Adenda de Procesamiento de Datos
Última actualización: 16 de mayo de 2026
Esta Adenda de Procesamiento de Datos se publica en inglés, alemán, chino simplificado, español y húngaro. En caso de conflicto entre versiones lingüísticas, prevalecerá la versión en inglés. Las Cláusulas Contractuales Tipo incorporadas por referencia se rigen por sus textos auténticos publicados en el Diario Oficial de la Unión Europea.
Esta Adenda de Procesamiento de Datos (la "DPA") forma parte del Acuerdo Maestro de Servicios, los Términos del Servicio o cualquier otro acuerdo escrito o electrónico entre Haltless Kft. ("Haltless") y el cliente identificado en dicho acuerdo ("Cliente") para la prestación de los Servicios de Haltless (colectivamente, el "Acuerdo"). La DPA rige el procesamiento de los Datos Personales del Cliente por parte de Haltless en relación con los Servicios. En caso de conflicto entre el Acuerdo y esta DPA en materia de protección de datos, prevalecerá esta DPA en la medida del conflicto. Haltless podrá actualizar esta DPA periódicamente para reflejar cambios en la ley aplicable o en los Servicios, con notificación de acuerdo con el Acuerdo.
1. Definiciones
Los términos "responsable del tratamiento", "encargado del tratamiento", "interesado", "datos personales", "tratamiento" y "autoridad de control" tienen el significado que se les atribuye en el RGPD. Los demás términos en mayúscula utilizados pero no definidos en esta DPA tienen el significado establecido en el Acuerdo. Asimismo se aplican las siguientes definiciones:
- "Ley de Protección de Datos Aplicable"
- Todas las leyes y reglamentos aplicables al tratamiento de Datos Personales del Cliente en virtud de esta DPA, incluyendo: (i) el Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos, "RGPD"); (ii) la Ley de Protección de Datos del Reino Unido de 2018 y el RGPD del Reino Unido; (iii) la Ley Federal Suiza de Protección de Datos; (iv) la California Consumer Privacy Act de 2018 modificada por la California Privacy Rights Act ("CCPA"); (v) la Ley de Protección de Información Personal de la República Popular China ("PIPL"); y (vi) cualquier otra ley de protección de datos o de privacidad aplicable, en cada caso en su versión modificada o sustituida.
- "Datos Personales del Cliente"
- Cualquier dato personal que Haltless trate por cuenta del Cliente en relación con los Servicios. Los Datos Personales del Cliente no incluyen los datos personales de los contactos de facturación del Cliente tratados por Haltless o Paddle como responsables independientes a efectos de facturación, fiscalidad, prevención del fraude o cumplimiento.
- "Violación de Datos Personales"
- Una violación de seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de Datos Personales del Cliente transmitidos, conservados o tratados de otra forma en virtud de esta DPA, o la comunicación o el acceso no autorizados a dichos datos.
- "Finalidad Permitida"
- El tratamiento necesario para la prestación de los Servicios conforme a las instrucciones documentadas del Cliente, incluidas las instrucciones razonablemente inferibles de la configuración y el uso de los Servicios por parte del Cliente, del Acuerdo y de esta DPA.
- "Cláusulas Contractuales Tipo (CCT)"
- Las Cláusulas Contractuales Tipo para la transferencia de datos personales a terceros países en virtud del RGPD, establecidas en la Decisión de Ejecución (UE) 2021/914 de la Comisión, de 4 de junio de 2021, en su versión vigente o sustitutiva. En esta DPA, las CCT se refieren al Módulo Dos (responsable a encargado) cuando el Cliente es responsable, y al Módulo Tres (encargado a encargado) cuando el Cliente es a su vez encargado actuando por cuenta de su propio responsable.
- "Subencargado"
- Cualquier tercero contratado por Haltless para tratar Datos Personales del Cliente por cuenta del Cliente en relación con los Servicios. Las filiales de Haltless que traten Datos Personales del Cliente también se consideran Subencargados.
- "Addendum del Reino Unido"
- El International Data Transfer Addendum a las Cláusulas Contractuales Tipo de la Comisión Europea, versión B1.0, emitido por el Comisionado de Información del Reino Unido y vigente desde el 21 de marzo de 2022, en su versión modificada o sustitutiva.
- "Contrato Tipo de China"
- El Contrato Tipo para la Transferencia Transfronteriza de Información Personal emitido por la Administración del Ciberespacio de China, vigente desde el 1 de junio de 2023, en su versión modificada.
2. Roles, alcance y duración
El Cliente actúa como responsable del tratamiento (o como encargado que actúa por cuenta de un responsable tercero) respecto de los Datos Personales del Cliente y designa a Haltless como encargado. Haltless tratará los Datos Personales del Cliente únicamente para la Finalidad Permitida. Las categorías de interesados, las categorías de Datos Personales del Cliente, las operaciones de tratamiento y demás particularidades del tratamiento se describen en el Anexo I.
Esta DPA se aplica mientras Haltless trate Datos Personales del Cliente, lo que corresponde a la duración del Acuerdo y cualquier período adicional necesario para cumplir las obligaciones de la Sección 12 (Devolución o eliminación) y cualquier obligación de conservación establecida por la ley aplicable.
Cuando el Cliente actúe a su vez como encargado por cuenta de un responsable tercero, el Cliente garantiza haber obtenido todas las autorizaciones necesarias de dicho responsable para celebrar esta DPA y que el responsable ha aprobado la contratación de Haltless y de sus Subencargados.
3. Cumplimiento de la ley aplicable
Cada parte cumplirá la Ley de Protección de Datos Aplicable que le sea de aplicación. El Cliente es responsable de asegurarse de que dispone de una base jurídica válida para el tratamiento llevado a cabo en virtud de los Servicios, de que los interesados han recibido toda la información exigida por los artículos 13 y 14 del RGPD (y por las disposiciones equivalentes de otras Leyes de Protección de Datos Aplicables) y de que se han obtenido los consentimientos necesarios. Haltless es responsable de las obligaciones que le incumben como encargado. Haltless informará al Cliente si, en su opinión, una instrucción infringe la Ley de Protección de Datos Aplicable, pero Haltless no está obligada a supervisar activamente el cumplimiento por parte del Cliente.
4. Instrucciones del Cliente y categorías prohibidas
Haltless tratará los Datos Personales del Cliente únicamente siguiendo instrucciones documentadas del Cliente, incluso en relación con las transferencias de Datos Personales del Cliente a un tercer país o a una organización internacional, salvo que esté obligada a hacerlo en virtud del Derecho de la Unión o de los Estados miembros al que esté sujeta Haltless; en tal caso, Haltless informará al Cliente de esa exigencia legal antes del tratamiento, salvo que dicha ley prohíba dicha información por motivos importantes de interés público. El Acuerdo, esta DPA y el uso y la configuración de los Servicios por parte del Cliente constituyen las instrucciones documentadas del Cliente.
El Cliente no podrá enviar, ni permitirá que los interesados envíen, las siguientes categorías de datos personales a los Servicios: categorías especiales de datos personales en el sentido del artículo 9 del RGPD (incluidos los datos que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical, los datos genéticos, los datos biométricos dirigidos a identificar de manera unívoca a una persona física, los datos relativos a la salud o los datos relativos a la vida sexual o la orientación sexual), datos relativos a condenas e infracciones penales (artículo 10 del RGPD), datos de tarjetas de pago sujetos a PCI DSS, números de identificación emitidos por organismos públicos o datos personales de menores de 16 años. Los Servicios no están configurados para tratar estas categorías y Haltless no acepta responsabilidad alguna derivada de su envío en contravención de esta Sección.
5. Confidencialidad del personal autorizado
Haltless garantizará que cualquier persona física que actúe bajo su autoridad y que trate Datos Personales del Cliente, incluidos sus empleados, contratistas y agentes, esté obligada por un deber de confidencialidad por escrito o por una obligación legal apropiada de confidencialidad, y que trate los Datos Personales del Cliente únicamente conforme a las instrucciones de Haltless que sean coherentes con esta DPA. Las obligaciones de confidencialidad perduran tras la terminación de la relación con la persona correspondiente.
6. Seguridad del procesamiento
Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, Haltless aplica medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, conforme se describe en el Anexo II. Haltless revisa y actualiza dichas medidas periódicamente. Haltless podrá actualizar el Anexo II de vez en cuando, siempre que las medidas actualizadas proporcionen un nivel de seguridad materialmente equivalente o superior al vigente en la fecha de celebración de esta DPA.
7. Subprocesadores
El Cliente otorga a Haltless una autorización general para contratar Subencargados con el fin de tratar Datos Personales del Cliente, con sujeción a las condiciones de esta Sección. La lista de Subencargados vigente en la fecha de esta DPA figura en el Anexo III y también se publica en la URL especificada en el Anexo III.
Haltless informará al Cliente de cualquier adición o sustitución prevista de un Subencargado con al menos treinta (30) días de antelación a la entrada en vigor del cambio, actualizando la lista publicada y proporcionando un mecanismo de notificación al que el Cliente pueda suscribirse. El Cliente podrá oponerse por escrito a un cambio de Subencargado propuesto por motivos razonables de protección de datos dentro de los quince (15) días siguientes a la notificación. Si las partes no alcanzan un acuerdo dentro de los treinta (30) días siguientes a la objeción, el Cliente podrá rescindir la parte afectada de los Servicios que no pueda prestarse sin el Subencargado, con un reembolso proporcional de las tasas prepagadas correspondientes a la parte no utilizada del plazo.
Cuando Haltless contrate a un Subencargado, le impondrá, mediante contrato por escrito, obligaciones de protección de datos no menos protectoras que las establecidas en esta DPA, incluyendo las obligaciones aplicables a Haltless conforme a los artículos 28 y 32 del RGPD. Haltless seguirá siendo plenamente responsable ante el Cliente del cumplimiento de las obligaciones de protección de datos de cada Subencargado.
8. Asistencia con los derechos del interesado
Teniendo en cuenta la naturaleza del tratamiento, Haltless asistirá al Cliente, mediante medidas técnicas y organizativas apropiadas, en la medida de lo posible, para que el Cliente pueda cumplir su obligación de responder a las solicitudes de los interesados en el ejercicio de sus derechos previstos en la Ley de Protección de Datos Aplicable (incluidos los derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad de los datos y oposición). Los Servicios proporcionan herramientas de autoservicio que permiten al Cliente acceder, exportar, corregir o suprimir los Datos Personales del Cliente. Si un interesado se pone en contacto directamente con Haltless con una solicitud de derechos relativa a los Datos Personales del Cliente, Haltless no responderá de forma sustantiva y trasladará la solicitud al Cliente sin demora indebida.
9. Notificación de violaciones de Datos Personales
Haltless notificará al Cliente sin demora indebida y, en cualquier caso, en un plazo de setenta y dos (72) horas desde que tenga conocimiento de una Violación de Datos Personales confirmada que afecte a los Datos Personales del Cliente. La notificación inicial se enviará al contacto de seguridad designado en la cuenta del Cliente o, si no se ha designado tal contacto, al administrador principal del Cliente.
La notificación incluirá, en la medida en que se conozca en ese momento: (i) una descripción de la naturaleza de la violación, incluidas las categorías y el número aproximado de interesados y de registros afectados; (ii) las consecuencias probables de la violación; (iii) las medidas adoptadas o propuestas para hacer frente a la violación y mitigar sus posibles efectos adversos; y (iv) el punto de contacto en Haltless donde pueda obtenerse más información. Si la información no puede facilitarse simultáneamente, se proporcionará por fases sin más demora indebida. Haltless cooperará con el Cliente y le prestará asistencia razonable para que pueda cumplir sus propias obligaciones de notificación a las autoridades de control y a los interesados conforme a los artículos 33 y 34 del RGPD (y a las disposiciones equivalentes de otras Leyes de Protección de Datos Aplicables).
10. Evaluaciones de impacto y consulta previa
Teniendo en cuenta la naturaleza del tratamiento y la información disponible para Haltless, Haltless prestará asistencia razonable al Cliente (a cuenta del Cliente) en relación con cualquier evaluación de impacto en la protección de datos y cualquier consulta previa a una autoridad de control que el Cliente esté obligado a realizar conforme a los artículos 35 y 36 del RGPD (o disposiciones equivalentes de otras Leyes de Protección de Datos Aplicables) en relación con el tratamiento de los Datos Personales del Cliente por parte de Haltless. Esta asistencia podrá incluir la facilitación de la información establecida en esta DPA, en el Anexo I, en el Anexo II y en el Trust and Security Center disponible en haltless.io/security.
11. Transferencias internacionales de datos
Cuando el tratamiento de los Datos Personales del Cliente implique una transferencia desde el Espacio Económico Europeo, el Reino Unido o Suiza a un país que no se beneficie de una decisión de adecuación en virtud de la Ley de Protección de Datos Aplicable, las partes incorporan por referencia el Módulo Dos de las CCT (de responsable a encargado), o el Módulo Tres (de encargado a encargado) cuando el Cliente actúe como encargado, con las siguientes selecciones: se incluye la Cláusula 7 (cláusula de incorporación); la Cláusula 9, opción 2 (autorización general por escrito) se aplica con el plazo de preaviso de treinta (30) días establecido en la Sección 7; se excluye el lenguaje opcional de la Cláusula 11(a); la Cláusula 17 (ley aplicable) será la ley de Hungría; la Cláusula 18 (foro) designa los tribunales de Hungría; y los Anexos de las CCT se completan por referencia al Anexo I, al Anexo II y al Anexo III de esta DPA.
Para las transferencias de datos personales sujetas al RGPD del Reino Unido, el Addendum del Reino Unido se incorpora por referencia y se completa utilizando la información del Anexo I, del Anexo II y del Anexo III de esta DPA. Las Tablas 1, 2 y 3 del Addendum del Reino Unido se rellenan mediante las CCT tal como se completan en esta DPA, y la Tabla 4 indica que el importador de datos puede dar por terminado el Addendum del Reino Unido cuando esté permitido.
Para las transferencias sujetas a la Ley Federal Suiza de Protección de Datos, las CCT se aplican con las siguientes adaptaciones: las referencias al RGPD se interpretan como referencias a la Ley Federal Suiza de Protección de Datos en lo pertinente; el término "Estado miembro" se interpreta de modo que no excluya a los interesados en Suiza de invocar sus derechos; y la autoridad de control competente es el Comisionado Federal Suizo de Protección de Datos e Información.
Para las transferencias de información personal de personas situadas en China continental sujetas a la PIPL y a las normas de transferencia transfronteriza emitidas por la Administración del Ciberespacio de China, las partes utilizarán el Contrato Tipo de China u otro mecanismo lícito (como una evaluación de seguridad o una certificación) según se requiera dada la cantidad y sensibilidad de la información personal transferida. El Cliente es responsable de las presentaciones o evaluaciones que le correspondan como responsable de la información personal; Haltless prestará cooperación razonable, incluida la información necesaria para completar el Contrato Tipo.
Las partes reconocen que Haltless podrá transferir Datos Personales del Cliente a destinatarios en los Estados Unidos que se hayan autocertificado conforme al Marco de Privacidad de Datos UE-EE. UU., a la Extensión del Reino Unido al Marco de Privacidad de Datos UE-EE. UU. o al Marco de Privacidad de Datos Suiza-EE. UU. Cuando se produzcan tales transferencias, el destinatario certificado se basa en el Marco correspondiente. Cuando el destinatario no esté certificado o el Marco correspondiente ya no esté en vigor, se aplicarán las CCT conforme a lo establecido en esta Sección.
12. Devolución o eliminación de Datos Personales
A elección del Cliente, Haltless eliminará o devolverá todos los Datos Personales del Cliente tras la finalización de la prestación de los Servicios y eliminará las copias existentes, salvo que el Derecho de la Unión o de los Estados miembros requiera la conservación. Durante la vigencia del Acuerdo, el Cliente podrá exportar Datos Personales del Cliente en cualquier momento utilizando las herramientas de exportación facilitadas por los Servicios. Tras la terminación o expiración del Acuerdo, el Cliente dispone de treinta (30) días para solicitar la recuperación de los Datos Personales del Cliente; transcurrido este plazo, Haltless eliminará los Datos Personales del Cliente de los sistemas productivos en un plazo de sesenta (60) días y de las copias de seguridad cifradas conforme al calendario de rotación de copias descrito en el Anexo II.
Cuando Haltless deba conservar los Datos Personales del Cliente más allá de los plazos de eliminación indicados por exigirlo el Derecho de la Unión o de los Estados miembros, Haltless aislará los datos, restringirá el tratamiento adicional al fin de conservación y eliminará los datos una vez expirada la obligación de conservación. Haltless podrá conservar datos anonimizados o agregados que ya no identifiquen a ningún interesado para sus propios fines, de conformidad con el Acuerdo.
13. Auditorías e inspecciones
Haltless mantiene evaluaciones y certificaciones independientes por terceros de su programa de seguridad de la información, incluidas evaluaciones de alineación con la norma ISO 27001 y atestaciones equivalentes, según se enumeran en haltless.io/security. El Cliente puede solicitar un resumen del informe de auditoría más reciente y la documentación de respaldo enviando un correo electrónico a privacy@haltless.io. Dicha información constituye Información Confidencial de Haltless y se proporciona sujeta a las obligaciones de confidencialidad del Acuerdo.
Además, el Cliente podrá, con un preaviso razonable por escrito y no más de una vez por año natural (excepto cuando se haya producido una Violación de Datos Personales que afecte a los Datos Personales del Cliente), realizar una auditoría del cumplimiento por parte de Haltless de esta DPA. La auditoría se llevará a cabo durante el horario laboral habitual, a costa del Cliente, por el Cliente o por un auditor tercero independiente sujeto a obligaciones de confidencialidad apropiadas. El alcance de la auditoría no podrá requerir la divulgación de información que comprometa la seguridad, la confidencialidad o los intereses comerciales de Haltless o de sus demás clientes. Las partes acordarán de buena fe el alcance, la metodología y el calendario de la auditoría.
14. Términos de la California Consumer Privacy Act
A los efectos de la CCPA, el Cliente es el "business" y Haltless es un "service provider" o "contractor" respecto de los Datos Personales del Cliente, conforme a las definiciones de la CCPA. Haltless: (i) tratará los Datos Personales del Cliente únicamente para los fines comerciales limitados y específicos establecidos en el Acuerdo y en esta DPA; (ii) no venderá ni compartirá (según definen estos términos en la CCPA) los Datos Personales del Cliente; (iii) no conservará, utilizará ni divulgará los Datos Personales del Cliente para fines distintos de los comerciales especificados ni fuera de la relación comercial directa con el Cliente; (iv) no combinará los Datos Personales del Cliente con información personal que Haltless reciba de otras personas, salvo en la medida permitida por la CCPA; y (v) notificará al Cliente si determina que ya no puede cumplir sus obligaciones bajo la CCPA.
Haltless asistirá al Cliente en las respuestas a solicitudes verificadas de consumidores conforme a la CCPA, incluidas las solicitudes de conocer, eliminar, corregir y excluirse de la venta o el intercambio. El Cliente es responsable de verificar la identidad del consumidor solicitante y de determinar si responder. El Cliente otorga a Haltless el derecho, en cualquier momento, a adoptar medidas razonables y apropiadas para detener y remediar cualquier uso no autorizado de los Datos Personales del Cliente.
15. Edge Agent y datos de control industrial
El Edge Agent de Haltless se ejecuta en infraestructura controlada por el Cliente y lee desde puntos de conexión industriales (como servidores OPC UA, dispositivos Modbus y bases de datos historian) que el Cliente configura explícitamente. El Edge Agent no lee desde puntos de conexión que el Cliente no haya configurado. La telemetría industrial (lecturas de sensores, estado de máquinas, contadores de eventos) generalmente no constituye datos personales; sin embargo, los campos auxiliares introducidos por el Cliente o por sus operadores, como nombres de supervisores, nombres de operadores y anotaciones de turno, pueden constituir datos personales y son tratados como Datos Personales del Cliente conforme a esta DPA.
El Cliente es responsable del entorno anfitrión del Edge Agent, incluida la aplicación de parches al sistema operativo, la segmentación de la red, el suministro eléctrico y las credenciales utilizadas para acceder a los puntos de conexión industriales. Haltless no es responsable de los daños a los controladores lógicos programables, las interfaces hombre-máquina u otros equipos industriales causados por errores de configuración del Cliente o por la actuación de un tercero. Los Servicios son una plataforma de monitorización y análisis; no constituyen un sistema instrumentado de seguridad en el sentido de la IEC 61511, y el Cliente no debe depender exclusivamente de los Servicios para decisiones de control críticas para la seguridad. El Cliente sigue siendo responsable del cumplimiento de las obligaciones sectoriales de ciberseguridad aplicables a sus operaciones, incluidas las derivadas de la Directiva (UE) 2022/2555 (NIS2) y del Reglamento (UE) 2024/2847 (Ley de Ciberresiliencia) cuando proceda.
16. Responsabilidad
La responsabilidad de cada parte derivada de esta DPA o relacionada con ella está sujeta a las limitaciones de responsabilidad establecidas en el Acuerdo, las cuales se aplican a la responsabilidad agregada de las partes conforme al Acuerdo y a esta DPA en conjunto. Nada en esta DPA limita la responsabilidad de cualquiera de las partes por daños causados a un interesado conforme al artículo 82 del RGPD, por incumplimiento de un derecho de tercero beneficiario en virtud de las CCT, por obligaciones de indemnización, por fraude o dolo, por violación de la confidencialidad o por cualquier responsabilidad que no pueda excluirse o limitarse conforme a la Ley de Protección de Datos Aplicable.
17. Plazo, orden de prelación y supervivencia
Esta DPA entra en vigor en la fecha en que las partes celebren el Acuerdo y continúa mientras Haltless trate Datos Personales del Cliente. La terminación del Acuerdo no exime a ninguna parte de las obligaciones que por su naturaleza subsisten, incluidas las relativas a la devolución o eliminación de Datos Personales del Cliente, confidencialidad, derechos de auditoría respecto del tratamiento ocurrido durante la vigencia, responsabilidad y ley aplicable.
En caso de conflicto, el orden de prelación es: (i) las CCT (y el Addendum del Reino Unido y el Contrato Tipo de China, según corresponda) en la medida en que se apliquen; (ii) esta DPA; y (iii) el Acuerdo. Cuando Haltless actualice su lista de Subencargados, sus medidas técnicas y organizativas o su documentación de seguridad, dichas actualizaciones surtirán efecto tras su publicación con sujeción a los derechos de notificación y objeción establecidos en esta DPA.
18. Ley aplicable y jurisdicción
Esta DPA se rige por las leyes de Hungría, con exclusión de sus normas de conflicto, salvo cuando las CCT, el Addendum del Reino Unido o el Contrato Tipo de China requieran una ley aplicable distinta para los asuntos que regulan. Los tribunales de Budapest, Hungría, tienen jurisdicción exclusiva sobre cualquier disputa derivada de esta DPA o relacionada con ella, sin perjuicio del derecho de los interesados a iniciar procedimientos en los tribunales de su residencia habitual conforme a las CCT y a la Ley de Protección de Datos Aplicable.
Cuando el Cliente esté establecido en la Unión Europea, el Reino Unido o Suiza y una disposición imperativa de la ley de esa jurisdicción exija la aplicación de una ley distinta a aspectos específicos del tratamiento de los Datos Personales del Cliente, esa disposición imperativa se aplicará en la medida requerida.
Anexo I. Descripción del procesamiento
Categorías de interesados
Haltless trata por cuenta del Cliente las siguientes categorías de interesados: empleados, contratistas y otros usuarios autorizados de los Servicios del Cliente; operadores, supervisores, técnicos de mantenimiento y otro personal por turnos del Cliente cuyos nombres aparecen en registros de turno, órdenes de trabajo o trazas de auditoría; e individuos cuyos datos de contacto se almacenan en la configuración de los Servicios por parte del Cliente (como contactos de escalado y listas de guardia).
Categorías de datos personales
El Cliente puede enviar las siguientes categorías de datos personales a través de los Servicios, cuyo alcance y contenido determina el Cliente:
| Identificadores y datos de contacto | Nombre completo, dirección de correo electrónico profesional, número de teléfono profesional, cargo, nombre del empleador, dirección postal cuando se facilite. |
|---|---|
| Artefactos de autenticación y seguridad | Contraseñas hash, secretos de autenticación multifactor, identificadores de sujeto de inicio de sesión único, identificadores de sesión, huellas digitales de dispositivo, direcciones IP, metadatos de navegador y sistema operativo. |
| Datos de traza de auditoría | Identificadores de usuario actor, direcciones IP, marcas de tiempo, tipos de acción, identificadores de recurso objetivo y metadatos de solicitud capturados con fines de seguridad, cumplimiento y forense. |
| Registros de turnos y operativos | Nombres de operadores, nombres de supervisores, anotaciones de turno, comentarios de órdenes de trabajo y campos auxiliares introducidos por el personal del Cliente al operar los Servicios. |
| Datos de soporte y comunicación | Nombres, datos de contacto y contenido de las comunicaciones entre el personal del Cliente y el soporte de Haltless, incluidos cuerpos de tickets, archivos adjuntos y grabaciones de llamadas cuando proceda. |
| Endpoints de notificaciones push | Endpoints de suscripción push VAPID (Apple Push Notification, Firebase Cloud Messaging, Mozilla autopush), preferencias de notificación y acuses de entrega. |
| Datos personales relacionados con la facturación | Nombres, direcciones de correo electrónico, direcciones de facturación e identificadores fiscales de contactos de facturación, tratados por Paddle como comerciante registrado. Haltless recibe un subconjunto limitado de estos datos para la administración de la cuenta. |
| Datos de atribución de marketing | Parámetros UTM, URL de referencia, marcas de tiempo de consentimiento de marketing y registros de interacción, cuando el personal del Cliente haya optado por recibir comunicaciones de marketing. |
Datos sensibles
No está previsto tratar bajo esta DPA categorías especiales de datos personales en el sentido del artículo 9 del RGPD ni datos relativos a condenas e infracciones penales en el sentido del artículo 10 del RGPD. El Cliente no debe enviar tales datos a los Servicios. Los Servicios no están configurados para aplicar las salvaguardas adicionales que tales datos requieren.
Frecuencia del tratamiento
Continua, durante la vigencia del Acuerdo, conforme al uso de los Servicios por parte del Cliente.
Naturaleza y finalidad del tratamiento
Recogida, registro, organización, estructuración, conservación, recuperación, consulta, uso, comunicación por transmisión a usuarios autorizados, cotejo, combinación, limitación, supresión o destrucción, en cada caso necesarios para prestar los Servicios, operar la plataforma de forma segura, cumplir las obligaciones legales y prestar soporte al Cliente. Las finalidades específicas incluyen el aprovisionamiento y autenticación de cuentas, la ingesta y presentación de telemetría industrial, la generación de alertas y notificaciones de anomalías, el registro de auditoría, la supervisión de seguridad, el soporte al cliente y la administración de facturación.
Conservación
Los datos personales se conservan durante el plazo establecido en la Política de Privacidad de Haltless en haltless.io/privacy y en el Acuerdo. Los registros de log de auditoría se conservan durante siete (7) años para respaldar la atestación SOC 2 y el interés legítimo en la forense de seguridad. La conservación de la telemetría operativa se configura según el plan del Cliente (Pilot, Site, Enterprise). Al finalizar los Servicios, la conservación se rige por la Sección 12 de esta DPA.
Autoridad de control competente
La Autoridad Nacional Húngara para la Protección de Datos y la Libertad de Información (Nemzeti Adatvédelmi és Információszabadság Hatóság, NAIH) actúa como autoridad de control competente. Cuando el Cliente esté establecido en otro Estado miembro de la UE y el tratamiento de Haltless esté principalmente vinculado a dicho establecimiento, la autoridad de control competente será la autoridad de protección de datos de ese Estado miembro.
Anexo II. Medidas técnicas y organizativas
Haltless aplica y mantiene las siguientes medidas técnicas y organizativas, teniendo en cuenta la naturaleza, el alcance, el contexto y los fines del tratamiento y los riesgos para los derechos y libertades de las personas físicas. Haltless podrá actualizar estas medidas con el tiempo siempre que las medidas actualizadas mantengan un nivel de seguridad materialmente equivalente o superior al descrito a continuación.
| Cifrado en tránsito | TLS 1.2 o superior con suites de cifrado modernas para todas las conexiones de cara al cliente. Strict Transport Security, fijación de certificados en el canal de control del Edge Agent y HSTS en los puntos de conexión web. |
|---|---|
| Cifrado en reposo | Cifrado AES-256 para bases de datos de producción, almacenamiento de objetos y copias de seguridad. Derivación de claves por inquilino cuando proceda, con claves gestionadas por un servicio reforzado de gestión de claves. |
| Control de acceso | Control de acceso basado en roles con valores predeterminados de mínimo privilegio, separación de funciones entre roles de desarrollo, operaciones y seguridad, acceso elevado a producción acotado en el tiempo y inicio de sesión único obligatorio con autenticación multifactor para todo el personal que acceda a sistemas de producción. |
| Autenticación e higiene de contraseñas | La autenticación del Cliente impone políticas de contraseñas robustas, hashing bcrypt o Argon2 y soporte para autenticación multifactor TOTP y WebAuthn. Los tokens de sesión usan firmas HMAC-SHA256 con vidas cortas y revocación al cerrar sesión o ante compromisos. |
| Seguridad de red e infraestructura | Segmentación de red en profundidad, cortafuegos basados en host, escaneo de imágenes de contenedor, gestión de vulnerabilidades con remediación priorizada y supervisión continua de la infraestructura de producción. |
| Seguridad de aplicaciones | Ciclo de vida seguro de desarrollo de software con revisión de código, escaneo de dependencias, análisis estático y dinámico, detección de secretos y pruebas periódicas de penetración por terceros de los componentes de cara al cliente y del Edge Agent. |
| Registro y trazas de auditoría | Logs de auditoría a prueba de manipulaciones mediante una cadena de hashes HMAC-SHA256, conservados durante siete (7) años. Los logs cubren eventos de autenticación, operaciones privilegiadas, cambios de configuración y acceso a Datos Personales del Cliente. |
| Copias de seguridad y recuperación ante desastres | Copias de seguridad cifradas diarias con replicación entre regiones, pruebas de restauración regulares, objetivos documentados de punto y tiempo de recuperación y ejercicios trimestrales de continuidad del negocio. |
| Respuesta ante incidentes | Manual documentado de respuesta ante incidentes con cobertura de guardia 24 horas para eventos de alta severidad, plazos de notificación predefinidos incluyendo el compromiso de notificación de brecha en setenta y dos (72) horas, y revisión post-incidente para eventos relevantes. |
| Seguridad del personal | Verificaciones de antecedentes cuando sea legal para personal con acceso a sistemas de producción, compromisos de confidencialidad por escrito obligatorios, formación anual de concienciación en seguridad y privacidad, y segregación de cuentas administrativas y personales. |
| Seguridad física | Entornos de producción alojados en centros de datos atestados ISO 27001 o SOC 2 con controles de acceso físico, monitorización ambiental y vigilancia 24/7 operada por el proveedor de nube subyacente. |
| Gobernanza de subencargados | Diligencia debida documentada para el alta de subencargados, condiciones contractuales de protección de datos equivalentes a las impuestas a Haltless, revisión periódica de la postura de seguridad de los subencargados y el mecanismo de notificación descrito en la Sección 7 de esta DPA. |
Anexo III. Subprocesadores
Haltless contrata a los siguientes Subencargados para prestar los Servicios. La lista actual, con la fecha de cada adición o sustitución, se publica en haltless.io/security. El Cliente puede suscribirse a actualizaciones según se describe en la Sección 7 de esta DPA.
| Subencargado | Finalidad | Lugar de tratamiento |
|---|---|---|
| Proveedor de infraestructura en la nube | Alojamiento de servidores de aplicaciones de producción, bases de datos, almacenamiento de objetos y copias de seguridad. | Unión Europea (principal), con región de respaldo dentro del EEE. |
| Paddle.com Market Limited | Comerciante registrado para ventas, facturación, determinación y remesa de impuestos, prevención del fraude y contracargos. | Reino Unido y Unión Europea. |
| Proveedor de correo transaccional | Entrega de correos transaccionales (verificación de cuenta, restablecimiento de contraseña, alertas, notificaciones de facturación). | Unión Europea o Estados Unidos (bajo el Marco de Privacidad de Datos UE-EE. UU.). |
| Pasarelas de notificaciones push | Entrega de notificaciones push web y móviles a través de Apple Push Notification, Firebase Cloud Messaging y Mozilla autopush. | Estados Unidos y Unión Europea, según el enrutamiento del proveedor. |
| Proveedores de identidad de inicio de sesión único | Federación OpenID Connect con Google y Microsoft para el inicio de sesión de cuentas cuando el Cliente lo active. | Unión Europea y Estados Unidos, según el proveedor. |
| Servicio de monitorización de errores | Captura y agregación de eventos de error de aplicación para respaldar la ingeniería de fiabilidad. Los Datos Personales del Cliente se depuran antes de la transmisión. | Unión Europea. |
| Plataforma de soporte al cliente | Alojamiento de tickets de soporte, contenido de la base de conocimientos y comunicaciones del cliente iniciadas a través del widget de soporte dentro del producto. | Unión Europea. |
| Plataforma de comunicación de estado e incidentes | Operación de status.haltless.io, incluidas notificaciones de incidentes y anuncios de mantenimiento. | Unión Europea. |
| Plataforma de observabilidad y registro | Agregación de logs y métricas de aplicación para la supervisión operativa. Los Datos Personales del Cliente se minimizan antes de la transmisión. | Unión Europea. |
| Filiales de Haltless | Ingeniería, soporte y operaciones de seguridad realizadas por entidades del grupo Haltless bajo las mismas condiciones de protección de datos que Haltless Kft. | Unión Europea (Hungría). |
Podrán contratarse Subencargados adicionales para integraciones ERP, MES o CMMS únicamente a instrucción del Cliente y solo en el alcance de la integración correspondiente. Tales contrataciones se notifican al Cliente conforme a la Sección 7 antes de que se transfiera cualquier Dato Personal del Cliente.
Para preguntas sobre esta DPA, para suscribirse a las notificaciones de Subencargados o para coordinar una auditoría, contacte privacy@haltless.io.