Acuerdo de procesamiento de datos de QR Code AI

ACUERDO DE PROCESAMIENTO DE DATOS (DPA)

Última actualización: 2 de marzo de 2026

Este Acuerdo de Procesamiento de Datos ("DPA") forma parte de los Términos de servicio ("Acuerdo") entre Supernovae, una empresa registrada en Francia en 27 Rue Wurtz, Juvisy-sur-Orge 91260, número de IVA FR67948452891 ("Encargado", "nosotros"), y la entidad que acepta este DPA ("Responsable", "tú"), denominadas conjuntamente como las "Partes".

Este DPA aplica cuando procesamos datos personales en tu nombre en relación con nuestros servicios de QR Code AI, incluido a través de la API.

1. DEFINICIONES

• "Datos personales" significa cualquier información relacionada con una persona física identificada o identificable, según se define en el Artículo 4(1) del GDPR.
• "Tratamiento" significa cualquier operación o conjunto de operaciones realizadas sobre Datos personales, según se define en el Artículo 4(2) del GDPR.
• "Titular de los datos" significa la persona física identificada o identificable a la que se refieren los Datos personales.
• "Subencargado" significa cualquier tercero contratado por el Encargado para tratar Datos personales en nombre del Responsable.
• "GDPR" significa el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo.
• "UK GDPR" significa el GDPR según fue incorporado al derecho del Reino Unido por la Data Protection Act 2018.
• "SCC" significa las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea para la transferencia de Datos personales a terceros países.
• "Brecha de datos" significa una violación de seguridad que provoque la destrucción, pérdida o alteración accidental o ilícita, o la divulgación o el acceso no autorizados a Datos personales.

2. ALCANCE Y ROLES

2.1 Responsable y Encargado

Para los fines de este DPA:

• Tú (Responsable): Tú determinas los fines y medios del tratamiento de Datos personales cuando usas nuestros Servicios, en particular cuando usas nuestra API para generar códigos QR para tus propios clientes o integras nuestros Servicios en tus productos.
• Nosotros (Encargado): Tratamos Datos personales en tu nombre conforme a tus instrucciones, como se describe en este DPA y en el Acuerdo.

2.2 Cuándo aplica este DPA

Este DPA aplica cuando:

• Usas la API de QR Code AI para generar códigos QR que tratan datos de tus usuarios finales (por ejemplo, URL que contienen información personal, datos de vCard, datos de contacto codificados en códigos QR).
• Usas las funciones de seguimiento de código QR y analíticas de QR Code AI que recopilan datos de escaneo de tus usuarios finales.
• Cualquier otro escenario en el que tratemos Datos personales en tu nombre como encargado del tratamiento.

Cuando usas QR Code AI como usuario individual para tus propios fines, actuamos como responsable independiente del tratamiento y nuestra Política de privacidad rige el tratamiento de datos.

3. DETALLES DEL TRATAMIENTO DE DATOS

3.1 Objeto y duración

Tratamos Datos personales durante la vigencia del Acuerdo para proporcionar los servicios de QR Code AI, incluida la generación de códigos QR, el seguimiento, las analíticas y la funcionalidad relacionada.

3.2 Naturaleza y finalidad del tratamiento

• Generar códigos QR con base en los datos de entrada proporcionados por el Responsable
• Dar seguimiento a los escaneos de códigos QR y recopilar datos de analíticas
• Almacenar configuraciones de códigos QR y metadatos asociados
• Tratar solicitudes de código QR artístico generadas por IA
• Proporcionar reportes y paneles de analíticas

3.3 Tipos de datos personales

Los tipos de Datos personales tratados pueden incluir:

• Información de contacto (nombres, correos electrónicos, números de teléfono) codificada en códigos QR
• URL y direcciones web
• Datos de ubicación de los escaneos de códigos QR
• Información del dispositivo y direcciones IP de los escaneos de códigos QR
• Prompts de texto e imágenes proporcionados para la generación de código QR con IA
• Cualquier otro dato que el Responsable decida codificar en códigos QR

3.4 Categorías de titulares de los datos

• Usuarios finales que escanean códigos QR creados por el Responsable
• Personas cuya información de contacto está codificada en códigos QR
• Usuarios de los productos o servicios del Responsable que interactúan con códigos QR

4. OBLIGACIONES DEL ENCARGADO

4.1 Instrucciones de tratamiento

Trataremos Datos personales solo conforme a tus instrucciones documentadas, salvo que la legislación de la UE o del Estado miembro a la que estemos sujetos nos obligue a hacerlo. En tal caso, te informaremos de ese requisito legal antes del tratamiento, a menos que la ley prohíba dicha información por motivos importantes de interés público.

4.2 Confidencialidad

Nos aseguramos de que las personas autorizadas para tratar Datos personales se hayan comprometido a la confidencialidad o estén sujetas a una obligación legal adecuada de confidencialidad.

4.3 Medidas de seguridad

Implementamos medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo:

• Cifrado de Datos personales en tránsito (TLS/HTTPS) y en reposo
• Controles de acceso y autenticación basada en roles para sistemas internos
• Evaluaciones de seguridad periódicas y escaneo de vulnerabilidades
• Infraestructura alojada con proveedores certificados ISO 27001
• Protección DDoS y firewall de aplicaciones web (Cloudflare)
• Respaldos regulares con almacenamiento cifrado
• Registro y monitoreo del acceso a Datos personales

4.4 Subencargados

Usamos los subencargados listados en nuestra página de Subencargados. Te notificaremos cualquier cambio previsto en subencargados actualizando esa página. Puedes oponerte a un nuevo subencargado contactándonos en [email protected] dentro de los 30 días posteriores a la actualización. Si te opones y no podemos atender razonablemente tu objeción, cualquiera de las partes podrá terminar la parte afectada de los Servicios.

Celebramos acuerdos por escrito con todos los subencargados que imponen obligaciones de protección de datos no menos protectoras que las de este DPA.

4.5 Derechos de los titulares de los datos

Te asistiremos para responder a solicitudes de Titulares de los datos que ejerzan sus derechos conforme a la ley aplicable de protección de datos (acceso, rectificación, supresión, limitación, portabilidad, oposición). Si recibimos una solicitud directamente de un Titular de los datos, la redirigiremos de inmediato contigo, salvo que se nos indique lo contrario.

4.6 Asistencia para el cumplimiento

Te asistiremos para asegurar el cumplimiento de tus obligaciones conforme a los Artículos 32 a 36 del GDPR, tomando en cuenta la naturaleza del tratamiento y la información disponible para nosotros.

5. NOTIFICACIÓN DE BRECHAS DE DATOS

5.1 Plazo de notificación

Te notificaremos una Brecha de datos sin demora indebida y, en cualquier caso, dentro de las 72 horas posteriores a tener conocimiento de la brecha. La notificación se enviará al correo electrónico asociado con tu cuenta.

5.2 Contenido de la notificación

La notificación incluirá, en la medida en que esté disponible:

• Una descripción de la naturaleza de la Brecha de datos, incluidas las categorías y el número aproximado de Titulares de los datos y registros afectados.
• El nombre y los datos de contacto de nuestro punto de contacto de protección de datos.
• Una descripción de las consecuencias probables de la Brecha de datos.
• Una descripción de las medidas tomadas o propuestas para atender la Brecha de datos, incluidas medidas para mitigar sus posibles efectos adversos.

5.3 Cooperación continua

Cooperaremos contigo y brindaremos asistencia razonable para investigar, mitigar y remediar cualquier Brecha de datos, así como para realizar las notificaciones a autoridades de control o a Titulares de los datos que estés obligado a realizar.

6. TRANSFERENCIAS INTERNACIONALES DE DATOS

6.1 Ubicación de los datos

Los Datos personales se almacenan y tratan principalmente en la Unión Europea:

• Francia (UE) a través de Scaleway
• Países Bajos (UE) a través de DigitalOcean

6.2 Transferencias fuera de la UE/EEE

Algunos de nuestros subencargados se encuentran fuera de la UE/EEE, principalmente en Estados Unidos. Para estas transferencias, nos basamos en:

• EU-US Data Privacy Framework: Cuando aplique, para transferencias a proveedores con sede en EE. UU. certificados bajo el marco.
• Cláusulas Contractuales Tipo (SCC): Incorporamos las SCC aprobadas por la Comisión Europea (Decisión de Ejecución (UE) 2021/914) en nuestros acuerdos con subencargados ubicados fuera de la UE/EEE cuando el Data Privacy Framework no aplique.

6.3 Evaluación de impacto de transferencias

Realizamos evaluaciones de impacto de transferencias para transferencias a terceros países e implementamos medidas complementarias cuando sea necesario para garantizar un nivel adecuado de protección de datos.

7. AUDITORÍAS E INSPECCIONES

7.1 Derechos de auditoría

Tienes el derecho de auditar nuestro cumplimiento de este DPA. Pondremos a tu disposición toda la información necesaria para demostrar el cumplimiento y permitiremos y contribuiremos a auditorías, incluidas inspecciones, realizadas por ti o por un auditor designado por ti.

7.2 Proceso de auditoría

Las auditorías están sujetas a las siguientes condiciones:

• Debes proporcionar al menos 30 días de aviso por escrito antes de cualquier auditoría.
• Las auditorías no podrán realizarse más de una vez al año, salvo que lo requiera una autoridad de control o después de una Brecha de datos.
• Las auditorías deben realizarse en horario laboral normal y no deben interferir de manera irrazonable con nuestras operaciones.
• Tú eres responsable de los costos de cualquier auditoría, salvo que la auditoría revele un incumplimiento material de este DPA.
• No debe exponerse información confidencial de nuestros otros clientes durante la auditoría.

8. CONSERVACIÓN Y ELIMINACIÓN DE DATOS

8.1 Durante el Acuerdo

Conservamos Datos personales durante la vigencia del Acuerdo según sea necesario para proporcionar los Servicios.

8.2 Al terminar

Al terminar el Acuerdo o a tu solicitud por escrito:

• Eliminaremos los Datos personales de nuestros sistemas activos dentro de 30 días.
• Los Datos personales en archivos de respaldo se eliminarán dentro de 6 meses.
• Podemos conservar Datos personales en la medida en que lo exija la ley aplicable (por ejemplo, obligaciones fiscales o contables); en ese caso, aislaremos y protegeremos dichos datos y limitaremos el tratamiento posterior a lo requerido por la ley.

8.3 Certificación

A tu solicitud, proporcionaremos confirmación por escrito de que los Datos personales se eliminaron conforme a esta sección.

9. RESPONSABILIDAD

La responsabilidad de cada parte bajo este DPA está sujeta a las limitaciones de responsabilidad establecidas en el Acuerdo. Nada en este DPA limita la responsabilidad de cualquiera de las partes frente a Titulares de los datos o autoridades de control conforme a la ley aplicable de protección de datos.

10. LEY APLICABLE

Este DPA se rige por las leyes de Francia. Para Titulares de los datos en la UE, aplica el GDPR. Para Titulares de los datos en el Reino Unido, aplica el UK GDPR. Cualquier disputa derivada de este DPA se resolverá conforme a las disposiciones de resolución de disputas del Acuerdo.

11. CÓMO EJECUTAR ESTE DPA

Este DPA se incorpora y forma parte de los Términos de servicio. Al usar los Servicios de QR Code AI, aceptas este DPA.

Si necesitas una copia firmada por separado de este DPA para tus registros, contáctanos en [email protected] y te proporcionaremos una dentro de 10 días hábiles.

12. CONTACTO

Para preguntas sobre este DPA o nuestras prácticas de tratamiento de datos:

Supernovae 27 Rue Wurtz Juvisy-sur-Orge, Ile-de-France 91260 France [email protected]