Anexo de procesamiento de datos

Este Anexo de Procesamiento de Datos (“APD”) forma parte de los Términos de Servicio y la Política de Privacidad de EasySell, operado por Tyslo FZE–LLC, Sharjah, Emiratos Árabes Unidos (“Tyslo,” “nosotros”). Se aplica cuando procesamos datos personales en su nombre, el del Comerciante (“Responsable del Tratamiento,” “Empresa”). Al instalar o usar EasySell, usted acepta este APD.

1. Roles y Alcance

Usted es el Responsable del Tratamiento/Empresa de los Datos del Cliente.
Tyslo es el Encargado del Tratamiento/Proveedor de Servicios, que procesa los Datos del Cliente únicamente para proporcionar la aplicación EasySell y los servicios relacionados.
“Datos del Cliente” se refiere a los datos personales de sus clientes finales o visitantes de la tienda enviados o recopilados a través de EasySell.
Tyslo solo procesará los Datos del Cliente de acuerdo con sus instrucciones documentadas, nuestros Términos, este APD y según lo exija la ley.

2. Detalles del Procesamiento

Procesamos los Datos del Cliente según sea necesario para:

Proporcionar y mejorar las funciones de EasySell (formularios de pedido, pedidos contra reembolso, integraciones, SMS si están habilitados).
Sincronizar con los datos de Shopify bajo sus alcances autorizados.
Detectar fraudes, garantizar la seguridad y brindar soporte.
Cumplir con la ley aplicable.

No vendemos ni compartimos los Datos del Cliente. No los combinamos con otros datos, excepto cuando lo permita la ley para realizar los Servicios, detectar problemas de seguridad o cumplir con las obligaciones.

3. Medidas de Seguridad

Mantenemos medidas técnicas y organizativas (MTO) para proteger los Datos del Cliente, que incluyen:

Cifrado de datos en tránsito.
Controles de acceso, políticas de privilegios mínimos y acuerdos de confidencialidad del personal.
Infraestructura segura con firewalls, monitoreo y gestión de vulnerabilidades.
Copias de seguridad periódicas con retención limitada.
Procedimientos de respuesta a incidentes y notificación de infracciones.
Privacidad desde el diseño y por defecto.

4. Subencargados del Tratamiento

Para prestar los Servicios, podemos utilizar terceros de confianza (“Subencargados del Tratamiento”), como:

Proveedores de alojamiento e infraestructura.
Pasarelas de SMS (si las funciones de SMS están habilitadas).
Herramientas de comunicación por correo electrónico y soporte.
Proveedores de análisis y diagnóstico.
Google (para la integración con Sheets, si está habilitada).
API de Shopify (accedidas bajo sus alcances autorizados).

Seguimos siendo responsables de nuestros Subencargados del Tratamiento. Le notificaremos sobre nuevos Subencargados del Tratamiento y le daremos la oportunidad de oponerse si tiene motivos razonables.

5. Asistencia y Derechos de los Datos

Le ayudaremos a responder a las solicitudes de los interesados (acceso, eliminación, corrección, portabilidad) según lo exija la ley.
Si recibimos una solicitud directamente, se la reenviaremos a menos que esté legalmente prohibido.
También brindaremos apoyo razonable para las evaluaciones de impacto en la protección de datos (EIPD) relacionadas con EasySell.

6. Notificación de Incumplimiento

Si tenemos conocimiento de una violación confirmada de datos personales en nuestros sistemas que afecte a los Datos del Cliente, se lo notificaremos sin demoras indebidas y le proporcionaremos información para ayudarle a cumplir con sus obligaciones legales.

7. Transferencias Internacionales de Datos

Si los Datos del Cliente se transfieren fuera de su región (por ejemplo, a EAU, EE. UU. u otras ubicaciones), aplicaremos salvaguardias adecuadas, como las Cláusulas Contractuales Tipo (CCT) de la UE, el Anexo del Reino Unido y el Anexo Suizo.
Para los comerciantes de EE. UU., actuamos como un Proveedor de Servicios según CPRA/CCPA: no vendemos ni compartimos los Datos del Cliente, y los usamos solo para proporcionar los Servicios.

8. Retención y Eliminación

Tras la desinstalación, los datos de la cuenta relacionados con el Comerciante se eliminan de los sistemas primarios en 48 horas.
Los registros/diagnósticos se conservan hasta por 30 días para copia de seguridad/continuidad del negocio, luego se eliminan o desidentifican.
Los datos de los pedidos contra reembolso no se almacenan más allá de lo necesario para generar y transmitir el pedido.
Los Comerciantes pueden solicitar una copia de sus Datos de la Cuenta del Comerciante antes de la eliminación. Los Datos del Cliente no se almacenan y no se pueden exportar.

9. Solicitudes Gubernamentales

Si recibimos una solicitud legalmente vinculante de una autoridad pública, (a menos que lo prohíba la ley) le notificaremos, impugnaremos las solicitudes ilegales o demasiado amplias, y divulgaremos solo los datos mínimos requeridos.

10. Responsabilidad y Precedencia

Este APD está sujeto a las limitaciones de responsabilidad establecidas en nuestros Términos de Servicio. Si existe un conflicto entre este APD y otros acuerdos, este APD prevalece en lo que respecta a los Datos del Cliente.

11. Ley Aplicable

Para las CCT de la UE: se rige por la legislación irlandesa, con los tribunales irlandeses teniendo jurisdicción.
Para CPRA/CCPA: la legislación de California se aplica a esas disposiciones.
Para todos los demás asuntos: se rige por la legislación de los EAU.