Adenda de Tratamiento de Datos

Última actualización: 7 de mayo de 2026

Esta página es una traducción automática proporcionada por comodidad. La versión en inglés es la versión oficial y jurídicamente vinculante, y prevalece en caso de cualquier discrepancia.

1. Introducción

Esta Adenda de Tratamiento de Datos («DPA») complementa el acuerdo entre usted (el «Cliente») y Austrat Trading Corp., que opera como Signatura («Signatura», «nosotros» o «nos»), en virtud de nuestros Términos del Servicio (el «Acuerdo»). Se aplica siempre que Signatura trate Datos Personales por cuenta del Cliente y se incorpora automáticamente al Acuerdo — no se requiere una copia firmada para que se aplique, aunque puede solicitarse una versión contrafirmada escribiendo a [email protected].

En caso de conflicto entre esta DPA y el Acuerdo, prevalecerá esta DPA en lo que respecta al tratamiento de Datos Personales.

2. Definiciones

  • Datos Personales, Responsable del Tratamiento, Encargado del Tratamiento, Subencargado, Interesado, Tratar/Tratamiento, Categorías Especiales de Datos Personales y Violación de Datos Personales tienen el significado que se les atribuye en el GDPR (y los términos equivalentes bajo el UK GDPR cuando resulte aplicable).
  • EU SCCs significa las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea en la Decisión 2021/914, de 4 de junio de 2021.
  • Adenda del Reino Unido significa la Adenda de Transferencia Internacional de Datos a las SCC de la Comisión de la UE, emitida por la Information Commissioner's Office del Reino Unido en virtud de la sección 119A de la Data Protection Act 2018.

3. Funciones y alcance

Respecto de los Datos Personales tratados en virtud del Acuerdo, las partes acuerdan:

  • El Cliente es el Responsable del Tratamiento de los Datos Personales de los usuarios finales, firmantes, contactos y destinatarios de documentos del Cliente («Datos Personales del Cliente»).
  • Signatura es el Encargado del Tratamiento de los Datos Personales del Cliente y los trata únicamente siguiendo instrucciones documentadas del Cliente.
  • Signatura también actúa como Responsable del Tratamiento independiente para fines limitados — facturación de la cuenta, monitorización de seguridad, prevención del fraude, integridad de la pista de auditoría y conservación legal de registros para la validez jurídica de la firma electrónica. Para estos fines, se aplica la propia Política de Privacidad de Signatura.

4. Objeto, duración, naturaleza y finalidad

  • Objeto: el tratamiento de los Datos Personales del Cliente necesario para prestar la plataforma de firma electrónica de Signatura.
  • Duración: durante la vigencia del Acuerdo, más cualquier período posterior a la terminación exigido para la conservación legal de registros conforme a las leyes de firma electrónica aplicables.
  • Naturaleza y finalidad: almacenamiento de documentos, entrega de enlaces de firma, recopilación de firmas, generación de la pista de auditoría, detección opcional de campos asistida por IA (Auto-Sign) y otras funciones descritas en la Documentación.
  • Categorías de Interesados: el personal del Cliente, los firmantes (incluidos los firmantes ajenos al Cliente) y los destinatarios de los documentos enviados a través del Servicio.
  • Categorías de Datos Personales: nombre, dirección de correo electrónico, dirección IP, agente de usuario, imagen de la firma, valores escritos/iniciales, contenido de los documentos, marcas de tiempo de la pista de auditoría y valores de los campos de formulario introducidos por los firmantes. Signatura no requiere Categorías Especiales de Datos Personales y solicita al Cliente que no cargue campos de Datos Personales que las incluyan; si dichos datos se incluyen dentro del contenido de un documento, se tratan únicamente como parte de la ejecución del contrato.

5. Instrucciones del Cliente

El Acuerdo, esta DPA y el uso por parte del Cliente de las funciones y opciones de configuración del Servicio constituyen conjuntamente las instrucciones completas y definitivas del Cliente a Signatura para el tratamiento de los Datos Personales del Cliente. Signatura solo tratará los Datos Personales del Cliente según lo instruido, salvo que la legislación aplicable exija lo contrario (en cuyo caso Signatura informará al Cliente de dicha exigencia legal antes del tratamiento, a menos que la ley lo prohíba por razones importantes de interés público).

6. Confidencialidad

Signatura garantiza que el personal autorizado para tratar los Datos Personales del Cliente está sujeto a obligaciones de confidencialidad por escrito y ha recibido la formación adecuada en materia de protección de datos.

7. Seguridad

Signatura implementa medidas técnicas y organizativas apropiadas para proteger los Datos Personales del Cliente, descritas en detalle en getsignatura.com/security. Estas incluyen TLS 1.3 en tránsito, AES-256 en reposo, seguridad a nivel de fila en la base de datos, cifrado de tokens OAuth del lado del servidor, sellado del hash del documento (SHA-256) y registro de la pista de auditoría.

8. Subencargados

El Cliente autoriza a Signatura a contratar a los subencargados enumerados en getsignatura.com/sub-processors. Signatura se basa en los términos comerciales de protección de datos publicados por cada subencargado (que normalmente imponen al subencargado obligaciones equivalentes a las de esta DPA) y sigue siendo responsable ante el Cliente del cumplimiento de las obligaciones de cada subencargado en relación con el Servicio.

Signatura notificará al Cliente con al menos 30 días de antelación antes de añadir o sustituir a un subencargado. El Cliente podrá oponerse por motivos razonables de protección de datos en un plazo de 14 días desde la notificación; si las partes no pueden acordar una solución, el Cliente podrá rescindir la parte afectada del Servicio sin penalización.

9. Transferencias internacionales de datos

Los Datos Personales del Cliente pueden transferirse y tratarse en los Estados Unidos y en otros países donde operan nuestros subencargados. Se aplican las siguientes salvaguardas:

  • Desde el EEE: las SCC de la UE (Módulo Dos, Responsable a Encargado) se incorporan a esta DPA por referencia, con la Cláusula 7 (cláusula de acoplamiento), la Cláusula 9(a) Opción 2 (autorización general por escrito para subencargados), la Cláusula 11(a) sin el organismo independiente opcional de resolución de disputas, la Cláusula 17 Opción 1 regida por la legislación de Irlanda, y la Cláusula 18(b) que designa los tribunales de Irlanda.
  • Desde el Reino Unido: la Adenda del Reino Unido se incorpora por referencia, con las Tablas 1, 2 y 3 cumplimentadas utilizando las correspondientes selecciones de las SCC de la UE indicadas anteriormente, y con el Importador autorizado a rescindir conforme a la Sección 19 de la Adenda del Reino Unido.
  • Otras jurisdicciones: Signatura se basa en las salvaguardas de transferencia internacional publicadas por cada subencargado para la ruta correspondiente, y aplica medidas técnicas apropiadas (TLS 1.3 en tránsito, AES-256 en reposo) como protecciones complementarias.

10. Solicitudes de los Interesados

Signatura, teniendo en cuenta la naturaleza del tratamiento, asistirá al Cliente mediante medidas técnicas y organizativas apropiadas, en la medida de lo posible, para cumplir con la obligación del Cliente de responder a las solicitudes de los Interesados que ejerzan sus derechos conforme a la legislación aplicable (acceso, rectificación, supresión, limitación, oposición, portabilidad, revisión de decisiones automatizadas). Cuando Signatura reciba una solicitud de un Interesado directamente, redirigirá al Interesado al Cliente (responsable del tratamiento) sin demora indebida, salvo cuando Signatura actúe como responsable del tratamiento independiente (por ejemplo, para la integridad de la pista de auditoría).

11. Notificación de Violación de Datos Personales

Signatura notificará al Cliente sin demora indebida y, en todo caso, en un plazo de 72 horas desde que tenga conocimiento de una Violación de Datos Personales que afecte a los Datos Personales del Cliente. La notificación incluirá la información exigida por el Artículo 33(3) del GDPR en la medida en que se conozca en ese momento, y Signatura prestará una cooperación razonable en la investigación, mitigación y obligaciones de notificación reglamentaria del Cliente.

12. Asistencia en las EIPD

A solicitud razonable, Signatura proporcionará al Cliente la información necesaria para realizar Evaluaciones de Impacto relativas a la Protección de Datos y consultas previas con las autoridades de control, incluida información sobre la función de toma de decisiones automatizada Auto-Sign.

13. Auditorías

Signatura pondrá a disposición del Cliente toda la información razonablemente necesaria para demostrar el cumplimiento de esta DPA, incluso facilitando copias de certificaciones, resúmenes de los informes de auditoría pertinentes y documentación de seguridad. El Cliente podrá, no más de una vez al año (o con mayor frecuencia si se ha producido una Violación de Datos Personales o si así lo exige una autoridad de control), realizar una auditoría previa notificación razonable por escrito y durante el horario laboral normal, con sujeción a las obligaciones de confidencialidad. Las auditorías in situ correrán a cargo del Cliente.

14. Devolución o eliminación de los Datos Personales

En un plazo de 30 días tras la terminación o expiración del Acuerdo, Signatura, a elección del Cliente, eliminará o devolverá todos los Datos Personales del Cliente y eliminará las copias existentes, salvo que la legislación aplicable exija su conservación continuada — en particular, los documentos firmados y sus pistas de auditoría se conservan durante el período exigido por las leyes de conservación de registros de firma electrónica (por ejemplo, la ESIGN Act, eIDAS y estatutos equivalentes) y cualquier período de prescripción más largo aplicable a la transacción subyacente.

15. Responsabilidad

La responsabilidad de cada parte en virtud de esta DPA está sujeta a las limitaciones y exclusiones de responsabilidad establecidas en el Acuerdo. No se permite la doble recuperación: cualquier responsabilidad pagada en virtud de un documento libera la responsabilidad equivalente en virtud del otro.

16. Legislación aplicable

Esta DPA se rige por la legislación especificada en el Acuerdo, salvo que, con respecto a las SCC de la UE, la Adenda del Reino Unido y la Adenda Suiza, dichos instrumentos se rigen por las leyes especificadas en los propios instrumentos.

17. Contacto

Para consultas relacionadas con la DPA, escriba a [email protected] o [email protected].