Anexo de tratamiento de datos (DPA) de Shopify

Actualizamos nuestro Anexo de tratamiento de datos (DPA), en vigor desde el 25 de julio de 2025. Haga clic aquí para obtener más información sobre los cambios.
Fecha de entrada en vigor: 25 de julio de 2025

Anexo de tratamiento de datos (DPA) de Shopify

I. PROPÓSITO

Este Anexo de tratamiento de datos ("DPA") de Shopify complementa y se incorpora por referencia en los Términos del Servicio de Shopify, junto con cualquier término aplicable a los servicios adicionales de Shopify que elija usar (los "Términos"), entre Usted (o el "Comerciante") y la Entidad contratante de Shopify ("Shopify"), como se establece en los Términos, que describen los propósitos comerciales específicos y los servicios relacionados con este DPA. En caso de cualquier conflicto entre los Términos y este DPA, prevalecerá el DPA en lo que respecta al tratamiento de los Datos personales de sus Clientes, como se define a continuación.

Usted y Shopify (cada uno, una "Parte"; en conjunto, las "Partes") acuerdan que este DPA establece las obligaciones de las Partes que rigen el tratamiento de los Datos personales de sus Clientes. Usted actuará como Responsable de los datos y Shopify como Encargado de los datos con respecto al tratamiento de los Datos personales de sus Clientes, en relación con el uso que usted haga de nuestros Servicios que dependen de nuestro tratamiento de dichos Datos personales de cliente, excepto los servicios descritos en el Apéndice E.

En los casos en los que el tratamiento de los Datos personales en virtud de este DPA está sujeto a los requisitos de protección de datos en el Espacio Económico Europeo ("EEE"), el Reino Unido ("R. U.") o Suiza, y Shopify actúa como Encargado de los datos, el Apéndice C complementa este DPA. En caso de cualquier conflicto entre el Apéndice C y otros artículos de este DPA, prevalecerá el Apéndice C con respecto al tratamiento de los Datos personales de sus Clientes, con sujeción a los requisitos de protección de datos del EEE, el R. U. y Suiza. Para evitar cualquier duda, el Apéndice C no se aplicará a las actividades de tratamiento descritas en el Apéndice E.

En los casos en los que el tratamiento de Datos personales en virtud de este DPA esté sujeto a las Leyes de Protección de Datos de EE. UU. y Shopify actúe como Encargado de los datos o Proveedor de servicios, el ** Apéndice D** complementará este DPA. En caso de conflicto entre el Apéndice D y otros artículos de este DPA, el Apéndice D prevalecerá respecto al tratamiento de los Datos personales de sus Clientes, con sujeción a las Leyes de Protección de Datos de EE. UU. Para evitar cualquier duda, el Apéndice D no se aplicará a las actividades de tratamiento descritas en el Apéndice E.

Si recibe Servicios Mejorados de Shopify (según se define en la cláusula 9.2 de los Términos del Servicio), Shopify procesará los Datos personales de sus Clientes como Responsable de los datos o Empresa, según se establece en el Apéndice E. En caso de conflicto entre el Apéndice E y otros artículos de este DPA, el Apéndice E prevalecerá respecto al tratamiento de los Datos personales de sus Clientes por parte de Shopify como Responsable de los datos o Empresa.

Para evitar dudas, este DPA no se aplicará al tratamiento por parte de Shopify de ningún Dato personal sobre los clientes que reciba como resultado de la relación del cliente con Shopify mediante servicios como Shop y Shop Pay.

II. DEFINICIONES

Los términos en mayúsculas que se usan, pero no se definen en este DPA tendrán el mismo significado que se les da en los Términos:

A. Ley(es) aplicable(s) de protección de datos: cualquier ley de protección de datos o privacidad aplicable al tratamiento de Datos personales por parte de Shopify de conformidad con los Términos, sus regulaciones de implementación y legislación secundaria, cada una de ellas según se modifique, actualice o reemplace ocasionalmente, lo que incluye las leyes que se apliquen con base en la ubicación o residencia del Comerciante o de Su(s) Cliente(s).

B. Cliente: un individuo o entidad que visita, interactúa con Su(s) tienda(s) o compra un producto, bien o servicio de Su(s) tienda(s).

C. Solicitud de derechos de datos: una solicitud válida y legal por parte de un individuo para ejercer los derechos disponibles relacionados con los Datos personales de conformidad con una Ley aplicable de protección de datos.

D. Responsable de los datos o Empresa: la Parte que determina los propósitos y medios del tratamiento de los Datos personales o según se defina de otra manera en consonancia con cualquier Ley aplicable de protección de datos.

E. Encargado de los datos o Proveedor de servicios: la Parte u otra entidad o negocio que presta servicios en nombre de y procesa Datos personales bajo la dirección y en nombre del Responsable de los datos, o según se defina de conformidad con cualquier Ley aplicable de protección de datos.

F. Datos personales: información o datos definidos como "datos personales", "información personal" o "información de identificación personal" (o términos análogos) según las Leyes aplicables de protección de datos.

G. Violación de datos personales: en relación con los Datos personales de sus Clientes, se interpretará de conformidad con la Ley aplicable de protección de datos.

H. "Procesar", "procesos" o "tratamiento": (a) cualquier operación o conjunto de operaciones que se realice sobre los Datos personales o sobre conjuntos de Datos personales, ya sea por medios automatizados o no, como la recopilación, grabación, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación por transmisión, difusión, o de otro modo, puesta a disposición, alineación o combinación, restricción, supresión o destrucción; o (b) la definición dada a dicho(s) término(s) en la Ley aplicable de protección de datos.

I. "Subencargado(s)": empresas afiliadas o Encargados de los datos de terceros o Proveedores de servicios que pueden procesar Datos personales bajo la dirección de Shopify con el fin de proporcionar los Servicios.

J. "Usted", "su" o "Comerciante": significa cada negocio que Usted opera y que utiliza o se beneficia de los Servicios, los Servicios Mejorados u otros Servicios adicionales y es Parte de los Términos con Shopify.

K. "Datos personales de sus Clientes": datos personales de sus clientes o sobre ellos, excluido cualquier Dato personal sobre los Clientes que Shopify reciba como resultado de la relación del Cliente con Shopify, que se rige por la Política de Privacidad del Consumidor de Shopify y no por este DPA.

III. NATURALEZA DEL TRATAMIENTO Y ROLES DE LAS PARTES

Shopify como Encargado de los datos o Proveedor de servicios. Shopify recibe y procesa los Datos personales de sus Clientes para proporcionarle los Servicios según se establece a continuación. En función de los Servicios que Usted solicite o use, Shopify procesará las categorías de Datos personales establecidas en el Apéndice A, de la manera y sobre las bases contenidas en este.

Shopify procesará los Datos personales de sus Clientes como Encargado de los datos o Proveedor de servicios únicamente para brindar los Servicios indicados en los Términos y cualquier Término complementario, y según sea necesario para proporcionar, desarrollar y mejorar sus Servicios y participar en cualquier otro propósito permitido por las Leyes de protección de datos aplicables.

Shopify como Responsable de los datos o Empresa. Shopify tratará los Datos personales de sus Clientes como Responsable de los datos de Datos o Empresa (a) en las circunstancias y de la manera establecidas en el Apéndice E y (b) para cualquier otro fin compatible con las instrucciones del Cliente y la Ley aplicable de protección de datos.

IV. OBLIGACIONES DE LAS PARTES

En la siguiente cláusula, se describen las respectivas obligaciones de las Partes con respecto al tratamiento de Datos personales cubiertos en este DPA.

A. Cumplimiento general

  1. Las Partes cumplirán con sus respectivas obligaciones de acuerdo con las Leyes aplicables de protección de datos.

  2. Shopify no tendrá ninguna obligación de interpretar o asesorarlo a Usted sobre Sus obligaciones según las Leyes aplicables de protección de datos, que abarca lo relacionado al tratamiento de los Datos personales cubiertos en este DPA. Usted es el único responsable de determinar Sus obligaciones legales y regulatorias, lo que incluye evaluar si las medidas técnicas y organizativas de los Servicios son consistentes con Sus obligaciones legales y regulatorias independientes.

B. Obligaciones de Shopify

1. Seguridad de los datos:
Shopify implementará y mantendrá medidas técnicas y organizativas apropiadas diseñadas para proteger los Datos personales de sus Clientes contra el tratamiento no autorizado o ilegal y contra la pérdida accidental, destrucción, daño, robo, alteración o divulgación, como se establece en el Apéndice B.

2. Notificación e investigación de Violación de datos personales

a) Como lo requieren las Leyes aplicables de protección de datos, Shopify lo notificará una vez que confirme cualquier Violación de datos personales.

b) Dicha notificación incluirá la información requerida según las Leyes aplicables de protección de datos, en la medida en que dicha información esté razonablemente disponible para Shopify. La respuesta de Shopify a, o la notificación de, una Violación de datos personales no constituye un reconocimiento por parte de Shopify de ninguna culpa o responsabilidad.

c) Shopify se compromete a investigar cualquier Violación de datos personales y a utilizar esfuerzos comercialmente razonables para identificar, prevenir, mitigar y remediar los efectos.

C. Sus obligaciones con respecto a los Datos personales

1. Avisos de privacidad y transparencia: usted declara y garantiza que cumple con todas las obligaciones enumeradas en las Leyes aplicables de protección de datos para proporcionar avisos y transparencia sobre Su tratamiento de los Datos personales de sus Clientes en virtud de los Términos y en relación con Su uso de los Servicios. Como lo establecen las Leyes aplicables de protección de datos, Usted deberá comunicar a las personas pertinentes toda la información necesaria para que Shopify procese los Datos personales de sus cliente de forma legal y justa en relación con este DPA, incluso cuando reciba Servicios Mejorados u otros Servicios adicionales, mediante el suministro de un enlace a la Política de Privacidad del Consumidor de Shopify y a su Política de privacidad y otras divulgaciones según lo establecido en el Artículo 9.2.5 de los Términos.

2. Derechos y permisos del cliente: usted declara y garantiza que tiene todos los derechos, permisos y consentimientos necesarios para poner a disposición de Shopify los Datos personales de sus Clientes y para que Shopify procese los Datos personales de sus Clientes para que usted reciba los Servicios, incluidos los Servicios Mejorados u otros Servicios adicionales que reciba, de acuerdo con los Términos, este DPA y las Leyes aplicables de protección de datos.

3. Solicitudes de derechos sobre datos: usted declara y garantiza que proporciona la capacidad para que sus Clientes ejerzan Solicitudes de derechos sobre datos, según lo requieren las Leyes aplicables de protección de datos con respecto al tratamiento de los Datos personales de sus Clientes por parte de Shopify para los cuales Usted es el Responsable de los datos.

4. Reclamaciones regulatorias: a menos que esté prohibido por la ley aplicable, Usted nos notificará de inmediato de acuerdo con la disposición de Notificación en los Términos de cualquier reclamación o queja gubernamental, regulatoria u otra de terceros relacionada con Su uso de los Servicios.

V. DISPOSICIONES VARIAS

A. Transferencias globales de datos
Usted reconoce que los Datos personales de sus Clientes pueden transferirse y procesarse en cualquier país en el que Shopify, sus empresas afiliadas o proveedores de servicios externos se encuentren (incluidos Singapur y Canadá). Cualquier transferencia de Datos personales de sus Clientes a estos destinatarios se realizará en cumplimiento de las Leyes aplicables de protección de datos. Para obtener más información sobre las transferencias internacionales de datos, en las que Shopify está sujeto a requisitos de protección de datos en el EEE, el R. U. o Suiza, consulte el artículo II(B) (8) del Apéndice C.

B. Respuesta a solicitudes legales

  1. Usted reconoce que, en el curso de la prestación de los Servicios a Usted, Shopify puede compartir los Datos personales de sus Clientes (i) para cumplir con los requisitos legales o responder a órdenes judiciales u otras demandas gubernamentales o regulatorias similares; o (ii) para prevenir o investigar sospechas de fraude, amenazas a la seguridad física, actividades ilegales o violaciones de un contrato (como los Términos del Servicio) o de nuestras políticas (como nuestra Política de uso aceptable).

  2. Shopify hará esfuerzos razonables antes de producir los Datos personales de sus Clientes para asegurarse de que dicha divulgación esté permitida por las Leyes aplicables de protección de datos y se tratará como información confidencial según el marco legal aplicable.

C. Divulgación en transacciones corporativas
Usted reconoce que, en el curso de la prestación de los Servicios a Usted, Shopify puede verse en la obligación de compartir los Datos personales de sus Clientes con posibles contrapartes en cualquier transacción corporativa o de reestructuración.

D. Uso de Proveedores de Servicios por parte de Shopify

  1. Usted reconoce y acepta que, en el curso de la prestación de los Servicios a Usted, Shopify puede recurrir a proveedores de servicios para procesar los Datos personales de sus Clientes. Shopify mantiene una lista actualizada de todos los proveedores de servicios utilizados. Si las Leyes aplicables de protección de datos le otorgan dichos derechos, puede oponerse a que Shopify utilice un proveedor de servicios y, si Shopify no puede o no quiere atender dichas solicitudes, puede, de conformidad con dichas leyes, rescindir Su uso de los Servicios afectados dentro de los 30 días posteriores a la notificación, de conformidad con los Términos.

  2. El uso de proveedores de servicios por parte de Shopify para procesar los Datos personales de sus Clientes que Usted proporciona estará en cumplimiento de las Leyes aplicables de protección de datos. Cuando Shopify contrate a un proveedor de servicios, Shopify firmará un acuerdo por escrito con este que imponga obligaciones contractuales sustancialmente iguales a las establecidas en este DPA.

E. Modificación del DPA Usted reconoce y acepta que Shopify puede modificar este DPA ocasionalmente publicando el DPA modificado y reformulado en el sitio web de Shopify, disponible en https://shopify.com/legal/dpa, y tales modificaciones al DPA son efectivas a partir de la fecha de publicación. Su uso continuo de los Servicios después de que el DPA modificado sea publicado en el sitio web de Shopify constituye Su acuerdo y aceptación del DPA modificado. Si Usted no está de acuerdo con algún cambio en el DPA, no continúe utilizando los Servicios.

VI APÉNDICES

  1. Apéndice A: Categorías de datos personales

  2. Apéndice B: Seguridad de los datos

  3. Apéndice C: Apéndice de Tratamiento de datos conforme al RGPD, RGPD del R. U. y Suiza

  4. Apéndice D: Leyes de protección de datos de EE. UU.

  5. Apéndice E: Shopify como Responsable de los datos o Empresa para los Servicios Mejorados

APÉNDICE A: CATEGORÍAS DE DATOS PERSONALES

Como parte de Su uso de los Servicios, y según los Servicios que utilice, podemos recibir y procesar las siguientes categorías de Datos personales para prestar los Servicios:

● nombre, correo electrónico e información de contacto, envío y facturación del Cliente;

● información de compras y otras transacciones de Su(s) tienda(s);

● actualizaciones sobre el estado de las transacciones con Usted o Su(s) tienda(s);

● actividad del Cliente en Su(s) tienda(s), lo que incluye productos vistos y/o agregados en carritos de compras;

● señales de preferencia del Cliente, incluidas las señales de Control Global de Privacidad ("GPC") y las opciones de exclusión y de inclusión;

● información del dispositivo del Cliente para los dispositivos utilizados al visitar Su(s) tienda(s), lo que incluye dirección IP, navegador y actividad de red;

● otra información sobre las interacciones de los Clientes con Usted;

● cualquier otro Dato personal que Usted o Sus Clientes decidan poner a disposición de Shopify.

APÉNDICE B: SEGURIDAD DE LOS DATOS

Shopify mantendrá un programa de seguridad de la información diseñado a fin de (a) permitirle proteger los Datos personales de sus Clientes contra el procesamiento no autorizado o ilegal y contra la pérdida accidental, destrucción, daño, robo, alteración o divulgación; de (b) identificar riesgos razonablemente previsibles para la seguridad y disponibilidad de los Servicios que Usted recibe; y de (c) minimizar los riesgos de seguridad para los Servicios.

I. El programa de seguridad de la información de Shopify incluirá las siguientes salvaguardas:

A. Seguridad lógica

  1. Controles de acceso: Shopify hará que sus sistemas sean accesibles solo para personal autorizado y solo en la medida necesaria para mantener y proporcionar los Servicios. Shopify mantendrá controles de acceso y políticas diseñadas para gestionar las autorizaciones de acceso a sus sistemas, incluido el uso de cortafuegos y/u otra tecnología y controles de autenticación.

  2. Acceso restringido de usuarios: Shopify (i) proporcionará y restringirá el acceso a sus sistemas de acuerdo con los principios de privilegio mínimo basados en las funciones laborales del personal, y (ii) requerirá autenticación de dos factores (2FA) para acceder a sus sistemas.

  3. Evaluaciones de vulnerabilidades: Shopify mantendrá un programa de evaluación de vulnerabilidades y pruebas de penetración, responsable de investigar y rastrear los problemas identificados con los Servicios hasta su resolución cuando sea necesario.

  4. Seguridad de aplicaciones: Shopify mantiene un programa de seguridad de aplicaciones responsable de proteger los Servicios contra amenazas de seguridad de aplicaciones.

  5. Gestión de cambios: Shopify mantendrá controles diseñados para registrar, autorizar, probar, aprobar y documentar cambios en los recursos existentes de los Servicios, y documentará los detalles de los cambios dentro de sus herramientas de gestión de cambios o implementación. Shopify probará los cambios de acuerdo con sus estándares de gestión de cambios antes de la migración a producción.

  6. Integridad de los datos: según corresponda, Shopify mantendrá controles diseñados para proporcionar integridad de los datos durante la transmisión, almacenamiento y tratamiento dentro de los Servicios.

  7. Disponibilidad: Shopify (i) implementará redundancia donde sea apropiado para los Servicios, para minimizar el efecto de un mal funcionamiento en los Servicios, (ii) diseñará los Servicios para anticipar y tolerar fallas, e (iii) implementará procesos adecuados diseñados para mover el tráfico de Datos personales fuera de las áreas afectadas cuando sea necesario con el fin de recuperarse de fallas.

  8. Continuidad del negocio y recuperación ante desastres: Shopify mantendrá un programa de gestión de riesgos diseñado para apoyar la continuidad de sus funciones comerciales esenciales, lo que incluye procesos y procedimientos para la identificación, respuesta y recuperación de eventos que podrían impedir o afectar materialmente la prestación de los Servicios que Usted recibe.

  9. Gestión de Incidentes: Shopify proporciona documentación para que Usted pueda informar sobre incidentes de seguridad o disponibilidad, hacer preguntas sobre seguridad o disponibilidad y enviar información sobre posibles problemas de seguridad o disponibilidad. Shopify mantendrá planes de acción correctiva y planes de respuesta a incidentes diseñados para detectar, mitigar, investigar y responder a posibles amenazas de seguridad para los Servicios.

B. Seguridad física: donde sea necesario para proteger los Servicios, Shopify (i) implementará medidas razonables diseñadas con el objetivo de prevenir el acceso físico no autorizado, daño o interferencia a los Servicios, (ii) utilizará dispositivos de control adecuados diseñados para restringir el acceso físico a los Servicios solo al personal autorizado que tenga una necesidad legítima del negocio para dicho acceso, y (iii) realizará revisiones periódicas a fin de validar la adherencia a estos estándares.

C. Empleados de Shopify: los empleados de Shopify que están autorizados a acceder a los Datos personales de sus Clientes están sujetos a obligaciones de confidencialidad como parte de sus términos de empleo. Shopify implementará y mantendrá programas de capacitación en seguridad para los empleados con respecto a los requisitos de seguridad de la información de Shopify. Los programas de conocimiento en seguridad serán revisados y actualizados periódicamente.

II. Modificaciones a este Apéndice

Shopify revisa sus medidas de seguridad ocasionalmente y puede actualizar este Apéndice a su entera discreción. Cualquier actualización reemplazará versiones anteriores de este Apéndice a partir de la fecha en la que Shopify publique la versión actualizada.

APÉNDICE C: APÉNDICE DE TRATAMIENTO DE DATOS CONFORME AL RGPD, RGPD DEL R. U. Y SUIZA

Cuando el procesamiento de los Datos personales de sus Clientes según el DPA esté sujeto a los requisitos de protección de datos en el Espacio Económico Europeo (el "EEE"), el Reino Unido ("R. U.") o Suiza (en conjunto, las "Leyes europeas de protección de datos") y Shopify actúe como Encargado de los datos, este Apéndice C complementará el DPA.

I. Naturaleza del tratamiento y roles de las partes

A. Datos personales

De acuerdo con este Apéndice, Usted actuará como Responsable de los datos y Shopify actuará como Encargado de los datos con respecto al procesamiento de los Datos personales de sus Clientes, conforme a lo descrito en el Anexo 1, según sea necesario para cumplir con los fines comerciales descritos en los Términos y proporcionarle los Servicios que elija utilizar.

II. Obligaciones de las partes

A. Sus obligaciones

Deberá cumplir con lo siguiente:

● las Leyes europeas de protección de datos vinculantes para usted en relación con su uso de los Servicios; y

● sus obligaciones establecidas en el DPA, incluidas Sus obligaciones establecidas en este Apéndice.

Usted declara y garantiza que tiene una base legal válida para procesar los Datos personales de sus Clientes (lo que incluye hacer que dichos datos estén disponibles para Shopify) y que obtuvo los consentimientos, derechos y autorizaciones necesarios y proporcionó los avisos requeridos a los individuos a fin de permitir el tratamiento de los Datos personales de sus Clientes por parte de Shopify con el objeto de prestar los Servicios, según lo exigen las Leyes europeas de protección de datos.

B. Obligaciones de Shopify

1. Instrucciones del Controlador e infracción de las Leyes europeas de protección de datos

a) Las Partes acuerdan que los Términos, junto con este DPA, constituyen Sus instrucciones documentadas con respecto al tratamiento de los Datos personales de sus Clientes por parte de Shopify ("Instrucciones documentadas").

b) Shopify procesará los Datos personales de sus Clientes como Encargado de los datos: (i) de acuerdo con Sus Instrucciones documentadas, o (ii) para cumplir con las obligaciones de Shopify en virtud de las leyes aplicables, con sujeción a cualquier requisito de notificación de conformidad con la legislación del EEE, estado miembro del EEE, Reino Unido o Suiza a la que Shopify esté sujeto.

c) Shopify lo notificará si recibe una instrucción que razonablemente determine que infringe las Leyes europeas de protección de datos (pero Shopify no tiene la obligación de supervisar activamente Su cumplimiento de las Leyes europeas de protección de datos).

2. Obligación de confidencialidad

Shopify garantizará que las personas a las que autoriza para procesar los Datos personales de sus Clientes firmen acuerdos de confidencialidad por escrito o estén sujetas a obligaciones legales de confidencialidad.

3. Medidas de seguridad

a) Shopify implementará y mantendrá medidas técnicas y organizativas apropiadas diseñadas para proteger los Datos personales de sus Clientes contra el tratamiento no autorizado o ilegal y contra la pérdida accidental, destrucción, daño, robo, acceso no autorizado, alteración o divulgación, tal como se establece en el Anexo 2.

b) Teniendo presente la naturaleza de los Datos personales de sus Clientes y el tratamiento relacionado, Shopify proporcionará la asistencia razonable que Usted pueda solicitar para ayudarlo a cumplir con Sus obligaciones de seguridad de conformidad con las Leyes europeas de protección de datos.

c) Shopify lo notificará, sin demora indebida, al tomar conocimiento de una violación de seguridad que conduzca a la destrucción, pérdida, alteración, divulgación no autorizada o acceso a los Datos personales de sus Clientes transmitidos, almacenados o, de otro modo, procesados.

d) Shopify se compromete a investigar cualquier violación de seguridad y a utilizar esfuerzos comercialmente razonables para mitigar los efectos.

4. Subencargados

a) Usted autoriza de manera general a Shopify a contratar Subencargados para procesar los Datos personales de sus Clientes. También acepta que Shopify pueda contratar a sus afiliados como Subencargados.

b) El uso que Shopify haga de Subencargados para procesar los Datos personales de sus Clientes cumplirá con las Leyes europeas de protección de datos.

c) Shopify mantiene una lista de todos los Subencargados actualizada según se establece en el Anexo 3. Shopify actualizará la lista de Subencargados según sea necesario y le proporcionará un mecanismo para recibir notificaciones sobre la adición o reemplazo de un Subencargado. Usted puede oponerse al uso de un nuevo Subencargado por parte de Shopify.

d) En la medida en la que se oponga al uso de un Subencargado por parte de Shopify, y Shopify no pueda o no esté dispuesto a cumplir con dicha solicitud, Usted podrá cancelar Su uso de los Servicios afectados dentro de los 30 días de dicha notificación, de acuerdo con los Términos.

e) Cuando Shopify contrate un nuevo Subencargado, Shopify celebrará un acuerdo por escrito con el Subencargado e impondrá al Subencargado obligaciones contractuales sustancialmente iguales a las establecidas en este DPA. Shopify será totalmente responsable de los actos y omisiones de sus Subencargados en la misma medida en la que Shopify sería responsable si realizara los servicios de cada Subencargado directamente según los términos de este DPA. La responsabilidad de Shopify, no obstante, estará sujeta a las condiciones y limitación de responsabilidad establecidas en los Términos.

5. Asistencia al Responsable de los datos
Teniendo presente la naturaleza de los Datos personales de sus Clientes y el tratamiento relacionado, Shopify proporcionará la asistencia razonable que pueda solicitar para ayudarlo a cumplir con Sus obligaciones:

● responder a las Solicitudes de derechos sobre datos según las Leyes europeas de protección de datos, con respecto a la totalidad del tratamiento de los Datos personales de sus Clientes por parte de Shopify;

● notificar a las autoridades competentes y/o a los titulares de datos sobre una Violación de datos personales;

● realizar evaluaciones de impacto sobre la protección de datos y consultas previas;

● garantizar la seguridad del tratamiento de acuerdo con el artículo 3.

6. Evaluación del cumplimiento

a) Shopify puede cumplir con Su derecho de auditoría según las Leyes europeas de protección de datos en relación con el tratamiento de los Datos personales de sus Clientes, proporcionándole, a partir de la recepción de Su solicitud por escrito y sujeto a la confidencialidad, lo siguiente:

(i) Los resultados más recientes del informe de auditoría de Shopify, ya sea de auditorías internas de Shopify o preparadas por un auditor independiente;
(ii) información adicional con control de Shopify si una autoridad de protección de datos o gubernamental lo solicita.

b) Siempre y cuando las Leyes europeas de protección de datos le otorguen este derecho, Usted puede ejercer Su derecho de auditoría: (i) en la medida en que un auditor independiente reconocido internacionalmente certifique que el informe de auditoría de Shopify no proporciona suficiente información para que Usted verifique el cumplimiento de Shopify con este DPA y con las Leyes europeas de protección de datos o (ii) según sea necesario para que Usted responda a una auditoría de una autoridad gubernamental. Cada auditoría debe cumplir con los siguientes parámetros: (i) ser realizada por un tercero independiente que firme un acuerdo de confidencialidad con Shopify; (ii) estar limitada en alcance a los asuntos razonablemente requeridos, y acordados mutuamente, para que Usted pueda evaluar el cumplimiento de Shopify con este DPA y el cumplimiento de las partes con las Leyes europeas de protección de datos; (iii) que ocurra en una fecha y hora mutuamente acordadas y solo durante el horario de apertura regular de Shopify; (iv) que ocurra no más de una vez al año (a menos que lo exijan las Leyes europeas de protección de datos); (v) que cubra solo las instalaciones controladas por Shopify; (vi) que se restrinjan los hallazgos solo a los Datos personales de sus Clientes; y (vii) que se trate cualquier resultado como información confidencial en la mayor medida permitida por las Leyes europeas de protección de datos. Para mayor claridad, Shopify cumplirá con cualquiera de Sus derechos en este artículo 6 de acuerdo con sus obligaciones de confidencialidad con terceros.

7. Fin del procesamiento

a) Durante Su uso de los Servicios, Usted puede utilizar herramientas de cuenta para acceder, recuperar o eliminar Datos personales de su Cliente.

b) Tras la rescisión, Shopify, a Su elección, eliminará o devolverá los Datos personales de sus Clientes. No obstante lo anterior, Shopify puede retener Datos personales de sus Clientes: (i) según lo exija la ley, incluidas las Leyes europeas de protección de datos; y (ii) de acuerdo con sus políticas estándar de respaldo o retención de registros, siempre y cuando, en cualquier caso, Shopify mantenga la confidencialidad de los Datos personales de sus Clientes retenidos y cumpla con las disposiciones aplicables de este DPA con respecto a dichos Datos personales de sus Clientes retenidos y no los procese más allá de lo permitido por dichas leyes aplicables y durante la duración permitida por estas.

8. Transferencias internacionales

a) Con sujeción al cumplimiento de las Leyes europeas de protección de datos, Shopify International Ltd. puede transferir los Datos personales de sus Clientes procesados de conformidad con este Apéndice fuera del EEE, el R. U. y Suiza según sea necesario para proporcionar sus Servicios ("Transferencias internacionales").

b) Dichas transferencias consisten principalmente en transferir los Datos personales de sus Clientes a Shopify Inc., con sede en Canadá, que se beneficia de la decisión de la Comisión de la UE 2002/2/CE del 20 de diciembre de 2001 sobre la protección adecuada de los datos personales proporcionada por la Ley de Protección de Información Personal y Documentos Electrónicos de Canadá.

c) Cualquier Transferencia internacional a países que no garanticen un nivel adecuado de protección de datos, según el significado de las Leyes europeas de protección de datos, estará sujeta a las salvaguardas apropiadas, incluidos los siguientes mecanismos de transferencia:

● los módulos relevantes según las Cláusulas Contractuales Estándar de 2021 aprobadas por la Comisión Europea en su decisión 2021/914/CE del 4 de junio de 2021;

● el Anexo de Transferencia Internacional de Datos a las cláusulas contractuales estándar de la Comisión Europea para transferencias internacionales de datos emitidas por la Oficina del Comisionado de Información del Reino Unido de conformidad con el S119A(1) de la Ley de Protección de Datos del Reino Unido de 2018;

● las Cláusulas Contractuales Estándar de 2021 modificadas para cumplir con los requisitos de la Ley Federal Suiza de Protección de Datos (según enmiendas periódicas) del 19 de junio de 1992 revisada a partir del 25 de septiembre de 2001; y

● cualquier cláusula contractual estándar, anexo de transferencia internacional de datos u otras cláusulas, anexos o mecanismos de transferencia que puedan reemplazar las cláusulas y anexos actuales.

d) Shopify puede, a su sola discreción, reemplazar cualquier mecanismo de transferencia para garantizar que las transferencias de datos cumplan con las leyes aplicables. Si una transferencia se basa en cláusulas contractuales estándar, y dichas cláusulas son actualizadas por las autoridades correspondientes, dichas cláusulas actualizadas o acuerdos similares se incorporarán a este DPA como si estuvieran completamente expresadas aquí.

ANEXO 1: DATOS PERSONALES

DESCRIPCIÓN DEL TRATAMIENTO DE DATOS PERSONALES

I. Objeto del tratamiento

Prestación de los Servicios de Shopify al Comerciante.

II. Categorías de Titulares de datos

Clientes del Comerciante.

III. Categorías de Datos personales procesados

Consulte el Apéndice A arriba.

IV. Frecuencia de la transferencia

Continua.

V. Naturaleza del tratamiento

Recopilación, registro, alojamiento, acceso, uso, transferencia y eliminación de Datos personales según lo descrito en los Términos.

VI. Finalidades para las cuales el Controlador procesa los Datos personales

Para la prestación y mejora de los Servicios según lo descrito en los Términos.

VII. Duración del tratamiento

Duración de los Servicios según los Términos o el acuerdo aplicable, más el período posterior a dicho vencimiento hasta la anonimización, devolución o eliminación de los datos.

VIII. Autoridad supervisora competente La autoridad supervisora competente será la Comisión de protección de datos de Irlanda.

ANEXO 2: MEDIDAS DE SEGURIDAD

La información sobre las medidas de seguridad se proporciona en el Apéndice B del DPA.

ANEXO 3: LISTA DE SUBENCARGADOS

Los Subencargados que Shopify utiliza para la prestación de los Servicios de conformidad con los Términos se enumeran aquí.

Los Subencargados procesarán las categorías de Datos personales descritas anteriormente en relación con los Servicios durante la duración de su acuerdo con Shopify.

Apéndice D: Leyes de protección de datos de EE. UU.

Este artículo se aplica únicamente en la medida en que: (i) las Leyes de Protección de datos de EE. UU. le sean aplicables a usted o a los Datos personales de sus Clientes en relación con su uso de los Servicios; (ii) las siguientes disposiciones sean exigidas por las Leyes de protección de datos de EE. UU.; y (iii) Shopify actúe como Encargado de los datos o Proveedor de servicios. Para evitar cualquier duda, este Apéndice D no se aplicará a las actividades de tratamiento descritas en el Apéndice E.

  1. Las Partes acuerdan que los Términos, junto con este DPA, constituyen Sus instrucciones documentadas con respecto al tratamiento de los Datos personales de sus Clientes por parte de Shopify ("Instrucciones documentadas").

  2. Excepto según se establece en el Apéndice E, si recibe ciertos Servicios Mejorados, Shopify no: (i) conservará, utilizará ni divulgará los Datos personales de sus Clientes fuera de su relación comercial directa con Usted ni para ningún otro fin que no sean los fines limitados y específicos identificados en este DPA o los Términos, incluidos la prestación, el desarrollo y la mejora de los Servicios, o según lo permitan las Leyes aplicables de protección de datos de EE. UU., ni (ii) venderá ni compartirá los Datos personales de sus Clientes ni realizará publicidad dirigida con ellos en el sentido de la CCPA u otras Leyes de protección de datos de EE. UU.; ni (iii) combinará los Datos personales de sus Clientes con los Datos personales que reciba de otras fuentes, excepto en la medida permitida por las Leyes de protección de datos de EE. UU.

  3. Shopify (i) proporcionará el mismo nivel de protección de la privacidad requerido de los Negocios o Responsables de los datos por las Leyes de protección de datos de EE. UU. y le informará a Usted si determina que ya no puede cumplir con estas obligaciones, en cuyo caso Usted puede tomar medidas razonables y apropiadas para detener o remediar cualquier tratamiento no autorizado de los Datos personales de sus Clientes; (ii) garantizará que el personal que autorice a procesar los Datos personales de sus Clientes firme acuerdos de confidencialidad por escrito o esté sujeto a obligaciones legales de confidencialidad; (iii) previa solicitud razonable por escrito, y como parte de permitirle tomar medidas razonables y apropiadas para garantizar que Shopify use los Datos personales de sus Clientes de manera consistente con las Leyes de protección de datos de EE. UU., proporcionará el informe SOC2 que mostrará una evaluación razonable del programa de seguridad de la información de Shopify; y, (iv) al rescindir sus Servicios con Usted, Shopify iniciará su proceso de purga para eliminar, devolver o anonimizar los Datos personales de sus Clientes proporcionados a Shopify para su tratamiento únicamente como Encargado de los datos o Proveedor de servicios.

  4. Usted declara que no compartirá con Shopify ningún Dato personal de un individuo que haya ejercido un derecho de exclusión que Usted se haya comprometido a respetar ni ningún Dato personal confidencial de un individuo que no haya consentido el tratamiento de dichos datos, de conformidad con los requisitos de las Leyes aplicables de protección de datos.

Apéndice E: Shopify como Responsable de los datos o Empresa para los Servicios Mejorados

Shopify actuará como Responsable de los datos o Empresa cuando Usted reciba los Servicios Mejorados según se define en el Artículo 9.2 de los Términos del Servicio. Shopify puede actualizar los servicios y productos para los que actúa como Responsable de los datos o Empresa de manera periódica.

Como parte de la prestación de los Servicios Mejorados por parte de Shopify, Usted acepta que Shopify procesará los Datos personales de sus Clientes como Responsable de los datos o Empresa, de conformidad con las Leyes aplicables de protección de datos, para proporcionar, desarrollar y mejorar informes y estadísticas, personalización de productos, publicidad y otros servicios para Usted y otros Comerciantes que incorporen las interacciones y transacciones de sus Clientes con su Tienda, con otros Comerciantes y con Shopify. Cuando Shopify procese los Datos personales de sus Clientes de esta manera, se aplicarán la Política de Privacidad del Consumidor de Shopify y el Apéndice E de este DPA. Puede desactivar el uso de los Datos personales de sus Clientes por parte de Shopify desactivando Shopify Network Intelligence aquí, aunque no podrá usar ciertas aplicaciones o funciones, como se especifica aquí.

1. Avisos de privacidad, transparencia y derechos. De conformidad con las Leyes aplicables de protección de datos, deberá comunicar a los individuos pertinentes toda la información necesaria para que Shopify procese de forma legal y justa los Datos personales de sus Clientes para brindarle Servicios Mejorados en relación con este Apéndice E del DPA, incluido un enlace a la Política de Privacidad del Consumidor de Shopify en su política de privacidad y la información establecida en el Artículo 1 de los Términos del Servicio.

2. Requisitos europeos. Si reside en el EEE, el Reino Unido o Suiza, o si sus Clientes se encuentran en el EEE, el Reino Unido o Suiza, Usted acepta, declara y garantiza haber obtenido el consentimiento de los Clientes y les ofrece la posibilidad de ejercer el derecho a retirar el consentimiento, oponerse a determinados tratamientos y darse de baja de determinados tratamientos, cuando así lo exijan las Leyes aplicables de protección de datos. Para evitar cualquier duda, debe obtener el consentimiento para la publicidad dirigida como parte de los Servicios Mejorados y para el uso de cookies u otras tecnologías de almacenamiento local en la medida en que lo exijan las Leyes aplicables de protección de datos. Para obtener más información sobre la implementación de estos requisitos, visite aquí.

3. Responsabilidades del Responsable de los datos. Usted es el Responsable de los Datos Personales de sus Clientes y determinará individualmente los fines y medios de Su tratamiento de dichos Datos personales, así como Su uso y tratamiento de dichos Datos, incluida la determinación de la base legal para dicho tratamiento según la Ley aplicable de protección de datos. Shopify es el Responsable de los Datos Personales de sus Clientes, que procesa de conformidad con este Apéndice E, y determinará individualmente los fines y medios de su tratamiento de dichos Datos personales, así como su uso y tratamiento de dichos Datos, incluida la determinación de la base legal para dicho tratamiento según la Ley aplicable de protección de datos.

Cada Parte es individualmente responsable de responder a las Solicitudes de derechos sobre datos que recibe en relación con el procesamiento de los Datos personales de sus Clientes como Responsable de los datos.

4. Sin efecto sobre el resto del DPA. Este Apéndice E no afectará de ninguna manera a los Términos, incluido el resto de este DPA, que reflejan una relación de Responsable de los datos-Encargado de los datos entre los Comerciantes y Shopify.