Este Acuerdo de Procesamiento de Datos versión 2026-05-12 forma parte del acuerdo entre PYPO y el cliente que usa PYPO. Aplica cuando PYPO procesa datos personales del cliente como procesador en nombre del cliente.
Roles
Para datos de cuenta, facturación, seguridad y administración del servicio del personal de la agencia, PYPO puede actuar como controlador. Para datos de invitados y asistentes de eventos ingresados por el cliente, el cliente es controlador y PYPO es procesador.
Instrucciones de Procesamiento
PYPO procesa datos personales del cliente solo para prestar, proteger, dar soporte y mejorar PYPO; cumplir instrucciones documentadas del cliente; y cumplir obligaciones legales aplicables a PYPO.
Garantía del Cliente
El Cliente garantiza que entregó los avisos de privacidad requeridos y obtuvo cualquier base legal de RGPD Art. 9 / LGPD Art. 11 requerida antes de ingresar datos dietarios, de accesibilidad, salud, menores de 16 u otros datos de categoría especial en el Servicio.
Subprocesadores
El Cliente autoriza a PYPO a usar los subprocesadores listados en la página pública de subprocesadores. PYPO notificará con al menos 30 días de anticipación antes de contratar un nuevo subprocesador, y el único recurso del cliente ante una objeción no resuelta es terminar el Servicio afectado.
Medidas de Seguridad
PYPO mantiene cifrado en tránsito y en reposo, MFA para accesos privilegiados, registros de auditoría, controles de acceso de mínimo privilegio, autorización basada en roles, copias de seguridad e infraestructura de producción residente en la UE.
Incidentes de Seguridad
PYPO notificará al cliente sin demora indebida y a más tardar 24 horas después de confirmar una violación de datos personales que afecte datos personales del cliente.
Derechos de Auditoría
Una vez por año, con aviso razonable y bajo NDA, el cliente puede solicitar información razonablemente necesaria para verificar el cumplimiento de PYPO. PYPO puede satisfacer esto entregando resúmenes de SOC 2, ISO, pruebas de penetración o auditorías equivalentes en lugar de acceso presencial.
Transferencias Internacionales
Cuando datos personales del cliente se transfieran desde el EEE, Reino Unido, Suiza o Brasil a un país sin decisión de adecuación, las partes se basan en las Cláusulas Contractuales Tipo aplicables, certificaciones del Data Privacy Framework o salvaguardas legales equivalentes. El SCC Module 2 aplica cuando un controlador de la UE transfiere datos personales a PYPO como procesador no perteneciente a la UE.
Devolución y Eliminación
Durante el plazo de suscripción, los clientes pueden exportar o eliminar datos a través del Servicio cuando esté disponible. Después de la terminación, PYPO aplica el período de gracia de 90 días y el trabajo automatizado de retención descrito en los Términos, salvo que se requiera conservación legal.
Contacto
Las preguntas sobre este DPA deben enviarse a dpo@pypo.events.