Acuerdo de tratamiento de datos

Última actualización: 2 de julio de 2026

Este es el acuerdo de encargo del tratamiento del artículo 28 del RGPD, que cubre los elementos obligatorios con cláusulas operativas completas. No constituye asesoramiento jurídico; es prudente una revisión final frente a tus circunstancias concretas antes del lanzamiento. Está diseñado para incorporarse por referencia a los Términos del servicio y para pasar a ser vinculante cuando el cliente acepta dichos Términos.

Este Acuerdo de tratamiento de datos («DPA») forma parte de los Términos del servicio entre SDHC AS, número de organización 926 038 060, Postboks 570 Vestre Glemmen, 1612 Fredrikstad, Noruega («Encargado», «nosotros») y el cliente que acepta los Términos («Responsable», «tú»). Regula nuestro tratamiento de los datos personales contenidos en el contenido que subes al Servicio, y se aplica donde y en la medida en que el RGPD se aplique a ese tratamiento.

Cuando este DPA entre en conflicto con los Términos del servicio en lo relativo al tratamiento de datos personales, prevalecerá este DPA.

Los términos con mayúscula inicial que se usan pero no se definen en este DPA tienen el significado que se les da en los Términos del servicio.


1. Funciones de las partes

Respecto de los datos personales contenidos en Tu contenido (incluidas las imágenes que puedan mostrar personas y vehículos identificables), tú eres el Responsable y SDHC es el Encargado. Tú determinas los fines y los medios de ese tratamiento; SDHC lo trata únicamente por cuenta tuya.

(Respecto de los datos de cuenta, suscripción, facturación y analítica del sitio web, SDHC es responsable independiente, según se describe en la Política de privacidad; esos datos quedan fuera del ámbito de este DPA.)


2. Objeto, duración, naturaleza y finalidad


3. Tipos de datos personales y categorías de interesados

No debes subir intencionadamente categorías especiales de datos (artículo 9 del RGPD), ni usar el Servicio para tratar sistemáticamente tales datos, salvo que se acuerde por separado y por escrito. Nuestra detección automatizada de «persona presente» no identifica a personas y no está diseñada para tratar datos biométricos ni otras categorías especiales de datos.


4. Instrucciones y obligaciones del Responsable

Tratamos los datos personales únicamente siguiendo tus instrucciones documentadas, incluidas las establecidas en este DPA y las derivadas de tu uso de las funciones del Servicio, salvo que estemos obligados a actuar por el Derecho noruego o del EEE (en cuyo caso te informaremos, salvo que ello esté jurídicamente prohibido).

Garantizas que: (a) dispones de una base jurídica válida para el tratamiento que instruyes; (b) has cumplido todos los requisitos de información, señalización y consentimiento respecto de las personas captadas; y (c) tus instrucciones cumplen la ley aplicable. Eres responsable de la licitud de los datos personales y de las instrucciones que facilitas.

Si consideramos que una instrucción infringe el RGPD u otra normativa de protección de datos aplicable, te informaremos.


5. Confidencialidad

Nos aseguramos de que las personas autorizadas para tratar los datos personales estén sujetas a una obligación adecuada de confidencialidad y sean conscientes del carácter confidencial de los datos.


6. Seguridad

Teniendo en cuenta el estado de la técnica, los costes y la naturaleza, el alcance, el contexto y los fines del tratamiento, aplicamos medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad apropiado al riesgo (artículo 32 del RGPD), incluidas, según proceda:

Revisamos estas medidas periódicamente y las actualizamos según proceda. Un resumen actualizado está disponible a petición.


7. Subencargados

Concedes una autorización general para que recurramos a subencargados a fin de prestar el Servicio. Actualmente recurrimos a:

SubencargadoFunciónUbicación
Hosting.comAlojamiento / infraestructuraAlemania (EEE)
Cloudflare, Inc.DNS, CDN y seguridadEstados Unidos
Mapbox, Inc.Mapa interactivo (teselas/estilos/fuentes)Estados Unidos
Paddle.com Market LimitedProcesamiento de pagos (Merchant of Record)Reino Unido

Imponemos a cada subencargado obligaciones de protección de datos no menos protectoras que las de este DPA. Te avisaremos con al menos 30 días de antelación de cualquier adición o sustitución prevista de un subencargado. Durante ese plazo puedes oponerte por motivos razonables de protección de datos; si no podemos resolver tu objeción, puedes rescindir la parte afectada del Servicio como remedio.


8. Asistencia al Responsable

Teniendo en cuenta la naturaleza del tratamiento, te asistiremos, mediante medidas técnicas y organizativas adecuadas y en la medida de lo posible:

Cuando recibamos una solicitud directamente de un interesado relativa a Tu contenido, no la responderemos nosotros mismos (salvo para orientar adecuadamente a esa persona) y te la remitiremos sin dilación indebida.


9. Violaciones de la seguridad de los datos personales

Te notificaremos sin dilación indebida tras tener conocimiento de una violación de la seguridad de los datos personales tratados con arreglo a este DPA, y te facilitaremos la información razonablemente disponible para ayudarte a cumplir tus obligaciones de notificación ante Datatilsynet (artículo 33) y, cuando proceda, ante los interesados afectados (artículo 34). La notificación de una violación no constituye un reconocimiento de culpa.


10. Supresión o devolución de los datos

A la terminación del Servicio, o a petición tuya, suprimiremos o devolveremos todos los datos personales tratados por cuenta tuya y eliminaremos las copias existentes en un plazo de 30 días, salvo que el Derecho noruego o del EEE exija su conservación. Puedes eliminar tus imágenes y los datos relacionados en cualquier momento dentro del Servicio. Previa solicitud realizada antes de la supresión, te devolveremos los datos en un formato de uso común y legible por máquina.


11. Auditorías e información

Pondremos a tu disposición la información razonablemente necesaria para demostrar el cumplimiento del artículo 28 del RGPD, y permitiremos y contribuiremos a auditorías, incluidas inspecciones, realizadas por ti o por un auditor mandatado por ti. Responderemos a una solicitud de auditoría razonable y por escrito en un plazo de 30 días, no más de una vez cada 12 meses (salvo que lo exija una autoridad de control o tras una violación de la seguridad de los datos personales), con sujeción a un preaviso de al menos 14 días, a compromisos de confidencialidad adecuados y a que cada parte asuma sus propios costes. Las auditorías no deben perturbar de forma no razonable nuestras operaciones ni comprometer la confidencialidad o la seguridad de los datos de otros clientes.


12. Transferencias internacionales

Los datos personales objeto de este DPA se alojan dentro del EEE (Alemania). Cuando un subencargado esté ubicado fuera del EEE (véase la sección 7):

No transferiremos datos personales fuera del EEE salvo con tales garantías.


13. Disposiciones generales

Este DPA se rige por las leyes de Noruega. Si alguna disposición se declara inválida, el resto continúa en vigor. En caso de conflicto con los Términos del servicio en lo relativo al tratamiento de datos personales, prevalece este DPA.

SDHC AS — número de organización 926 038 060 — Postboks 570 Vestre Glemmen, 1612 Fredrikstad, Noruega — [email protected]