v2026.02.28 Este Anexo de Tratamiento de Datos ("DPA") forma parte del acuerdo entre Giftpack, Inc. ("Giftpack") y el cliente, usuario, socio u organización que envía datos personales a Giftpack o utiliza los servicios de Giftpack ("Cliente"). Este DPA se aplica cuando Giftpack trata datos personales por cuenta del Cliente como encargado, proveedor de servicios, contratista o función similar conforme a las Leyes de Protección de Datos aplicables. Puede aceptarse mediante firma de un formulario de pedido, aceptación de los Términos de Servicio, aceptación en la plataforma, envío de datos de destinatarios, aprobación de una campaña o uso de servicios que impliquen tratamiento por cuenta del Cliente. Un acuerdo de tratamiento de datos firmado por separado prevalecerá sobre este DPA en línea en caso de conflicto.
“Leyes de Protección de Datos” significa las leyes de privacidad, protección de datos y seguridad aplicables al tratamiento de Datos Personales del Cliente, incluidas, según corresponda, el GDPR, UK GDPR, la Ley Federal Suiza de Protección de Datos, CCPA/CPRA y otras leyes aplicables.
“Datos Personales del Cliente” significa datos personales, información personal o datos regulados similares que el Cliente proporciona o pone a disposición de Giftpack para su tratamiento por cuenta del Cliente. “GDPR” significa el Reglamento (UE) 2016/679. “CCPA” significa la California Consumer Privacy Act, modificada por la California Privacy Rights Act y sus reglamentos. Los términos responsable, encargado, empresa, proveedor de servicios, contratista, datos personales, información personal, tratar y titular de datos tendrán el significado previsto en las Leyes de Protección de Datos aplicables.
Respecto de los Datos Personales del Cliente tratados en campañas gestionadas por el Cliente, flujos de destinatarios, cumplimiento de pedidos, administración de la plataforma, informes y servicios relacionados, el Cliente actúa como responsable o empresa y Giftpack actúa como encargado, proveedor de servicios, contratista o función similar. Giftpack puede tratar ciertos datos como responsable o empresa independiente para administración de cuentas, seguridad, prevención de fraude, análisis, cumplimiento legal, mejora del servicio, facturación y operaciones internas conforme a la Política de Privacidad.
Giftpack tratará los Datos Personales del Cliente únicamente conforme a instrucciones documentadas del Cliente, incluidas este DPA, los Términos de Servicio, el formulario de pedido aplicable, la Orden de Campaña, la configuración de la plataforma, las instrucciones enviadas por el Cliente mediante los servicios y otras instrucciones escritas acordadas por las partes, salvo que la ley exija otra cosa. Giftpack informará al Cliente si considera que una instrucción infringe las Leyes de Protección de Datos, salvo prohibición legal.
El objeto, duración, naturaleza, finalidad, categorías de datos personales y categorías de titulares se describen en el Anexo A. El Cliente es responsable de que sus instrucciones sean lícitas y de haber dado los avisos requeridos y obtenido los derechos, permisos, consentimientos y bases legales necesarios para que Giftpack trate los Datos Personales del Cliente.
Giftpack garantizará que el personal autorizado para tratar Datos Personales del Cliente esté sujeto a obligaciones de confidencialidad o deberes profesionales de confidencialidad y reciba instrucciones adecuadas sobre el manejo de datos.
Giftpack implementará y mantendrá medidas técnicas y organizativas apropiadas diseñadas para proteger los Datos Personales del Cliente frente a tratamiento no autorizado o ilícito y pérdida, destrucción, daño, divulgación o acceso accidentales. Las medidas actuales se describen en el Anexo B y en la página de Seguridad de Giftpack. Giftpack puede actualizarlas siempre que no reduzcan materialmente la protección general.
El Cliente autoriza a Giftpack a usar subencargados para prestar y respaldar los servicios. Giftpack impondrá obligaciones escritas de protección de datos sustancialmente similares a las de este DPA, en la medida aplicable. Giftpack seguirá siendo responsable del tratamiento por subencargados en la medida exigida por las Leyes de Protección de Datos. La información sobre subencargados estará disponible previa solicitud o mediante un canal de confianza, seguridad o privacidad. El Cliente puede oponerse a un nuevo subencargado por motivos razonables de protección de datos dentro de un plazo razonable tras recibir aviso, cuando se proporcione aviso.
Giftpack notificará al Cliente sin demora indebida tras conocer un incidente de seguridad confirmado que resulte en destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilícito a Datos Personales del Cliente tratados por cuenta del Cliente. Giftpack proporcionará la información razonablemente disponible para ayudar al Cliente a cumplir sus obligaciones de notificación de brechas. La notificación no constituye admisión de culpa o responsabilidad.
Teniendo en cuenta la naturaleza del tratamiento, Giftpack prestará asistencia razonable al Cliente, mediante medidas técnicas y organizativas apropiadas cuando sea viable, para responder a solicitudes de titulares, consumidores o derechos de privacidad bajo las Leyes de Protección de Datos. Si Giftpack recibe directamente una solicitud de una persona relacionada con Datos Personales del Cliente, podrá remitirla al Cliente salvo que la ley exija responder de otro modo.
Giftpack prestará asistencia razonable al Cliente con evaluaciones de impacto, consultas previas, evaluaciones de ciberseguridad y otras obligaciones de cumplimiento cuando lo exijan las Leyes de Protección de Datos y la asistencia solicitada se relacione con el tratamiento de Datos Personales del Cliente por Giftpack. Giftpack puede cobrar tarifas razonables por asistencia que exceda el soporte estándar, salvo prohibición legal o acuerdo en contrario.
Tras la terminación de los servicios o a solicitud escrita del Cliente, Giftpack eliminará o devolverá los Datos Personales del Cliente conforme al acuerdo, la funcionalidad de la plataforma y la ley aplicable. Giftpack puede conservar datos cuando lo exija la ley o para registros empresariales legítimos, prevención de fraude, seguridad, resolución de disputas, impuestos, contabilidad, cumplimiento o copias de seguridad, siempre que los datos conservados sigan protegidos por este DPA hasta su eliminación.
Giftpack pondrá a disposición información razonablemente necesaria para demostrar cumplimiento de este DPA. Cuando las Leyes de Protección de Datos lo exijan, el Cliente podrá solicitar una auditoría o evaluación de controles relevantes. Las auditorías deberán ser razonables en alcance, frecuencia, momento y confidencialidad, y podrán satisfacerse con informes SOC 2, cuestionarios de seguridad, certificaciones, resúmenes u otra documentación apropiada. Las auditorías presenciales requieren aviso escrito previo, alcance razonable y aprobación de seguridad y confidencialidad de Giftpack.
El Cliente autoriza a Giftpack y sus subencargados a tratar Datos Personales del Cliente en Estados Unidos y otras jurisdicciones donde operen. Cuando los datos se transfieran desde el Espacio Económico Europeo, Reino Unido o Suiza a un país sin nivel adecuado de protección, las partes utilizarán mecanismos de transferencia apropiados, incluidas las Cláusulas Contractuales Tipo, el Addendum del Reino Unido u otros mecanismos lícitos. Las SCC aplicables se incorporan por referencia cuando sean necesarias, con Giftpack como importador de datos y el Cliente como exportador, salvo que los hechos requieran otra configuración.
Cuando aplique la CCPA, Giftpack tratará Datos Personales del Cliente como proveedor de servicios o contratista para los fines comerciales del Anexo A. Giftpack no venderá ni compartirá Datos Personales del Cliente, ni los conservará, usará o divulgará para fines distintos de los especificados en el acuerdo o permitidos por la CCPA, ni fuera de la relación comercial directa con el Cliente salvo lo permitido por la CCPA, ni los combinará con información personal de otras fuentes salvo lo permitido por la CCPA. Giftpack cumplirá las obligaciones aplicables a proveedores de servicios y contratistas y notificará al Cliente si determina que ya no puede cumplirlas.
Giftpack puede tratar datos desidentificados, agregados o anonimizados para análisis, comparativas, mejora de producto, fiabilidad del servicio y operaciones comerciales, siempre que no identifiquen al Cliente ni a ninguna persona y se manejen conforme a la ley aplicable.
Si este DPA entra en conflicto con el acuerdo, este DPA prevalece respecto del tratamiento de Datos Personales del Cliente. Si se requieren SCC y entran en conflicto con este DPA, las SCC prevalecen en la medida exigida por la ley.
| Campo | Detalles |
|---|---|
| Objeto | Prestación por Giftpack de plataforma, regalos, recompensas, sourcing, gestión de campañas, interacción con destinatarios, coordinación de cumplimiento, asignación de donación/impacto, informes, soporte y servicios relacionados. |
| Duración | Durante la vigencia del acuerdo y según sea necesario para retención, supresión, cumplimiento legal, resolución de disputas y copias de seguridad. |
| Naturaleza y Finalidad | Alojar, almacenar, organizar, transmitir, mostrar, analizar, proteger, apoyar, ejecutar, enviar, comunicar, informar, resolver problemas y tratar de otro modo Datos Personales del Cliente para prestar los servicios. |
| Titulares | Administradores del Cliente, usuarios autorizados, empleados, destinatarios, usuarios finales, compradores, donantes, contactos de proveedores, contactos de beneficiarios y otras personas cuyos datos se envíen a Giftpack. |
| Categorías de Datos | Nombre, información de contacto comercial, información de contacto personal cuando se proporcione, dirección de entrega, correo electrónico, teléfono, empresa, cargo, credenciales, información de campaña, preferencias de regalo, mensajes, actividad de canje, detalles de pedido, metadatos de pago, estado de entrega, comunicaciones de soporte, datos de dispositivo/registro y otros datos enviados mediante los servicios. |
| Datos Sensibles | Giftpack no requiere que el Cliente envíe datos personales sensibles salvo soporte y aprobación expresa por escrito. El Cliente no debe enviar datos sensibles salvo autorización bajo el acuerdo y la ley aplicable. |
| Obligaciones del Cliente | El Cliente es responsable de base legal, avisos, permisos, exactitud de datos, elegibilidad de campaña e instrucciones. |
Giftpack mantiene medidas diseñadas para proteger los Datos Personales del Cliente, incluidos controles de infraestructura en la nube, cifrado en tránsito y en reposo, controles de acceso basados en roles, prácticas de mínimo privilegio, obligaciones internas de confidencialidad, concienciación en seguridad, registros y monitoreo, escaneo de vulnerabilidades y pruebas periódicas, procesos de respuesta a incidentes, copias de seguridad y recuperación ante desastres, gestión de cambios, revisión de proveedores y subencargados, y salvaguardas físicas, administrativas y técnicas apropiadas a la naturaleza de los servicios. La página pública de Seguridad de Giftpack ofrece un resumen general y puede actualizarse periódicamente.