GitScrum logo
Pruébalo gratis

Acuerdo de Procesamiento de Datos

Fecha de Vigencia: 5 de enero de 2026

Preámbulo

Este Acuerdo de Procesamiento de Datos ("<strong>DPA</strong>") forma parte de los Términos de Servicio del GitScrum (el "<strong>Acuerdo Principal</strong>") entre <strong>GitScrum</strong> ("<strong>Procesador</strong>", "nosotros", "nos" o "nuestro") y la entidad o individuo que utiliza los servicios del GitScrum ("<strong>Controlador</strong>", "usted" o "su"), colectivamente denominados las "<strong>Partes</strong>".

Este DPA establece los términos bajo los cuales GitScrum procesará Datos Personales en nombre del Controlador en conexión con la prestación de servicios de gestión de proyectos y herramientas de colaboración (los "<strong>Servicios</strong>").

Este DPA está diseñado para cumplir con los requisitos del Reglamento General de Protección de Datos (Reglamento (UE) 2016/679) ("RGPD"), la Lei Geral de Proteção de Dados de Brasil ("LGPD"), la Ley de Privacidad del Consumidor de California ("CCPA") y sus enmiendas, y otras leyes de protección de datos aplicables a nivel mundial.

Al utilizar los Servicios de GitScrum, el Controlador acepta este DPA y reconoce que el procesamiento de Datos Personales se realizará de acuerdo con las leyes de protección de datos aplicables.

1. DEFINICIONES

Los siguientes términos tendrán los significados establecidos a continuación. Los términos en mayúsculas no definidos en este DPA tendrán los significados dados en el Acuerdo Principal o las leyes de protección de datos aplicables.

2. ÁMBITO Y APLICABILIDAD

2.1 Aplicabilidad del DPA

Este DPA aplica al procesamiento de Datos Personales por GitScrum en nombre del Controlador en conexión con los Servicios. Este DPA es complementario al Acuerdo Principal y no modifica ningún término del Acuerdo Principal excepto en la medida explícitamente establecida en este documento.

2.2 Roles de las Partes

Para los propósitos del procesamiento de Datos Personales bajo los Servicios:

  • El Controlador actúa como el Controlador de Datos y determina los propósitos y medios del procesamiento de Datos Personales
  • GitScrum actúa como el Procesador de Datos y procesa Datos Personales únicamente en nombre del Controlador y de acuerdo con las instrucciones documentadas del Controlador

2.3 Duración

Este DPA permanecerá en efecto mientras GitScrum procese Datos Personales en nombre del Controlador, incluso después de la terminación del Acuerdo Principal, hasta que todos los Datos Personales hayan sido eliminados o devueltos según la Sección 10 de este DPA.

3. DETALLES DEL PROCESAMIENTO

3.1 Objeto del Procesamiento

Objeto: Provisión de servicios basados en la nube de gestión de proyectos y colaboración de equipos según se describe en el Acuerdo Principal.

Duración: La duración del procesamiento es desde la Fecha de Vigencia del Acuerdo Principal hasta la terminación o expiración del Acuerdo Principal, más cualquier período adicional necesario para cumplir con las obligaciones posteriores a la terminación bajo este DPA (típicamente 30 días para recuperación y eliminación de datos).

3.2 Naturaleza y Propósito del Procesamiento

Naturaleza del Procesamiento: GitScrum procesa Datos Personales proporcionando servicios de software basados en la nube que incluyen almacenamiento, organización, recuperación, transmisión y visualización de datos a través de la plataforma GitScrum.

Propósito del Procesamiento: El único propósito del procesamiento es proporcionar los Servicios al Responsable del Tratamiento según se describe en el Acuerdo Principal, incluyendo:

  • Almacenamiento: Almacenamiento seguro de Datos Personales en la infraestructura en la nube
  • Acceso: Proporcionar acceso a usuarios autorizados basado en permisos configurados por el Controlador
  • Transmisión: Transmisión de datos entre servidores, dispositivos de usuario y servicios integrados
  • Backup: Copias de seguridad regulares de datos para recuperación ante desastres y continuidad del negocio
  • Análisis: Análisis de rendimiento, uso y comportamiento del usuario para proporcionar y mejorar los Servicios
  • Soporte: Proporcionar soporte técnico al cliente y resolución de problemas
  • Integración: Facilitar integraciones con servicios de terceros según las configura el Controlador

GitScrum no procesará Datos Personales para ningún otro propósito a menos que sea específicamente instruido por el Responsable del Tratamiento por escrito o requerido por la ley aplicable.

3.3 Tipos de Datos Personales Procesados

Las siguientes categorías de Datos Personales pueden ser procesadas:

Nota: El Responsable del Tratamiento determina qué tipos de Datos Personales se procesan. GitScrum no controla ni determina los Datos Personales específicos subidos por el Responsable del Tratamiento.

3.4 Categorías de Interesados

Los Datos Personales se refieren a las siguientes categorías de Interesados:

  • Empleados, contratistas y representantes del Controlador
  • Empleados, contratistas y representantes de los clientes del Controlador
  • Miembros del equipo del proyecto con acceso a la plataforma del Controlador
  • Usuarios finales de proyectos gestionados en la plataforma
  • Cualquier otro individuo cuyos Datos Personales sean ingresados por el Controlador o sus usuarios en la plataforma

4. INSTRUCCIONES Y OBLIGACIONES DEL CONTROLADOR

4.1 Instrucciones del Controlador

GitScrum procesará Datos Personales únicamente de acuerdo con las instrucciones legales documentadas del Controlador. El Acuerdo Principal, este DPA y la configuración del Controlador de los Servicios constituyen las instrucciones documentadas iniciales del Controlador.

Instrucciones Documentadas: Las instrucciones del Responsable del Tratamiento para el procesamiento de Datos Personales están documentadas y limitadas a:

Instrucciones Fuera del Alcance: Si GitScrum cree que cualquier instrucción del Responsable del Tratamiento viola el RGPD u otras leyes de protección de datos aplicables, GitScrum informará prontamente al Responsable del Tratamiento y podrá suspender la ejecución de la instrucción hasta que el Responsable del Tratamiento confirme o modifique la instrucción.

4.2 Obligaciones del Controlador

El Controlador garantiza y acepta que:

  • Tiene y mantendrá todas las bases legales necesarias para el procesamiento de Datos Personales bajo este DPA, incluyendo consentimiento cuando sea requerido
  • Ha proporcionado y continuará proporcionando avisos de privacidad apropiados a los Interesados informándoles sobre el procesamiento, incluyendo el uso de Procesadores como GitScrum
  • Ha obtenido y mantendrá todas las autorizaciones necesarias de los Interesados para el procesamiento de Datos Personales bajo este DPA
  • Cumplirá con las leyes de protección de datos aplicables con respecto al procesamiento de Datos Personales, incluyendo determinar los propósitos legales y medios de procesamiento
  • No proporcionará instrucciones a GitScrum que violen las leyes de protección de datos aplicables
  • Es el único responsable de la exactitud, calidad y legalidad de los Datos Personales proporcionados a GitScrum y los medios por los cuales fueron obtenidos

4.3 Cumplimiento del Controlador

El Controlador es el único responsable de asegurar que su uso de los Servicios y cualquier instrucción dada a GitScrum cumpla con las leyes de protección de datos aplicables. GitScrum no es responsable de las violaciones de protección de datos del Controlador.

5. OBLIGACIONES DEL PROCESADOR

5.1 Procesamiento de Acuerdo con las Instrucciones

GitScrum procesará Datos Personales únicamente de acuerdo con las instrucciones documentadas del Controlador y para ningún otro propósito, a menos que la ley aplicable de la Unión Europea o del Estado Miembro requiera lo contrario. En tales casos, GitScrum informará al Controlador de ese requisito legal antes del procesamiento (a menos que la ley prohíba tal notificación por razones importantes de interés público).

5.2 Confidencialidad

GitScrum asegurará que las personas autorizadas a procesar Datos Personales:

Todos los empleados, contratistas y agentes de GitScrum con acceso a Datos Personales:

5.3 Medidas de Seguridad

GitScrum implementará y mantendrá medidas técnicas y organizativas apropiadas para proteger los Datos Personales contra procesamiento no autorizado o ilegal y contra pérdida, destrucción o daño accidental, teniendo en cuenta el estado del arte, los costos de implementación y la naturaleza, alcance, contexto y propósitos del procesamiento, así como el riesgo de probabilidad y gravedad variables para los derechos y libertades de los Interesados. Estas medidas incluyen:

GitScrum implementa y mantiene las siguientes medidas de seguridad técnicas y organizativas:

Cifrado

Controles de Acceso

Seguridad de Red

Protección de Datos

Respuesta a Incidentes

Seguridad del Personal

Seguridad Física

Seguridad de Aplicaciones

Continuidad del Negocio

Auditoría y Cumplimiento

Documentación de Seguridad: A solicitud escrita del Responsable del Tratamiento (no más de una vez al año), GitScrum proporcionará documentación que describa las medidas de seguridad técnicas y organizativas implementadas.

Actualizaciones de Medidas de Seguridad: GitScrum puede actualizar o modificar las medidas de seguridad de vez en cuando, siempre que dichas actualizaciones no reduzcan materialmente el nivel general de seguridad de los Servicios.

6. SUBPROCESADORES

6.1 Autorización General

El Controlador autoriza a GitScrum a contratar Subprocesadores para procesar Datos Personales en conexión con los Servicios, sujeto al cumplimiento de esta Sección 6.

6.2 Lista de Subprocesadores

La lista actual de Subprocesadores a partir de la Fecha de Vigencia de este DPA es la siguiente:

SubprocesadorPropósitoUbicaciónDatos Procesados
Amazon Web Services (AWS)Alojamiento en nube e infraestructuraEE.UU., UE (Frankfurt, Irlanda)Todos los datos del cliente
Stripe, Inc.Procesamiento de pagosEE.UU.Datos de facturación, historial de transacciones
Postmark (ActiveCampaign)Entrega de correo electrónico transaccionalEE.UU.Direcciones de correo electrónico, contenido de notificaciones
Cloudflare, Inc.CDN, Seguridad, RendimientoGlobal (nodos edge)Direcciones IP, metadatos de tráfico web
Sentry.ioMonitoreo y rastreo de erroresEE.UU.Datos de diagnóstico técnico, trazas de errores

6.3 Obligaciones de los Subencargados

GitScrum deberá:

  • Imponer obligaciones de protección de datos a los Subencargados que sean sustancialmente equivalentes a las establecidas en este DPA, requiriendo particularmente que los Subencargados implementen medidas de seguridad técnicas y organizativas apropiadas
  • Celebrar acuerdos escritos con cada Subencargado que incluyan términos sustancialmente similares a los de este DPA (incluyendo confidencialidad, seguridad, notificación de violación de datos y obligaciones de eliminación de datos)
  • Garantizar que los Subencargados procesen Datos Personales solo de acuerdo con las instrucciones del Responsable del Tratamiento documentadas en este DPA
  • Permanecer totalmente responsable ante el Responsable del Tratamiento por el cumplimiento de las obligaciones de cualquier Subencargado, como si GitScrum estuviera realizando los servicios directamente

6.4 Nuevos Subencargados - Notificación y Objeción

Notificación: GitScrum proporcionará al Responsable del Tratamiento al menos 30 días de aviso previo por escrito antes de agregar cualquier nuevo Subencargado o reemplazar un Subencargado existente.

Método de Notificación: La notificación se proporcionará a través de:

  • Correo electrónico a la dirección de correo electrónico registrada en la cuenta del Responsable del Tratamiento
  • Actualización de la Lista Pública de Subencargados en gitscrum.com/legal/subprocessors con fecha de actualización
  • Notificación en la plataforma (si corresponde)

Derechos de Objeción: Si el Responsable del Tratamiento tiene motivos legítimos relacionados con la protección de datos para oponerse al nombramiento de un nuevo Subencargado por parte de GitScrum, el Responsable del Tratamiento debe notificar a GitScrum por escrito dentro de los 30 días posteriores a la recepción de la notificación, indicando claramente los motivos de la objeción.

Proceso de Resolución:

  • GitScrum realizará esfuerzos razonables para abordar las preocupaciones del Responsable del Tratamiento o proporcionar una solución alternativa (por ejemplo, no utilizar el Subencargado para los datos del Responsable del Tratamiento, migrar a un Subencargado diferente)
  • Si GitScrum no puede proporcionar una alternativa razonable dentro de 60 días y el Responsable del Tratamiento mantiene una objeción legítima, el Responsable del Tratamiento puede terminar la parte afectada de los Servicios (o todo el Acuerdo Principal si el Subencargado es esencial para los Servicios) sin penalización ni tarifas por el resto del período prepagado

Sin Objeción: Si el Responsable del Tratamiento no objeta dentro de los 30 días posteriores a la notificación, se considerará que el Responsable del Tratamiento ha aceptado al nuevo Subencargado.

6.5 Auditorías de Subencargados

Previa solicitud por escrito del Responsable del Tratamiento (no más de una vez al año, a menos que lo requiera una Autoridad de Supervisión o la ley aplicable), GitScrum proporcionará:

  • Copias de acuerdos de subcontratación estándar (con información comercialmente sensible redactada)
  • Evidencia de certificaciones de seguridad de los Subencargados (por ejemplo, ISO 27001, SOC 2 Tipo II)
  • Resumen de la debida diligencia realizada sobre los Subencargados

7. DERECHOS DE LOS INTERESADOS

7.1 Asistencia con Solicitudes de Titulares de Datos

Teniendo en cuenta la naturaleza del procesamiento, GitScrum proporcionará asistencia razonable al Responsable del Tratamiento para permitir que el Responsable del Tratamiento responda a las solicitudes de los Titulares de Datos que ejercen sus derechos bajo el RGPD, incluyendo:

  • Derecho de acceso (Artículo 15)
  • Derecho de rectificación (Artículo 16)
  • Derecho de supresión / "derecho al olvido" (Artículo 17)
  • Derecho a la limitación del tratamiento (Artículo 18)
  • Derecho a la portabilidad de los datos (Artículo 20)
  • Derecho de oposición (Artículo 21)
  • Derechos relacionados con decisiones automatizadas y elaboración de perfiles (Artículo 22)

7.2 Asistencia de GitScrum

GitScrum proporcionará asistencia razonable al Controlador para cumplir con las solicitudes de los Interesados, teniendo en cuenta la naturaleza del procesamiento. GitScrum proporcionará herramientas de autoservicio cuando sea posible para permitir al Controlador responder directamente a las solicitudes de los Interesados a través de la plataforma.

  • Exportación de Datos: El Controlador puede exportar todos los Datos Personales en formatos estructurados (JSON, CSV) a través del panel de administración
  • Eliminación de Datos: El Controlador puede eliminar cuentas de usuario, proyectos y datos asociados a través del panel de administración
  • Corrección de Datos: Los usuarios pueden actualizar su propia información de perfil directamente; los administradores del Controlador pueden corregir otros datos a través de la plataforma
  • Restricción de Acceso: El Controlador puede deshabilitar cuentas de usuario o restringir permisos a través del panel de administración

7.3 Mecanismo de Asistencia

Solicitudes Directas a GitScrum: Si un Titular de Datos presenta una solicitud directamente a GitScrum (en lugar de al Responsable del Tratamiento), GitScrum:

  • Notificará prontamente al Responsable del Tratamiento de la solicitud dentro de 5 días hábiles
  • No responderá al Titular de Datos directamente a menos que sea legalmente requerido
  • Redirigirá al Titular de Datos para que presente la solicitud al Responsable del Tratamiento (si es apropiado y legalmente permitido)

Solicitudes de Asistencia del Responsable del Tratamiento: Si el Responsable del Tratamiento solicita la asistencia de GitScrum para responder a una solicitud de un Titular de Datos:

1. Proceso de Solicitud: El Responsable del Tratamiento debe presentar una solicitud por escrito a GitScrum en privacy[at]gitscrum.com o dpo[at]gitscrum.com, incluyendo:

  • Identificación del Titular de Datos
  • Naturaleza de la solicitud (acceso, eliminación, rectificación, etc.)
  • Asistencia específica necesaria de GitScrum
  • Plazo razonable para respuesta (mínimo 10 días hábiles a menos que se requiera legalmente antes)

2. Respuesta de GitScrum: GitScrum proporcionará asistencia mediante:

  • Solicitudes de Acceso: Proporcionando herramientas dentro de la plataforma para que el Responsable del Tratamiento exporte Datos Personales, o asistiendo con la recuperación de datos si es necesario
  • Solicitudes de Eliminación: Proporcionando herramientas para que el Responsable del Tratamiento elimine Datos Personales, o eliminando datos según instrucciones del Responsable del Tratamiento
  • Solicitudes de Rectificación: Permitiendo al Responsable del Tratamiento actualizar datos inexactos a través de la interfaz de la plataforma
  • Solicitudes de Restricción/Oposición: Proporcionando funcionalidad para restringir el procesamiento o asistiendo con la suspensión de cuenta según lo dirigido por el Responsable del Tratamiento
  • Solicitudes de Portabilidad: Proporcionando Datos Personales en un formato estructurado, de uso común y legible por máquina (por ejemplo, JSON, CSV) bajo solicitud

3. Plazo de Respuesta: GitScrum responderá a las solicitudes de asistencia del Responsable del Tratamiento dentro de 10 días hábiles, o antes si lo requiere la ley o la urgencia de la solicitud.

7.4 Costos

Si el cumplimiento de las solicitudes de los Interesados requiere esfuerzo significativo más allá de las funcionalidades de autoservicio estándar, GitScrum puede cobrar tarifas razonables basadas en costos administrativos. GitScrum proporcionará una estimación antes de incurrir en tales costos.

8. NOTIFICACIÓN DE VIOLACIÓN DE DATOS

8.1 Notificación al Controlador

GitScrum notificará al Controlador sin demora indebida y, cuando sea factible, dentro de <strong>72 horas</strong> después de tener conocimiento de una Violación de Datos Personales que afecte los Datos Personales del Controlador.

8.2 Contenido de la Notificación de Violación

La notificación incluirá, en la medida en que se conozca en el momento de la notificación:

  • Descripción de la violación: Naturaleza de la Violación de Datos Personales, incluyendo, cuando sea posible, las categorías y número aproximado de Interesados afectados y las categorías y número aproximado de registros de Datos Personales afectados
  • Contacto de GitScrum: Nombre y datos de contacto del Delegado de Protección de Datos de GitScrum u otro punto de contacto para más información
  • Consecuencias probables: Descripción de las consecuencias probables y riesgos potenciales para los Interesados
  • Medidas de mitigación: Descripción de las medidas tomadas o propuestas por GitScrum para abordar la violación, mitigar sus efectos adversos y prevenir futuras violaciones
  • Acciones recomendadas: Recomendaciones para que el Controlador mitigue los posibles efectos adversos sobre los Interesados

8.3 Investigación y Remediación de Violaciones

Al tener conocimiento de una Violación de Datos Personales, GitScrum deberá:

  • Tomar medidas inmediatas para contener e investigar la violación
  • Preservar evidencia e información forense relacionada con la violación
  • Implementar medidas de remediación para prevenir la recurrencia
  • Cooperar con el Controlador en las actividades de investigación y respuesta a la violación
  • Proporcionar actualizaciones razonables al Controlador sobre el estado de los esfuerzos de remediación

8.4 Obligaciones de Notificación del Controlador

El Controlador reconoce que es el único responsable de:

  • Determinar si la notificación a los Interesados y/o Autoridades de Supervisión es requerida bajo la ley aplicable
  • Proporcionar tales notificaciones de acuerdo con los Artículos 33 y 34 del RGPD y las leyes de protección de datos aplicables
  • Determinar el contenido y el momento de tales notificaciones

8.5 Sin Admisión de Culpa

La notificación de una violación por parte de GitScrum bajo esta Sección 8 no constituirá una admisión por parte de GitScrum de ninguna culpa o responsabilidad con respecto a la violación.

9. EVALUACIONES DE IMPACTO DE PROTECCIÓN DE DATOS Y CONSULTA PREVIA

9.1 Asistencia con EIPDs

Cuando el Controlador esté obligado a realizar una Evaluación de Impacto de Protección de Datos (EIPD) bajo el Artículo 35 del RGPD o consulta previa con una Autoridad de Supervisión bajo el Artículo 36 del RGPD, GitScrum proporcionará asistencia razonable al Controlador, teniendo en cuenta la naturaleza del procesamiento y la información disponible para GitScrum.

9.2 Responsabilidad del Controlador

El Controlador es el único responsable de:

  • Determinar si se requiere una EIPD (Evaluación de Impacto en la Protección de Datos)
  • Realizar la EIPD
  • Determinar si se requiere consulta previa con una Autoridad de Supervisión
  • Realizar dicha consulta previa

9.3 Proceso de Solicitud

Las solicitudes de asistencia con EIPDs o consulta previa deben enviarse a privacy[at]gitscrum.com o dpo[at]gitscrum.com, con aviso previo razonable (mínimo 30 días) e información suficiente para permitir que GitScrum brinde asistencia significativa.

10. ELIMINACIÓN Y DEVOLUCIÓN DE DATOS PERSONALES

10.1 Eliminación de Datos Tras la Terminación

Tras la terminación del Acuerdo, GitScrum, según elección del Controlador:

Opción 1: Devolución de Datos

  • Exportar todos los Datos Personales en un formato de uso común y legible por máquina
  • Proporcionar acceso a las herramientas de exportación de datos durante un período de 30 días después de la terminación
  • Asistir con la migración de datos a un servicio sucesor previa solicitud razonable

Opción 2: Eliminación de Datos

  • Eliminar de forma segura todos los Datos Personales de los sistemas activos dentro de 90 días
  • Purgar las copias de respaldo dentro de 180 días siguiendo el ciclo estándar de rotación de respaldos
  • Proporcionar certificación por escrito de la eliminación previa solicitud

Proceso de Elección:

El Controlador debe notificar a GitScrum por escrito sobre su preferencia con al menos 14 días de anticipación a la fecha efectiva de terminación. Si no se realiza ninguna elección, la eliminación será la acción predeterminada.

10.2 Período de Retención de Datos Post-Terminación

GitScrum retendrá los Datos Personales por <strong>30 días</strong> después de la terminación del Acuerdo Principal para permitir al Controlador recuperar o exportar datos. Después de este período, los Datos Personales serán eliminados de forma segura a menos que el Controlador solicite eliminación anticipada.

10.3 Excepciones

Sin perjuicio de lo anterior, GitScrum puede retener Datos Personales cuando lo requiera la legislación aplicable, siempre que GitScrum:

  • Retenga solo los datos mínimos necesarios para cumplir con la obligación legal
  • Continúe protegiendo los datos retenidos de acuerdo con este Acuerdo
  • Elimine los datos prontamente una vez que expire la obligación legal

10.4 Certificación de Eliminación

A solicitud por escrito del Controlador, GitScrum proporcionará certificación por escrito de que los Datos Personales han sido eliminados de acuerdo con esta Sección 10, excepto donde la retención sea requerida por ley.

11. AUDITORÍAS Y CUMPLIMIENTO

11.1 Derechos de Auditoría

GitScrum pondrá a disposición del Controlador toda la información razonablemente necesaria para demostrar el cumplimiento de las obligaciones establecidas en este DPA y en el Artículo 28 del RGPD, y permitirá y contribuirá a auditorías, incluyendo inspecciones, realizadas por el Controlador o un auditor designado por el Controlador.

11.2 Proceso de Auditoría

GitScrum apoyará los requisitos de auditoría del Controlador a través de los siguientes mecanismos:

Documentación de Cumplimiento Estándar:

Previa solicitud por escrito del Controlador, GitScrum proporcionará copias de los informes de auditoría de terceros y certificaciones actuales sin costo adicional.

Auditorías Presenciales:

El Controlador puede realizar o encargar auditorías presenciales sujetas a las siguientes condiciones:

  1. Aviso Previo: Mínimo 30 días de aviso por escrito, incluyendo alcance y duración propuestos
  2. Horario: Las auditorías deben programarse durante el horario comercial normal y no pueden exceder 3 días hábiles
  3. Frecuencia: No más de una auditoría por año calendario, a menos que lo requiera una autoridad reguladora
  4. Confidencialidad: Los auditores deben firmar el acuerdo de confidencialidad estándar de GitScrum antes de obtener acceso
  5. Limitación de Alcance: Las auditorías se limitan a sistemas, procesos e instalaciones directamente involucrados en el procesamiento de los Datos Personales del Controlador
  6. Asignación de Costos: El Controlador asume todos los costos asociados con las auditorías presenciales, incluidos los costos razonables de personal de GitScrum a tarifas estándar de servicios profesionales
  7. Remediación: Si los hallazgos de la auditoría identifican incumplimiento material, GitScrum preparará un plan de remediación dentro de 30 días e implementará las correcciones dentro de un plazo mutuamente acordado

11.3 Verificación de Cumplimiento Alternativa

GitScrum puede satisfacer las obligaciones de auditoría proporcionando informes de auditoría de terceros (por ejemplo, SOC 2 Type II, certificación ISO 27001) en lugar de auditorías in situ, a discreción de GitScrum.

11.4 Confidencialidad de la Información de Auditoría

Toda la información, informes y materiales obtenidos durante las auditorías son Información Confidencial de GitScrum y serán tratados como tales por el Controlador y sus auditores.

12. TRANSFERENCIAS INTERNACIONALES DE DATOS

12.1 Ubicaciones de Transferencia de Datos

GitScrum opera infraestructura en las siguientes regiones:

  • Centros de Datos Primarios: Unión Europea (Alemania, Irlanda)
  • Instalaciones de Respaldo: Espacio Económico Europeo
  • Entrega de Contenido: Ubicaciones de borde globales solo con datos en caché, sin almacenamiento persistente

Medidas Suplementarias

Cuando los Datos Personales se transfieren a países fuera del EEE que no se benefician de una decisión de adecuación, GitScrum implementa las siguientes medidas suplementarias:

  • Medidas Técnicas: Cifrado de extremo a extremo en tránsito (TLS 1.3) y en reposo (AES-256), seudonimización cuando sea viable, controles de acceso y registro
  • Medidas Organizacionales: Políticas de manejo de datos, capacitación regular de seguridad, evaluaciones de riesgo de proveedores, procedimientos de respuesta a incidentes
  • Medidas Contractuales: Cláusulas Contractuales Estándar, acuerdos de procesamiento de datos con todos los subprocesadores, reglas corporativas vinculantes cuando corresponda

12.2 Transferencias a Terceros Países

Si los Datos Personales se transfieren desde el Espacio Económico Europeo (EEE) a países fuera del EEE que no han sido objeto de una decisión de adecuación por la Comisión Europea ("Terceros Países"), GitScrum asegurará que las salvaguardas apropiadas estén en su lugar como lo requiere el Capítulo V del RGPD.

12.3 Cláusulas Contractuales Tipo (CCT)

En la medida en que GitScrum procese Datos Personales en, o transfiera Datos Personales a, Terceros Países, las partes acuerdan celebrar y cumplir con las Cláusulas Contractuales Tipo (CCT) para transferencias internacionales de datos aprobadas por la Comisión Europea (Decisión de Ejecución de la Comisión (UE) 2021/914 de 4 de junio de 2021), que se incorporan a este DPA por referencia.

12.4 Evaluaciones de Impacto de Transferencia (EIT)

GitScrum realiza Evaluaciones de Impacto de Transferencia (EIT) para transferencias a Terceros Países para evaluar el marco legal en los países de destino y asegurar que existan salvaguardas adecuadas para proteger los Datos Personales.

12.5 Mecanismos de Transferencia Internacional de Datos

Para transferencias de Datos Personales de la UE/EEE a los Estados Unidos, GitScrum se basa en las Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea (Decisión 2021/914).

12.6 Decisiones de Adecuación

GitScrum también puede transferir Datos Personales a Terceros Países que hayan sido objeto de una decisión de adecuación por la Comisión Europea, en cuyo caso las salvaguardas descritas en las Secciones 12.3 y 12.4 no son requeridas.

12.7 Mecanismos de Transferencia Alternativos

Si las CCT son invalidadas, modificadas o reemplazadas por una autoridad de supervisión o decisión judicial (como ocurrió en la decisión Schrems II), las partes acuerdan cooperar de buena fe para implementar mecanismos de transferencia alternativos que cumplan con las leyes de protección de datos aplicables.

13. TÉRMINO Y TERMINACIÓN DEL DPA

13.1 Término

Este DPA entra en vigor en la Fecha de Vigencia del Acuerdo Principal y permanecerá en pleno vigor y efecto hasta la terminación o expiración del Acuerdo Principal.

13.2 Terminación

Cualquiera de las partes puede terminar este Acuerdo:

  • Tras la terminación del Acuerdo subyacente
  • Por incumplimiento material de este Acuerdo, si dicho incumplimiento no se subsana dentro de los 30 días siguientes a la notificación por escrito
  • Si lo requiere la legislación de protección de datos aplicable

Secciones que Sobreviven:

Las siguientes secciones sobreviven a la terminación: Confidencialidad (Sección 5), Eliminación de Datos (Sección 10), Responsabilidad (Sección 14) y cualquier otra disposición que por su naturaleza deba sobrevivir.

13.3 Efecto de la Terminación

Tras la terminación de este Acuerdo:

  • GitScrum cesará todo el procesamiento de Datos Personales excepto según sea necesario para cumplir con las obligaciones restantes
  • Se aplicarán las disposiciones de eliminación de datos de la Sección 10
  • Cada parte devolverá o destruirá toda la Información Confidencial de la otra parte
  • Cualquier derecho u obligación acumulados de cualquiera de las partes permanecerán en vigor

14. RESPONSABILIDAD E INDEMNIZACIÓN

14.1 Responsabilidad bajo el RGPD

Cada parte será responsable de los daños causados por el procesamiento que infrinja el RGPD:

  • Responsabilidad del Controlador: El Controlador es responsable de todo el daño causado por el procesamiento no conforme con el RGPD
  • Responsabilidad del Procesador: GitScrum es responsable del daño causado por el procesamiento solo cuando no ha cumplido con las obligaciones del RGPD específicamente dirigidas a los procesadores, o cuando ha actuado fuera o en contra de las instrucciones legales del Controlador
  • Responsabilidad Solidaria: Cuando ambas partes son responsables de cualquier daño causado por el procesamiento, cada parte será responsable de todo el daño para garantizar una compensación efectiva del titular de los datos

Derecho de Recurso:

Cuando una parte haya pagado la compensación total por el daño sufrido, esa parte tiene derecho a reclamar de la otra parte la parte de la compensación correspondiente a su parte de responsabilidad por el daño.

14.2 Relación con el Acuerdo Principal

Sujeto a la Sección 15 (Limitación de Responsabilidad), la responsabilidad de cada parte bajo este DPA es adicional a, y no en sustitución de, cualquier responsabilidad bajo el Acuerdo Principal.

14.3 Indemnización por GitScrum

GitScrum acepta indemnizar, defender y eximir al Controlador de cualquier reclamación, daño, pérdida y gasto (incluidos los honorarios razonables de abogados) que surjan de:

  • Incumplimiento de este Acuerdo por parte de GitScrum
  • Violación de las leyes de protección de datos aplicables por parte de GitScrum
  • Negligencia o mala conducta intencional de GitScrum en el procesamiento de Datos Personales
  • Cualquier divulgación o acceso no autorizado a Datos Personales causado por la falla de GitScrum en implementar medidas de seguridad apropiadas

14.4 Indemnización por el Controlador

El Controlador acepta indemnizar, defender y eximir a GitScrum de cualquier reclamación, daño, pérdida y gasto (incluidos los honorarios razonables de abogados) que surjan de:

  • Incumplimiento de este Acuerdo por parte del Controlador
  • Violación de las leyes de protección de datos aplicables por parte del Controlador
  • Instrucciones de procesamiento dadas por el Controlador que infrinjan las leyes de protección de datos
  • Cualquier reclamación de los titulares de datos que surja del incumplimiento del Controlador de cumplir con las obligaciones de transparencia o responder a las solicitudes de los titulares de datos

15. LIMITACIÓN DE RESPONSABILIDAD

15.1 Límite de Responsabilidad

La responsabilidad agregada de cada parte por todas las reclamaciones que surjan de o estén relacionadas con este DPA (incluyendo reclamaciones de indemnización) estará limitada a:

15.2 Exclusiones de la Limitación

Las limitaciones de la Sección 15.1 NO aplican a:

  • Mala conducta intencional: Daños resultantes de mala conducta intencional o negligencia grave de cualquiera de las partes
  • Obligaciones de indemnización: Obligaciones de indemnización bajo la Sección 14 que resulten de multas o penalidades regulatorias impuestas directamente por una Autoridad de Supervisión
  • Incumplimiento de confidencialidad: Incumplimiento de obligaciones de confidencialidad donde GitScrum divulgue intencionalmente Datos Personales a terceros no autorizados
  • Reclamaciones de interesados: Compensación directa adeudada a los Interesados bajo el Artículo 82 del RGPD
  • Obligaciones de pago: Incumplimiento del Controlador en pagar las tarifas adeudadas a GitScrum bajo el Acuerdo Principal

15.3 Exclusión de Daños Consecuenciales

En ningún caso cualquiera de las partes será responsable por daños indirectos, incidentales, especiales, punitivos o consecuenciales, incluyendo pérdida de beneficios, ingresos, datos o uso, incurridos por cualquiera de las partes o cualquier tercero, ya sea en una acción en contrato, agravio o cualquier otra teoría, incluso si dicha parte ha sido advertida de la posibilidad de tales daños.

15.4 Asignación de Responsabilidad para Reclamaciones Conjuntas

Si ambas partes son responsables de daños a un Interesado bajo el Artículo 82 del RGPD, la responsabilidad se asignará entre las partes basándose en la proporción de responsabilidad de cada parte por el daño, determinada de acuerdo con el Artículo 82(4) del RGPD.

16. CAMBIOS Y ACTUALIZACIONES DEL DPA

16.1 Cambios Materiales

GitScrum puede actualizar este Acuerdo periódicamente para reflejar cambios en:

  • Leyes y regulaciones de protección de datos aplicables
  • Orientación de las autoridades de protección de datos
  • Nuestras operaciones de procesamiento o medidas de seguridad
  • Mejores prácticas de la industria

Proceso de Notificación:

Para cambios materiales, GitScrum proporcionará al menos 30 días de aviso previo a través de:

  • Correo electrónico al contacto designado del Controlador
  • Aviso destacado dentro de la plataforma GitScrum
  • Publicación en nuestra página de actualizaciones legales

Derecho de Objeción:

Si el Controlador objeta cualquier cambio material, el Controlador puede terminar los servicios afectados dentro de los 30 días posteriores a la notificación. El uso continuado de los servicios de GitScrum después de la fecha efectiva constituye aceptación del Acuerdo actualizado.

16.2 Consentimiento del Controlador

El uso continuado de los Servicios por parte del Controlador después de la fecha de vigencia del DPA actualizado constituye la aceptación de los cambios. Si el Controlador no está de acuerdo con cambios materiales, el Controlador puede terminar los Servicios (y este DPA) dentro de los 30 días posteriores a recibir aviso del cambio material, proporcionando aviso por escrito a GitScrum.

16.3 Versionado del DPA

Cada versión de este DPA tendrá un número de versión y fecha de vigencia. La versión actual está disponible en:

17. PRECEDENCIA Y CONFLICTOS

17.1 Orden de Precedencia

En caso de conflicto o inconsistencia entre documentos, se aplicará el siguiente orden de precedencia (de mayor a menor):

  1. Leyes de protección de datos aplicables (RGPD, LGPD, etc.)
  2. Este Acuerdo de Procesamiento de Datos
  3. Cualquier enmienda contractual negociada firmada por ambas partes
  4. Los Términos de Servicio principales / Acuerdo Maestro
  5. La Política de Privacidad de GitScrum
  6. Cualquier otra política o documentación referenciada

Para mayor claridad: los requisitos legales obligatorios siempre prevalecen. Este Acuerdo prevalece sobre los Términos de Servicio solo para asuntos de protección de datos.

17.2 Cumplimiento Regulatorio

Si una ley o regulación de protección de datos requiere que GitScrum tome una acción que conflictúe con el Acuerdo Principal, GitScrum tomará dicha acción según lo requiera la ley sin incumplir el Acuerdo Principal. GitScrum notificará al Controlador de dicho conflicto y los pasos tomados para resolverlo.

18. LEY APLICABLE Y RESOLUCIÓN DE DISPUTAS

18.1 Ley Aplicable

Este DPA se regirá e interpretará de acuerdo con las leyes de <strong>Portugal</strong>, sin tener en cuenta los principios de conflicto de leyes.

18.2 Jurisdicción

Cualquier disputa que surja de o esté relacionada con este DPA se someterá a la jurisdicción exclusiva de los tribunales de <strong>Lisboa, Portugal</strong>.

18.3 Resolución Alternativa de Disputas

Antes de iniciar cualquier acción legal (excepto acción cautelar de emergencia), las partes primero intentarán resolver la disputa a través de negociación de buena fe entre representantes de la alta dirección de cada parte.

18.4 Reclamaciones de Interesados y Autoridades de Supervisión

Nada en esta Sección 18 limita los derechos de:

19. DISPOSICIONES GENERALES

19.1 Acuerdo Completo

Este DPA, junto con el Acuerdo Principal y cualquier anexo adjunto o incorporado por referencia, constituye el acuerdo completo entre las partes con respecto al procesamiento de Datos Personales y reemplaza todos los acuerdos, entendimientos, negociaciones y discusiones anteriores o contemporáneos, ya sean orales o escritos, entre las partes.

19.2 Cesión

Ninguna de las partes puede ceder o transferir este DPA, o cualquier derecho u obligación bajo el mismo, sin el consentimiento previo por escrito de la otra parte, excepto que:

19.3 Divisibilidad

Si cualquier disposición de este DPA se considera inválida, ilegal o inaplicable por un tribunal de jurisdicción competente, las disposiciones restantes permanecerán en pleno vigor y efecto. La disposición inválida será modificada en la medida mínima necesaria para hacerla válida y aplicable mientras se mantiene al máximo la intención original de las partes.

19.4 Notificaciones

Todas las notificaciones bajo este Acuerdo deberán ser por escrito y entregadas a:

A GitScrum:

  • Correo electrónico: dpo[at]gitscrum.com
  • Dirección: GitScrum, Inc., Oficina de Protección de Datos, [Dirección]

Al Controlador:

A la dirección de correo electrónico y dirección física asociada con la cuenta del Controlador, o según se especifique de otra manera en el Acuerdo principal.

Efectividad de la Notificación:

Las notificaciones son efectivas mediante: (a) entrega personal; (b) el segundo día hábil después del envío por correo; (c) el segundo día hábil después del envío por correo electrónico confirmado.

19.5 Avisos

Todos los avisos bajo este DPA deben ser por escrito y entregarse por:

19.6 Contratistas Independientes

Las partes son contratistas independientes. Nada en este DPA crea una asociación, empresa conjunta, agencia o relación de empleo entre las partes.

19.7 Derechos de Terceros

Excepto según lo expresamente previsto en las CCT (donde los Interesados son terceros beneficiarios), este DPA no confiere ningún derecho o recurso a ninguna persona que no sea parte de este DPA.

20. INFORMACIÓN DE CONTACTO

Para preguntas o solicitudes relacionadas con este DPA o protección de datos, por favor contacte:

Delegado de Protección de Datos (DPO):

dpo[at]gitscrum.com

Tiempo de Respuesta: 10 días hábiles

Departamento Legal:

legal[at]gitscrum.com

Consultas de Privacidad:

privacy[at]gitscrum.com

Soporte al Cliente:

customer.service[at]gitscrum.com

Autoridad de Supervisión (Portugal):

Comissão Nacional de Proteção de Dados (CNPD)

https://www.cnpd.pt/

geral[at]cnpd.pt

21. RECONOCIMIENTO Y ACEPTACIÓN

Al utilizar los Servicios de GitScrum y procesar Datos Personales a través de la plataforma, el Responsable del Tratamiento reconoce y acepta que:

  1. El Responsable del Tratamiento ha leído y comprendido este Acuerdo de Procesamiento de Datos en su totalidad
  2. El Responsable del Tratamiento acepta quedar vinculado por todos los términos y condiciones establecidos en este DPA
  3. El Responsable del Tratamiento tiene la autoridad para celebrar este DPA en nombre de la organización que representa
  4. El Responsable del Tratamiento procesará Datos Personales de conformidad con todas las leyes de protección de datos aplicables, incluido el RGPD
  5. El Responsable del Tratamiento no proporcionará instrucciones a GitScrum que causen la violación de las leyes de protección de datos aplicables
  6. El Responsable del Tratamiento reconoce que este DPA forma parte integral del Acuerdo Principal (Términos y Condiciones)
  7. El Responsable del Tratamiento comprende sus obligaciones como Responsable del Tratamiento y el papel de GitScrum como Encargado del Tratamiento

Fecha Efectiva de Aceptación: La fecha en que el Responsable del Tratamiento acepta por primera vez el Acuerdo Principal o comienza a utilizar los Servicios (lo que ocurra primero).