Acuerdo de procesamiento de datos de QR Code AI

ACUERDO DE PROCESAMIENTO DE DATOS (DPA)

Última actualización: 2 de marzo de 2026

Este Acuerdo de Procesamiento de Datos ("DPA") forma parte de los Términos del servicio ("Acuerdo") entre Supernovae, una empresa registrada en Francia en 27 Rue Wurtz, Juvisy-sur-Orge 91260, con NIF-IVA FR67948452891 ("Encargado", "nosotros", "nos"), y la entidad que acepta este DPA ("Responsable", "tú"), denominadas conjuntamente las "Partes".

Este DPA se aplica cuando tratamos datos personales en tu nombre en relación con nuestros servicios de QR Code AI, incluido a través de la API.

1. DEFINICIONES

• "Datos personales" significa cualquier información relativa a una persona física identificada o identificable, según se define en el artículo 4.1 del RGPD.
• "Tratamiento" significa cualquier operación o conjunto de operaciones realizadas sobre Datos personales, según se define en el artículo 4.2 del RGPD.
• "Interesado" significa la persona física identificada o identificable a la que se refieren los Datos personales.
• "Subencargado" significa cualquier tercero contratado por el Encargado para tratar Datos personales en nombre del Responsable.
• "RGPD" significa el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo.
• "RGPD del Reino Unido" significa el RGPD tal y como se incorporó al derecho del Reino Unido mediante la Data Protection Act 2018.
• "CCEs" significa las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea para la transferencia de Datos personales a terceros países.
• "Brecha de datos" significa una violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de Datos personales, o la comunicación o acceso no autorizados a dichos datos.

2. ALCANCE Y ROLES

2.1 Responsable y Encargado

A efectos de este DPA:

• Tú (Responsable): Determinas los fines y los medios del tratamiento de Datos personales cuando utilizas nuestros Servicios, especialmente cuando usas nuestra API para generar códigos QR para tus propios clientes o integras nuestros Servicios en tus productos.
• Nosotros (Encargado): Tratamos Datos personales en tu nombre conforme a tus instrucciones, tal y como se describe en este DPA y en el Acuerdo.

2.2 Cuándo se aplica este DPA

Este DPA se aplica cuando:

• Usas la API de QR Code AI para generar códigos QR que tratan datos de tus usuarios finales (p. ej., URL que contienen información personal, datos de vCard, datos de contacto codificados en códigos QR).
• Usas las funciones de seguimiento y analítica de QR Code AI que recopilan datos de escaneo de tus usuarios finales.
• Cualquier otro supuesto en el que tratemos Datos personales en tu nombre como encargado del tratamiento.

Cuando utilizas QR Code AI como usuario individual para tus propios fines, actuamos como responsable independiente del tratamiento y nuestra Política de privacidad rige el tratamiento de datos.

3. DETALLES DEL TRATAMIENTO DE DATOS

3.1 Objeto y duración

Tratamos Datos personales durante la vigencia del Acuerdo para prestar los servicios de QR Code AI, incluida la generación de códigos QR, el seguimiento, la analítica y la funcionalidad relacionada.

3.2 Naturaleza y finalidad del tratamiento

• Generar códigos QR a partir de los datos de entrada proporcionados por el Responsable
• Realizar el seguimiento de escaneos de códigos QR y recopilar datos de analítica
• Almacenar configuraciones de códigos QR y metadatos asociados
• Tramitar solicitudes de códigos QR artísticos generados por IA
• Proporcionar informes y paneles de analítica

3.3 Tipos de Datos personales

Los tipos de Datos personales tratados pueden incluir:

• Información de contacto (nombres, direcciones de correo electrónico, números de teléfono) codificada en códigos QR
• URL y direcciones web
• Datos de ubicación procedentes de escaneos de códigos QR
• Información del dispositivo y direcciones IP procedentes de escaneos de códigos QR
• Prompts de texto e imágenes proporcionados para la generación de códigos QR con IA
• Cualquier otro dato que el Responsable decida codificar en códigos QR

3.4 Categorías de interesados

• Usuarios finales que escanean códigos QR creados por el Responsable
• Personas cuya información de contacto está codificada en códigos QR
• Usuarios de los productos o servicios del Responsable que interactúan con códigos QR

4. OBLIGACIONES DEL ENCARGADO

4.1 Instrucciones de tratamiento

Trataremos los Datos personales únicamente siguiendo tus instrucciones documentadas, salvo que estemos obligados a ello por el Derecho de la UE o del Estado miembro al que estemos sujetos. En tal caso, te informaremos de ese requisito legal antes del tratamiento, salvo que la ley lo prohíba por razones importantes de interés público.

4.2 Confidencialidad

Garantizamos que las personas autorizadas para tratar Datos personales se han comprometido a respetar la confidencialidad o están sujetas a una obligación legal adecuada de confidencialidad.

4.3 Medidas de seguridad

Aplicamos medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluidas:

• Cifrado de Datos personales en tránsito (TLS/HTTPS) y en reposo
• Controles de acceso y autenticación basada en roles para sistemas internos
• Evaluaciones de seguridad periódicas y escaneo de vulnerabilidades
• Infraestructura alojada con proveedores certificados ISO 27001
• Protección DDoS y firewall de aplicaciones web (Cloudflare)
• Copias de seguridad periódicas con almacenamiento cifrado
• Registro y monitorización del acceso a Datos personales

4.4 Subencargados

Utilizamos los subencargados indicados en nuestra página de subencargados. Te notificaremos cualquier cambio previsto en los subencargados actualizando esa página. Puedes oponerte a un nuevo subencargado contactándonos en [email protected] dentro de los 30 días siguientes a la actualización. Si te opones y no podemos atender razonablemente tu objeción, cualquiera de las partes podrá resolver la parte afectada de los Servicios.

Suscribimos acuerdos por escrito con todos los subencargados que imponen obligaciones de protección de datos no menos protectoras que las de este DPA.

4.5 Derechos de los interesados

Te asistiremos para responder a solicitudes de los Interesados que ejerzan sus derechos conforme a la normativa aplicable de protección de datos (acceso, rectificación, supresión, limitación, portabilidad, oposición). Si recibimos una solicitud directamente de un Interesado, la redirigiremos sin demora hacia ti, salvo que se nos indique lo contrario.

4.6 Asistencia para el cumplimiento

Te asistiremos para garantizar el cumplimiento de tus obligaciones conforme a los artículos 32 a 36 del RGPD, teniendo en cuenta la naturaleza del tratamiento y la información de la que dispongamos.

5. NOTIFICACIÓN DE BRECHAS DE DATOS

5.1 Plazo de notificación

Te notificaremos una Brecha de datos sin dilación indebida y, en cualquier caso, dentro de las 72 horas desde que tengamos conocimiento de la brecha. La notificación se enviará a la dirección de correo electrónico asociada a tu cuenta.

5.2 Contenido de la notificación

La notificación incluirá, en la medida en que esté disponible:

• Una descripción de la naturaleza de la Brecha de datos, incluidas las categorías y el número aproximado de Interesados y de registros afectados.
• El nombre y los datos de contacto de nuestro punto de contacto de protección de datos.
• Una descripción de las probables consecuencias de la Brecha de datos.
• Una descripción de las medidas adoptadas o propuestas para abordar la Brecha de datos, incluidas las medidas para mitigar sus posibles efectos adversos.

5.3 Cooperación continua

Cooperaremos contigo y proporcionaremos asistencia razonable para investigar, mitigar y subsanar cualquier Brecha de datos, así como para realizar las notificaciones a autoridades de control o a Interesados que estés obligado a efectuar.

6. TRANSFERENCIAS INTERNACIONALES DE DATOS

6.1 Ubicación de los datos

Los Datos personales se almacenan y tratan principalmente en la Unión Europea:

• Francia (UE) a través de Scaleway
• Países Bajos (UE) a través de DigitalOcean

6.2 Transferencias fuera de la UE/EEE

Algunos de nuestros subencargados se encuentran fuera de la UE/EEE, principalmente en Estados Unidos. Para estas transferencias, nos basamos en:

• EU-US Data Privacy Framework: Cuando proceda, para transferencias a proveedores con sede en EE. UU. certificados en el marco.
• Cláusulas Contractuales Tipo (CCEs): Incorporamos las CCEs aprobadas por la Comisión Europea (Decisión de Ejecución (UE) 2021/914) en nuestros acuerdos con subencargados ubicados fuera de la UE/EEE cuando el Data Privacy Framework no sea aplicable.

6.3 Evaluación del impacto de la transferencia

Realizamos evaluaciones del impacto de las transferencias a terceros países e implantamos medidas complementarias cuando sea necesario para garantizar un nivel adecuado de protección de datos.

7. AUDITORÍAS E INSPECCIONES

7.1 Derechos de auditoría

Tienes derecho a auditar nuestro cumplimiento de este DPA. Pondremos a tu disposición toda la información necesaria para demostrar el cumplimiento y permitiremos y contribuiremos a auditorías, incluidas inspecciones, realizadas por ti o por un auditor designado por ti.

7.2 Proceso de auditoría

Las auditorías están sujetas a las siguientes condiciones:

• Debes proporcionar un preaviso por escrito de al menos 30 días antes de cualquier auditoría.
• Las auditorías no podrán realizarse más de una vez al año, salvo que lo exija una autoridad de control o tras una Brecha de datos.
• Las auditorías deben realizarse en horario laboral normal y no deben interferir de forma irrazonable con nuestras operaciones.
• Tú asumes los costes de cualquier auditoría, salvo que la auditoría revele un incumplimiento sustancial de este DPA.
• No debe exponerse información confidencial de otros clientes durante la auditoría.

8. CONSERVACIÓN Y SUPRESIÓN DE DATOS

8.1 Durante el Acuerdo

Conservamos los Datos personales durante la vigencia del Acuerdo en la medida necesaria para prestar los Servicios.

8.2 Tras la terminación

Tras la terminación del Acuerdo o a tu solicitud por escrito:

• Eliminaremos los Datos personales de nuestros sistemas activos en un plazo de 30 días.
• Los Datos personales en archivos de copia de seguridad se purgarán en un plazo de 6 meses.
• Podremos conservar Datos personales en la medida en que lo exija la normativa aplicable (p. ej., obligaciones fiscales o contables); en tal caso, aislaremos y protegeremos dichos datos y limitaremos el tratamiento posterior a lo exigido por la ley.

8.3 Certificación

A tu solicitud, te proporcionaremos confirmación por escrito de que los Datos personales se han eliminado conforme a esta sección.

9. RESPONSABILIDAD

La responsabilidad de cada parte en virtud de este DPA está sujeta a las limitaciones de responsabilidad establecidas en el Acuerdo. Nada en este DPA limita la responsabilidad de cualquiera de las partes frente a Interesados o autoridades de control conforme a la normativa aplicable de protección de datos.

10. LEY APLICABLE

Este DPA se rige por las leyes de Francia. Para Interesados en la UE, se aplica el RGPD. Para Interesados en el Reino Unido, se aplica el RGPD del Reino Unido. Cualquier disputa derivada de este DPA se resolverá conforme a las disposiciones de resolución de conflictos del Acuerdo.

11. CÓMO EJECUTAR ESTE DPA

Este DPA se incorpora a y forma parte de los Términos del servicio. Al utilizar los Servicios de QR Code AI, aceptas este DPA.

Si necesitas una copia de este DPA firmada por separado para tus archivos, contacta con nosotros en [email protected] y te la facilitaremos en un plazo de 10 días laborables.

12. CONTACTO

Para preguntas sobre este DPA o nuestras prácticas de tratamiento de datos:

Supernovae 27 Rue Wurtz Juvisy-sur-Orge, Ile-de-France 91260 France [email protected]