo que se envíe comentarios).

5.2 Medidas organizativas

  • Controles de acceso basados en roles; acceso a Datos Personales limitado al personal que lo necesite para desempeñar sus funciones.
  • Obligaciones de confidencialidad para todo el personal y contratistas con acceso a Datos Personales.
  • Evaluaciones de seguridad periódicas y monitorización de la infraestructura.
  • Procedimientos de respuesta a incidentes según se describe en la Sección 8.
  • Políticas de conservación que garantizan que los Datos Personales no se conserven más tiempo del necesario (véase la Sección 9).

6. Subencargados

6.1 Autorización general

El Cliente concede a Accsible una autorización general por escrito para contratar Subencargados para llevar a cabo actividades específicas de tratamiento en nombre del Cliente. Accsible impondrá a cada Subencargado obligaciones de protección de datos no menos protectoras que las de este DPA mediante un contrato escrito.

6.2 Subencargados actuales

Los siguientes Subencargados están contratados a la fecha de este DPA:

Subencargado Finalidad Ubicación
Cloudflare, Inc. CDN, protección DDoS, entrega de contenido para Widget y API Global (con sede en USA); tratamiento de datos de la UE/UK bajo SCCs
Functional Software, Inc. (Sentry) Monitorización de errores y diagnósticos de rendimiento USA; tratamiento bajo SCCs
Google LLC (Google Analytics) Análisis agregado del tráfico del sitio web (solo basado en consentimiento) USA; tratamiento bajo SCCs y el EU-US Data Privacy Framework
Stripe, Inc. Procesamiento de pagos y gestión de suscripciones USA; certificado PCI DSS Level 1; tratamiento bajo SCCs

6.3 Cambios en los Subencargados

Accsible notificará al Cliente por email al menos 30 days antes de añadir o sustituir un Subencargado. La notificación incluirá el nombre del Subencargado, el tratamiento que realizará y su ubicación.

Si el Cliente tiene una objeción razonable a un nuevo Subencargado basada en motivos de protección de datos, el Cliente deberá notificarlo a Accsible por escrito dentro de los 14 days siguientes a la recepción de la notificación. Las partes debatirán la preocupación de buena fe. Si las partes no pueden resolver la objeción dentro de 30 days, el Cliente podrá rescindir el Servicio afectado mediante notificación por escrito, y Accsible reembolsará cualquier tarifa prepagada correspondiente a la parte no utilizada del plazo de suscripción.

7. Derechos de los Interesados

Accsible deberá, teniendo en cuenta la naturaleza del tratamiento, ayudar al Cliente mediante medidas técnicas y organizativas apropiadas a cumplir sus obligaciones de responder a las solicitudes de los Interesados que ejerzan sus derechos en virtud de las Leyes de Protección de Datos, incluidos:

  • Derecho de acceso
  • Derecho de rectificación
  • Derecho de supresión (“derecho al olvido”)
  • Derecho a la limitación del tratamiento
  • Derecho a la portabilidad de los datos
  • Derecho de oposición

Si Accsible recibe una solicitud directamente de un Interesado relativa a los datos del Cliente, Accsible redirigirá sin demora al Interesado al Cliente y notificará al Cliente la solicitud, salvo que esté legalmente prohibido hacerlo. Accsible no responderá directamente a dichas solicitudes salvo que el Cliente lo indique o la ley lo exija.

8. Notificación de Incidentes de Seguridad

8.1 Notificación

Accsible notificará al Cliente cualquier Incidente de Seguridad confirmado sin dilación indebida y, en cualquier caso, dentro de 48 hours desde que tenga conocimiento del mismo. La notificación se enviará a la dirección de email asociada a la cuenta del Cliente (o a una dirección alternativa designada por el Cliente para este fin).

8.2 Contenido de la notificación

La notificación incluirá, en la medida en que esté disponible en ese momento:

  • Una descripción de la naturaleza del Incidente de Seguridad, incluidas las categorías y el número aproximado de Interesados y registros de datos afectados.
  • El nombre y los datos de contacto del punto de contacto en Accsible.
  • Una descripción de las consecuencias probables del incidente.
  • Una descripción de las medidas adoptadas o propuestas para abordar el incidente, incluidas las medidas para mitigar sus efectos.

8.3 Obligaciones continuas

Accsible proporcionará más información a medida que esté disponible y cooperará con las solicitudes razonables del Cliente para investigar, remediar y mitigar los efectos del Incidente de Seguridad. Accsible también ayudará al Cliente a cumplir sus propias obligaciones de notificación de violaciones ante las autoridades de control y los Interesados en virtud de los artículos 33 y 34 del GDPR.

8.4 Conservación de registros

Accsible mantendrá un registro de todos los Incidentes de Seguridad, incluidos los hechos que rodean el incidente, sus efectos y la medida correctiva adoptada.

9. Conservación de datos

Accsible conserva los Datos Personales tratados en virtud de este DPA de la siguiente manera:

  • Registros de seguridad (direcciones IP completas): Hasta 90 days, y luego se eliminan permanentemente.
  • Datos analíticos agregados: Anonimizados mensualmente; no se conservan datos de sesiones individuales.
  • Envíos de comentarios de Usuarios Finales: Conservados durante la vigencia del Acuerdo Principal; eliminados dentro de 30 days tras la terminación.
  • Datos de monitorización de errores (Sentry): Hasta 90 days.
  • Métricas de uso del Widget: Agregadas y anonimizadas; no se conservan datos a nivel individual más allá del tratamiento.

Accsible no conservará Datos Personales durante más tiempo del necesario para los fines de prestar el Servicio o según lo exija la ley aplicable.

10. Auditorías y cumplimiento

10.1 Información

Accsible pondrá a disposición del Cliente, previa solicitud razonable, toda la información razonablemente necesaria para demostrar el cumplimiento de sus obligaciones en virtud de este DPA y del artículo 28 del GDPR.

10.2 Derechos de auditoría

El Cliente (o un auditor independiente de terceros designado por el Cliente) podrá realizar una auditoría de las actividades de tratamiento y las medidas de seguridad de Accsible, sujeta a las siguientes condiciones:

  • El Cliente deberá proporcionar al menos 30 days’ de preaviso por escrito de una solicitud de auditoría.
  • Las auditorías se realizarán durante el horario comercial normal (Monday–Friday, 09:00–18:00 GMT) y no perturbarán de forma irrazonable las operaciones de Accsible.
  • El Cliente no podrá realizar más de one audit per 12-month period, salvo que lo exija una autoridad de control o tras un Incidente de Seguridad confirmado.
  • El auditor estará sujeto a obligaciones de confidencialidad no menos protectoras que las del Acuerdo Principal.
  • Accsible podrá satisfacer una solicitud de auditoría proporcionando un informe SOC 2 Type II vigente, un certificado ISO 27001 o una certificación independiente equivalente, si está disponible.

10.3 Cooperación

Accsible cooperará con el Cliente y con cualquier autoridad de control que requiera acceso a las instalaciones o registros de Accsible en relación con este DPA.

11. Devolución y supresión de datos

Tras la terminación o expiración del Acuerdo Principal, el Cliente podrá solicitar, dentro de 30 days, que Accsible:

  • Devuelva todos los Datos Personales en un formato estructurado, de uso común y lectura mecánica; o
  • Suprima todos los Datos Personales y confirme por escrito la supresión.

Si el Cliente no realiza una solicitud dentro de los 30 days siguientes a la terminación, Accsible suprimirá permanentemente todos los Datos Personales, salvo en la medida en que la conservación sea exigida por la ley aplicable (por ejemplo, registros de facturación para cumplimiento fiscal). Cuando la conservación sea legalmente obligatoria, Accsible aislará y protegerá los datos y limitará el tratamiento a la finalidad impuesta por la ley.

12. Transferencias internacionales

Accsible está establecido en el United Kingdom. Cuando los Datos Personales se transfieran a Subencargados ubicados fuera del UK o del EEE, Accsible garantiza que existan las salvaguardias adecuadas, incluidas:

  • UK International Data Transfer Agreement (IDTA) o el Anexo del UK a las SCCs
  • Cláusulas Contractuales Tipo de la UE (SCCs) — Decisión de la Comisión 2021/914
  • Decisiones de adecuación del Secretario de Estado del UK o de la Comisión Europea
  • Cuando proceda, medidas suplementarias adicionales recomendadas por la ICO o el EDPB

Se pondrá a disposición del Cliente una copia del mecanismo de transferencia pertinente previa solicitud por escrito.

13. Responsabilidad

La responsabilidad de cada parte en virtud de este DPA está sujeta a las limitaciones y exclusiones de responsabilidad establecidas en el Acuerdo Principal (Términos de uso), salvo que ninguna de las partes excluye o limita su responsabilidad por infracciones de las Leyes de Protección de Datos en la medida en que dicha exclusión o limitación no esté permitida por la ley aplicable.

14. Vigencia y prelación

14.1 Vigencia

Este DPA entra en vigor en la fecha en que el Cliente integra por primera vez el Widget de Accsible y permanece en vigor durante la vigencia del Acuerdo Principal, y posteriormente hasta que todos los Datos Personales hayan sido eliminados o devueltos de conformidad con la Sección 11.

14.2 Prelación

En caso de conflicto entre este DPA y el Acuerdo Principal, este DPA prevalecerá con respecto al tratamiento y la protección de los Datos Personales.

14.3 Modificaciones

Accsible podrá actualizar este DPA para reflejar cambios en las Leyes de Protección de Datos o en las actividades de tratamiento. Los cambios materiales se notificarán al Cliente con al menos 30 days de antelación por email. El uso continuado del Servicio después de la fecha de entrada en vigor de los cambios constituye aceptación.

15. Contacto

Para preguntas o solicitudes relacionadas con este DPA, contáctenos en:

  • Contacto de Protección de Datos: [email protected]
  • Incidentes de Seguridad: [email protected]
  • Domicilio social: Denizcom Ltd, 71-75 Shelton Street, Covent Garden, London, WC2H 9JQ, United Kingdom
  • Registro ICO: ZC114350