1. Funciones.

Ustedes (el cliente) son responsables del tratamiento de los datos personales que transmiten al servicio. Contenza K/S es encargado del tratamiento y actúa exclusivamente sobre sus instrucciones documentadas. Cuando tratamos datos para nuestros propios fines (facturación, seguridad del servicio, mejora del producto sobre datos agregados), somos responsables independientes para esa finalidad limitada y el tratamiento se rige por la política de privacidad y no por el presente contrato.

2. Objeto, duración y naturaleza.

El tratamiento se realiza para prestar el servicio QRRegistry: alojar los registros del Pasaporte digital de producto, servirlos a los usuarios finales, generar QR codes, enviar correos electrónicos operativos y facturar. El tratamiento dura mientras dure la suscripción y por un periodo de cierre definido en la cláusula 9.

3. Categorías de datos e interesados.

Los datos personales tratados por cuenta del responsable se limitan a: datos de contacto de los representantes del fabricante (según exige el Anexo III del reglamento de Diseño Ecológico), cuentas de empleados del cliente que administran pasaportes y eventos de escaneo de usuarios finales (geolocalización a nivel país y categoría de user-agent). Los interesados son los empleados del responsable y los usuarios finales anónimos que escanean QR codes públicos.

4. Instrucciones del responsable.

Tratamos los datos personales únicamente sobre las instrucciones documentadas del responsable del tratamiento. Las Condiciones generales y el comportamiento del producto descrito en la documentación pública constituyen dichas instrucciones. Si consideramos que una instrucción infringe el RGPD, informaremos al responsable y suspenderemos la instrucción hasta que se aclare.

5. Confidencialidad.

El personal autorizado a tratar datos personales está sujeto a obligaciones de confidencialidad que subsisten tras la terminación de su relación.

6. Medidas de seguridad (Art. 32).

  • TLS 1.3 para todos los datos en tránsito. HSTS aplicado en cada dominio público.
  • Cifrado en reposo para los volúmenes de base de datos y el almacenamiento de objetos.
  • Acceso basado en roles a los sistemas de producción; los accesos se registran y revisan trimestralmente.
  • Hash de contraseñas y cookies de sesión HttpOnly, Secure y SameSite=Lax.
  • Copias de seguridad cifradas diarias fuera de sitio con ventana móvil de 30 días.
  • Defensa en profundidad: worker en segundo plano aislado, cola en sandbox, CSP estricta en la superficie del visualizador.

7. Subencargados.

El responsable autoriza nuestro recurso a los subencargados enumerados en /sub-processors. Daremos un preaviso de al menos 30 días para cualquier alta o sustitución propuesta, durante los cuales el responsable podrá oponerse cancelando la suscripción con reembolso prorrateado.

8. Derechos de los interesados y asistencia.

Asistimos al responsable en la atención de las solicitudes de los interesados. Cuando la solicitud puede atenderse mediante funcionalidades del panel de control (exportación, rectificación, supresión), el responsable la gestiona directamente; cuando se requiere intervención del operador, respondemos en un plazo de 10 días hábiles.

9. Supresión y devolución a la terminación.

A la terminación, los datos personales bajo responsabilidad del responsable se suprimen en un plazo de 90 días, salvo obligación legal de conservación (p. ej. registros de facturación). Los Pasaportes digitales de producto publicados permanecen accesibles de conformidad con el Artículo 10 apartado 4 del reglamento de Diseño Ecológico; el responsable puede solicitar la supresión excepcional cuando el producto subyacente haya sido retirado del mercado.

10. Auditorías.

El responsable del tratamiento puede auditar el cumplimiento del presente contrato una vez al año, a su propio coste, solicitando un análisis escrito de brechas con elementos probatorios. Las auditorías in situ solo se admiten cuando sean razonablemente necesarias y bajo acuerdo de confidencialidad.

11. Transferencias internacionales.

Todos los datos personales se conservan en la UE. Cuando un subencargado opera fuera de la UE/EEE, las transferencias se basan en las Cláusulas contractuales tipo de la Comisión Europea, complementadas por las medidas técnicas de la cláusula 6.

12. Notificación de violaciones.

Notificamos al responsable del tratamiento sin demora indebida — y en cualquier caso en un plazo de 48 horas desde que tengamos conocimiento — cualquier violación de la seguridad de los datos personales que afecte a los datos del responsable. La notificación describe la naturaleza de la violación, las categorías y el número aproximado de registros afectados, las consecuencias probables y las medidas adoptadas para contenerla.

¿Preguntas sobre esta política? Utilicen el formulario de contacto — o escriban al equipo a través de los datos de la página de contacto.