Adenda de Procesamiento de Datos
Última actualización: 2026-04-11
Esta Adenda de Procesamiento de Datos ("DPA") forma parte de los Términos de Servicio entre TheFitnessDB ("Encargado") y el cliente ("Responsable") y rige el procesamiento de datos personales en relación con los Servicios de API.
1. Alcance y Propósito
Esta DPA se aplica cuando el Responsable envía solicitudes de API que pueden contener o devolver datos personales. El Encargado procesa estos datos únicamente para prestar los Servicios de API según se describe en los Términos de Servicio.
2. Detalles del Procesamiento de Datos
Categorías de interesados: usuarios finales de las aplicaciones del Responsable. Tipos de datos personales: metadatos de solicitudes de API (direcciones IP, marcas de tiempo, identificadores de clave API). No se aceptan ni procesan datos de categoría especial ni información de salud protegida (PHI). Duración: durante el plazo de la suscripción más el período de retención especificado en la Política de Privacidad.
3. Obligaciones del Encargado
El Encargado deberá: procesar datos personales solo según instrucciones documentadas del Responsable; garantizar que las personas autorizadas para procesar datos personales estén sujetas a obligaciones de confidencialidad; implementar medidas de seguridad técnicas y organizativas apropiadas; asistir al Responsable en la respuesta a solicitudes de los interesados; eliminar o devolver todos los datos personales al final de la relación de servicio, a elección del Responsable; y poner a disposición toda la información necesaria para demostrar el cumplimiento del Artículo 28 del RGPD.
4. Subencargados
El Encargado utiliza los subencargados listados en la Política de Privacidad. El Responsable autoriza al Encargado a contratar estos subencargados. El Encargado notificará al Responsable de cualquier cambio previsto en los subencargados con al menos 30 días de antelación, proporcionando al Responsable la oportunidad de oponerse.
5. Notificación de Violación de Datos
El Encargado notificará al Responsable sin demora indebida, y en cualquier caso dentro de las 72 horas, después de tener conocimiento de una violación de datos personales que afecte los datos del Responsable. La notificación incluirá la naturaleza de la violación, las categorías y el número aproximado de registros afectados, las consecuencias probables y las medidas tomadas o propuestas para mitigar la violación.
6. Transferencias Internacionales
El Encargado no transferirá datos personales fuera de la UE/EEE sin garantizar que existan salvaguardas apropiadas, consistentes con el Capítulo V del RGPD. Cuando las transferencias sean necesarias, el Encargado se basa en las Cláusulas Contractuales Tipo (CCT) o mecanismos equivalentes.
7. Auditorías
El Responsable puede auditar el cumplimiento del Encargado con esta DPA mediante notificación escrita razonable. El Encargado cooperará con dichas auditorías y pondrá a disposición los registros e instalaciones relevantes.
8. Vigencia y Terminación
Esta DPA permanece vigente durante la duración de la suscripción a la API. Tras la terminación, el Encargado eliminará o devolverá todos los datos personales dentro de los 30 días, a menos que la retención sea requerida por la ley aplicable.