Última actualización: 23/02/2026

Acuerdo de tratamiento de datos

Este Acuerdo de Tratamiento de Datos ("DPA") forma parte del Acuerdo de suscripción entre Perkstar Ltd ("Encargado del tratamiento") y la organización cliente ("Responsable del tratamiento") para la prestación de servicios de plataforma digital de fidelización. Al aceptar el Acuerdo de suscripción, el Responsable del tratamiento acepta los términos de este DPA.

1. Definiciones e interpretación

En este DPA:

"Leyes de Protección de Datos" significa todas las leyes aplicables relativas al tratamiento de Datos personales, incluido el UK GDPR, el EU GDPR, la Data Protection Act 2018 y las Privacy and Electronic Communications Regulations 2003.

"UK GDPR" significa el Reglamento General de Protección de Datos ((UE) 2016/679) tal como forma parte de la legislación de Inglaterra y Gales, Escocia e Irlanda del Norte en virtud de la sección 3 de la European Union (Withdrawal) Act 2018.

"EU GDPR" significa el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales.

"Datos personales", "Tratamiento", "Interesado", "Responsable del tratamiento", "Encargado del tratamiento", y "Violación de seguridad de los datos personales" tienen los significados establecidos en el UK GDPR.

"Servicios" significa los servicios de la plataforma digital de fidelización proporcionados por Perkstar según se describen en el Acuerdo de suscripción.

"Subencargado" significa cualquier tercero contratado por Perkstar para tratar Datos personales por cuenta del Responsable del tratamiento.

2. Alcance y finalidad del tratamiento

2.1 El Encargado del tratamiento tratará Datos personales por cuenta del Responsable del tratamiento únicamente con la finalidad de prestar los Servicios descritos en el Anexo 1.

2.2 El Encargado del tratamiento solo tratará Datos personales de acuerdo con instrucciones documentadas del Responsable del tratamiento, salvo que la legislación aplicable le exija hacerlo. Cuando el Encargado del tratamiento esté obligado por ley a tratar Datos personales, informará al Responsable del tratamiento de este requisito antes del tratamiento, salvo que la ley prohíba dicha notificación.

2.3 El Encargado del tratamiento informará inmediatamente al Responsable del tratamiento si, en su opinión, una instrucción infringe las Leyes de Protección de Datos.

3. Obligaciones del Encargado del tratamiento

3.1 El Encargado del tratamiento deberá:

(a) Tratar Datos personales solo de acuerdo con las instrucciones documentadas del Responsable del tratamiento y los términos de este DPA.

(b) Garantizar que todas las personas autorizadas para tratar Datos personales estén sujetas a obligaciones vinculantes de confidencialidad.

(c) Implementar y mantener medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad apropiado al riesgo, incluido cifrado, controles de acceso, pruebas de seguridad periódicas y procedimientos de copia de seguridad, según se describe en la Cláusula 5.

(d) Respetar las condiciones para contratar Subencargados establecidas en la Cláusula 4.

(e) Teniendo en cuenta la naturaleza del tratamiento, ayudar al Responsable del tratamiento mediante medidas técnicas y organizativas adecuadas a responder a solicitudes de Interesados que ejerzan sus derechos conforme a las Leyes de Protección de Datos.

(f) Ayudar al Responsable del tratamiento a garantizar el cumplimiento de las obligaciones previstas en los artículos 32 a 36 del UK GDPR, incluida la seguridad del tratamiento, la notificación de violaciones de seguridad de datos, las evaluaciones de impacto relativas a la protección de datos y la consulta previa con autoridades de control.

(g) A elección del Responsable del tratamiento, suprimir o devolver todos los Datos personales tras la finalización de la prestación de los Servicios, y suprimir las copias existentes salvo que la conservación sea exigida por la legislación aplicable.

(h) Poner a disposición del Responsable del tratamiento toda la información necesaria para demostrar el cumplimiento de este DPA y permitir auditorías, incluidas inspecciones, y contribuir a ellas, según se establece en la Cláusula 9.

4. Subencargados

4.1 El Responsable del tratamiento otorga autorización general al Encargado del tratamiento para contratar Subencargados con el fin de prestar los Servicios.

4.2 Los Subencargados actuales se enumeran en el Anexo 2 y se mantienen en perkstar.co.uk/sub-processors.

4.3 El Encargado del tratamiento informará al Responsable del tratamiento de cualquier cambio previsto relativo a la incorporación o sustitución de Subencargados al menos 14 días antes de que el cambio surta efecto, dando al Responsable del tratamiento la oportunidad de oponerse.

4.4 Si el Responsable del tratamiento se opone a un nuevo Subencargado por motivos razonables de protección de datos, las partes debatirán la cuestión de buena fe. Si no se alcanza una solución en un plazo de 30 días, el Responsable del tratamiento podrá resolver los Servicios afectados sin penalización.

4.5 El Encargado del tratamiento garantizará que cada Subencargado esté obligado por obligaciones de protección de datos no menos protectoras que las establecidas en este DPA.

5. Seguridad de los datos

5.1 El Encargado del tratamiento implementa y mantiene medidas técnicas y organizativas adecuadas, incluidas:

(a) Cifrado de Datos personales en tránsito (TLS 1.3) y en reposo (AES-256).

(b) Medidas para garantizar la confidencialidad, integridad, disponibilidad y resiliencia continuas de los sistemas y servicios de tratamiento.

(c) Controles de acceso basados en roles y autenticación multifactor para el acceso administrativo.

(d) Pruebas y evaluación periódicas de la eficacia de las medidas de seguridad, incluidas evaluaciones de vulnerabilidad.

(e) Copias de seguridad diarias automatizadas, cifradas en reposo, almacenadas dentro de la misma jurisdicción geográfica que los datos principales, con un periodo de conservación de 30 días.

(f) Procedimientos para restaurar la disponibilidad y el acceso a los Datos personales de manera oportuna tras un incidente.

5.2 El Encargado del tratamiento revisará y actualizará periódicamente estas medidas para mantener un nivel de seguridad adecuado, teniendo en cuenta el estado de la técnica, los costes de implementación y la naturaleza, el alcance, el contexto y las finalidades del tratamiento.

6. Notificación de violaciones de seguridad de datos

6.1 El Encargado del tratamiento notificará al Responsable del tratamiento sin demora indebida y, en cualquier caso, dentro de las 24 horas siguientes a tener conocimiento de cualquier Violación de seguridad de los datos personales.

6.2 La notificación incluirá:

(a) La naturaleza de la Violación de seguridad de los datos personales, incluidas, cuando sea posible, las categorías y el número aproximado de Interesados y registros afectados.

(b) Las consecuencias probables de la violación.

(c) Las medidas adoptadas o propuestas para abordar la violación, incluidas medidas para mitigar sus posibles efectos adversos.

6.3 El Encargado del tratamiento cooperará con el Responsable del tratamiento y adoptará medidas razonables para ayudar en la investigación, mitigación y subsanación de la violación.

6.4 El Encargado del tratamiento documentará todas las Violaciones de seguridad de los datos personales, incluidos los hechos relacionados con la violación, sus efectos y las medidas correctoras adoptadas.

7. Derechos de los Interesados

7.1 El Encargado del tratamiento, dentro de las 48 horas siguientes a su recepción, remitirá al Responsable del tratamiento cualquier solicitud recibida directamente de un Interesado que ejerza sus derechos conforme a las Leyes de Protección de Datos.

7.2 El Encargado del tratamiento ayudará al Responsable del tratamiento a responder a dichas solicitudes mediante medidas técnicas y organizativas adecuadas, incluida la provisión de herramientas para exportación y supresión de datos cuando estén disponibles a través de los Servicios.

7.3 El Encargado del tratamiento no responderá directamente a una solicitud de un Interesado salvo que el Responsable del tratamiento le instruya hacerlo o que lo exija la legislación aplicable.

8. Transferencias de datos

8.1 El Encargado del tratamiento no transferirá Datos personales fuera de la región geográfica asignada al Responsable del tratamiento sin el consentimiento previo por escrito del Responsable del tratamiento.

8.2 Los Datos personales se tratarán y almacenarán en el centro o centros de datos adecuados para la ubicación empresarial registrada del Responsable del tratamiento, según se especifica en el Anexo 3.

8.3 Cuando se transfieran Datos personales fuera del Reino Unido o del Espacio Económico Europeo, el Encargado del tratamiento garantizará que existan garantías adecuadas, incluidas Cláusulas Contractuales Tipo u otros mecanismos de transferencia legalmente aprobados.

8.4 Los datos de clientes de Reino Unido y la UE permanecerán en todo momento dentro de jurisdicciones de Reino Unido/UE salvo que el Responsable del tratamiento otorgue consentimiento explícito por escrito para un acuerdo alternativo.

9. Auditorías y cumplimiento

9.1 El Encargado del tratamiento pondrá a disposición del Responsable del tratamiento toda la información razonablemente necesaria para demostrar el cumplimiento de este DPA y de las obligaciones del Encargado del tratamiento conforme a las Leyes de Protección de Datos.

9.2 El Responsable del tratamiento podrá, con al menos 30 días de aviso por escrito y durante el horario laboral normal, auditar el cumplimiento de este DPA por parte del Encargado del tratamiento. Las auditorías se realizarán no más de una vez al año salvo que una Violación de seguridad de los datos personales o una investigación regulatoria requiera una auditoría adicional.

9.3 El Responsable del tratamiento garantizará que cualquier auditoría se realice de una manera que minimice la interrupción de las operaciones comerciales del Encargado del tratamiento y que cualquier auditor esté sujeto a obligaciones adecuadas de confidencialidad.

9.4 El Encargado del tratamiento cooperará con cualquier auditoría o inspección realizada por el Responsable del tratamiento o por una autoridad de control.

10. Evaluaciones de impacto relativas a la protección de datos

10.1 El Encargado del tratamiento prestará asistencia razonable al Responsable del tratamiento para realizar evaluaciones de impacto relativas a la protección de datos y consultas previas con autoridades de control, cuando sean exigidas por las Leyes de Protección de Datos, teniendo en cuenta la naturaleza del tratamiento y la información disponible para el Encargado del tratamiento.

11. Vigencia y terminación

11.1 Este DPA permanecerá en vigor durante la vigencia del Acuerdo de suscripción y mientras el Encargado del tratamiento trate Datos personales por cuenta del Responsable del tratamiento.

11.2 Tras la terminación del Acuerdo de suscripción, el Encargado del tratamiento, a elección del Responsable del tratamiento, suprimirá o devolverá todos los Datos personales en un plazo de 30 días y suprimirá las copias existentes salvo que la conservación sea exigida por la legislación aplicable.

11.3 El Encargado del tratamiento certificará por escrito al Responsable del tratamiento, previa solicitud, que ha cumplido los requisitos de la Cláusula 11.2.

12. Responsabilidad

12.1 La responsabilidad de cada parte en virtud de este DPA estará sujeta a las limitaciones y exclusiones de responsabilidad establecidas en el Acuerdo de suscripción.

12.2 Nada en este DPA limita ni excluye la responsabilidad de cualquiera de las partes por infracciones de las Leyes de Protección de Datos en la medida en que dicha responsabilidad no pueda limitarse conforme a la legislación aplicable.

13. General

13.1 Este DPA se regirá por las leyes de Inglaterra y Gales.

13.2 Cualquier disputa derivada de este DPA estará sujeta al proceso de resolución de disputas establecido en el Acuerdo de suscripción.

13.3 En caso de conflicto entre este DPA y el Acuerdo de suscripción, prevalecerán los términos de este DPA en lo relativo a cuestiones de protección de datos.

13.4 Si alguna disposición de este DPA se considera inválida o inexigible, las disposiciones restantes continuarán en pleno vigor y efecto.

Anexo 1: Detalles del tratamiento

Naturaleza y finalidad: Prestación de servicios de plataforma digital de fidelización, incluida la creación, gestión, distribución y análisis de tarjetas digitales de fidelización mediante Apple Wallet y Google Wallet.

Tipos de Datos personales:

  • Nombres de clientes, direcciones de correo electrónico y números de teléfono

  • Datos de tarjetas de fidelización (puntos, sellos, recompensas e historial de transacciones)

  • Identificadores de dispositivos y credenciales de monederos digitales

  • Datos de cuentas de usuarios administrativos

  • Direcciones IP y datos de uso

Categorías de Interesados:

  • Clientes finales del programa de fidelización del Responsable del tratamiento

  • Usuarios administrativos de la cuenta del Responsable del tratamiento

Duración del tratamiento: Durante la vigencia del Acuerdo de suscripción, más cualquier periodo de conservación posterior a la terminación exigido por la legislación aplicable o establecido en la Cláusula 11.2.

Anexo 2: Subencargados

Subencargado Servicio Ubicación Garantías DigitalOcean LLC Infraestructura de alojamiento en la nube Reino Unido, UE y EE. UU. (Londres, Ámsterdam, Fráncfort, Nueva York, San Francisco, Atlanta) Datos almacenados en el centro de datos adecuado para la ubicación del cliente Postmark (Wildbit LLC) Entrega de correo electrónico transaccional EE. UU. Cláusulas Contractuales Tipo Stripe Inc. Tratamiento de pagos EE. UU./UE Cláusulas Contractuales Tipo

Se mantiene una lista actualizada de Subencargados en perkstar.co.uk/sub-processors.

Anexo 3: Alojamiento de datos

Ubicaciones de centros de datos: Perkstar almacena datos de clientes exclusivamente en Reino Unido, Unión Europea y Estados Unidos:

  • Reino Unido: Londres (DigitalOcean LON1)

  • UE: Ámsterdam, Países Bajos (DigitalOcean AMS3); Fráncfort, Alemania (DigitalOcean FRA1)

  • EE. UU.: New York City (DigitalOcean NYC1/NYC2/NYC3); San Francisco (DigitalOcean SFO2/SFO3); Atlanta (DigitalOcean ATL1)

Asignación de centro de datos: Los clientes se asignan automáticamente al centro de datos más adecuado según la ubicación registrada de su empresa, garantizando el cumplimiento de la normativa de protección de datos y un rendimiento óptimo.

Garantías de soberanía de datos:

  • Clientes de Reino Unido/UE: los datos permanecen siempre dentro de jurisdicciones de Reino Unido/UE.

  • Clientes de EE. UU.: los datos permanecen dentro de Estados Unidos.

  • Clientes internacionales: asignados al centro de datos más cercano con leyes sólidas de protección de datos.

Copias de seguridad: Las copias de seguridad diarias automatizadas se cifran en reposo (AES-256), se almacenan dentro de la misma jurisdicción geográfica que los datos principales y se conservan durante 30 días.

Contacto

Para preguntas relativas a este DPA, ponte en contacto con:

Perkstar Ltd N.º de empresa 16256732 86-90 Paul Street, 3rd Floor London, EC2A 4NE United Kingdom

Correo electrónico: legal@perkstar.co.uk