Aviso legal
Anexo de protección de datos
Fecha de entrada en vigor: 22 de mayo de 2026 · Última actualización: 22 de mayo de 2026
Este DPA forma parte de las Condiciones del servicio de CATAAM entre TheMarkups Canada Inc. y el Cliente. Se aplica siempre que CATAAM trate Datos personales en nombre del Cliente.
1. Definiciones
A los efectos de este Anexo de protección de datos («DPA»), los siguientes términos tienen el significado que se indica a continuación. Los términos no definidos aquí conservan el significado que se les atribuye en las Condiciones del servicio de CATAAM.
- Responsable del tratamiento — la persona física o jurídica que determina los fines y los medios del Tratamiento de Datos personales. A los efectos de este DPA, el Cliente es el Responsable del tratamiento.
- Encargado del tratamiento — una persona física o jurídica que trata Datos personales por cuenta de un Responsable del tratamiento. A los efectos de este DPA, TheMarkups Canada Inc. (que opera como CATAAM) es el Encargado del tratamiento.
- Datos personales — cualquier información relativa a una persona física identificada o identificable («Interesado»), incluidos nombres, direcciones de correo electrónico, direcciones IP y cualquier otro dato que el Cliente cargue en el Servicio o genere dentro de él.
- Tratamiento — cualquier operación realizada sobre Datos personales, incluida la recopilación, el almacenamiento, la recuperación, el uso, la divulgación, el borrado o la destrucción.
- Subencargado del tratamiento — cualquier tercero contratado por el Encargado del tratamiento para llevar a cabo actividades de Tratamiento por cuenta del Responsable del tratamiento.
- Interesado — una persona física identificada o identificable cuyos Datos personales se tratan en virtud de este DPA.
- Legislación aplicable en materia de protección de datos — todas las leyes y reglamentos aplicables relativos al tratamiento de Datos personales, incluidos, entre otros, el Reglamento General de Protección de Datos 2016/679 de la UE («GDPR»), el UK GDPR, la Ley de protección de la información personal y los documentos electrónicos de Canadá («PIPEDA») y sus equivalentes provinciales aplicables, así como cualquier otra legislación nacional aplicable en materia de protección de datos.
- Cláusulas contractuales tipo («SCCs») — las cláusulas contractuales tipo de la Comisión Europea para la transferencia de Datos personales a terceros países, adoptadas mediante la Decisión de Ejecución (UE) 2021/914 de la Comisión.
- Incidente de seguridad — cualquier violación de seguridad confirmada que ocasione la destrucción, pérdida, alteración, divulgación no autorizada o acceso no autorizado, de forma accidental o ilícita, a Datos personales.
2. Funciones y alcance
Este DPA se aplica a todo Tratamiento de Datos personales realizado por CATAAM en calidad de Encargado del tratamiento en el marco de la prestación del Servicio al Cliente en calidad de Responsable del tratamiento. El Cliente es responsable de la licitud de todos los Datos personales que envíe al Servicio, incluida la garantía de que dispone de una base jurídica válida para el tratamiento conforme a la Legislación aplicable en materia de protección de datos.
Cuando CATAAM trate Datos personales para sus propios fines (p. ej., administración de cuentas, facturación, seguridad de la plataforma), actuará como Responsable del tratamiento y dicho tratamiento se regirá por la Política de privacidad y no por este DPA.
3. Detalles del tratamiento
A continuación se describen las actividades de Tratamiento realizadas en virtud de este DPA:
| Elemento | Detalles |
|---|---|
| Objeto | Prestación al Cliente de la plataforma GRC, iASM y BAS de CATAAM |
| Duración | Durante el plazo de la suscripción del Cliente, más cualquier periodo de conservación posterior a la finalización descrito en la Sección 11 |
| Naturaleza del tratamiento | Recopilación, almacenamiento, recuperación, análisis, visualización, exportación y eliminación de los Datos del Cliente cargados en el Servicio o generados por él |
| Finalidad del tratamiento | Permitir que el Cliente gestione evidencias de cumplimiento, pruebas de auditoría, hallazgos de seguridad y flujos de trabajo relacionados; recopilación automatizada de evidencias a partir de las integraciones conectadas |
| Tipos de Datos personales | Nombres; direcciones de correo electrónico; cargos; direcciones IP; registros de acceso; documentos de evidencia de auditoría; credenciales de integración (cifradas en reposo); cualquier otro Dato personal incluido en los archivos o evidencias cargados por el Cliente |
| Categorías de Interesados | Los empleados, contratistas, auditores y clientes del Cliente (en el caso de cuentas de Partner), así como cualquier persona física mencionada en las evidencias de cumplimiento enviadas al Servicio |
4. Obligaciones del Encargado del tratamiento
CATAAM, en calidad de Encargado del tratamiento, deberá:
- Tratar los Datos personales únicamente conforme a las instrucciones documentadas del Cliente, incluidas las establecidas en este DPA y en las Condiciones del servicio, salvo que la ley aplicable lo exija (en cuyo caso CATAAM informará al Cliente antes del tratamiento, salvo que se le prohíba hacerlo).
- Garantizar que las personas autorizadas a tratar Datos personales estén sujetas a obligaciones de confidencialidad adecuadas.
- Implementar y mantener las medidas de seguridad técnicas y organizativas descritas en la Sección 8.
- Asistir al Cliente, a su costa, en la respuesta a las solicitudes de los Interesados que ejerzan sus derechos conforme a la Legislación aplicable en materia de protección de datos, incluidos el acceso, la rectificación, la supresión, la limitación, la portabilidad y la oposición.
- Notificar al Cliente sin dilación indebida (y, en todo caso, dentro de las 72 horas siguientes a tener conocimiento) de cualquier Incidente de seguridad confirmado que afecte a los Datos personales tratados en virtud de este DPA.
- Poner a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de este DPA y contribuir a las auditorías descritas en la Sección 10.
- A elección del Cliente, eliminar o devolver todos los Datos personales tras la finalización del Servicio, con sujeción a la Sección 11.
- No vender, alquilar ni divulgar Datos personales a ningún tercero para sus propios fines comerciales.
5. Obligaciones del Cliente
El Cliente, en calidad de Responsable del tratamiento, deberá:
- Garantizar que dispone de una base jurídica válida para el tratamiento de cada categoría de Datos personales enviada al Servicio conforme a la Legislación aplicable en materia de protección de datos.
- Proporcionar a CATAAM todas las instrucciones necesarias para realizar el Tratamiento y garantizar que dichas instrucciones sean lícitas.
- Responder con prontitud a las solicitudes de los Interesados que CATAAM le remita y proporcionar a CATAAM cualquier indicación necesaria para atender dichas solicitudes.
- Garantizar que su uso del Servicio cumpla con la Política de uso aceptable y con toda la Legislación aplicable en materia de protección de datos.
- Mantener registros adecuados de las actividades de tratamiento, según lo exigido por el artículo 30 del GDPR o por obligaciones equivalentes.
6. Subencargados del tratamiento
El Cliente otorga a CATAAM una autorización general para contratar Subencargados del tratamiento con el fin de prestar el Servicio. La lista actual de Subencargados del tratamiento de CATAAM se mantiene en cataam.com/legal/sub-processors e incluye:
| Subencargado del tratamiento | Finalidad | Ubicación |
|---|---|---|
| Amazon Web Services (AWS) | Alojamiento en la nube, almacenamiento e infraestructura | Canadá (ca-central-1 principal); conmutación por error en EE. UU. |
| Stripe | Procesamiento de pagos y facturación | Estados Unidos |
| SendGrid (Twilio) | Entrega de correo electrónico transaccional | Estados Unidos |
| Atlassian (Forge) | Cómputo para la integración con Jira (Forge serverless) | Nube de Atlassian (global) |
CATAAM informará al Cliente de cualquier incorporación o sustitución prevista de Subencargados del tratamiento actualizando la lista de subencargados y notificándolo al Cliente por correo electrónico con al menos 14 días de antelación a la entrada en vigor del cambio. El Cliente podrá oponerse a un nuevo Subencargado del tratamiento dentro de ese plazo contactando con privacy@themarkups.com. Si las partes no pueden resolver la objeción, el Cliente podrá rescindir sin penalización la parte afectada del Servicio.
CATAAM garantiza que cada Subencargado del tratamiento esté sujeto a obligaciones de protección de datos al menos equivalentes a las de este DPA.
7. Derechos de los Interesados
Cuando CATAAM reciba una solicitud directamente de un Interesado que ejerza sus derechos conforme a la Legislación aplicable en materia de protección de datos (acceso, rectificación, supresión, limitación, portabilidad, oposición), CATAAM remitirá con prontitud dicha solicitud al Cliente. CATAAM no responderá a tales solicitudes en nombre del Cliente sin instrucción escrita expresa.
CATAAM ofrece los siguientes mecanismos para ayudar al Cliente a atender los derechos de los Interesados:
- Los administradores del Cliente pueden exportar en cualquier momento todos los Datos del Cliente desde la plataforma mediante la función Configuración → Exportación de datos.
- Los administradores del Cliente pueden eliminar de forma permanente cuentas de usuario y los Datos personales asociados mediante el panel Configuración → Miembros.
- Los clientes pueden enviar una solicitud de eliminación a privacy@themarkups.com para los datos no accesibles a través de la interfaz de autoservicio.
8. Medidas de seguridad técnicas y organizativas
CATAAM implementa las siguientes medidas para proteger los Datos personales tratados en virtud de este DPA:
| Categoría | Medida |
|---|---|
| Cifrado en reposo | Cifrado AES-256 para todos los Datos del Cliente almacenados en AWS (RDS, S3) |
| Cifrado en tránsito | TLS 1.2+ obligatorio para todas las conexiones de API y web; HSTS habilitado |
| Control de acceso | Control de acceso basado en roles (RBAC) con privilegio mínimo; autenticación multifactor obligatoria para todo el personal de CATAAM |
| Almacenamiento de credenciales | Secretos de integración (claves de API, secretos de webhook) almacenados como secretos cifrados; nunca registrados en texto plano |
| Seguridad de red | Aislamiento por VPC; subredes privadas para las bases de datos; protección WAF y anti-DDoS en el perímetro |
| Gestión de vulnerabilidades | Análisis continuo de dependencias; pruebas de penetración trimestrales; monitorización ASM de los puntos de conexión de producción |
| Respuesta ante incidentes | Plan documentado de respuesta ante incidentes de seguridad; rotación de guardia; SLA de notificación al Cliente en 72 horas |
| Copias de seguridad | Copias de seguridad cifradas diarias automatizadas conservadas durante 30 días; replicación entre regiones para la recuperación ante desastres |
| Registro de auditoría | Registros de auditoría inmutables para todos los accesos privilegiados y operaciones con datos, conservados durante 12 meses |
| Riesgo de proveedores | Revisión de seguridad anual de todos los Subencargados del tratamiento; obligaciones de seguridad contractuales trasladadas en cascada |
CATAAM revisa y actualiza estas medidas al menos con periodicidad anual y tras cualquier cambio material en la infraestructura o en el panorama de amenazas.
9. Transferencias internacionales de datos
La infraestructura principal de CATAAM está ubicada en Canadá (AWS ca-central-1), país que la Comisión Europea ha reconocido como proveedor de un nivel adecuado de protección de los Datos personales conforme al artículo 45 del GDPR.
Cuando se transfieran Datos personales a Subencargados del tratamiento ubicados en países sin una decisión de adecuación (p. ej., Estados Unidos), CATAAM garantiza que dichas transferencias estén protegidas mediante Cláusulas contractuales tipo (SCCs) adoptadas por la Decisión de Ejecución (UE) 2021/914 de la Comisión, o mediante un mecanismo de transferencia aprobado equivalente.
Para las transferencias desde el Reino Unido, CATAAM se basa en el Acuerdo de Transferencia Internacional de Datos del Reino Unido (IDTA) o en el Anexo del Reino Unido a las SCCs de la UE, según corresponda.
Previa solicitud, CATAAM facilitará al Cliente copias de las SCCs vigentes con los Subencargados del tratamiento pertinentes. Contacto: privacy@themarkups.com.
10. Derechos de auditoría
Previa solicitud por escrito, CATAAM pondrá a disposición del Cliente toda la información razonablemente necesaria para demostrar el cumplimiento de CATAAM con este DPA, incluyendo:
- Resultados resumidos de auditorías de seguridad o pruebas de penetración de terceros (con sujeción a la redacción por confidencialidad)
- Informe SOC 2 Type II, cuando esté disponible
- Respuestas a cuestionarios de seguridad estándar (SIG, CAIQ o equivalente)
Si el Cliente requiere una auditoría in situ o técnica más allá de lo anterior, las partes deberán acordar de antemano el alcance, el calendario y el coste. Las auditorías deberán realizarse con un preaviso razonable (no inferior a 30 días), durante el horario laboral y sin perturbar de forma irrazonable las operaciones de CATAAM. El Cliente asume el coste de cualquier auditoría de este tipo, salvo que la auditoría revele un incumplimiento material de este DPA.
11. Devolución y eliminación de datos
Tras el vencimiento o la finalización de la suscripción del Cliente, CATAAM:
- Conservará los Datos del Cliente en estado de solo lectura durante 90 días para permitir que el Cliente exporte sus datos.
- Eliminará de forma permanente todos los Datos personales del Cliente de los sistemas de producción en un plazo de 30 días tras finalizar el periodo de conservación.
- Eliminará los Datos del Cliente de los sistemas de copia de seguridad en un plazo de 90 días desde la eliminación en producción (la duración del ciclo de rotación de las copias de seguridad).
- Previa solicitud por escrito, facilitará al Cliente una confirmación por escrito de la eliminación.
CATAAM podrá conservar datos anonimizados y agregados derivados de los Datos del Cliente (que no puedan utilizarse para identificar a ninguna persona) con fines de mejora del producto tras la eliminación.
CATAAM también podrá conservar determinados datos cuando lo exija la ley aplicable (p. ej., registros financieros en virtud de la legislación fiscal), en cuyo caso CATAAM informará al Cliente de las categorías y la duración de dicha conservación.
12. Responsabilidad
La responsabilidad de cada parte en virtud de este DPA está sujeta a las limitaciones y exclusiones establecidas en las Condiciones del servicio de CATAAM. Nada en este DPA limita la responsabilidad de ninguna de las partes por fallecimiento o lesiones personales causadas por negligencia, por fraude, ni por cualquier otra responsabilidad que no pueda limitarse conforme a la ley aplicable.
Cuando una Autoridad de control imponga una multa o sanción administrativa derivada de un incumplimiento de la Legislación aplicable en materia de protección de datos, la parte responsable de dicho incumplimiento asumirá el coste de tal sanción.
13. Vigencia y terminación
Este DPA entra en vigor en la fecha en que el Cliente acepta por primera vez las Condiciones del servicio de CATAAM (o, para los clientes existentes, en la Fecha de entrada en vigor del DPA indicada anteriormente) y permanece vigente mientras CATAAM trate Datos personales en nombre del Cliente.
Este DPA termina automáticamente cuando finalizan las Condiciones del servicio subyacentes, salvo que las obligaciones relativas a la eliminación de datos, la confidencialidad y los derechos de auditoría subsisten tras la terminación durante los periodos especificados anteriormente.
14. Ley aplicable
Este DPA se rige por las leyes de la Provincia de Ontario y las leyes federales de Canadá, sin atender a los principios sobre conflicto de leyes, en consonancia con la ley aplicable a las Condiciones del servicio.
No obstante lo anterior, cuando el Cliente esté sujeto al GDPR o al UK GDPR y surja una controversia en relación con dichas obligaciones, las partes acuerdan que los tribunales de Inglaterra y Gales tendrán jurisdicción no exclusiva sobre dicha controversia.
15. Contacto
Las preguntas sobre este DPA, las solicitudes de los interesados o las solicitudes de documentación de auditoría deben dirigirse a:
TheMarkups Canada Inc.
Mississauga, Ontario, Canadá
Correo electrónico: privacy@themarkups.com