Anexo de Herramientas de Terceros y Proveedores de Datos

1. Propósito y alcance

Este Anexo identifica las categorías de servicios de terceros, herramientas y proveedores de datos que pueden ser utilizados en el ecosistema de Soufiane Boudarraja (el "Ecosistema"). Su propósito es proporcionar transparencia y apoyar el cumplimiento del GDPR, incluyendo el Artículo 28 donde Soufiane Boudarraja actúa como Procesador bajo un Acuerdo de Procesamiento de Datos ("DPA").

Este Anexo utiliza un enfoque basado en categorías para que siga siendo preciso incluso a medida que los proveedores específicos cambian con el tiempo. Se puede proporcionar una lista específica de entidades utilizadas para procesar datos personales para un Cliente particular a solicitud por escrito.

2. Principios generales

La contratación de servicios de terceros se rige por los principios a continuación:

• Neutralidad de herramientas: Seleccionamos herramientas en función del contexto del servicio      y, cuando sea relevante, del stack existente del Cliente y      las instrucciones.

• Uso de intermediario: En algunos casos, el Cliente es el socio contractual directo de un proveedor. Podemos operar las cuentas del Cliente      como usuario autorizado para entregar los Servicios.

• Rol de subprocesador: Los terceros que procesan los Datos del Cliente    en nuestro nombre en relación con los Servicios bajo un DPA se consideran    Subprocesadores. Requerimos acuerdos por escrito que impongan obligaciones de protección de datos al menos tan protectoras como el DPA.

• Separación de datos: Los Datos del Cliente no se comparten ni se reutilizan    para otro cliente. Se mantiene una separación lógica incluso cuando se utiliza la misma    herramienta para múltiples compromisos.

• Minimización de datos: Buscamos limitar el procesamiento de datos personales    a lo que es necesario para la entrega de servicios, la seguridad y el soporte.

3. Roles y aplicabilidad

Este Anexo cubre a terceros utilizados en diferentes roles legales:

• Contexto de Procesador (Servicios B2B bajo un DPA): terceros que procesan Datos del Cliente en nuestro nombre son Subprocesadores.

• Contexto de Controlador (nuestras propias operaciones comerciales): por ejemplo, los visitantes de nuestros sitios web, clientes directos que compran productos digitales o artículos de POD, o suscriptores de boletines. En estos casos, nuestra Política de Privacidad rige y terceros actúan como nuestros procesadores o controladores independientes dependiendo de la herramienta.

• Herramientas controladas por el cliente: donde el Cliente elige y controla una herramienta, el Cliente sigue siendo responsable de su configuración, aceptación de términos y base legal, con nuestro apoyo limitado a la ejecución de instrucciones documentadas.

4. Categorías de herramientas y proveedores de datos de terceros

La tabla a continuación describe las principales categorías de herramientas y proveedores de terceros que pueden ser utilizados en todo el Ecosistema. Las herramientas específicas pueden variar según la región, el producto y el compromiso.

Categoría

Función

Datos típicos procesados

Rol típico

Plataforma de sitio web, alojamiento y entrega de contenido

Aloje y entregue sitios web, páginas y recursos descargables; gestione el rendimiento y la seguridad del sitio.

Dirección IP, datos de dispositivo/navegador, interacciones en la página, registros de acceso de cuenta/admin, envíos de formularios donde se utilicen.

Procesador para nosotros (contexto de controlador) o Subprocesador (contexto de procesador), dependiendo de los datos y la participación.

Servicios de dominio, DNS y certificados

Operar dominios, enrutamiento DNS y certificados de seguridad.

Datos de registro de dominio, registros DNS, metadatos de seguridad.

Procesador o controlador independiente dependiendo del proveedor.

Análisis y medición

Medir el uso y rendimiento del sitio/app; información sobre la audiencia; seguimiento de conversiones.

Identificadores en línea, datos de dispositivo/navegador, datos de eventos, ubicación aproximada, métricas agregadas; puede incluir el estado de consentimiento.

Procesador para   nosotros (contexto del controlador); puede ser Subprocesador donde se ejecutan análisis dentro de un   compromiso del cliente.

gestión de   consentimiento y controles de privacidad

banners de consentimiento de cookies, almacenamiento de preferencias, registros de consentimiento, control de etiquetas.

opciones de   consentimiento, marcas de tiempo, datos de dispositivo/navegador, identificadores anonimizados.

Procesador para   nosotros (contexto del controlador).

Correo electrónico,   mensajería y infraestructura de comunicaciones

Enviar y   recibir comunicaciones transaccionales y comerciales; boletines;   comunicación de soporte.

Nombres, direcciones de correo electrónico, contenido de mensajes, metadatos, registros de entrega.

Procesador o   Subprocesador dependiendo de si se utiliza para nuestras operaciones o un compromiso con el Cliente.

Herramientas de programación y   reuniones

Enlaces de reserva, programación de calendario, invitaciones a reuniones, conferencias.

Nombres, direcciones de correo electrónico, zona horaria, metadatos de la reunión, detalles de la llamada si son grabados por el Cliente.

Procesador o Subprocesador dependiendo del contexto; los proveedores de conferencias pueden ser controladores independientes para ciertos datos.

Procesamiento de pagos y facturación

Procesar pagos, reembolsos, facturas, prevención de fraudes.

Identificadores de pago, dirección de facturación, metadatos de transacción; no almacenamos los detalles completos de la tarjeta donde son manejados por los proveedores de pago.

Controlador o procesador independiente dependiendo del proveedor; típicamente un controlador independiente para la ejecución de pagos.

Comercio electrónico, gestión de pedidos y cumplimiento (incluyendo POD)

Gestionar pedidos, envíos y producción a través de socios de cumplimiento.

Detalles del pedido, dirección de envío, datos de contacto, configuración del producto; datos limitados de servicio al cliente.

Procesador para   nosotros o controlador independiente dependiendo del modelo de cumplimiento.

Gestión de   relaciones con clientes y herramientas de pipeline

Gestionar clientes potenciales B2B, contactos, oportunidades e historial de compromiso.

Datos de   contacto empresarial, registros de comunicación, notas, historial de tareas.

Procesador para   nosotros (contexto de controlador) o Subprocesador en compromisos con el Cliente cuando   se indique.

Enriquecimiento de datos y servicios de API externos

Recuperar conjuntos de datos externos para enriquecer, validar o contextualizar las entradas proporcionadas por el cliente (por ejemplo, datos de la empresa, señales comerciales públicas).

Datos de contacto empresarial o datos a nivel de empresa según lo indicado; metadatos de solicitud de API; puede incluir datos personales dependiendo del caso de uso.

Subprocesador donde se utiliza en compromisos con el cliente; de lo contrario, procesador para nosotros.

Almacenamiento de archivos, colaboración y herramientas de documentos

Almacenar y colaborar en documentos, informes, entregables y archivos de configuración.

Datos del cliente contenidos en documentos; registros de acceso; historial de versiones.

Subprocesador (contexto del procesador) o procesador (contexto del controlador).

Monitoreo del rendimiento de la aplicación (APM), registro y telemetría.

Monitorear la estabilidad, el registro de errores, la seguridad y el rendimiento del servicio.

Registros de errores,   metadatos del dispositivo/aplicación, dirección IP, marcas de tiempo; pueden incluir identificadores limitados.

Subprocesador   donde se utiliza para servicios orientados al cliente; de lo contrario, procesador para nosotros.

Plataformas de IA y aprendizaje   automático

Procesar entradas   y generar salidas para características específicas (resúmenes, borradores, análisis)   donde esté habilitado.

Entradas de aviso,   fragmentos de contenido, metadatos necesarios para generar salidas; pueden incluir   datos personales si son proporcionados por el Cliente/usuario.

Procesador o   Subprocesador dependiendo del contexto; su uso está regido por la Declaración de IA y   los acuerdos aplicables.

Plataformas de medios y   distribución

Alojar y   distribuir contenido de audio/video (podcasts, video, incrustaciones).

Datos de reproducción,   datos de dispositivo/navegador, dirección IP, análisis y señales de compromiso;   datos de cuenta/admin.

Controladores típicamente   independientes para análisis de plataforma; pueden ser procesadores para funciones limitadas.

Asesores profesionales y servicios administrativos

Soporte legal, contable, de cumplimiento y administrativo.

Datos personales limitados incidentales a la facturación, auditorías, disputas o tareas de cumplimiento.

Controladores o procesadores independientes dependiendo del compromiso.

5. Gestión y actualizaciones de subprocesadores

Mantenemos un registro interno de los proveedores específicos utilizados para cada compromiso donde actuamos como Procesador. El proceso incluye:

• Mantener una lista específica de compromisos de Subprocesadores que incluya el servicio proporcionado, la(s) ubicación(es) de procesamiento donde se conozcan, y la principal salvaguarda de transferencia utilizada cuando sea aplicable.

• Proporcionar una lista actualizada de Subprocesadores específicos utilizados para un compromiso con el Cliente a solicitud por escrito.

• Proporcionar un aviso razonable con antelación sobre cambios previstos relacionados con la adición o reemplazo de Subprocesadores para compromisos en curso, cuando sea práctico.

• Permitir a los Clientes objetar por motivos razonables de protección de datos, siguiendo el proceso de objeción en el DPA.

6. Transferencias internacionales de datos

Si un proveedor externo procesa datos personales fuera del Espacio Económico Europeo (EEE), nuestro objetivo es garantizar una salvaguarda adecuada bajo el Capítulo V del GDPR. Las salvaguardas pueden incluir una decisión de adecuación, Cláusulas Contractuales Estándar (SCC), Reglas Corporativas Vinculantes (BCR) u otros mecanismos de transferencia lícitos.

Cuando se requieren SCC, se utilizan típicamente las SCC adoptadas por la Decisión de Ejecución de la Comisión (UE) 2021/914, con el(los) módulo(s) apropiado(s) dependiendo de la relación.

7. Responsabilidades del cliente

Cuando el Cliente nos instruye a utilizar herramientas específicas, fuentes de datos o servicios de terceros, o cuando el Cliente es el socio contractual directo de un proveedor, el Cliente sigue siendo responsable de:

• Aceptar y cumplir con los términos y avisos de privacidad del proveedor, incluidos los avisos requeridos para el usuario final.

• Asegurarse de que las instrucciones sean legales y coherentes con los requisitos de protección de datos y de privacidad electrónica.

• Configurar la retención, los controles de acceso y los permisos de manera adecuada dentro de las herramientas controladas por el Cliente.

• Informarnos sobre cualquier restricción o configuraciones prohibidas que se apliquen a las cuentas o herramientas del Cliente.

8. Cómo solicitar la lista actual de proveedores

Los clientes pueden solicitar la lista actual de Subprocesadores específicos utilizados para su compromiso enviando una solicitud a través de nuestra página de contacto (https://www.soufianeboudarraja.com/contact) con el asunto "Solicitud de Lista de Subprocesadores". Para procesar la solicitud de manera eficiente, incluya el nombre del compromiso, la referencia del pedido o la referencia de la declaración de trabajo.

9. Cambios a este Anexo

Podemos actualizar este Anexo para reflejar cambios en las categorías de herramientas, cambios de proveedores y plataformas, requisitos legales o la evolución del Ecosistema. Los cambios materiales que afecten el procesamiento bajo un DPA activo se comunicarán de acuerdo con los procedimientos de notificación del DPA.

10. Contacto

Las preguntas sobre este Anexo pueden enviarse a Soufiane Boudarraja. Para enviar una pregunta, utiliza nuestra página de contacto: https://www.soufianeboudarraja.com/contact.

Para detalles legales de la entidad y dirección estatutaria, consulte el Impressum / Aviso Legal en nuestro sitio web.