ADENDA DE TRATAMIENTO DE DATOS

Última actualización: 28 de mayo de 2026

Esta Adenda de Tratamiento de Datos ("DPA") forma parte de, y se incorpora por referencia a, los Términos del Servicio y cualquier otro acuerdo escrito o electrónico entre OneCal SHPK ("OneCal", "nosotros") y el cliente identificado en la Cuenta ("Cliente", "usted") en virtud del cual prestamos el Servicio (conjuntamente, el "Acuerdo").

Esta DPA regula el tratamiento de Datos personales por parte de OneCal como Encargado del tratamiento en nombre del Cliente como Responsable del tratamiento, en relación con el uso del Servicio por parte del Cliente. Refleja el acuerdo de las partes respecto al Tratamiento de Datos personales y se aplica en la medida en que las Leyes de Protección de Datos de la UE/Reino Unido/Suiza u otras Leyes de Protección de Datos aplicables sean de aplicación a dicho Tratamiento.

Esta DPA entra en vigor cuando usted acepta los Términos del Servicio. Al utilizar el Servicio, usted acepta esta DPA en su propio nombre y, cuando proceda, en nombre de la entidad Cliente a la que represente. No se requiere contrafirma, pero los Clientes que necesiten una copia contrafirmada pueden solicitarla a contact@onecal.io.

En caso de conflicto entre esta DPA y el Acuerdo respecto al Tratamiento de Datos personales, prevalecerá esta DPA. Los Anexos forman parte integral de esta DPA.

1. Definiciones

Los términos en mayúscula no definidos en esta DPA tienen el significado que se les atribuye en el Acuerdo. A efectos de esta DPA:

  • "Datos personales del Cliente" significa los Datos personales que OneCal Trata en nombre del Cliente en el curso de la prestación del Servicio, según se describe con más detalle en el Anexo 1.
  • "Leyes de Protección de Datos" significa todas las leyes y reglamentos aplicables al Tratamiento de Datos personales en virtud del Acuerdo, incluidos (i) el Reglamento (UE) 2016/679 ("RGPD"), (ii) la Ley de Protección de Datos del Reino Unido de 2018 y el RGPD del Reino Unido ("RGPD del Reino Unido"), (iii) la Ley Federal Suiza de Protección de Datos ("FADP"), (iv) la Ley de Privacidad del Consumidor de California modificada por la CPRA ("CCPA"), y (v) cualquier otra ley equivalente o sucesora aplicable.
  • "Responsable del tratamiento", "Encargado del tratamiento", "Interesado", "Datos personales", "Tratamiento" y "Categorías especiales de datos personales" tienen el significado que se les atribuye en el RGPD.
  • "Subencargado" significa cualquier tercero contratado por OneCal que Trate Datos personales del Cliente en nombre de OneCal en relación con el Servicio.
  • "Incidente de seguridad" significa una violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de Datos personales del Cliente, o la comunicación o el acceso no autorizados a dichos datos, Tratados por OneCal o sus Subencargados. El Incidente de seguridad no incluye intentos infructuosos o actividades que no comprometan la seguridad de los Datos personales del Cliente, tales como intentos de inicio de sesión fallidos, pings, escaneos de puertos, ataques de denegación de servicio u otros ataques de red contra cortafuegos o sistemas en red.
  • "Cláusulas Contractuales Tipo" o "CCT" significa las cláusulas contractuales tipo para la transferencia de datos personales a terceros países en virtud del RGPD, según se establece en la Decisión de Ejecución (UE) 2021/914 de la Comisión, de 4 de junio de 2021.
  • "Adenda del Reino Unido" significa la International Data Transfer Addendum to the EU Commission Standard Contractual Clauses emitida por la Information Commissioner del Reino Unido, versión B1.0, en vigor el 21 de marzo de 2022.
  • "Usuario Final" tiene el significado que se le atribuye en los Términos del Servicio: cualquier persona que interactúe con el contenido que el Cliente publique a través del Servicio, incluidos los invitados de las Páginas de Reserva del Cliente y los visualizadores de los Feeds de Calendario Públicos del Cliente.

2. Ámbito y funciones de las partes

El Cliente es el Responsable del tratamiento y OneCal es el Encargado del tratamiento de los Datos personales que el Cliente envíe o genere a través del Servicio, incluidos los Datos personales de los Usuarios Finales del Cliente que este recopile a través de las Páginas de Reserva, la sincronización de calendarios y otras funcionalidades que el Cliente ponga a disposición de dichos Usuarios Finales ("Datos personales del Cliente"). Cuando el Cliente sea él mismo un Encargado del tratamiento actuando en nombre de un Responsable del tratamiento tercero (por ejemplo, cuando el Cliente sea una organización que utilice el Servicio para tratar Datos personales en nombre de sus propios clientes), OneCal actuará como Subencargado y el Cliente garantiza que cuenta con la autorización del Responsable del tratamiento subyacente para suscribir esta DPA.

OneCal Tratará los Datos personales del Cliente únicamente siguiendo instrucciones documentadas del Cliente, incluso en lo relativo a las transferencias internacionales, salvo cuando la legislación aplicable así lo exija. El Acuerdo (incluidos esta DPA, la documentación del Servicio, la configuración del Servicio por parte del Cliente y cualquier instrucción emitida a través de los controles administrativos del Servicio) constituye las instrucciones documentadas completas y definitivas del Cliente a OneCal para el Tratamiento de los Datos personales del Cliente. Cualquier instrucción adicional o alternativa deberá acordarse por escrito.

OneCal informará al Cliente si, en su opinión, una instrucción infringe las Leyes de Protección de Datos aplicables, sin obligación de supervisar el cumplimiento por parte del Cliente de dichas leyes.

Esta DPA se aplica únicamente al Tratamiento por OneCal de Datos personales del Cliente en nombre del Cliente como Encargado del tratamiento. OneCal Trata por separado Datos personales como Responsable del tratamiento independiente, incluyendo la propia información de Cuenta, facturación y contacto del Cliente; metadatos de autenticación, seguridad y prevención del fraude utilizados para operar y proteger el Servicio; analítica de producto que OneCal utiliza para operar y mejorar el Servicio; y las propias comunicaciones de marketing de OneCal enviadas con el consentimiento separado del destinatario. Ese Tratamiento por separado se describe y se rige por la Política de Privacidad de OneCal, no por esta DPA.

OneCal no utilizará los Datos personales del Cliente para entrenar o ajustar modelos de inteligencia artificial o de aprendizaje automático sin el permiso previo y expreso del Cliente.

3. Obligaciones del Cliente

El Cliente es responsable de la licitud de los Datos personales del Cliente y de los medios por los que los obtuvo. El Cliente garantiza que dispone de todos los derechos, bases jurídicas, consentimientos y autorizaciones necesarios para Tratar los Datos personales del Cliente y para instruir a OneCal a Tratar los Datos personales del Cliente en nombre del Cliente según se describe en el Acuerdo y en esta DPA, incluso en relación con los eventos de calendario sincronizados desde proveedores de calendario terceros y los Datos personales de Usuarios Finales como los invitados a reservas.

El Cliente es responsable de proporcionar todas las notificaciones requeridas a los Interesados (incluidos los Usuarios Finales) y de obtener todos los consentimientos requeridos de estos respecto al Tratamiento por parte del Cliente de sus Datos personales a través del Servicio.

El Cliente no enviará, y empleará esfuerzos razonables para impedir que sus Usuarios Finales envíen, Categorías especiales de datos personales o datos sujetos a regímenes legales especiales para los que el Servicio no está diseñado, según se describe en los Términos del Servicio (incluidos, entre otros, los datos sujetos a HIPAA o GLBA). OneCal no es responsable del Tratamiento de tales datos que se envíen al Servicio en infracción de esta restricción.

El Cliente reconoce que el Servicio depende de proveedores de calendario terceros y que la autorización por parte del Cliente de dichos proveedores, los datos que estos pongan a disposición y su disponibilidad continuada están fuera del control de OneCal.

4. Subencargados

El Cliente otorga a OneCal una autorización general por escrito para contratar Subencargados que Traten Datos personales del Cliente en relación con la prestación del Servicio.

OneCal mantiene una lista actualizada de sus Subencargados, incluyendo el nombre, función y ubicación principal de cada Subencargado, en la página de Subencargados. El Cliente puede consultar dicha lista en cualquier momento. Ver la página de Subencargados.

OneCal notificará al Cliente con antelación la incorporación o sustitución de cualquier Subencargado actualizando la página de Subencargados al menos 30 días antes de que el cambio surta efecto.

El Cliente puede oponerse a la designación por parte de OneCal de un nuevo Subencargado por motivos razonables de protección de datos notificándoselo a OneCal por escrito a contact@onecal.io en un plazo de 14 días desde la notificación. Si el Cliente se opone, las partes colaborarán de buena fe para resolver la objeción. Si no se alcanza una solución en un plazo razonable, el Cliente podrá, como único recurso, rescindir la Suscripción afectada y recibir un reembolso prorrateado de las Tarifas de Suscripción prepagadas correspondientes al periodo posterior a la rescisión.

OneCal celebrará un acuerdo por escrito con cada Subencargado que imponga obligaciones de protección de datos no menos protectoras de los Datos personales del Cliente que las impuestas a OneCal en virtud de esta DPA. OneCal seguirá siendo responsable ante el Cliente del cumplimiento de las obligaciones de cada Subencargado en virtud de dicho acuerdo en la medida prevista en el Acuerdo.

5. Transferencias internacionales de datos

La infraestructura principal de tratamiento de OneCal para los Datos personales del Cliente está ubicada en los Estados Unidos. OneCal también puede necesitar Tratar Datos personales del Cliente en cualquier otro lugar del mundo donde OneCal o sus Subencargados mantengan operaciones. Ver la página de Subencargados.

Cuando OneCal Trate Datos personales del Cliente sujetos al RGPD en un país que no sea objeto de una decisión de adecuación de la Comisión Europea, las partes incorporan las Cláusulas Contractuales Tipo (Módulo Dos: Responsable a Encargado) en esta DPA por referencia, con los datos de las partes, la descripción de la transferencia y las medidas técnicas y organizativas cumplimentadas según se establece en el Anexo 3, con las siguientes selecciones: (i) se aplica la cláusula opcional de adhesión (Cláusula 7); (ii) para los cambios de subencargados, se aplica la Opción 2 (autorización general por escrito) con el plazo de preaviso establecido en la Sección 4; (iii) la Cláusula 17 (legislación aplicable) se rige por el derecho de Irlanda; (iv) el foro y la jurisdicción conforme a la Cláusula 18 son los tribunales de Irlanda; y (v) el Anexo I.C identifica a la Comisión Irlandesa de Protección de Datos como autoridad de control competente.

Cuando los Datos personales del Cliente estén sujetos al RGPD del Reino Unido, las partes incorporan la Adenda del Reino Unido a esta DPA, considerando las CCT anteriores como las "Approved EU SCCs" mencionadas en la Adenda del Reino Unido, y con las Tablas 1 a 3 cumplimentadas por referencia al Anexo 3. Cualquiera de las partes puede poner fin a la Adenda del Reino Unido según se establece en la Sección 19 de la Adenda del Reino Unido.

Cuando los Datos personales del Cliente estén sujetos a la FADP, las CCT se aplican con las siguientes modificaciones: (a) las referencias al RGPD se entenderán como referencias a la FADP cuando la FADP sea aplicable; (b) el Comisionado Federal Suizo de Protección de Datos e Información es la autoridad de control competente para las transferencias sujetas exclusivamente a la FADP; y (c) el término "Estado miembro" se interpreta de modo que no excluya a los Interesados en Suiza del ejercicio de derechos en su lugar de residencia habitual.

Si una autoridad de control o un tribunal competente invalida o limita las CCT, la Adenda del Reino Unido o cualquier otro mecanismo de transferencia en el que se base esta DPA, OneCal y el Cliente cooperarán de buena fe para adoptar un mecanismo de transferencia sustitutivo que cumpla con las Leyes de Protección de Datos aplicables.

6. Seguridad

OneCal implementará y mantendrá medidas técnicas y organizativas apropiadas diseñadas para proteger los Datos personales del Cliente frente a la destrucción, pérdida o alteración accidental o ilícita, o la comunicación o el acceso no autorizados, teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, alcance, contexto y fines del Tratamiento, así como el riesgo para los Interesados. En el Anexo 2 se incluye un resumen actual de dichas medidas.

OneCal garantizará que el personal autorizado a Tratar Datos personales del Cliente esté sujeto a obligaciones de confidencialidad apropiadas y haya recibido formación sobre sus responsabilidades en materia de protección de datos, y limitará el acceso a los Datos personales del Cliente al personal que necesite dicho acceso para desempeñar su función.

OneCal podrá actualizar sus medidas técnicas y organizativas periódicamente, siempre que las medidas actualizadas no reduzcan sustancialmente el nivel de protección de los Datos personales del Cliente.

7. Notificación de Incidentes de seguridad

OneCal notificará al Cliente sin dilación indebida y, de ser posible, a más tardar setenta y dos (72) horas tras tener conocimiento de un Incidente de seguridad que afecte a los Datos personales del Cliente.

Cada notificación incluirá, en la medida en que OneCal lo conozca en ese momento: (a) una descripción de la naturaleza del Incidente de seguridad, incluidas, cuando sea posible, las categorías y el número aproximado de Interesados y de registros afectados; (b) las posibles consecuencias del Incidente de seguridad; (c) las medidas adoptadas o propuestas para abordar el Incidente de seguridad y mitigar sus posibles efectos adversos; y (d) un punto de contacto en OneCal del que se pueda obtener más información. Cuando la información no pueda facilitarse simultáneamente, OneCal la proporcionará por fases sin más dilación indebida.

OneCal proporcionará al Cliente asistencia razonable para permitirle cumplir con sus propias obligaciones de notificación en virtud de las Leyes de Protección de Datos aplicables (incluidas las notificaciones a las autoridades de control y a los Interesados afectados).

La notificación o respuesta de OneCal a un Incidente de seguridad en virtud de esta Sección no constituye un reconocimiento por parte de OneCal de culpa o responsabilidad alguna respecto al Incidente de seguridad.

8. Solicitudes de los Interesados y cooperación

Teniendo en cuenta la naturaleza del Tratamiento, OneCal proporcionará asistencia razonable al Cliente, mediante medidas técnicas y organizativas apropiadas y en la medida de lo posible, para permitir al Cliente cumplir con su obligación de responder a las solicitudes de los Interesados para el ejercicio de sus derechos en virtud de las Leyes de Protección de Datos aplicables (incluidos los derechos de acceso, rectificación, supresión, limitación, portabilidad y oposición).

Si un Interesado contacta directamente con OneCal con una solicitud relativa a los Datos personales del Cliente, OneCal, sin dilación indebida, informará al Interesado de que la solicitud debe dirigirse al Cliente o, cuando los datos identificativos del Interesado permitan a OneCal hacerlo, remitirá la solicitud al Cliente. OneCal no responderá a tal solicitud en nombre del Cliente salvo siguiendo las instrucciones documentadas del Cliente.

Teniendo en cuenta la naturaleza del Tratamiento y la información a su disposición, OneCal proporcionará al Cliente asistencia razonable con las obligaciones derivadas de los Artículos 32 a 36 del RGPD (seguridad, notificación de brechas, evaluaciones de impacto relativas a la protección de datos y consulta previa a las autoridades de control), corriendo el Cliente con los gastos no previstos en que incurra OneCal más allá de los razonablemente incluidos en el Servicio.

9. Registros y auditorías

OneCal mantendrá registros de las actividades de Tratamiento realizadas en nombre del Cliente según lo exigido por el Artículo 30(2) del RGPD.

OneCal pondrá a disposición del Cliente toda la información razonablemente necesaria para demostrar el cumplimiento de esta DPA y de las obligaciones del Encargado del tratamiento en virtud del Artículo 28 del RGPD. En primera instancia, el derecho de auditoría del Cliente se satisface mediante la entrega por parte de OneCal de: (a) esta DPA y la descripción de las medidas técnicas y organizativas establecidas en el Anexo 2 y en la página de Seguridad de Datos de OneCal; (b) copias de las certificaciones, atestaciones, resúmenes de pruebas de penetración o informes de auditoría de terceros vigentes en ese momento de OneCal, cuando estén disponibles; y (c) respuestas razonables por escrito a un cuestionario de seguridad estándar que abarque las cuestiones establecidas en el Anexo 2, en cada caso con sujeción a obligaciones razonables de confidencialidad.

Si la información facilitada en virtud del párrafo anterior no es, en la apreciación razonable del Cliente, suficiente para demostrar el cumplimiento de una obligación específica conforme a esta DPA, el Cliente podrá presentar una solicitud por escrito a contact@onecal.io identificando la cuestión que se va a tratar y la información adicional requerida. OneCal responderá por escrito en un plazo razonable y, en cualquier caso, en un plazo de treinta (30) días desde la recepción, proporcionando información adicional, aclaraciones o pruebas razonablemente disponibles, con sujeción a obligaciones razonables de confidencialidad y a cualesquiera restricciones derivadas de las obligaciones de OneCal frente a terceros, la protección de los datos de otros clientes o la protección de los secretos comerciales de OneCal.

Si, tras la realización de las medidas indicadas en los párrafos anteriores, el Cliente considera razonablemente que la información facilitada sigue siendo insuficiente para demostrar el cumplimiento de una obligación específica conforme a esta DPA, el Cliente podrá, a su cargo, llevar a cabo una auditoría del cumplimiento por OneCal en materia de protección de datos limitada a dicha cuestión específica, como máximo una vez cada doce meses (salvo cuando sea requerido por una autoridad de control o tras un Incidente de seguridad), con sujeción a: (a) un preaviso por escrito de al menos sesenta (60) días; (b) la suscripción de un acuerdo de confidencialidad razonablemente aceptable para OneCal; (c) que la auditoría se realice en horario laboral habitual, de un modo que no interfiera con las operaciones de OneCal, y que no se extienda a datos de ningún otro cliente, a secretos comerciales o a ningún sistema cuyo acceso supondría una infracción de las obligaciones de OneCal frente a terceros; y (d) que el auditor sea un tercero independiente y de buena reputación que no sea competidor de OneCal y que haya suscrito el acuerdo de confidencialidad mencionado anteriormente. Las partes compartirán los resultados de la auditoría y discutirán cualquier conclusión de buena fe.

10. Devolución y supresión de los Datos personales del Cliente

El Cliente puede suprimir los Datos personales del Cliente a través de la funcionalidad del Servicio en cualquier momento durante la vigencia del Acuerdo. Para las solicitudes de exportación de datos, el Cliente puede contactar con OneCal en contact@onecal.io.

A la rescisión o expiración del Acuerdo, OneCal, a elección del Cliente, suprimirá o devolverá todos los Datos personales del Cliente al Cliente, y suprimirá cualquier copia existente, salvo en la medida en que la legislación aplicable exija a OneCal conservar los Datos personales, o cuando los Datos personales se conserven en copias de seguridad cifradas rutinarias que se vayan rotando y suprimiendo en el curso ordinario de las prácticas de retención de copias de seguridad de OneCal.

Cuando se rescinda el Acuerdo, incluido cuando el Cliente suprima su cuenta a través del Servicio, OneCal suprime prontamente los Datos personales del Cliente de los sistemas de producción activos. Las copias de seguridad se purgan a medida que dichas copias se rotan en el curso ordinario de las prácticas de retención de copias de seguridad de OneCal (normalmente en un plazo de siete (7) días). Los únicos Datos personales que OneCal conserva sobre un Interesado suprimido son un hash unidireccional de la dirección de correo electrónico, conservado indefinidamente sobre la base del interés legítimo para evitar que las cuentas baneadas o suprimidas vuelvan a registrarse y para apoyar la prevención del fraude y del abuso. Los registros financieros oficiales son conservados por los comerciantes de registro de OneCal bajo sus propios plazos de conservación legales, y no son conservados por OneCal.

11. Responsabilidad

La responsabilidad de cada parte derivada de o relacionada con esta DPA, ya sea contractual, extracontractual o bajo cualquier otra teoría de responsabilidad, está sujeta a las limitaciones de responsabilidad establecidas en el Acuerdo, y cualquier referencia en el Acuerdo a la responsabilidad de una parte se refiere a la responsabilidad agregada de dicha parte conforme al Acuerdo y a esta DPA conjuntamente. Nada en esta DPA limita o excluye responsabilidad alguna que no pueda limitarse o excluirse conforme a la legislación aplicable, incluida la responsabilidad conforme al Artículo 82 del RGPD.

El Cliente no presentará reclamaciones duplicadas conforme tanto al Acuerdo como a esta DPA respecto a la misma pérdida.

12. Ley de Privacidad del Consumidor de California

Cuando OneCal Trate Datos personales de residentes de California en nombre del Cliente, OneCal actúa como "proveedor de servicios" (service provider) del Cliente en el sentido de la CCPA. OneCal: (a) Tratará dichos Datos personales únicamente para los fines comerciales limitados y específicos establecidos en esta DPA y en el Acuerdo; (b) no Venderá ni Compartirá dichos Datos personales (según se definen estos términos en la CCPA); (c) no conservará, utilizará ni revelará dichos Datos personales fuera de la relación comercial directa entre el Cliente y OneCal, ni para ningún fin comercial distinto de los fines comerciales establecidos en esta DPA, salvo en lo permitido por la CCPA; y (d) no combinará dichos Datos personales con Datos personales recibidos de ninguna otra persona, salvo en lo permitido por la CCPA.

OneCal certifica que comprende las restricciones establecidas en esta Sección y que las cumplirá.

13. Disposiciones generales

Esta DPA entra en vigor en la fecha en que el Cliente acepta el Acuerdo y permanece en vigor durante todo el tiempo que OneCal Trate Datos personales del Cliente, incluso tras la rescisión del Acuerdo en la medida de cualquier Tratamiento continuado necesario para dar efecto a la Sección 10 (Devolución y supresión).

OneCal puede actualizar esta DPA periódicamente, incluso para reflejar cambios en las Leyes de Protección de Datos aplicables, los mecanismos de transferencia o las operaciones de OneCal. Notificaremos los cambios sustanciales según se describe en los Términos del Servicio. Las actualizaciones que sean requeridas por la legislación aplicable, por una autoridad de control, o para reflejar un mecanismo de transferencia sustitutivo, surtirán efecto en la fecha especificada en la notificación sin requerir ninguna otra acción por parte del Cliente.

Si alguna disposición de esta DPA es declarada inválida o inejecutable por un tribunal de jurisdicción competente, las disposiciones restantes permanecerán en pleno vigor y efecto.

Las preguntas sobre esta DPA, las solicitudes de una copia contrafirmada, las solicitudes de una copia firmada de las CCT, o las notificaciones requeridas en virtud de esta DPA pueden enviarse a OneCal a contact@onecal.io. Los Interesados con base en la UE también pueden utilizar los canales establecidos en la sección "Representante del RGPD en la UE/EEE" de la Política de Privacidad de OneCal. Leer la Política de Privacidad.

Anexo 1 — Descripción del Tratamiento

Objeto

OneCal Processes Customer Personal Data as necessary to provide the Service in accordance with the Agreement and Customer's documented instructions, including any features and functionality made available to Customer from time to time.

Duración

Durante la vigencia del Acuerdo, más el periodo de conservación posterior a la rescisión establecido en la Sección 10.

Naturaleza y finalidad

Processing activities include hosting, storing, transmitting, displaying, backing up, securing, and otherwise handling Customer Personal Data as reasonably necessary to deliver, support, and improve the Service in accordance with the Agreement and Customer's instructions.

Categorías de Interesados

  • Customer's Authorized Users: account holders and other individuals authorized by Customer to use the Service.
  • Customer's End Users: booking attendees and schedulers, workspace invitees, and other persons who interact with content the Customer publishes through the Service or who are invited to scheduled events.

Categorías de Datos personales

  • Identification and contact data: such as name, email address, time zone, and similar contact details of Authorized Users and End Users.
  • Account and workspace data: account and team-membership information for Authorized Users, such as role and permission assignments, invitation status, and team affiliations.
  • Calendar data: Personal Data contained in connected calendar event details as exposed by Customer's connected calendar providers. Customer may minimize what is mirrored to destination calendars through the privacy controls available in the Service.
  • Booking data: Booking Page and per-link configuration, and booking event data, including times, attendee details, and custom-field responses, which may contain arbitrary Customer-defined Personal Data.
  • Customer-published content: text, images, links, and other content Customer publishes on Booking Pages and similar surfaces.
  • Communications data sent through the Service on Customer's behalf: outbound transactional and service email content to End Users (such as booking confirmations, reminders, and calendar invites).
  • Support communications: messages, transcripts, and attachments exchanged with OneCal's support channel.
  • Device and mobile-application data: data necessary to operate OneCal's mobile applications, such as push notification tokens and device-level preferences.
  • Integration data: payload contents of outbound webhooks delivered to Customer-provided endpoints, and other Personal Data transmitted through Customer's use of OneCal APIs.

Categorías especiales de datos personales

El Servicio no está destinado a, y el Cliente garantiza que no enviará, Categorías especiales de datos personales (Artículo 9 del RGPD) ni datos sujetos a HIPAA o GLBA. En la medida en que se envíen tales datos en infracción de dicha restricción, no forman parte del Tratamiento contemplado por esta DPA.

Frecuencia del Tratamiento

Continua, durante la vigencia del Acuerdo.

Conservación

Según se establece en la Sección 10 de esta DPA y en la Política de Privacidad de OneCal.

Anexo 2 — Medidas técnicas y organizativas

OneCal implementa medidas técnicas y organizativas diseñadas para proteger los Datos personales del Cliente en línea con el Artículo 32 del RGPD, incluyendo: cifrado de los Datos personales en tránsito (TLS) y en reposo; bases de datos de producción privadas y aisladas de la red, alojadas en AWS; controles de acceso basados en roles y el principio de mínimo privilegio para el personal; hashing de identificadores de alto riesgo (claves de API, identificadores de cuenta tras la supresión); verificación de la firma de los webhooks en los eventos entrantes de los proveedores; copias de seguridad cifradas automatizadas; registro de las acciones administrativas relevantes para la seguridad, incluida la suplantación; controles de prevención del abuso, como la limitación de tasa basada en IP y las listas de bloqueo de correos electrónicos desechables; escaneo automatizado de vulnerabilidades de dependencias; un procedimiento documentado de respuesta a incidentes; y la celebración de acuerdos de tratamiento de datos con cada Subencargado.

Una descripción más detallada y actualizada de los controles de seguridad de OneCal se publica en la página de Seguridad de Datos de OneCal y forma parte de las medidas técnicas y organizativas aplicadas a los Datos personales del Cliente en virtud de esta DPA. OneCal puede actualizar los controles descritos en ella periódicamente, siempre que cualquier actualización no reduzca sustancialmente el nivel global de protección de los Datos personales del Cliente.

Anexo 3 — Anexos a las Cláusulas Contractuales Tipo

Este Anexo 3 completa los anexos a las Cláusulas Contractuales Tipo cuando se incorporan en virtud de la Sección 5 de esta DPA.

A. Lista de partes

Exportador de datos: el Cliente, identificado en su Cuenta de OneCal, actuando como Responsable del tratamiento, con los datos de contacto que el Cliente facilite en su Cuenta.

Importador de datos: OneCal SHPK, Rruga Gjon Buzuku, Apartamenti nr.2, Kati 7, Tirana, Albania, actuando como Encargado del tratamiento. Contacto: contact@onecal.io. Representante en la UE: Euverify Ltd, Unit 3D North Point House, North Point Business Park, New Mallow Road, Cork, T23 AT2P, Irlanda. Correo electrónico: gdpr@euverify.com.

B. Descripción de la transferencia

The categories of Data Subjects, categories of Personal Data, special categories of data (none, as set out in Annex 1), nature and purpose of the Processing, frequency, duration, and retention are set out in Annex 1.

C. Autoridad de control competente

Para las transferencias sujetas al RGPD: la Comisión Irlandesa de Protección de Datos (21 Fitzwilliam Square South, Dublin 2, D02 RD28, Irlanda). Para las transferencias sujetas al RGPD del Reino Unido: la Information Commissioner's Office del Reino Unido. Para las transferencias sujetas únicamente a la FADP: el Comisionado Federal Suizo de Protección de Datos e Información.

II. Medidas técnicas y organizativas

Las medidas técnicas y organizativas aplicadas por el importador de datos se establecen en el Anexo 2.

III. Lista de Subencargados

La lista actualizada de Subencargados autorizados se publica en la página de Subencargados de OneCal. Ver la página de Subencargados.