Acuerdo de procesamiento de datos

1. Definiciones

• Responsable del tratamiento — el socio restaurador (Usuario) que determina los fines y medios del tratamiento de datos personales de sus clientes finales a través de la plataforma FoxiFood.
• Encargado del tratamiento — Elite Digital Services, LLC, que trata datos personales por cuenta del Responsable del tratamiento para prestar los servicios de la plataforma FoxiFood. El Encargado del tratamiento es el único operador de la plataforma FoxiFood y puede contratar subencargados autorizados en diversas jurisdicciones para realizar tareas técnicas específicas, según lo establecido en la Sección 5 de este ATD.
• Interesado — la persona física cuyos datos personales son objeto de tratamiento (normalmente el cliente final que realiza un pedido de comida).
• Datos personales — cualquier información relativa a una persona física identificada o identificable, según se define en el artículo 4, apartado 1, del RGPD.
• Tratamiento — cualquier operación realizada sobre datos personales, incluida la recogida, almacenamiento, uso, transmisión y supresión.
• Subencargado del tratamiento — un tercero contratado por el Encargado del tratamiento para tratar datos personales por cuenta del Responsable del tratamiento.

2. Ámbito y finalidad del tratamiento

2.1. Objeto

The Processor processes personal data on behalf of the Controller for the purpose of providing the FoxiFood restaurant ordering platform, including hosting the Controller's ordering website, processing customer orders, managing customer accounts, facilitating payment transactions, and operating the FOXI ID shared customer identity infrastructure that enables end customers to use a single account across multiple restaurant ordering websites on the platform.

2.2. Duración

El tratamiento de datos personales en virtud de este ATD continuará durante la vigencia del Acuerdo entre el Responsable y el Encargado del tratamiento. Tras la finalización, los datos se tratarán de conformidad con la Sección 8 de este ATD.

2.3. Naturaleza y finalidad

La naturaleza y finalidad del tratamiento es proporcionar una plataforma de software como servicio que permita al Responsable del tratamiento recibir pedidos de comida en línea de sus clientes, gestionar pedidos y procesar pagos.

The Processor does not determine the purposes of processing of end customer order data. The Processor provides only the technical infrastructure used by the Controller to collect and process such data.

Excepción — datos de la cuenta FOXI ID: A los efectos de operar la infraestructura compartida de identidad de clientes FOXI ID, Elite Digital Services, LLC actúa como responsable del tratamiento independiente de los datos de la cuenta FOXI ID (credenciales de acceso, sesiones de autenticación e información de contacto utilizada para el prerrellenado entre restaurantes). Estos datos no se tratan en virtud de este ATD, sino conforme a la propia Política de privacidad del Proveedor. Los derechos y obligaciones del Responsable del tratamiento como responsable del tratamiento en virtud de este ATD se aplican a los datos de pedidos, las preferencias de los clientes y el historial de pedidos generados a través del sitio web de pedidos del Responsable.

2.4. Categorías de interesados

• Clientes finales del socio restaurador (personas físicas que realizan pedidos de comida);
• Empleados o representantes del socio restaurador con acceso al panel de administración.

2.5. Tipos de datos personales

• Datos de contacto: nombre, dirección de correo electrónico, número de teléfono;
• Dirección de entrega (cuando corresponda);
• Datos de pedidos: artículos pedidos, importes de pedidos, historial de pedidos, preferencias alimentarias;
• Payment references: transaction IDs, payment status (card details are handled exclusively by the payment processor and not stored by the Processor);
• Technical data: IP address, device information, browser data (for fraud prevention and service operation);
• Datos de la cuenta FOXI ID: credenciales de acceso (correo electrónico y contraseña con hash), tokens de sesión de autenticación.

2.6. Aislamiento de datos y FOXI ID

La plataforma opera una infraestructura compartida de identidad de clientes ('FOXI ID') que permite a los clientes finales utilizar una única cuenta en múltiples sitios web de pedidos de restaurantes. Se aplican los siguientes principios de aislamiento de datos:

• Cada Responsable del tratamiento solo puede acceder a los datos de pedidos, las preferencias de los clientes y el historial de pedidos generados a través de su propio sitio web de pedidos;
• Ningún Responsable del tratamiento tiene acceso a los datos de pedidos, las preferencias o el historial de pedidos de los clientes finales en ningún otro restaurante de la plataforma;
• Los únicos datos compartidos entre Responsables del tratamiento a través de FOXI ID son los datos de contacto del cliente final (nombre, correo electrónico, número de teléfono, dirección de entrega), exclusivamente con el fin de prerrellenar el formulario de pedido para facilitar el proceso de pedido;
• El Encargado del tratamiento no proporciona a ningún Responsable del tratamiento datos agregados, anonimizados o entre restaurantes derivados de FOXI ID.

3. Obligaciones del Encargado del tratamiento

El Encargado del tratamiento deberá:

• Tratar datos personales únicamente siguiendo instrucciones documentadas del Responsable del tratamiento, incluso en lo que respecta a las transferencias de datos a terceros países, salvo que esté obligado a hacerlo por la legislación aplicable;
• Garantizar que las personas autorizadas para tratar los datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación legal adecuada de confidencialidad;
• Implementar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, según lo exigido por el artículo 32 del RGPD;
• No contratar a otro encargado del tratamiento (subencargado) sin la autorización previa por escrito del Responsable del tratamiento, con sujeción a la Sección 5 de este ATD;
• Asistir al Responsable del tratamiento en la respuesta a las solicitudes de los Interesados (acceso, rectificación, supresión, limitación, portabilidad, oposición) dentro de los plazos exigidos por el RGPD;
• Asistir al Responsable del tratamiento en el cumplimiento de las obligaciones relativas a las evaluaciones de impacto sobre la protección de datos y la consulta previa con las autoridades de control (artículos 35 y 36 del RGPD);
• A elección del Responsable del tratamiento, suprimir o devolver todos los datos personales una vez finalizada la prestación de los servicios, y suprimir las copias existentes salvo que el Derecho de la UE o de los Estados miembros exija su conservación;
• Poner a disposición del Responsable del tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el artículo 28 del RGPD y permitir y contribuir a la realización de auditorías e inspecciones;
• Mantener un registro de las actividades de tratamiento realizadas por cuenta del Responsable del tratamiento, de conformidad con el artículo 30, apartado 2, del RGPD;
• Implementar la protección de datos desde el diseño y por defecto de conformidad con el artículo 25 del RGPD, garantizando que solo se traten los datos personales necesarios para cada finalidad específica del tratamiento.

4. Medidas de seguridad

El Encargado del tratamiento implementa las siguientes medidas técnicas y organizativas para proteger los datos personales:

• Cifrado de datos en tránsito mediante TLS 1.2+ / SSL;
• Cifrado de datos sensibles en reposo;
• Controles de acceso con permisos basados en roles y autenticación multifactor para el acceso administrativo;
• Copias de seguridad automatizadas periódicas con retención mínima de 30 días;
• Infraestructura de alojamiento en la nube segura con controles de acceso físico (DigitalOcean);
• Actualizaciones de seguridad regulares, parches y evaluaciones de vulnerabilidades;Actualizaciones de seguridad periódicas, parches y evaluaciones de vulnerabilidades;
• Payment processing delegated to a PCI DSS Level 1 certified payment processor — no card data stored by the Processor;
• Hashing de contraseñas utilizando algoritmos criptográficos estándar de la industria;Hash de contraseñas mediante algoritmos criptográficos estándar de la industria;
• Registro y supervisión del acceso a datos personales;
• Procedimientos de respuesta a incidentes y notificación de violaciones de datos.Procedimientos de respuesta a incidentes y notificación de violaciones de seguridad de datos.

5. Subencargados del tratamiento

5.1. Subencargados autorizados

El Responsable del tratamiento otorga por la presente autorización general al Encargado del tratamiento para contratar a los siguientes subencargados:

• Procesador de pagos (actualmente Stripe, Inc.) — procesamiento de pagos, prevención del fraude (EE. UU., PCI DSS Nivel 1, cláusulas contractuales tipo vigentes);
• DigitalOcean, LLC — alojamiento en la nube e infraestructura (centros de datos en la UE y EE. UU., cláusulas contractuales tipo vigentes);
• Brevo (Sendinblue) — entrega de correos electrónicos transaccionales (Francia/UE).

5.2. Cambios en los subencargados

El Encargado del tratamiento notificará al Responsable del tratamiento cualquier cambio previsto relativo a la incorporación o sustitución de subencargados con al menos 30 días de antelación, dando al Responsable la oportunidad de oponerse a dichos cambios. Si el Responsable del tratamiento formula objeciones razonables, las partes discutirán las preocupaciones de buena fe. Si no se alcanza una resolución, el Responsable del tratamiento podrá resolver el Acuerdo.

5.3. Obligaciones de los subencargados

El Encargado del tratamiento garantizará que cada subencargado esté vinculado por obligaciones de protección de datos no menos protectoras que las establecidas en este ATD. El Encargado del tratamiento seguirá siendo plenamente responsable ante el Responsable del tratamiento del cumplimiento de las obligaciones de cada subencargado.

6. Derechos de los interesados

El Encargado del tratamiento deberá:

• Notificar con prontitud al Responsable del tratamiento si recibe una solicitud directamente de un Interesado en relación con sus datos personales;
• No responder directamente a dichas solicitudes salvo que esté autorizado por el Responsable del tratamiento o lo exija la ley;
• Prestar al Responsable del tratamiento asistencia razonable en el cumplimiento de las solicitudes de los Interesados, incluidas las medidas técnicas para el acceso, rectificación, supresión, limitación y portabilidad de los datos;
• Proporcionar herramientas dentro del Servicio que permitan al Responsable del tratamiento gestionar, exportar y suprimir datos de clientes de forma independiente.

7. Evaluaciones de impacto en la protección de datos

Cuando un tipo de tratamiento pueda suponer un alto riesgo para los derechos y libertades de las personas físicas (artículo 35 del RGPD), el Responsable del tratamiento es responsable de realizar una Evaluación de impacto en la protección de datos (EIPD). El Encargado del tratamiento deberá:

• proporcionar al Responsable del tratamiento toda la información razonablemente necesaria para realizar una EIPD;
• asistir al Responsable del tratamiento con la EIPD a petición razonable, a cargo del Responsable del tratamiento;
• asistir al Responsable del tratamiento en la consulta previa con la autoridad de control cuando lo exija el artículo 36 del RGPD.

El Responsable del tratamiento debe notificar previamente al Encargado del tratamiento si una EIPD indica que el tratamiento supondría un alto riesgo en ausencia de medidas adoptadas por el Encargado.

8. Notificación de violaciones de seguridad de datos

En caso de una violación de la seguridad de los datos personales, el Encargado del tratamiento deberá:

• Notificar al Responsable del tratamiento sin demora indebida, y en cualquier caso dentro de las 24 horas siguientes a tener conocimiento de la violación, para permitir al Responsable del tratamiento cumplir con su obligación de notificación de 72 horas a la autoridad de control en virtud del artículo 33 del RGPD;
• Proporcionar al Responsable del tratamiento información suficiente para permitirle cumplir con su obligación de notificar a la autoridad de control y a los Interesados afectados en virtud de los artículos 33 y 34 del RGPD;
• Cooperar con el Responsable del tratamiento y tomar medidas razonables para mitigar los efectos de la violación;
• Documentar la violación, incluyendo sus efectos y las acciones correctivas adoptadas.

La notificación de la violación deberá incluir, en la medida de lo posible: la naturaleza de la violación, las categorías y número aproximado de Interesados afectados, las posibles consecuencias y las medidas adoptadas o propuestas para abordar la violación.

9. Conservación y supresión de datos

9.1. Responsabilidad de conservación del Responsable

The Controller, as the data controller for order data of its end customers, is solely responsible for determining appropriate data retention periods and for compliance with all applicable legal, tax, and accounting data retention obligations in the Controller's jurisdiction. FOXI ID account data retention is managed by the Processor in its capacity as independent data controller, as described in the Provider's Privacy Policy.

El Servicio puede proporcionar configuraciones de conservación de datos configurables que permitan al Responsable del tratamiento establecer períodos de eliminación automática para los datos de clientes finales. El Encargado del tratamiento procesa y elimina los datos de clientes finales estrictamente de acuerdo con las instrucciones documentadas del Responsable del tratamiento, incluida la configuración de conservación establecida por el Responsable dentro de la plataforma. El Encargado del tratamiento no asume responsabilidad alguna por la elección de los períodos de conservación del Responsable ni por las consecuencias legales derivadas de la conservación o eliminación de datos de conformidad con las instrucciones del Responsable.

9.2. Finalización

• Tras la finalización del Acuerdo, el Encargado del tratamiento proporcionará al Responsable del tratamiento 30 días naturales para exportar todos los datos personales a través de las funciones de exportación del Servicio;
• Transcurrido el período de 30 días, el Encargado del tratamiento suprimirá todos los datos personales tratados por cuenta del Responsable del tratamiento, salvo que la legislación aplicable exija su conservación;
• La supresión se realizará mediante métodos seguros que hagan irrecuperables los datos;
• El Encargado del tratamiento proporcionará confirmación por escrito de la supresión de datos a solicitud del Responsable del tratamiento;
• Las copias de seguridad se eliminarán de acuerdo con el calendario regular de rotación de copias de seguridad (dentro de los 30 días posteriores a la solicitud de eliminación).

10. Transferencias internacionales de datos

Cuando los datos personales se transfieran fuera del Espacio Económico Europeo (EEE), el Encargado del tratamiento garantizará que existan las garantías adecuadas según lo exigido por el Capítulo V del RGPD, incluyendo:

• Cláusulas contractuales tipo (CCT) adoptadas por la Comisión Europea en virtud de la Decisión de Ejecución (UE) 2021/914 de 4 de junio de 2021. Para las transferencias a subencargados, se aplican las CCT del Módulo Dos (responsable a encargado) o del Módulo Tres (encargado a encargado), según corresponda;
• Evaluaciones de impacto de la transferencia para cada subencargado con el fin de evaluar el marco jurídico del país de destino;
• Medidas complementarias para garantizar la protección adecuada de los datos personales cuando la Evaluación de impacto de la transferencia identifique riesgos.

El Encargado del tratamiento informará al Responsable del tratamiento de cualquier requisito legal en el país de destino que pueda afectar a la protección de datos personales y a la capacidad de cumplir con este ATD. Las copias de las CCT firmadas están disponibles previa solicitud.

11. Auditorías e inspecciones

El Encargado del tratamiento pondrá a disposición del Responsable del tratamiento toda la información razonablemente necesaria para demostrar el cumplimiento del artículo 28 del RGPD. El Responsable del tratamiento podrá realizar auditorías, incluidas inspecciones, directamente o a través de un auditor tercero independiente, sujeto a:

• Preaviso razonable de al menos 30 días naturales;
• Auditorías realizadas durante el horario laboral habitual y de manera que se minimice la interrupción;
• El auditor debe estar vinculado por obligaciones de confidencialidad;
• No más de una auditoría por período de 12 meses, salvo que lo exija una autoridad de control.

12. Responsabilidad

La responsabilidad de cada parte en virtud de este ATD está sujeta a las limitaciones y exclusiones de responsabilidad establecidas en las Condiciones del servicio. Nada en este ATD limita la responsabilidad de ninguna de las partes por incumplimientos del RGPD en la medida en que dicha limitación no esté permitida por la legislación aplicable.

13. Representante en la UE

De conformidad con el artículo 27 del RGPD, el Encargado del tratamiento ha designado a la siguiente entidad como su representante en la Unión Europea:

Euro business company Kft.
Rómer Flóris utca 8/B. 3. em., Budapest 1024, Hungary
Número de identificación fiscal: HU28959364

Para conocer todos los detalles sobre el representante en la UE y su función, consulte la página del RGPD en la sección Legal del sitio web de FoxiFood.

14. Contacto

Para consultas sobre este Acuerdo de tratamiento de datos o cuestiones de tratamiento de datos, contáctenos en: support@foxi.food

Elite Digital Services, LLC
1111B S Governors Ave #21653
Dover, DE 19904, USA