pinterest-site-verification=70d12a13c4a05433e0d6404c86d6e774
top of page
SB-Only.png

Acuerdo de Procesamiento de Datos de Outbound Engine

Autor:

Soufiane Boudarraja

Fecha:

24 de febrero de 2026

1. Partes y alcance

Este Acuerdo de Procesamiento de Datos ("DPA") forma parte del marco contractual entre:

1) Cliente ("Controlador"): la entidad que determina los propósitos y medios de procesamiento de datos personales, y

2) Soufiane Boudarraja ("Procesador"): el proveedor de servicios que procesa datos personales en nombre del Cliente.

Este DPA se aplica al ecosistema de Soufiane Boudarraja (el "Ecosistema") donde, y solo donde, Soufiane Boudarraja procesa datos personales en nombre del Cliente como Procesador en relación con los "Servicios".

Si Soufiane Boudarraja actúa como un Controlador independiente (por ejemplo, visitantes del sitio web, clientes directos de productos digitales o compradores de POD), la Política de Privacidad se aplica en lugar de este DPA. Si las partes actúan como Controladores separados (Controlador a Controlador), este DPA no se aplica a menos que se acuerde por escrito.

2. Definiciones

"GDPR" significa Reglamento (UE) 2016/679.

"Datos Personales", "Procesamiento", "Controlador", "Procesador" y "Autoridad de Supervisión" tienen los significados establecidos en el GDPR.

"Datos del Cliente" significa Datos Personales procesados por el Procesador en nombre del Cliente bajo este DPA.

"Subprocesador" significa un tercero contratado por el Procesador para procesar Datos del Cliente en nombre del Cliente.

"Servicios" significa los servicios profesionales, software y entregables proporcionados bajo el contrato aplicable, declaración de trabajo, formulario de pedido o acuerdo similar (el "Acuerdo Principal").

3. Detalles del procesamiento

El tema, la duración, la naturaleza y el propósito del procesamiento, los tipos de Datos Personales y las categorías de Sujetos de Datos se describen en el Anexo 1 (Detalles del Procesamiento). El procesamiento se limitará a lo que sea necesario para proporcionar los Servicios.

4. Obligaciones del procesador

El Procesador deberá:

  1. Procesar los Datos del Cliente solo según las instrucciones documentadas del Cliente, incluyendo en lo que respecta a las transferencias de Datos Personales a un tercer país o a una organización internacional, a menos que se requiera hacerlo por la ley de la Unión o de un Estado Miembro; en tal caso, el Procesador deberá informar al Cliente de ese requisito legal antes de procesar, a menos que esa ley prohíba tal información por importantes razones de interés público.

  2. Asegurarse de que las personas autorizadas para procesar los Datos del Cliente se hayan comprometido a la confidencialidad o estén bajo una obligación legal de confidencialidad adecuada.

  3. Implementar medidas técnicas y organizativas apropiadas ("TOMs") para garantizar un nivel de seguridad adecuado al riesgo, como se describe en el Anexo 2, teniendo en cuenta el Artículo 32 del GDPR.

  4. Respetar las condiciones para la contratación de Subprocesadores establecidas en la Sección 6.

  5. Asistir al Cliente mediante medidas técnicas y organizativas apropiadas, en la medida de lo posible, para el cumplimiento de la obligación del Cliente de responder a las solicitudes para ejercer los derechos del Sujeto de Datos bajo el Capítulo III del RGPD.

  6. Asistir al Cliente en garantizar el cumplimiento de las obligaciones conforme a los Artículos 32 a 36 del RGPD (seguridad, notificación de violaciones, DPIAs y consulta previa), teniendo en cuenta la naturaleza del procesamiento y la información disponible para el Procesador.

  7. A elección del Cliente, eliminar o devolver todos los Datos del Cliente después del final de la prestación de Servicios relacionados con el procesamiento, y eliminar copias existentes a menos que la ley de la Unión o del Estado Miembro requiera almacenamiento.

  8. Poner a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de este DPA y permitir y contribuir a auditorías, incluidas inspecciones, realizadas por el Cliente o un auditor designado por el Cliente, sujeto a la Sección 11.

5. Obligaciones del Cliente

El Cliente deberá:

  • Asegurarse de que tiene una base legal para procesar los Datos del Cliente y para instruir al Procesador a procesar los Datos del Cliente.

  • Proporcionar instrucciones documentadas y asegurarse de que esas instrucciones cumplan con la legislación aplicable.

  • Asegurarse de que se proporcionen avisos de transparencia a los Sujetos de Datos cuando sea necesario, incluyendo el uso de procesadores y transferencias internacionales.

  • Ser responsable de la precisión, calidad y legalidad de los Datos del Cliente proporcionados al Procesador.

  • Configurar y utilizar cualquier herramienta de terceros que seleccione o controle de manera conforme, incluyendo permisos de usuario y configuraciones de retención.

6. Subprocesadores

El Cliente otorga al Procesador autorización general para contratar Subprocesadores para procesar los Datos del Cliente con el fin de proporcionar los Servicios, sujeto a los requisitos a continuación.

6.1 Condiciones del subprocesador

  • El Procesador impondrá a cada Subprocesador obligaciones de protección de datos sustancialmente similares a las establecidas en este DPA, incluyendo medidas de seguridad apropiadas.

  • El Procesador sigue siendo responsable del rendimiento de las obligaciones del Subprocesador.

6.2 Lista de Subprocesadores y actualizaciones

Se mantiene una lista actual de categorías de Subprocesadores y tipos de herramientas utilizadas para el Ecosistema en el Anexo de Herramientas de Terceros y Proveedores de Datos (Política 14). Para compromisos específicos del cliente, los Subprocesadores aplicables pueden depender de los Servicios y de las herramientas elegidas por el Cliente.

Cuando un cambio introduce un nuevo Subprocesador que procesará Datos del Cliente para un compromiso en curso, el Procesador proporcionará un aviso previo cuando sea razonablemente posible. El Cliente puede objetar por motivos razonables relacionados con la protección de datos. Si las partes no pueden resolver la objeción, cualquiera de las partes puede rescindir la parte afectada de los Servicios, sin penalización más allá de las tarifas adeudadas por el trabajo realizado hasta la rescisión, a menos que el Acuerdo Principal disponga lo contrario.

7. Transferencias internacionales

Los datos del cliente deben ser procesados dentro del Espacio Económico Europeo ("EEE") por defecto donde los Servicios y las herramientas elegidas lo permitan. Cuando los datos del cliente se transfieren fuera del EEE, la transferencia estará sujeta a una salvaguarda apropiada bajo el Capítulo V del GDPR.

7.1 Mecanismos de transferencia

  • Decisión de adecuación (Artículo 45 del GDPR), donde sea aplicable.

  • Cláusulas Contractuales Estándar ("CCE") adoptadas por la Comisión Europea (Artículo 46 del GDPR), donde sea aplicable.

  • Otros mecanismos legales reconocidos bajo el Capítulo V del GDPR, donde sea aplicable.

Donde se requieren SCC, las partes acuerdan utilizar los SCC adoptados por la Decisión de Ejecución de la Comisión (UE) 2021/914, con el módulo(s) apropiado para la relación (típicamente Controlador-a-Processor). Los SCC se incorporan por referencia y se aplican en la medida necesaria para la transferencia.

8. Seguridad (Artículo 32 GDPR)

El Processor implementará y mantendrá TOMs apropiados como se describe en el Anexo 2. El Processor puede actualizar los TOMs con el tiempo para reflejar riesgos y tecnologías en evolución, siempre que el nivel general de seguridad no se degrade materialmente.

9. Notificación de violación de datos personales

El Processor notificará al Cliente sin demora indebida después de haber tomado conocimiento de una Violación de Datos Personales que afecte a los Datos del Cliente. La notificación incluirá, en la medida de lo posible, la naturaleza de la violación, categorías y número aproximado de Sujetos de Datos y registros afectados, consecuencias probables y medidas tomadas o propuestas para abordar la violación. El Processor cooperará con las solicitudes razonables del Cliente para obtener información adicional.

10. Asistencia con solicitudes de Sujetos de Datos

Teniendo en cuenta la naturaleza del procesamiento, el Procesador deberá ayudar al Cliente mediante medidas técnicas y organizativas apropiadas, en la medida de lo posible, para cumplir con las solicitudes de los Sujetos de Datos para ejercer sus derechos bajo el Capítulo III del GDPR. Si el Procesador recibe una solicitud directamente de un Sujeto de Datos relacionada con los Datos del Cliente, el Procesador deberá, a menos que esté legalmente prohibido, reenviar la solicitud al Cliente de inmediato y no deberá responder excepto según las instrucciones documentadas del Cliente.

11. Auditorías e información de cumplimiento

El Procesador deberá poner a disposición la información necesaria para demostrar el cumplimiento con este DPA. Las auditorías pueden ser realizadas por el Cliente o un auditor independiente designado por el Cliente, sujeto a las siguientes condiciones:

  • Las solicitudes de auditoría deben ser razonables, proporcionales y limitadas a las actividades de procesamiento cubiertas por este DPA.

  • Las auditorías se programarán con un aviso razonable      y durante el horario laboral normal, a menos que una violación o un      requisito legal urgente justifique un cronograma acelerado.

  • Las auditorías se llevarán a cabo de manera que      evite interrupciones innecesarias y proteja la confidencialidad y      la seguridad de otros clientes y de los sistemas del Procesador.

  • El Cliente asume sus propios costos de auditoría y      reembolsa al Procesador por el tiempo razonable dedicado a apoyar la auditoría,      a menos que la auditoría revele una violación material de este DPA por parte del Procesador.

12. Eliminación y devolución de datos

Al finalizar o expirar los Servicios que implican el procesamiento bajo este DPA, el Procesador, a elección del Cliente, eliminará o devolverá los Datos del Cliente, y eliminará copias existentes, a menos que la legislación de la Unión o del Estado Miembro requiera almacenamiento. Cuando se elija la eliminación, el Procesador eliminará los Datos del Cliente de los sistemas activos dentro de un período comercialmente razonable y puede retener copias de seguridad limitadas por un período limitado, de acuerdo con las prácticas de seguridad y recuperación ante desastres.

13. Confidencialidad

El Procesador tratará los Datos del Cliente como confidenciales y se asegurará de que las personas autorizadas para procesar los Datos del Cliente estén obligadas por la confidencialidad. Esta obligación se suma a cualquier disposición de confidencialidad en el Acuerdo Principal.

14. Responsabilidad

La responsabilidad bajo este DPA sigue la asignación de responsabilidad en el Acuerdo Principal, a menos que la ley obligatoria exija lo contrario. Nada en este DPA limita la responsabilidad de ninguna de las partes donde tal limitación no esté permitida bajo la ley aplicable.

15. Orden de prelación

En caso de conflicto entre este DPA y el Acuerdo Principal, este DPA prevalece con respecto a las obligaciones de protección de datos, a menos que las partes acuerden expresamente lo contrario por escrito. Los anexos forman parte de este DPA.

16. Contacto

Contacto del procesador para asuntos de protección de datos:

Soufiane Boudarraja

Waldstr. 74, 65451 Kelsterbach, Hesse, Alemania

Correo electrónico: Soufiane.Boudarraja@soufbouda.com

Teléfono: +49 152 2717 9992

Anexo 1: Detalles del procesamiento (Artículo 28(3) GDPR)

Este Anexo describe los detalles típicos de procesamiento para los servicios del Ecosistema donde Soufiane Boudarraja actúa como Procesador. Para un compromiso específico, las partes pueden refinar estos detalles en la declaración de trabajo o formulario de pedido.

A. Materia

  • Prestación de servicios de consultoría, asesoría, gobernanza operativa, habilitación, capacitación y transformación.

  • Prestación de servicios de software, automatización y servicios de soporte relacionados (incluyendo Outbound Engine y Outbound Assistant) donde el Cliente proporciona datos personales para su procesamiento.

  • Prestación de investigación, diagnósticos, enriquecimiento de datos, habilitación de divulgación y entregables relacionados donde el Cliente proporciona datos personales o instruye el procesamiento de datos personales.

B. Duración

Durante el plazo del Acuerdo Principal y cualquier período de transición aplicable requerido para devolver o eliminar los Datos del Cliente, sujeto a la Sección 12.

C. Naturaleza del procesamiento

  • Recopilación, recepción, registro,      organización, estructuración, almacenamiento, adaptación, consulta, uso, divulgación      por transmisión (cuando se indique), alineación, combinación, restricción,      borrado y destrucción de los Datos del Cliente.

  • Gestión de usuarios y control de acceso para      espacios de trabajo compartidos donde sea aplicable.

  • Generación de informes, paneles y      entregables operativos utilizando los Datos del Cliente donde se indique.

D. Propósito del procesamiento

  • Entregar los Servicios según lo indicado por el      Cliente.

  • Operar y asegurar el entorno del servicio      incluyendo autenticación, registro, monitoreo y respuesta a incidentes.

  • Proporcionar soporte, solución de problemas y      mejora del servicio relacionada con el compromiso del Cliente.

E. Categorías de Sujetos de Datos

  • Empleados, contratistas y usuarios autorizados del cliente.

  • Clientes, prospectos, leads, proveedores y contactos comerciales del cliente, según lo proporcionado o instruido por el cliente.

  • Otras personas cuyos datos el cliente proporciona legalmente para su procesamiento en relación con los servicios.

F. Tipos de Datos Personales

  • Datos de identidad y contacto (nombre, rol, correo electrónico comercial, teléfono comercial, empresa, título del trabajo, ubicación).

  • Datos de comunicación e interacción      (correos electrónicos, mensajes, notas de reuniones, resúmenes de llamadas, respuestas) proporcionados      por el Cliente.

  • Datos de cuenta y acceso (ID de usuario,      metadatos de inicio de sesión, permisos) donde se utilizan espacios de trabajo compartidos.

  • Datos de relación comercial (asignaciones de cuenta,      datos de pipeline, estado de contacto, metadatos de programación de reuniones).

  • Datos técnicos necesarios para operar los      Servicios (identificadores de dispositivos, registros, direcciones IP, marcas de tiempo) donde      sea aplicable.

Las categorías especiales de datos (Artículo 9 del GDPR) no están destinadas a ser procesadas. Si el Cliente instruye el procesamiento de categorías especiales o datos de delitos penales (Artículo 10 del GDPR), las partes deben acordar salvaguardias adicionales por escrito antes de que ocurra dicho procesamiento.

Anexo 2: Medidas Técnicas y Organizativas (TOMs)

Los TOMs a continuación describen una postura de seguridad básica para los servicios del Ecosistema. Las medidas reales pueden variar según el Servicio y la pila de herramientas. El Procesador mantiene medidas apropiadas al riesgo y puede proporcionar detalles específicos de TOM según la solicitud.

A. Medidas organizativas

  • Compromisos de confidencialidad para cualquier persona autorizada con acceso a los Datos del Cliente.

  • Controles de acceso basados en el principio de menor privilegio y necesidad de conocer.

  • Prácticas de minimización de datos para entregables y archivos compartidos donde sea posible.

  • Proceso de respuesta a incidentes para identificar, contener, investigar y remediar eventos de seguridad.

  • Selección de proveedores y herramientas guiada por el Anexo de Herramientas de Terceros y Proveedores de Datos.

B. Medidas técnicas

  • Seguridad de la cuenta: prácticas de autenticación fuerte, incluyendo autenticación multifactor donde sea compatible con la plataforma.

  • Cifrado en tránsito utilizando TLS para servicios basados en la web donde sea compatible; cifrado en reposo donde lo soporten los proveedores.

  • Configuración segura de los dispositivos utilizados para la entrega del servicio (actualizaciones de SO, protección contra malware, cifrado de disco donde esté disponible).

  • Registro y monitoreo apropiados al contexto del servicio, con controles de acceso para los registros.

  • Prácticas de copias de seguridad y recuperación apropiadas a las herramientas utilizadas, con acceso controlado y retención.

  • Segregación de los datos del cliente utilizando espacios de trabajo, carpetas o medidas de separación lógica donde sea compatible.

C. Disponibilidad y resiliencia

  • Uso de servicios de alojamiento y nube de buena reputación donde sea aplicable.

  • Planificación de continuidad razonable basada en la escala del compromiso.

D. Pruebas y mejora

  • Actualizaciones regulares de software y dependencias donde sea aplicable.

  • Revisión de los permisos de acceso periódicamente      para compromisos activos.

Anexo 3: Subprocesadores

Los subprocesadores pueden ser utilizados dependiendo de los Servicios y las herramientas elegidas por el Cliente. Se mantiene una descripción de las categorías de herramientas de terceros y proveedores típicos utilizados en el Ecosistema en el Anexo de Herramientas de Terceros y Proveedores de Datos (Política 14). Si el Cliente solicita una lista de los subprocesadores específicos utilizados para un compromiso particular, el Procesador la proporcionará a solicitud.

bottom of page