Anexo 1
ACUERDO DE TRATAMIENTO DE DATOS (ATD) DE GIRAFFE360

1. Antecedentes

  1. 1.1 El presente Acuerdo de Tratamiento de datos y sus anexos (el «ATD») se aplica a los Clientes que operan en países del Espacio Económico Europeo (EEE) y del Reino Unido (UK), y refleja el acuerdo entre Giraffe360 y el Cliente con respecto al tratamiento de los Datos del Cliente por parte de Giraffe360 en calidad de encargado del tratamiento en nombre del Cliente, que actuará como responsable del tratamiento de los datos.
  2. 1.2 Este ATD se incorpora y forma parte integrante de los Términos de servicio de Giraffe360 celebrados entre el Cliente y Giraffe360 (el «Contrato»). En caso de conflicto entre alguna de las disposiciones del presente ATD y las del Contrato, prevalecerán las disposiciones del ATD.

2. Definiciones

Salvo que se indique lo contrario a continuación, los términos en mayúsculas utilizados en este ATD tendrán el significado que se les atribuye en el Contrato, y los siguientes términos en mayúsculas utilizados en este ATD se definen como sigue:

«Datos del Cliente» se refiere a cualquier Dato Personal contenido en el Contenido de Giraffe360 y a cualquier otro contenido o dato que el Cliente ponga a disposición de Giraffe360 y que Giraffe360 aloje en relación con la prestación del Servicio de Giraffe360, incluidos los Datos de la propiedad, los Datos del perfil del Cliente y los Datos de los clientes del Cliente, según se describe con más detalle en la cláusula 3.1 del presente ATD.

«Responsable del Tratamiento» se refiere a la persona física o jurídica, autoridad pública, organismo u otro ente que, solo o junto con otros, determine los fines y medios del Tratamiento de Datos Personales. A efectos del presente ATD, el Responsable del tratamiento es el Cliente.

«Leyes de Protección de Datos» se refiere al RGPD, a cualquier legislación nacional de desarrollo o complementaria, y a cualquier otra legislación aplicable que proteja los derechos y libertades fundamentales de las personas y su derecho a la privacidad en relación con el tratamiento de los Datos del Cliente.

«Interesado» se refiere a la persona física a la que se refieren los Datos Personales.

«Espacio Económico Europeo» o «EEE» se refiere a los Estados miembros de la Unión Europea junto con Islandia, Noruega y Liechtenstein.

«RGPD» se refiere al Reglamento General de Protección de Datos de la UE 2016/679 del Parlamento Europeo y del Consejo y, cuando corresponda, al «RGPD del Reino Unido», según se define en el Reglamento de Protección de Datos, Privacidad y Comunicaciones Electrónicas (Modificación, etc.) (Salida de la UE) de 2019.

«Instrucciones» se refiere a las instrucciones escritas y documentadas emitidas por el Cliente a Giraffe360, en las que se indica a Giraffe360 que realice una acción específica o general en relación con los Datos del Cliente.

«Subencargado» se refiere a cualquier encargado del Tratamiento, contratado por Giraffe360, que Trate Datos del Cliente de Giraffe360.

«Datos Personales» se refiere a cualquier información relativa a una persona física identificada o identificable, según la definición establecida en las Leyes de Protección de Datos correspondientes.

«Violación de Datos Personales» significa la destrucción, pérdida, alteración, corrupción, divulgación no autorizada o el acceso a los Datos del Cliente, ya sea de forma accidental o ilícita, según se define en las Leyes de Protección de Datos correspondientes.

«Tratamiento» hace referencia a cualquier operación o conjunto de operaciones realizadas sobre Datos Personales, incluyendo la recogida, registro, organización, estructuración, conservación, adaptación o modificación, recuperación, consulta, utilización, divulgación mediante transmisión, difusión o cualquier otra forma de habilitación de acceso, alineación o combinación, restricción, supresión o destrucción de los Datos personales. Los términos «Tratar», «Tratados» y «Tratamiento» se interpretarán en consecuencia.

«Encargado del Tratamiento» significa la persona física o jurídica, autoridad pública, agencia u otro organismo que trate Datos Personales por cuenta del Responsable del Tratamiento. A efectos del presente ATD, el Encargado del Tratamiento es Giraffe360.

3. Tratamiento de datos

  1. 3.1 Giraffe360 trata las siguientes categorías de Datos Personales de los siguientes Interesados para los fines que se indican a continuación:
    1. Datos de la propiedad: Incluyen imágenes, vídeos, nubes de puntos, visitas virtuales, planos, datos de ubicación GPS, información incluida en la página de presentación de la propiedad y otros datos relacionados con la propiedad capturados por el Cliente, extraídos de la cámara Giraffe360 o proporcionados por el Cliente como resultado del uso del Servicio de Giraffe360. Aunque esta información no suele identificar a ninguna persona física, en circunstancias excepcionales podría identificar a los dueños de la propiedad, a personas cuyas imágenes se capten durante un escaneo o al propio Cliente. Es responsabilidad del Cliente garantizar que los Datos Personales capturados no contengan Información Personal Prohibida, tal como se define en los Términos de Servicio. Los Datos de la propiedad se tratan con el fin de generar el Contenido de Giraffe360.
    2. Datos del perfil del cliente: Incluyen Datos Personales sobre el Cliente, sus representantes o empleados, tales como nombres, apellidos, direcciones de correo electrónico, números de teléfono, fotografías, lemas y enlaces a cuentas en redes sociales proporcionados por el Cliente a través del Panel de control durante el uso del Servicio de Giraffe360. Estos datos se tratan con el fin de permitir la creación de perfiles en el Panel de control para el Cliente, sus representantes o empleados; el acceso al Contenido de Giraffe360 desde el Panel de control; el uso compartido de dicho contenido, así como la visualización de información sobre el Cliente, sus representantes o empleados a través del Servicio de Giraffe360.
    3. Datos de los clientes del Cliente: Incluyen los Datos Personales de los clientes del Cliente, como los nombres, apellidos, direcciones de correo electrónico, números de teléfono y mensajes de posibles compradores o arrendatarios. Estos datos están disponibles para el Cliente a través del Panel de control. Se captan cuando el Cliente activa la función de Leads (clientes potenciales), que permite a sus clientes dejar sus datos de contacto para que el Cliente pueda comunicarse con ellos. Esta función puede desactivarse en cualquier momento desde el Panel de control.
  2. 3.2 Los Datos del Cliente se transfieren de forma continua en relación con la prestación de los servicios descritos en el Contrato y en el presente ATD, hasta la terminación del Contrato.

4. Obligaciones del cliente

  1. 4.1 El Cliente será responsable de cumplir todos los requisitos que le resulten aplicables en virtud de las Leyes de Protección de Datos en relación con el Tratamiento de Datos Personales que realice.
  2. 4.2 En particular, y sin perjuicio de lo anterior, el Cliente reconoce y acepta que es el único responsable de:
    1. La exactitud, calidad y licitud de los Datos del Cliente, así como de los medios a través de los cuales los haya obtenido;
    2. Cumplir todos los requisitos de transparencia y licitud exigidos por las Leyes de Protección de Datos para la recopilación y uso de los Datos del Cliente, incluyendo la obligación de proporcionar los avisos adecuados, obtener los consentimientos y autorizaciones necesarios, y respetar las preferencias para darse de baja (especialmente cuando los datos se utilicen con fines de marketing por parte del Cliente); y
    3. Asegurarse de tener derecho a transferir o permitir el acceso a los Datos del Cliente a Giraffe360 para su Tratamiento conforme a lo dispuesto en el Contrato (incluido el presente ATD).
  3. 4.3 El Cliente deberá informar a Giraffe360 sin dilación indebida si no puede cumplir sus responsabilidades en virtud del presente apartado o de las Leyes de Protección de Datos.
  4. 4.4 El Cliente será responsable de garantizar que las Instrucciones que proporcione a Giraffe360 respecto al Tratamiento de los Datos del Cliente cumplan la legislación aplicable, incluidas las Leyes de Protección de Datos.
  5. 4.5 Las partes acuerdan que el Contrato (incluido este ATD), junto con el uso que haga el Cliente del Servicio de Giraffe360 conforme al Contrato, constituye la totalidad de las Instrucciones del Cliente a Giraffe360 en lo relativo al Tratamiento de los Datos del Cliente; no obstante, el Cliente podrá emitir Instrucciones adicionales durante la vigencia del Contrato, siempre que sean coherentes con sus términos, así como con la naturaleza y el uso legítimo del Servicio de Giraffe360.
  6. 4.6 El Cliente será responsable de determinar de forma independiente si las medidas de seguridad de los datos contempladas en el Servicio de Giraffe369 son adecuadas para cumplir sus obligaciones en virtud de las Leyes de Protección de Datos. Asimismo, será responsable de utilizar el Servicio de Giraffe360 de forma segura.

5. Obligaciones de Giraffe360

  1. 5.1 Como Encargado del Tratamiento de Datos Personales, Giraffe360 solo Tratará los Datos del Cliente para los fines descritos en este ATD o según lo acordado dentro del alcance de las Instrucciones lícitas del Cliente, salvo que la legislación aplicable exija lo contrario, en cuyo caso Giraffe360 deberá, en la medida en que lo permita dicha legislación, informar al Cliente del requisito legal antes de tratar dichos Datos del Cliente. Giraffe360 no será responsable del cumplimiento de ningunas Leyes de Protección de Datos que sea aplicable exclusivamente al Cliente o a su sector y que no sea de aplicación general a Giraffe360.
  2. 5.2 Giraffe360 implementará y mantendrá las medidas técnicas y organizativas adecuadas para proteger los Datos del Cliente según lo establecido en las Leyes de Protección de Datos («Medidas de Seguridad»). Sin perjuicio de cualquier disposición en contrario, Giraffe360 podrá modificar o actualizar las Medidas de Seguridad a su entera discreción, siempre que dicha modificación o actualización no suponga una degradación sustancial de la protección ofrecida por las Medidas de Seguridad.
  3. 5.3 Teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos de probabilidad y gravedad para los derechos y las libertades de las personas físicas, el responsable y el encargado del tratamiento establecerán las Medidas de Seguridad apropiadas para garantizar el nivel de seguridad adecuado al riesgo existente que, en su caso, incluyan, entre otros:
    1. La seudonimización y el cifrado de datos personales;
    2. Medidas de Seguridad adecuados para mantener la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
    3. Medidas de Seguridad adecuados para mantener la capacidad de restaurar la disponibilidad y el acceso a los Datos Personales de forma rápida, en caso de incidente físico o técnico;
    4. Un proceso de verificación, evaluación y valoración regulares de la eficacia de las Medidas de Seguridad para garantizar la seguridad del Tratamiento.
  4. 5.4 Giraffe360 se asegurará de que cualquier persona autorizada para tratar los Datos del Cliente en su nombre esté sujeta a obligaciones de confidencialidad adecuadas con respecto a dichos datos.
  5. 5.5 En un plazo de treinta (30) días desde la terminación del Contrato, Giraffe360 eliminará o, si el Cliente así lo solicita, devolverá todas las copias de los Datos del Cliente tratados por Giraffe360 en virtud de este ATD. El Cliente deberá notificar a Giraffe360 su decisión dentro de los catorce (14) días hábiles siguientes a la terminación del Contrato. Este plazo de treinta (30) días no será aplicable si la legislación vigente exige conservar parte o la totalidad de los Datos del Cliente.
  6. 5.6 Giraffe360 podrá conservar y utilizar los Datos de la propiedad, tanto durante como después de la terminación del Contrato, con fines de entrenamiento de modelos de aprendizaje automático e inteligencia artificial, así como para la mejora del servicio. Dicho Tratamiento será realizado por Giraffe360 en calidad de Responsable del Tratamiento y conforme a su Política de Privacidad.
  7. 5.7 Giraffe360 podrá conservar los Datos del Cliente que considere necesarios para interponer o defenderse ante cualquier reclamación legal, siempre que dichos datos se conserven únicamente en la medida y durante el plazo exigido por la legislación aplicable o hasta la resolución del asunto correspondiente, y garantizando en todo momento la confidencialidad de dichos Datos del Cliente.

6. Subencargados

  1. 6.1 Por el presente, el Cliente otorga una autorización general por escrito a Giraffe360 para contratar Subencargados que colaboren en la prestación del Servicio de Giraffe360. Giraffe360 se asegurará de que todos los Subencargados estén sujetos a obligaciones contractuales que ofrezcan un nivel de protección de datos al menos equivalente al exigido por este ATD y las Leyes de Protección de Datos aplicables. En el sitio web de Giraffe360 se mantiene una lista actualizada de Subencargados («Lista de Subencargados»), que incluye su nombre, ubicación y finalidad del tratamiento.
  2. 6.2 Giraffe360 se reserva el derecho de actualizar la Lista de Subencargados cuando sea necesario. Cualquier incorporación o sustitución de Subencargados se reflejará en el sitio web al menos 15 días antes de que el nuevo Subencargado quede autorizado para tratar los Datos del Cliente. Se recomienda a los Clientes revisar periódicamente la Lista de Subencargados.
  3. 6.3 Si un Cliente se opone razonablemente a un nuevo Subencargado por motivos legítimos relacionados con la protección de datos, deberá notificarlo por escrito a Giraffe360 en un plazo de 15 días desde la publicación de la actualización. Tras recibir la objeción, Giraffe360 analizará las preocupaciones del Cliente y tratará de encontrar de buena fe una solución mutuamente satisfactoria. Si no se recibe ninguna objeción dentro del plazo de notificación de 15 días, se considerará que el Cliente acepta la actualización de la Lista de Subencargados.
  4. 6.4 Giraffe360 seguirá siendo en todo momento responsable del cumplimiento de sus obligaciones en virtud del presente ATD y responderá frente al Cliente por los actos u omisiones de cualquier Subencargado como si fueran propios de Giraffe360.

7. Transferencias internacionales

  1. 7.1 Giraffe360 no transferirá Datos del Cliente a un destinatario ubicado en un país o territorio fuera del EEE o del Reino Unido, salvo que:
    1. El destinatario, o el país o territorio en el que trate o acceda a los Datos del Cliente, ofrezca un nivel de protección adecuado para los derechos y libertades de los Interesados en relación con el Tratamiento de los Datos del Cliente, según determine la Comisión Europea; o
    2. La transferencia se base en las Cláusulas Contractuales Tipo (para encargados del tratamiento) aprobadas por la Decisión de Ejecución (UE) 2021/914 de la Comisión, en cualquier versión posterior, o en otro mecanismo de transferencia reconocido legalmente.

8. Seguridad de los datos, auditorías y notificaciones de seguridad

  1. 8.1 El Cliente podrá auditar, bajo notificación previa y en un horario adecuado (ya sea directamente o mediante auditores independientes de terceros), el cumplimiento por parte de Giraffe360 de las Medidas de Seguridad, incluyendo la realización de auditorías en las instalaciones donde Giraffe360 lleve a cabo el Tratamiento de datos. Giraffe360 deberá colaborar y contribuir en cualquier auditoría realizada de conformidad con el presente ATD, siempre que dichas auditorías no se realicen más de una vez al año.
  2. 8.2 A solicitud del Cliente, Giraffe360 pondrá a su disposición toda la información razonablemente necesaria para demostrar el cumplimiento del presente ATD y de las Leyes de Protección de Datos.
  3. 8.3 Cuando así lo exija el artículo 28(3)(h) del RGPD, Giraffe360 notificará de inmediato al Cliente en caso de considerar que las Instrucciones del Cliente contradicen lo dispuesto en las Leyes de Protección de Datos o en cualquier otra legislación de la UE, del Reino Unido o de los Estados Miembros.
  4. 8.4 Giraffe360 notificará al Cliente por escrito y sin dilación indebida en cuanto tenga conocimiento de una Violación de la Seguridad de los Datos Personales relacionada con los Datos del Cliente y con el Tratamiento realizado conforme a este ATD. Asimismo, Giraffe360 prestará asistencia razonable al Cliente para garantizar el cumplimiento de las Leyes de Protección de Datos aplicables en relación con dicha Violación, incluyendo el apoyo en investigaciones regulatorias, notificaciones a autoridades de control y/o a los Interesados.
  5. 8.5 Cuando notifique una Violación de la Seguridad de los Datos Personales, Giraffe360 comunicará en un lenguaje claro y sencillo, como mínimo y, en la medida de lo posible teniendo en cuenta la información que haya disponible: la explicación de la naturaleza de la Violación de Datos Personales, el nombre y datos de contacto del Delegado de Protección de Datos o de otro punto de contacto en el que pueda obtenerse más información, una descripción de las posibles consecuencias de la Violación de Seguridad de los Datos Personales y una descripción de las medidas adoptadas o propuestas para poner remedio a la Violación de Seguridad de los Datos Personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

9. Solicitudes de acceso y derechos del Interesado

  1. 9.1 Salvo que la legislación aplicable exija (o prohíba) lo contrario, Giraffe360 notificará al Cliente cualquier solicitud que reciba de un Interesado, ya sea directamente o a través de un Subencargado, con respecto a sus Datos Personales incluidos en los Datos del Cliente, y no responderá a dicha solicitud.
  2. 9.2 Giraffe360 proporcionará al Cliente la posibilidad de corregir, eliminar, bloquear, acceder o copiar los Datos del Cliente de conformidad, y en la medida de lo posible, con la funcionalidad del Servicio de Giraffe360.
  3. 9.3 Giraffe360 notificará al Cliente cualquier solicitud de divulgación de Datos del Cliente por parte de una autoridad gubernamental, regulatoria o de cumplimiento de la ley (incluida cualquier autoridad de control en materia de protección de datos), salvo que la legislación o una orden vinculante legal lo prohíba.
  4. 9.4 Cuando proceda, teniendo en cuenta la naturaleza del Tratamiento y en la medida exigida por las Leyes de Protección de Datos, Giraffe360 se compromete a:
    1. Hacer todo lo razonablemente posible para asistir al Cliente mediante la implementación de medidas técnicas y organizativas apropiadas, en la medida de lo posible, para cumplir su obligación de responder a las solicitudes de ejercicio de derechos por parte de los interesados en virtud del RGPD; y
    2. Prestar asistencia razonable al Cliente en la realización de evaluaciones de impacto en materia de protección de datos, así como en cualquier consulta previa con cualquier autoridad de control competente, en ambos casos únicamente en relación con el Tratamiento de los Datos del Cliente y teniendo en cuenta la información de la que disponga Giraffe360.