Acuerdo de tratamiento de datos
Última actualización: 2 de julio de 2026
Este es el acuerdo de encargo del tratamiento del artículo 28 del RGPD, que cubre los elementos obligatorios con cláusulas operativas completas. No constituye asesoramiento jurídico; es prudente una revisión final frente a tus circunstancias concretas antes del lanzamiento. Está diseñado para incorporarse por referencia a los Términos del servicio y para pasar a ser vinculante cuando el cliente acepta dichos Términos.
Este Acuerdo de tratamiento de datos («DPA») forma parte de los Términos del servicio entre SDHC AS, número de organización 926 038 060, Postboks 570 Vestre Glemmen, 1612 Fredrikstad, Noruega («Encargado», «nosotros») y el cliente que acepta los Términos («Responsable», «tú»). Regula nuestro tratamiento de los datos personales contenidos en el contenido que subes al Servicio, y se aplica donde y en la medida en que el RGPD se aplique a ese tratamiento.
Cuando este DPA entre en conflicto con los Términos del servicio en lo relativo al tratamiento de datos personales, prevalecerá este DPA.
Los términos con mayúscula inicial que se usan pero no se definen en este DPA tienen el significado que se les da en los Términos del servicio.
1. Funciones de las partes
Respecto de los datos personales contenidos en Tu contenido (incluidas las imágenes que puedan mostrar personas y vehículos identificables), tú eres el Responsable y SDHC es el Encargado. Tú determinas los fines y los medios de ese tratamiento; SDHC lo trata únicamente por cuenta tuya.
(Respecto de los datos de cuenta, suscripción, facturación y analítica del sitio web, SDHC es responsable independiente, según se describe en la Política de privacidad; esos datos quedan fuera del ámbito de este DPA.)
2. Objeto, duración, naturaleza y finalidad
- Objeto: el tratamiento de los datos personales contenidos en las imágenes y el contenido relacionado que subes al Servicio.
- Duración: durante la vigencia de tu suscripción y hasta la supresión o devolución de los datos, según se establece en la sección 10.
- Naturaleza y finalidad: alojamiento, almacenamiento, organización y análisis automatizado (clasificación de fauna y detección de la presencia de personas/vehículos) del contenido subido, y puesta de los resultados a tu disposición y a la de los miembros del equipo que autorices.
3. Tipos de datos personales y categorías de interesados
- Tipos de datos personales: imágenes que pueden contener personas y vehículos identificables; coordenadas de ubicación de las cámaras; metadatos de las imágenes (fecha, hora, nombre de la cámara, marca de la cámara); resultados de detección automatizada.
- Categorías de interesados: personas que resulten captadas por tus cámaras (por ejemplo, transeúntes, visitantes u otras personas dentro del alcance de la cámara).
No debes subir intencionadamente categorías especiales de datos (artículo 9 del RGPD), ni usar el Servicio para tratar sistemáticamente tales datos, salvo que se acuerde por separado y por escrito. Nuestra detección automatizada de «persona presente» no identifica a personas y no está diseñada para tratar datos biométricos ni otras categorías especiales de datos.
4. Instrucciones y obligaciones del Responsable
Tratamos los datos personales únicamente siguiendo tus instrucciones documentadas, incluidas las establecidas en este DPA y las derivadas de tu uso de las funciones del Servicio, salvo que estemos obligados a actuar por el Derecho noruego o del EEE (en cuyo caso te informaremos, salvo que ello esté jurídicamente prohibido).
Garantizas que: (a) dispones de una base jurídica válida para el tratamiento que instruyes; (b) has cumplido todos los requisitos de información, señalización y consentimiento respecto de las personas captadas; y (c) tus instrucciones cumplen la ley aplicable. Eres responsable de la licitud de los datos personales y de las instrucciones que facilitas.
Si consideramos que una instrucción infringe el RGPD u otra normativa de protección de datos aplicable, te informaremos.
5. Confidencialidad
Nos aseguramos de que las personas autorizadas para tratar los datos personales estén sujetas a una obligación adecuada de confidencialidad y sean conscientes del carácter confidencial de los datos.
6. Seguridad
Teniendo en cuenta el estado de la técnica, los costes y la naturaleza, el alcance, el contexto y los fines del tratamiento, aplicamos medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad apropiado al riesgo (artículo 32 del RGPD), incluidas, según proceda:
- el cifrado de los datos personales en tránsito (TLS);
- controles de acceso, autenticación y el principio de mínimo privilegio para el personal y los sistemas;
- la protección de las credenciales de sesión, incluido el uso de los atributos HttpOnly, Secure y SameSite en las cookies de sesión;
- la separación lógica de los datos de los clientes, de modo que un cliente no pueda acceder al contenido de otro;
- la restricción de las interfaces de administración (por ejemplo, mediante controles de acceso por contraseña y por IP);
- el registro y la supervisión de los accesos y eventos relevantes; y
- medidas para restablecer la disponibilidad y el acceso a los datos personales tras un incidente físico o técnico (copias de seguridad).
Revisamos estas medidas periódicamente y las actualizamos según proceda. Un resumen actualizado está disponible a petición.
7. Subencargados
Concedes una autorización general para que recurramos a subencargados a fin de prestar el Servicio. Actualmente recurrimos a:
| Subencargado | Función | Ubicación |
|---|---|---|
| Hosting.com | Alojamiento / infraestructura | Alemania (EEE) |
| Cloudflare, Inc. | DNS, CDN y seguridad | Estados Unidos |
| Mapbox, Inc. | Mapa interactivo (teselas/estilos/fuentes) | Estados Unidos |
| Paddle.com Market Limited | Procesamiento de pagos (Merchant of Record) | Reino Unido |
Imponemos a cada subencargado obligaciones de protección de datos no menos protectoras que las de este DPA. Te avisaremos con al menos 30 días de antelación de cualquier adición o sustitución prevista de un subencargado. Durante ese plazo puedes oponerte por motivos razonables de protección de datos; si no podemos resolver tu objeción, puedes rescindir la parte afectada del Servicio como remedio.
8. Asistencia al Responsable
Teniendo en cuenta la naturaleza del tratamiento, te asistiremos, mediante medidas técnicas y organizativas adecuadas y en la medida de lo posible:
- para responder a las solicitudes de los interesados que ejerzan sus derechos (acceso, rectificación, supresión, limitación, portabilidad, oposición). El Servicio también te permite ver y eliminar por ti mismo las imágenes subidas y los datos relacionados;
- para cumplir tus obligaciones en materia de seguridad (artículo 32), notificación de violaciones (artículos 33-34) y evaluaciones de impacto relativas a la protección de datos y consulta previa (artículos 35-36).
Cuando recibamos una solicitud directamente de un interesado relativa a Tu contenido, no la responderemos nosotros mismos (salvo para orientar adecuadamente a esa persona) y te la remitiremos sin dilación indebida.
9. Violaciones de la seguridad de los datos personales
Te notificaremos sin dilación indebida tras tener conocimiento de una violación de la seguridad de los datos personales tratados con arreglo a este DPA, y te facilitaremos la información razonablemente disponible para ayudarte a cumplir tus obligaciones de notificación ante Datatilsynet (artículo 33) y, cuando proceda, ante los interesados afectados (artículo 34). La notificación de una violación no constituye un reconocimiento de culpa.
10. Supresión o devolución de los datos
A la terminación del Servicio, o a petición tuya, suprimiremos o devolveremos todos los datos personales tratados por cuenta tuya y eliminaremos las copias existentes en un plazo de 30 días, salvo que el Derecho noruego o del EEE exija su conservación. Puedes eliminar tus imágenes y los datos relacionados en cualquier momento dentro del Servicio. Previa solicitud realizada antes de la supresión, te devolveremos los datos en un formato de uso común y legible por máquina.
11. Auditorías e información
Pondremos a tu disposición la información razonablemente necesaria para demostrar el cumplimiento del artículo 28 del RGPD, y permitiremos y contribuiremos a auditorías, incluidas inspecciones, realizadas por ti o por un auditor mandatado por ti. Responderemos a una solicitud de auditoría razonable y por escrito en un plazo de 30 días, no más de una vez cada 12 meses (salvo que lo exija una autoridad de control o tras una violación de la seguridad de los datos personales), con sujeción a un preaviso de al menos 14 días, a compromisos de confidencialidad adecuados y a que cada parte asuma sus propios costes. Las auditorías no deben perturbar de forma no razonable nuestras operaciones ni comprometer la confidencialidad o la seguridad de los datos de otros clientes.
12. Transferencias internacionales
Los datos personales objeto de este DPA se alojan dentro del EEE (Alemania). Cuando un subencargado esté ubicado fuera del EEE (véase la sección 7):
- las transferencias a Paddle en el Reino Unido están amparadas por la decisión de adecuación del EEE/UE para el Reino Unido;
- las transferencias a Cloudflare y Mapbox en Estados Unidos se realizan con un mecanismo de transferencia adecuado reconocido por el RGPD, como el Marco de Privacidad de Datos UE-EE. UU. (EU–U.S. Data Privacy Framework) o las Cláusulas Contractuales Tipo.
No transferiremos datos personales fuera del EEE salvo con tales garantías.
13. Disposiciones generales
Este DPA se rige por las leyes de Noruega. Si alguna disposición se declara inválida, el resto continúa en vigor. En caso de conflicto con los Términos del servicio en lo relativo al tratamiento de datos personales, prevalece este DPA.
SDHC AS — número de organización 926 038 060 — Postboks 570 Vestre Glemmen, 1612 Fredrikstad, Noruega — [email protected]