Acuerdo de Procesamiento de Datos (DPA)
Aviso de Traducción
⚠️ AVISO IMPORTANTE: Este documento ha sido traducido del turco. En caso de discrepancia entre esta traducción y la versión original en turco, prevalecerá la versión turca.
Puede encontrar el documento original en turco en: https://evaste.co/tr/legal-center/data-processing-agreement
1. Partes y Definiciones
1.1. Partes
RESPONSABLE DEL TRATAMIENTO:
[Nombre de la empresa]
Dirección: [Dirección de la empresa]
Número fiscal: [Número fiscal]
Persona autorizada: [Nombre]
Correo electrónico: [Dirección de correo]
(en adelante denominado "Responsable del tratamiento" o "Cliente")
ENCARGADO DEL TRATAMIENTO:
Evaste (bajo Group Taiga)
Dirección: Levent, Estambul, Turquía
Persona autorizada: [Nombre de la persona autorizada]
Correo electrónico: dpa@evaste.co
(en adelante denominado "Encargado del tratamiento" o "Evaste")
1.2. Definiciones
"Legislación de protección de datos aplicable": KVKK n.º 6698, RGPD de la UE, Directiva ePrivacy y toda la legislación nacional de implementación relacionada.
"Datos personales": Cualquier información relativa a una persona física identificada o identificable.
"Tratamiento": Cualquier operación realizada sobre datos personales, como recogida, registro, organización, almacenamiento, modificación, transferencia, supresión.
"Responsable del tratamiento": La persona física o jurídica que determina los fines y medios del tratamiento de datos personales.
"Encargado del tratamiento": La persona física o jurídica que trata datos personales por cuenta del responsable del tratamiento.
"Subencargado": Terceros designados por el encargado del tratamiento para realizar parte de las actividades de tratamiento.
"Violación de datos": Destrucción, pérdida, alteración, divulgación no autorizada o acceso a datos personales de forma accidental o ilícita.
"Autoridad de control": Autoridad de protección de datos (KVKK) y/o autoridad de protección de datos del Estado miembro de la UE correspondiente.
"Cláusulas contractuales tipo (CCT)": Cláusulas contractuales tipo aprobadas por la Comisión Europea para transferencias internacionales de datos.
2. Objeto del Contrato
2.1. Ámbito de aplicación
Este Acuerdo de procesamiento de datos ("DPA") es parte integral del contrato de servicios principal ("Contrato principal") celebrado entre el Responsable del tratamiento y el Encargado del tratamiento y regula los derechos y obligaciones de las partes en relación con el tratamiento de datos personales.
2.2. Objetivo
El objetivo de este DPA es:
- Cumplir los requisitos del Artículo 28 del RGPD y KVKK
- Garantizar el tratamiento seguro y legal de los datos personales
- Definir claramente las responsabilidades de las partes
- Proteger los derechos de los interesados
2.3. Prioridad
En caso de conflicto entre el Contrato principal y este DPA, las disposiciones de este DPA prevalecerán en lo que respecta a la protección de datos personales.
3. Naturaleza y Finalidad del Tratamiento
3.1. Finalidad del tratamiento
El Encargado del tratamiento tratará los datos personales por cuenta del Responsable del tratamiento únicamente para los siguientes fines:
- Prestación de servicios de gestión del consentimiento de cookies
- Recogida, almacenamiento e informes de registros de consentimiento
- Servicios de escaneo y categorización de cookies
- Servicios de creación de políticas de privacidad y textos informativos
- Servicios de informes de cumplimiento
- Prestación de soporte al cliente
- Otros servicios en el marco del Contrato principal
3.2. Duración del tratamiento
El tratamiento continuará durante la vigencia del Contrato principal y de acuerdo con las condiciones establecidas en este DPA.
3.3. Naturaleza del tratamiento
Las actividades de tratamiento incluyen:
- Recogida
- Registro
- Organización
- Estructuración
- Almacenamiento
- Adaptación
- Modificación
- Recuperación
- Consulta
- Uso
- Divulgación por transmisión
- Difusión
- Puesta a disposición
- Alineación
- Combinación
- Restricción
- Supresión
- Destrucción
4. Categorías de Datos Personales e Interesados
4.1. Categorías de datos personales tratados
| Categoría | Descripción |
|---|---|
| Datos de identificación | Dirección IP, ID de cookie, ID de dispositivo |
| Datos de consentimiento | Preferencias de consentimiento, marca de tiempo del consentimiento |
| Datos técnicos | Tipo de navegador, sistema operativo |
| Datos de comportamiento | Visitas a páginas, interacciones |
| Datos geográficos | País, región (basado en IP, aproximado) |
4.2. Categorías especiales de datos personales
Las categorías especiales de datos personales (KVKK Art. 6, RGPD Art. 9) no se tratan en el marco de este DPA. El Responsable del tratamiento se compromete a no recoger dichos datos a través de los servicios de Evaste.
4.3. Categorías de interesados
Los datos personales tratados pertenecen a:
- Visitantes del sitio web del Responsable del tratamiento
- Usuarios de la aplicación móvil del Responsable del tratamiento
- Clientes y clientes potenciales del Responsable del tratamiento
4.4. Volumen de tratamiento
El volumen estimado de registros tratados varía según el plan de suscripción especificado en el Contrato principal.
5. Obligaciones del Encargado del Tratamiento
El Encargado del tratamiento asume las siguientes obligaciones:
5.1. Cumplimiento de instrucciones
- Tratar los datos personales únicamente conforme a las instrucciones escritas del Responsable del tratamiento.
- Informar inmediatamente al Responsable del tratamiento si una instrucción viola la legislación de protección de datos aplicable.
- El Contrato principal y este DPA constituyen instrucciones escritas válidas.
5.2. Confidencialidad
- Garantizar que el personal con acceso a datos personales esté sujeto a obligación de confidencialidad.
- Garantizar que el personal solo acceda a los datos necesarios para realizar sus tareas.
5.3. Medidas de seguridad
- Implementar las medidas de seguridad técnicas y organizativas apropiadas conforme al Artículo 32 del RGPD.
- Evaluar regularmente la adecuación de las medidas de seguridad.
- Las medidas de seguridad se detallan en el Anexo A.
5.4. Uso de subencargados
- No utilizar subencargados sin la autorización previa por escrito del Responsable del tratamiento.
- Celebrar contratos escritos con los subencargados que contengan obligaciones equivalentes de protección de datos.
5.5. Solicitudes de los interesados
- Asistir al Responsable del tratamiento para responder a las solicitudes de los interesados.
- Remitir al Responsable del tratamiento las solicitudes recibidas directamente.
5.6. Notificación de violación de datos
- Informar al Responsable del tratamiento sin demora (en un plazo de 24 horas) sobre violaciones de datos.
- Proporcionar toda la información y documentación relativa a la violación.
5.7. Apoyo a auditorías
- Responder a las solicitudes de auditoría razonables del Responsable del tratamiento o su representante autorizado.
- Cooperar en las investigaciones de la autoridad de control.
5.8. Fin del contrato
- Al finalizar el contrato, devolver o destruir los datos personales conforme a las instrucciones del Responsable del tratamiento.
- Las obligaciones legales de conservación quedan reservadas.
6. Obligaciones del Responsable del Tratamiento
El Responsable del tratamiento asume las siguientes obligaciones:
6.1. Legalidad
- Declara y garantiza que dispone de una base jurídica válida para la recogida y uso de datos personales.
- Declara que ha informado debidamente a los interesados y/u obtenido los consentimientos necesarios.
6.2. Legalidad de las instrucciones
- Garantiza que las instrucciones dadas al Encargado del tratamiento cumplen con la legislación de protección de datos aplicable.
- Es responsabilidad del Responsable del tratamiento asegurar que los servicios de gestión del consentimiento de cookies de Evaste cumplan los requisitos legales.
6.3. Información
- Proporcionar a los usuarios finales avisos de privacidad apropiados sobre el tratamiento de datos a través de los servicios de Evaste.
- Divulgar Evaste o los subencargados relevantes en la política de cookies.
6.4. Exactitud de los datos
- Asegurar que los datos personales proporcionados a Evaste sean exactos y estén actualizados.
- Actualizar los datos cuando sea necesario.
7. Uso de Subencargados
7.1. Autorización general
El Responsable del tratamiento otorga su consentimiento previo al uso de los subencargados enumerados en el Anexo B (autorización escrita general).
7.2. Notificación de nuevo subencargado
- Evaste notificará al Responsable del tratamiento por escrito con al menos 30 (treinta) días de antelación antes de añadir un nuevo subencargado.
- La notificación se enviará a la dirección de correo electrónico registrada del Responsable del tratamiento.
- La lista actual de subencargados se publica en https://evaste.co/legal-center/sub-processors.
7.3. Derecho de oposición
- El Responsable del tratamiento puede oponerse a un nuevo subencargado con motivos razonables en un plazo de 15 (quince) días.
- En caso de oposición, las partes negociarán de buena fe.
- Si no se encuentra una solución, el Responsable del tratamiento puede rescindir el contrato.
7.4. Contratos con subencargados
- Evaste celebrará contratos escritos con los subencargados que contengan obligaciones equivalentes a las de este DPA.
- Evaste sigue siendo responsable ante el Responsable del tratamiento por los actos de los subencargados.
8. Transferencia Internacional de Datos
8.1. Transferencia fuera del EEE
En caso de transferencia de datos personales fuera del Espacio Económico Europeo (EEE):
(a) Decisión de adecuación
Se permite la transferencia a países con decisión de adecuación de la Comisión Europea.
(b) Cláusulas contractuales tipo (CCT)
Se aplicarán las CCT adoptadas por la Comisión Europea el 4 de junio de 2021 (adjuntas como Anexo C).
(c) Medidas adicionales
Se tomarán las medidas técnicas y organizativas adicionales requeridas conforme a la sentencia Schrems II.
8.2. Evaluación de impacto de la transferencia
- Evaste ha realizado evaluaciones de impacto de la transferencia (TIA) para transferencias a EE.UU. u otros terceros países.
- Los resultados de la TIA pueden compartirse con el Responsable del tratamiento a petición.
8.3. Transferencia desde Turquía
Conforme al Artículo 9 de KVKK para transferencias al extranjero, se aplicará el método apropiado entre los siguientes:
- Transferencia a países con protección adecuada
- Transferencia con contrato que garantice protección adecuada
- Transferencia con consentimiento explícito
9. Medidas de Seguridad
9.1. Medidas técnicas
Evaste implementa las siguientes medidas de seguridad técnicas:
(a) Cifrado
- En tránsito: TLS 1.3
- En reposo: AES-256
(b) Control de acceso
- Control de acceso basado en roles (RBAC)
- Autenticación multifactor (MFA)
- Principio de mínimo privilegio
(c) Seguridad de red
- Firewall de aplicaciones web (WAF)
- Sistemas IDS/IPS
- Protección DDoS
(d) Seguridad de aplicaciones
- Protección OWASP Top 10
- Escaneos de seguridad regulares
- Pruebas de penetración
9.2. Medidas organizativas
- Acuerdos de confidencialidad (todo el personal)
- Formación en concienciación sobre seguridad
- Procedimientos de autorización de acceso
- Planes de respuesta a incidentes
9.3. Evaluación de medidas de seguridad
- Las medidas de seguridad se revisan anualmente.
- Actualización según la evaluación de riesgos.
- Verificación mediante auditorías independientes.
10. Derechos de Auditoría
10.1. Alcance de la auditoría
El Responsable del tratamiento tiene derecho a realizar auditorías para verificar el cumplimiento de las obligaciones de este DPA.
10.2. Notificación de auditoría
- Las solicitudes de auditoría deben notificarse por escrito con al menos 30 (treinta) días de antelación.
- El alcance y la duración de la auditoría deben determinarse previamente.
- Las auditorías deben realizarse durante el horario laboral normal.
10.3. Métodos de auditoría
(a) Auditoría presencial
- Por el Responsable del tratamiento o su representante autorizado
- Por un auditor independiente
- Los costes razonables serán asumidos por el Responsable del tratamiento
(b) Auditoría remota
- Revisión de informes de seguridad y certificados
- Sesiones de preguntas y respuestas
- Intercambio de documentación
10.4. Informes de auditoría disponibles
Evaste puede proporcionar los siguientes informes de auditoría a petición:
- Informe SOC 2 Tipo II
- Certificado ISO 27001
- Informe resumido de pruebas de penetración
10.5. Confidencialidad
La información obtenida durante el proceso de auditoría se tratará de forma confidencial y se utilizará únicamente con fines de evaluación del cumplimiento.
11. Solicitudes de los Interesados
11.1. Remisión de solicitudes
- Las solicitudes de los interesados recibidas directamente por Evaste se remitirán al Responsable del tratamiento sin verificación de identidad.
- Evaste informará inmediatamente al Responsable del tratamiento.
11.2. Obligación de apoyo
Evaste ayudará al Responsable del tratamiento a responder a las solicitudes relativas a los siguientes derechos:
- Derecho de acceso
- Derecho de rectificación
- Derecho de supresión ("derecho al olvido")
- Derecho a la limitación del tratamiento
- Derecho a la portabilidad de datos
- Derecho de oposición
11.3. Plazos de respuesta
Evaste proporcionará el soporte técnico necesario para cumplir con las solicitudes de los interesados en un plazo de 10 (diez) días hábiles.
11.4. Capacidades técnicas
La plataforma Evaste ofrece las siguientes funcionalidades de autoservicio:
- Exportación de registros de consentimiento
- Supresión de datos de visitantes específicos
- Informes de acceso a datos
12. Notificación de Violación de Datos
12.1. Definición
En el marco de este DPA, "Violación de datos" significa la destrucción, pérdida, alteración, divulgación no autorizada o acceso a datos personales tratados por Evaste de forma accidental o ilícita.
12.2. Plazo de notificación
- Evaste informará al Responsable del tratamiento en un plazo de 24 (veinticuatro) horas desde el conocimiento de la violación de datos.
- Notificación a: dpa@evaste.co y la dirección de correo electrónico registrada del Responsable del tratamiento.
12.3. Contenido de la notificación
La notificación inicial incluirá la siguiente información:
- Naturaleza de la violación
- Categorías de datos afectados
- Número estimado de registros afectados
- Primeras conclusiones y medidas inmediatas adoptadas
- Punto de contacto
12.4. Informe detallado
En un plazo de 72 horas desde la notificación inicial, se proporcionará un informe detallado que contenga:
- Cronología de la violación
- Análisiş de la causa raíz
- Evaluación de las posibles consecuencias
- Medidas correctivas adoptadas y previstas
- Lista completa de los datos afectados (si es posible)
12.5. Cooperación
Evaste:
- Cooperará plenamente con el Responsable del tratamiento en la investigación de la violación.
- Proporcionará la información necesaria para la notificación a las autoridades de control.
- Prestará apoyo para la notificación a los interesados afectados.
13. Duración y Terminación del Contrato
13.1. Duración
Este DPA es válido durante toda la vigencia del Contrato principal.
13.2. Terminación
- Este DPA termina automáticamente con la terminación del Contrato principal.
- En caso de incumplimiento grave, cualquiera de las partes puede rescindir con un preaviso escrito de 30 días.
13.3. Obligaciones subsistentes
Tras la terminación, subsisten las siguientes obligaciones:
- Obligaciones de confidencialidad (indefinidamente)
- Obligaciones de destrucción/devolución de datos (en un plazo de 90 días)
- Obligaciones legales de conservación (durante el período correspondiente)
14. Destrucción de Datos al Finalizar el Contrato
14.1. Opciones de devolución/destrucción de datos
Al finalizar el contrato, según las instrucciones del Responsable del tratamiento:
(a) Devolución de datos
- Transferencia de datos en formato común (CSV, JSON)
- Métodos de transferencia seguros
- Finalización en un plazo de 30 días
(b) Destrucción de datos
- Métodos de eliminación seguros
- Conforme a los estándares NIST
- Provisión de certificado de destrucción
14.2. Excepciones de conservación
Los datos pueden conservarse hasta el final del período legal en los siguientes casos:
- Requisitos de la legislación fiscal
- Procedimientos judiciales activos
- Solicitudes de la autoridad de control
14.3. Certificado de destrucción
Una vez completada la destrucción de datos, Evaste proporcionará un certificado escrito indicando los datos destruidos y los métodos utilizados.
15. Responsabilidad e Indemnización
15.1. Distribución de responsabilidad
- Cada parte es responsable de los daños derivados del incumplimiento de sus propias obligaciones.
- El Encargado del tratamiento solo es responsable en la medida en que no haya actuado conforme a las instrucciones dadas o haya violado las obligaciones impuestas directamente al Encargado del tratamiento por el RGPD.
15.2. Indemnización
- Las partes se indemnizarán mutuamente por las multas administrativas y las reclamaciones de los interesados derivadas de infracciones de la legislación de protección de datos aplicable.
- Las reclamaciones de indemnización se determinarán según la gravedad de la culpa.
15.3. Limitación de responsabilidad
Las limitaciones de responsabilidad del Contrato principal también se aplican a este DPA; sin embargo:
- No se aplica en caso de dolo o negligencia grave.
- No se aplica en los casos limitados por la normativa.
16. Confidencialidad
16.1. Obligación de confidencialidad
- Las partes mantendrán confidencial toda la información obtenida en el marco de este DPA.
- La información confidencial solo se utilizará para fines contractuales.
16.2. Excepciones
La obligación de confidencialidad no se aplica en los siguientes casos:
- Información de dominio público
- Información divulgada por obligación legal
- Información compartida con autorización previa por escrito
16.3. Duración
Las obligaciones de confidencialidad se aplican durante la vigencia del contrato e indefinidamente después.
17. Disposiciones Generales
17.1. Ley aplicable
Este DPA se rige por las leyes de la República de Turquía. Para las actividades de tratamiento en el ámbito del RGPD, también se aplica la legislación de protección de datos de la UE.
17.2. Jurisdicción
Los tribunales y oficinas de ejecución de Estambul son competentes para las disputas.
17.3. Modificaciones
- Las modificaciones de este DPA deben realizarse por escrito.
- Las actualizaciones necesarias debido a cambios normativos se aplicarán inmediatamente.
17.4. Divisibilidad
La invalidez de una disposición no afecta a la validez de las demás disposiciones.
17.5. No renuncia
El hecho de no ejercer un derecho no constituye una renuncia a ese derecho.
17.6. Acuerdo completo
Este DPA y sus anexos constituyen el acuerdo completo sobre el tratamiento de datos personales.
18. Anexos
Los anexos que forman parte integral de este DPA:
Anexo A: Medidas de seguridad técnicas y organizativas
Anexo B: Lista de subencargados aprobados
Anexo C: Cláusulas contractuales tipo de la UE (CCT)
ANEXO A: MEDIDAS DE SEGURIDAD
MEDIDAS TÉCNICAS:
1. Cifrado
- TLS 1.3 (tránsito)
- AES-256 (almacenamiento)
- bcrypt/Argon2 (hash de contraseñas)
2. Control de acceso
- RBAC
- MFA obligatorio
- Gestión de sesiones
3. Seguridad de red
- WAF
- IDS/IPS
- Protección DDoS
4. Copia de seguridad
- Copia de seguridad diaria
- Copias de seguridad cifradas
- Distribución geográfica
MEDIDAS ORGANIZATIVAS:
1. Personal
- Acuerdos de confidencialidad
- Formación en seguridad
- Verificación de antecedentes
2. Procedimientos
- Plan de respuesta a incidentes
- Gestión de cambios
- Autorización de acceso
3. Auditoría
- Prueba de penetración anual
- SOC 2 Tipo II
- Cumplimiento ISO 27001
ANEXO B: SUBENCARGADOS
Ver archivo ALT_ISVERENLER_LISTESI.txt.
ANEXO C: CLÁUSULAS CONTRACTUALES TIPO
Las cláusulas contractuales tipo conforme a la Decisión de Ejecución (UE) 2021/914 de la Comisión Europea de 4 de junio de 2021 están incluidas en este DPA.
Texto completo de las CCT: https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj
Módulo seleccionado: Módulo 2 (Responsable del tratamiento → Encargado del tratamiento)
Este Acuerdo de procesamiento de datos entró en vigor el 12 de enero de 2026.
© 2026 Evaste (Group Taiga). Todos los derechos reservados.
Información de Contacto
Evaste (Group Taiga)
Dirección: Levent, Estambul, Turquía
Consultas DPA: dpa@evaste.co
Delegado de protección de datos: dpo@evaste.co
General: info@evaste.co
Web: https://evaste.co
Acuerdo de Procesamiento de Datos (DPA)
Aviso de Traducción
⚠️ AVISO IMPORTANTE: Este documento ha sido traducido del turco. En caso de discrepancia entre esta traducción y la versión original en turco, prevalecerá la versión turca.
Puede encontrar el documento original en turco en: https://evaste.co/tr/legal-center/data-processing-agreement
1. Partes y Definiciones
1.1. Partes
RESPONSABLE DEL TRATAMIENTO:
[Nombre de la empresa]
Dirección: [Dirección de la empresa]
Número fiscal: [Número fiscal]
Persona autorizada: [Nombre]
Correo electrónico: [Dirección de correo]
(en adelante denominado "Responsable del tratamiento" o "Cliente")
ENCARGADO DEL TRATAMIENTO:
Evaste (bajo Group Taiga)
Dirección: Levent, Estambul, Turquía
Persona autorizada: [Nombre de la persona autorizada]
Correo electrónico: dpa@evaste.co
(en adelante denominado "Encargado del tratamiento" o "Evaste")
1.2. Definiciones
"Legislación de protección de datos aplicable": KVKK n.º 6698, RGPD de la UE, Directiva ePrivacy y toda la legislación nacional de implementación relacionada.
"Datos personales": Cualquier información relativa a una persona física identificada o identificable.
"Tratamiento": Cualquier operación realizada sobre datos personales, como recogida, registro, organización, almacenamiento, modificación, transferencia, supresión.
"Responsable del tratamiento": La persona física o jurídica que determina los fines y medios del tratamiento de datos personales.
"Encargado del tratamiento": La persona física o jurídica que trata datos personales por cuenta del responsable del tratamiento.
"Subencargado": Terceros designados por el encargado del tratamiento para realizar parte de las actividades de tratamiento.
"Violación de datos": Destrucción, pérdida, alteración, divulgación no autorizada o acceso a datos personales de forma accidental o ilícita.
"Autoridad de control": Autoridad de protección de datos (KVKK) y/o autoridad de protección de datos del Estado miembro de la UE correspondiente.
"Cláusulas contractuales tipo (CCT)": Cláusulas contractuales tipo aprobadas por la Comisión Europea para transferencias internacionales de datos.
2. Objeto del Contrato
2.1. Ámbito de aplicación
Este Acuerdo de procesamiento de datos ("DPA") es parte integral del contrato de servicios principal ("Contrato principal") celebrado entre el Responsable del tratamiento y el Encargado del tratamiento y regula los derechos y obligaciones de las partes en relación con el tratamiento de datos personales.
2.2. Objetivo
El objetivo de este DPA es:
- Cumplir los requisitos del Artículo 28 del RGPD y KVKK
- Garantizar el tratamiento seguro y legal de los datos personales
- Definir claramente las responsabilidades de las partes
- Proteger los derechos de los interesados
2.3. Prioridad
En caso de conflicto entre el Contrato principal y este DPA, las disposiciones de este DPA prevalecerán en lo que respecta a la protección de datos personales.
3. Naturaleza y Finalidad del Tratamiento
3.1. Finalidad del tratamiento
El Encargado del tratamiento tratará los datos personales por cuenta del Responsable del tratamiento únicamente para los siguientes fines:
- Prestación de servicios de gestión del consentimiento de cookies
- Recogida, almacenamiento e informes de registros de consentimiento
- Servicios de escaneo y categorización de cookies
- Servicios de creación de políticas de privacidad y textos informativos
- Servicios de informes de cumplimiento
- Prestación de soporte al cliente
- Otros servicios en el marco del Contrato principal
3.2. Duración del tratamiento
El tratamiento continuará durante la vigencia del Contrato principal y de acuerdo con las condiciones establecidas en este DPA.
3.3. Naturaleza del tratamiento
Las actividades de tratamiento incluyen:
- Recogida
- Registro
- Organización
- Estructuración
- Almacenamiento
- Adaptación
- Modificación
- Recuperación
- Consulta
- Uso
- Divulgación por transmisión
- Difusión
- Puesta a disposición
- Alineación
- Combinación
- Restricción
- Supresión
- Destrucción
4. Categorías de Datos Personales e Interesados
4.1. Categorías de datos personales tratados
| Categoría | Descripción |
|---|---|
| Datos de identificación | Dirección IP, ID de cookie, ID de dispositivo |
| Datos de consentimiento | Preferencias de consentimiento, marca de tiempo del consentimiento |
| Datos técnicos | Tipo de navegador, sistema operativo |
| Datos de comportamiento | Visitas a páginas, interacciones |
| Datos geográficos | País, región (basado en IP, aproximado) |
4.2. Categorías especiales de datos personales
Las categorías especiales de datos personales (KVKK Art. 6, RGPD Art. 9) no se tratan en el marco de este DPA. El Responsable del tratamiento se compromete a no recoger dichos datos a través de los servicios de Evaste.
4.3. Categorías de interesados
Los datos personales tratados pertenecen a:
- Visitantes del sitio web del Responsable del tratamiento
- Usuarios de la aplicación móvil del Responsable del tratamiento
- Clientes y clientes potenciales del Responsable del tratamiento
4.4. Volumen de tratamiento
El volumen estimado de registros tratados varía según el plan de suscripción especificado en el Contrato principal.
5. Obligaciones del Encargado del Tratamiento
El Encargado del tratamiento asume las siguientes obligaciones:
5.1. Cumplimiento de instrucciones
- Tratar los datos personales únicamente conforme a las instrucciones escritas del Responsable del tratamiento.
- Informar inmediatamente al Responsable del tratamiento si una instrucción viola la legislación de protección de datos aplicable.
- El Contrato principal y este DPA constituyen instrucciones escritas válidas.
5.2. Confidencialidad
- Garantizar que el personal con acceso a datos personales esté sujeto a obligación de confidencialidad.
- Garantizar que el personal solo acceda a los datos necesarios para realizar sus tareas.
5.3. Medidas de seguridad
- Implementar las medidas de seguridad técnicas y organizativas apropiadas conforme al Artículo 32 del RGPD.
- Evaluar regularmente la adecuación de las medidas de seguridad.
- Las medidas de seguridad se detallan en el Anexo A.
5.4. Uso de subencargados
- No utilizar subencargados sin la autorización previa por escrito del Responsable del tratamiento.
- Celebrar contratos escritos con los subencargados que contengan obligaciones equivalentes de protección de datos.
5.5. Solicitudes de los interesados
- Asistir al Responsable del tratamiento para responder a las solicitudes de los interesados.
- Remitir al Responsable del tratamiento las solicitudes recibidas directamente.
5.6. Notificación de violación de datos
- Informar al Responsable del tratamiento sin demora (en un plazo de 24 horas) sobre violaciones de datos.
- Proporcionar toda la información y documentación relativa a la violación.
5.7. Apoyo a auditorías
- Responder a las solicitudes de auditoría razonables del Responsable del tratamiento o su representante autorizado.
- Cooperar en las investigaciones de la autoridad de control.
5.8. Fin del contrato
- Al finalizar el contrato, devolver o destruir los datos personales conforme a las instrucciones del Responsable del tratamiento.
- Las obligaciones legales de conservación quedan reservadas.
6. Obligaciones del Responsable del Tratamiento
El Responsable del tratamiento asume las siguientes obligaciones:
6.1. Legalidad
- Declara y garantiza que dispone de una base jurídica válida para la recogida y uso de datos personales.
- Declara que ha informado debidamente a los interesados y/u obtenido los consentimientos necesarios.
6.2. Legalidad de las instrucciones
- Garantiza que las instrucciones dadas al Encargado del tratamiento cumplen con la legislación de protección de datos aplicable.
- Es responsabilidad del Responsable del tratamiento asegurar que los servicios de gestión del consentimiento de cookies de Evaste cumplan los requisitos legales.
6.3. Información
- Proporcionar a los usuarios finales avisos de privacidad apropiados sobre el tratamiento de datos a través de los servicios de Evaste.
- Divulgar Evaste o los subencargados relevantes en la política de cookies.
6.4. Exactitud de los datos
- Asegurar que los datos personales proporcionados a Evaste sean exactos y estén actualizados.
- Actualizar los datos cuando sea necesario.
7. Uso de Subencargados
7.1. Autorización general
El Responsable del tratamiento otorga su consentimiento previo al uso de los subencargados enumerados en el Anexo B (autorización escrita general).
7.2. Notificación de nuevo subencargado
- Evaste notificará al Responsable del tratamiento por escrito con al menos 30 (treinta) días de antelación antes de añadir un nuevo subencargado.
- La notificación se enviará a la dirección de correo electrónico registrada del Responsable del tratamiento.
- La lista actual de subencargados se publica en https://evaste.co/legal-center/sub-processors.
7.3. Derecho de oposición
- El Responsable del tratamiento puede oponerse a un nuevo subencargado con motivos razonables en un plazo de 15 (quince) días.
- En caso de oposición, las partes negociarán de buena fe.
- Si no se encuentra una solución, el Responsable del tratamiento puede rescindir el contrato.
7.4. Contratos con subencargados
- Evaste celebrará contratos escritos con los subencargados que contengan obligaciones equivalentes a las de este DPA.
- Evaste sigue siendo responsable ante el Responsable del tratamiento por los actos de los subencargados.
8. Transferencia Internacional de Datos
8.1. Transferencia fuera del EEE
En caso de transferencia de datos personales fuera del Espacio Económico Europeo (EEE):
(a) Decisión de adecuación
Se permite la transferencia a países con decisión de adecuación de la Comisión Europea.
(b) Cláusulas contractuales tipo (CCT)
Se aplicarán las CCT adoptadas por la Comisión Europea el 4 de junio de 2021 (adjuntas como Anexo C).
(c) Medidas adicionales
Se tomarán las medidas técnicas y organizativas adicionales requeridas conforme a la sentencia Schrems II.
8.2. Evaluación de impacto de la transferencia
- Evaste ha realizado evaluaciones de impacto de la transferencia (TIA) para transferencias a EE.UU. u otros terceros países.
- Los resultados de la TIA pueden compartirse con el Responsable del tratamiento a petición.
8.3. Transferencia desde Turquía
Conforme al Artículo 9 de KVKK para transferencias al extranjero, se aplicará el método apropiado entre los siguientes:
- Transferencia a países con protección adecuada
- Transferencia con contrato que garantice protección adecuada
- Transferencia con consentimiento explícito
9. Medidas de Seguridad
9.1. Medidas técnicas
Evaste implementa las siguientes medidas de seguridad técnicas:
(a) Cifrado
- En tránsito: TLS 1.3
- En reposo: AES-256
(b) Control de acceso
- Control de acceso basado en roles (RBAC)
- Autenticación multifactor (MFA)
- Principio de mínimo privilegio
(c) Seguridad de red
- Firewall de aplicaciones web (WAF)
- Sistemas IDS/IPS
- Protección DDoS
(d) Seguridad de aplicaciones
- Protección OWASP Top 10
- Escaneos de seguridad regulares
- Pruebas de penetración
9.2. Medidas organizativas
- Acuerdos de confidencialidad (todo el personal)
- Formación en concienciación sobre seguridad
- Procedimientos de autorización de acceso
- Planes de respuesta a incidentes
9.3. Evaluación de medidas de seguridad
- Las medidas de seguridad se revisan anualmente.
- Actualización según la evaluación de riesgos.
- Verificación mediante auditorías independientes.
10. Derechos de Auditoría
10.1. Alcance de la auditoría
El Responsable del tratamiento tiene derecho a realizar auditorías para verificar el cumplimiento de las obligaciones de este DPA.
10.2. Notificación de auditoría
- Las solicitudes de auditoría deben notificarse por escrito con al menos 30 (treinta) días de antelación.
- El alcance y la duración de la auditoría deben determinarse previamente.
- Las auditorías deben realizarse durante el horario laboral normal.
10.3. Métodos de auditoría
(a) Auditoría presencial
- Por el Responsable del tratamiento o su representante autorizado
- Por un auditor independiente
- Los costes razonables serán asumidos por el Responsable del tratamiento
(b) Auditoría remota
- Revisión de informes de seguridad y certificados
- Sesiones de preguntas y respuestas
- Intercambio de documentación
10.4. Informes de auditoría disponibles
Evaste puede proporcionar los siguientes informes de auditoría a petición:
- Informe SOC 2 Tipo II
- Certificado ISO 27001
- Informe resumido de pruebas de penetración
10.5. Confidencialidad
La información obtenida durante el proceso de auditoría se tratará de forma confidencial y se utilizará únicamente con fines de evaluación del cumplimiento.
11. Solicitudes de los Interesados
11.1. Remisión de solicitudes
- Las solicitudes de los interesados recibidas directamente por Evaste se remitirán al Responsable del tratamiento sin verificación de identidad.
- Evaste informará inmediatamente al Responsable del tratamiento.
11.2. Obligación de apoyo
Evaste ayudará al Responsable del tratamiento a responder a las solicitudes relativas a los siguientes derechos:
- Derecho de acceso
- Derecho de rectificación
- Derecho de supresión ("derecho al olvido")
- Derecho a la limitación del tratamiento
- Derecho a la portabilidad de datos
- Derecho de oposición
11.3. Plazos de respuesta
Evaste proporcionará el soporte técnico necesario para cumplir con las solicitudes de los interesados en un plazo de 10 (diez) días hábiles.
11.4. Capacidades técnicas
La plataforma Evaste ofrece las siguientes funcionalidades de autoservicio:
- Exportación de registros de consentimiento
- Supresión de datos de visitantes específicos
- Informes de acceso a datos
12. Notificación de Violación de Datos
12.1. Definición
En el marco de este DPA, "Violación de datos" significa la destrucción, pérdida, alteración, divulgación no autorizada o acceso a datos personales tratados por Evaste de forma accidental o ilícita.
12.2. Plazo de notificación
- Evaste informará al Responsable del tratamiento en un plazo de 24 (veinticuatro) horas desde el conocimiento de la violación de datos.
- Notificación a: dpa@evaste.co y la dirección de correo electrónico registrada del Responsable del tratamiento.
12.3. Contenido de la notificación
La notificación inicial incluirá la siguiente información:
- Naturaleza de la violación
- Categorías de datos afectados
- Número estimado de registros afectados
- Primeras conclusiones y medidas inmediatas adoptadas
- Punto de contacto
12.4. Informe detallado
En un plazo de 72 horas desde la notificación inicial, se proporcionará un informe detallado que contenga:
- Cronología de la violación
- Análisiş de la causa raíz
- Evaluación de las posibles consecuencias
- Medidas correctivas adoptadas y previstas
- Lista completa de los datos afectados (si es posible)
12.5. Cooperación
Evaste:
- Cooperará plenamente con el Responsable del tratamiento en la investigación de la violación.
- Proporcionará la información necesaria para la notificación a las autoridades de control.
- Prestará apoyo para la notificación a los interesados afectados.
13. Duración y Terminación del Contrato
13.1. Duración
Este DPA es válido durante toda la vigencia del Contrato principal.
13.2. Terminación
- Este DPA termina automáticamente con la terminación del Contrato principal.
- En caso de incumplimiento grave, cualquiera de las partes puede rescindir con un preaviso escrito de 30 días.
13.3. Obligaciones subsistentes
Tras la terminación, subsisten las siguientes obligaciones:
- Obligaciones de confidencialidad (indefinidamente)
- Obligaciones de destrucción/devolución de datos (en un plazo de 90 días)
- Obligaciones legales de conservación (durante el período correspondiente)
14. Destrucción de Datos al Finalizar el Contrato
14.1. Opciones de devolución/destrucción de datos
Al finalizar el contrato, según las instrucciones del Responsable del tratamiento:
(a) Devolución de datos
- Transferencia de datos en formato común (CSV, JSON)
- Métodos de transferencia seguros
- Finalización en un plazo de 30 días
(b) Destrucción de datos
- Métodos de eliminación seguros
- Conforme a los estándares NIST
- Provisión de certificado de destrucción
14.2. Excepciones de conservación
Los datos pueden conservarse hasta el final del período legal en los siguientes casos:
- Requisitos de la legislación fiscal
- Procedimientos judiciales activos
- Solicitudes de la autoridad de control
14.3. Certificado de destrucción
Una vez completada la destrucción de datos, Evaste proporcionará un certificado escrito indicando los datos destruidos y los métodos utilizados.
15. Responsabilidad e Indemnización
15.1. Distribución de responsabilidad
- Cada parte es responsable de los daños derivados del incumplimiento de sus propias obligaciones.
- El Encargado del tratamiento solo es responsable en la medida en que no haya actuado conforme a las instrucciones dadas o haya violado las obligaciones impuestas directamente al Encargado del tratamiento por el RGPD.
15.2. Indemnización
- Las partes se indemnizarán mutuamente por las multas administrativas y las reclamaciones de los interesados derivadas de infracciones de la legislación de protección de datos aplicable.
- Las reclamaciones de indemnización se determinarán según la gravedad de la culpa.
15.3. Limitación de responsabilidad
Las limitaciones de responsabilidad del Contrato principal también se aplican a este DPA; sin embargo:
- No se aplica en caso de dolo o negligencia grave.
- No se aplica en los casos limitados por la normativa.
16. Confidencialidad
16.1. Obligación de confidencialidad
- Las partes mantendrán confidencial toda la información obtenida en el marco de este DPA.
- La información confidencial solo se utilizará para fines contractuales.
16.2. Excepciones
La obligación de confidencialidad no se aplica en los siguientes casos:
- Información de dominio público
- Información divulgada por obligación legal
- Información compartida con autorización previa por escrito
16.3. Duración
Las obligaciones de confidencialidad se aplican durante la vigencia del contrato e indefinidamente después.
17. Disposiciones Generales
17.1. Ley aplicable
Este DPA se rige por las leyes de la República de Turquía. Para las actividades de tratamiento en el ámbito del RGPD, también se aplica la legislación de protección de datos de la UE.
17.2. Jurisdicción
Los tribunales y oficinas de ejecución de Estambul son competentes para las disputas.
17.3. Modificaciones
- Las modificaciones de este DPA deben realizarse por escrito.
- Las actualizaciones necesarias debido a cambios normativos se aplicarán inmediatamente.
17.4. Divisibilidad
La invalidez de una disposición no afecta a la validez de las demás disposiciones.
17.5. No renuncia
El hecho de no ejercer un derecho no constituye una renuncia a ese derecho.
17.6. Acuerdo completo
Este DPA y sus anexos constituyen el acuerdo completo sobre el tratamiento de datos personales.
18. Anexos
Los anexos que forman parte integral de este DPA:
Anexo A: Medidas de seguridad técnicas y organizativas
Anexo B: Lista de subencargados aprobados
Anexo C: Cláusulas contractuales tipo de la UE (CCT)
ANEXO A: MEDIDAS DE SEGURIDAD
MEDIDAS TÉCNICAS:
1. Cifrado
- TLS 1.3 (tránsito)
- AES-256 (almacenamiento)
- bcrypt/Argon2 (hash de contraseñas)
2. Control de acceso
- RBAC
- MFA obligatorio
- Gestión de sesiones
3. Seguridad de red
- WAF
- IDS/IPS
- Protección DDoS
4. Copia de seguridad
- Copia de seguridad diaria
- Copias de seguridad cifradas
- Distribución geográfica
MEDIDAS ORGANIZATIVAS:
1. Personal
- Acuerdos de confidencialidad
- Formación en seguridad
- Verificación de antecedentes
2. Procedimientos
- Plan de respuesta a incidentes
- Gestión de cambios
- Autorización de acceso
3. Auditoría
- Prueba de penetración anual
- SOC 2 Tipo II
- Cumplimiento ISO 27001
ANEXO B: SUBENCARGADOS
Ver archivo ALT_ISVERENLER_LISTESI.txt.
ANEXO C: CLÁUSULAS CONTRACTUALES TIPO
Las cláusulas contractuales tipo conforme a la Decisión de Ejecución (UE) 2021/914 de la Comisión Europea de 4 de junio de 2021 están incluidas en este DPA.
Texto completo de las CCT: https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj
Módulo seleccionado: Módulo 2 (Responsable del tratamiento → Encargado del tratamiento)
Este Acuerdo de procesamiento de datos entró en vigor el 12 de enero de 2026.
© 2026 Evaste (Group Taiga). Todos los derechos reservados.
Información de Contacto
Evaste (Group Taiga)
Dirección: Levent, Estambul, Turquía
Consultas DPA: dpa@evaste.co
Delegado de protección de datos: dpo@evaste.co
General: info@evaste.co
Web: https://evaste.co