Data Processing Addendum (DPA) – URLZ.li / APPHUBIC LTD

Anexo sobre procesamiento de datos (DPA)

Última actualización: 27 de agosto de 2025
Este DPA forma parte del acuerdo entre usted (“Cliente" o "Controlador") y APPHUBIC LTD, comerciando como URLZ.li (“Procesador”). Está diseñado para cumplir con el RGPD del Reino Unido y, cuando corresponda, el RGPD de la UE. Esta plantilla se proporciona con fines informativos y no constituye asesoramiento legal.

Fiestas

Procesador: APPHUBIC LTD, número de empresa 16438256, domicilio social en 20 Wenlock Road, Londres, Inglaterra, N1 7GU, operando como “URLZ.li”.

Controlador: El cliente identificado en el contrato de servicio principal, formulario de pedido o registro de cuenta en URLZ.li.

1. Tema y duración

1.1 Este DPA rige el procesamiento de Datos Personales por parte del Procesador en nombre del Controlador en relación con los servicios de URLZ.li.

1.2 El tratamiento continuará durante la vigencia del contrato principal y de cualquier renovación, salvo que la ley exija lo contrario.

2. Definiciones

Términos como Datos personales, Tratamiento, Controlador, Procesador, Titular de los datos, y Autoridad supervisora tienen los significados que se les dan en el RGPD del Reino Unido y, cuando corresponda, en el RGPD de la UE.

3. Naturaleza, alcance y propósito

3.1 Naturaleza y propósito: Prestación de servicios de acortamiento, gestión y análisis de enlaces, incluido el acceso a API, el registro de clics y la funcionalidad relacionada, como se detalla más adelante. Anexo I.

3.2 Categorías de datos y sujetos de datos: Como se establece en Anexo I; normalmente puede incluir direcciones IP, agentes de usuario, marcas de tiempo de clic y datos de cuenta limitados.

3.3 El Procesador procesará Datos Personales únicamente siguiendo instrucciones documentadas del Controlador.

4. Obligaciones del encargado del tratamiento

  • Procesar Datos Personales únicamente siguiendo instrucciones documentadas del Responsable del Tratamiento, incluso en lo referente a transferencias internacionales.
  • Garantizar que las personas autorizadas a procesar Datos Personales estén sujetas a confidencialidad.
  • Implementar y mantener medidas técnicas y organizativas apropiadas (ver Anexo II).
  • Notificar al Responsable del Tratamiento sin demora indebida después de tener conocimiento de una violación de datos personales (Sección 9).
  • Ayudar al Responsable del Tratamiento con las solicitudes de los Titulares de Datos (Sección 10), seguridad, DPIA y consultas con las autoridades cuando sea necesario.
  • Mantener registros del procesamiento según lo requiera la ley.
  • Abstenerse de designar subencargados del tratamiento sin las garantías establecidas en el apartado 6.

5. Obligaciones del responsable del tratamiento

  • Proporcionar instrucciones legales y documentadas y garantizar una base legal válida para el procesamiento.
  • No transmitir categorías especiales de datos salvo acuerdo expreso por escrito.
  • Informar al Encargado sin demora sobre los cambios que afecten a las instrucciones de tratamiento o a la base legal.
  • Ser responsable de las notificaciones, consentimientos y transparencia hacia los Titulares de Datos.

6. Subprocesadores

  • El Controlador autoriza al Procesador a contratar subprocesadores para alojamiento, análisis, entrega de correo electrónico, atención al cliente, facturación y servicios relacionados.
  • El procesador impondrá a los subprocesadores obligaciones no menos protectoras que este DPA y seguirá siendo responsable de su cumplimiento.
  • La lista actualizada de subencargados del tratamiento está disponible previa solicitud o en el sitio web del Encargado del Tratamiento. El Encargado del Tratamiento notificará cualquier cambio sustancial, lo que permitirá al Responsable del Tratamiento oponerse por motivos razonables.

7. Transferencias internacionales

Cuando se transfieran datos personales fuera del Reino Unido o el EEE, el procesador implementará las garantías adecuadas, incluido el Acuerdo de Transferencia Internacional de Datos del Reino Unido (IDTA), las cláusulas contractuales estándar de la UE (SCC) y medidas complementarias cuando sea necesario.

8. Medidas de seguridad

El Encargado del Tratamiento aplicará medidas técnicas y organizativas adecuadas al riesgo, incluidas las medidas descritas en Anexo II (por ejemplo, cifrado en tránsito, controles de acceso, registro, revisiones periódicas).

9. Violación de datos personales

El Procesador deberá notificar al Controlador sin demora indebida después de tener conocimiento de una Violación de Datos Personales, proporcionando información razonablemente disponible en el momento y cooperando para respaldar las obligaciones del Controlador de notificar a las autoridades y a los Sujetos de Datos cuando sea necesario.

10. Derechos del titular de los datos

Teniendo en cuenta la naturaleza del tratamiento, el Encargado asistirá al Responsable con medidas técnicas y organizativas apropiadas, en la medida de lo posible, para el cumplimiento de la obligación del Responsable de responder a las solicitudes de ejercicio de los derechos del Titular de los Datos.

11. Auditoría y cumplimiento

Previa notificación con antelación razonable, el Encargado del Tratamiento proporcionará la información necesaria para demostrar el cumplimiento y permitir las auditorías del Responsable del Tratamiento o de un auditor independiente designado por este, sujeto a las restricciones de confidencialidad, seguridad y continuidad del negocio. Se podrán utilizar auditorías remotas y certificados/informes de terceros para cumplir con los requisitos de auditoría cuando corresponda.

12. Devolución y eliminación

Tras la rescisión o vencimiento del contrato principal, el Encargado del Tratamiento eliminará o devolverá los Datos Personales al Responsable del Tratamiento, salvo que la ley exija su conservación. La eliminación podrá realizarse mediante procesos de borrado seguro y rotación estándar de copias de seguridad.

13. Responsabilidad e indemnización

La responsabilidad de cada parte bajo este DPA está sujeta a las exclusiones y limitaciones establecidas en el acuerdo principal, excepto en la medida en que lo prohíba la ley aplicable.

14. Ley aplicable y jurisdicción

Este DPA se rige por las leyes de Inglaterra y Gales. Las partes se someten a la jurisdicción exclusiva de los tribunales de Inglaterra y Gales.

15. Orden de precedencia

En caso de conflicto entre este DPA y el acuerdo principal, este DPA prevalecerá con respecto al objeto del presente.

Anexidades

Anexo I – Detalles del procesamiento

  • Tema: Funcionamiento de la plataforma y APIs de URLZ.li.
  • Duración: Durante el plazo del contrato principal y según lo exija la ley posteriormente.
  • Naturaleza y propósito: Acortamiento de enlaces, redirección, análisis y funciones basadas en API; registro para seguridad y prevención de abuso.
  • Categorías de interesados: Usuarios finales del controlador; visitantes que hacen clic en enlaces acortados; personal/administradores del controlador.
  • Categorías de Datos Personales: Normalmente, dirección IP, agente de usuario, idioma, tipo de dispositivo, remitente, marca de tiempo, identificadores de cuenta (nombre/correo electrónico), metadatos de facturación (tokenizado/estado de pago a través del proveedor de pagos). No se pretenden datos de categorías especiales.
  • Categorías especiales: No previsto. El responsable no facilitará dichos datos salvo acuerdo expreso por escrito.
  • Operaciones de procesamiento: Recopilación, almacenamiento, agregación, análisis, recuperación, transmisión, eliminación.

Anexo II – Medidas técnicas y organizativas (MTO)

  • Control de acceso: Acceso basado en roles, mínimo privilegio, MFA para cuentas administrativas.
  • Cifrado: TLS para datos en tránsito; gestión de secretos cifrados para credenciales/claves.
  • Disponibilidad y resiliencia: Copias de seguridad, monitorización, alertas, procedimientos de recuperación ante desastres.
  • Registro y monitoreo: Registros centralizados, detección de anomalías, limitación de velocidad, controles de abuso.
  • Seguridad del desarrollo: Revisiones de código, escaneo de dependencias, gestión de cambios.
  • Minimización y retención de datos: Recopilación limitada de datos; calendarios de retención; eliminación segura.
  • Gestión de proveedores: Encargados del Tratamiento con subencargados del Tratamiento; revisiones periódicas.
  • Salvaguardias para los empleados: Compromisos de confidencialidad; capacitación en seguridad.
  • Respuesta a incidentes: Procedimientos documentados; flujos de trabajo de notificación de infracciones.

Anexo III – Subencargados del tratamiento autorizados

Una lista actualizada de subprocesadores está disponible a solicitud de soporte@urlz.liLas categorías típicas incluyen:

  • Proveedores de alojamiento en la nube y CDN;
  • Procesadores de pagos;
  • Plataformas de entrega de correo electrónico y atención al cliente;
  • Herramientas de análisis y monitorización;
  • Servicios de seguridad y registro.

El Procesador proporcionará un aviso anticipado razonable sobre los cambios materiales a los subprocesadores, lo que permitirá al Controlador objetar por motivos razonables.

Ejecución

Este DPA se incorpora por referencia al acuerdo principal entre las partes y se considera aceptado al momento de la ejecución de dicho acuerdo, el registro de la cuenta o el uso continuo de los servicios, según corresponda.

Contacto

APPHUBIC LTD
20 Wenlock Road, Londres, Inglaterra, N1 7GU
Número de empresa: 16438256
Correo electrónico: soporte@urlz.li

© APPHUBIC LTD — URLZ.li • Este DPA se proporciona para transparencia y debe ser revisado por un asesor legal.