Aller au contenu principal
QronoPlay
QronoPlay

Contrato de Encargo del Tratamiento (DPA)

Contrato de Encargo del Tratamiento (DPA)

Contrato de encargo del tratamiento aplicable a los clientes B2B que utilizan QronoPlay para recopilar y tratar datos personales a través de sus campañas de marketing por código QR.

Esta traducción se proporciona solo con fines informativos. La versión francesa es la vinculante legalmente.

Preámbulo

El presente contrato de encargo del tratamiento (el «DPA» o «Acuerdo») se celebra entre:

  • El Cliente, persona jurídica que ha contratado el servicio QronoPlay, actuando en calidad de responsable del tratamiento en el sentido del artículo 4.7 del RGPD («Responsable del tratamiento (RT)» o «Cliente»).
  • SAS Jalimani, SIREN 833 142 631, editora del servicio QronoPlay, actuando en calidad de encargado del tratamiento en el sentido del artículo 4.8 del RGPD («Encargado del tratamiento (ST)» o «QronoPlay»).

El presente DPA se celebra en aplicación del artículo 28 del Reglamento (UE) 2016/679 (RGPD) y forma parte integrante del contrato de servicio QronoPlay. En caso de contradicción entre el DPA y las Condiciones Generales de Uso, prevalecerá el DPA en materia de protección de datos.

Artículo 1 — Definiciones

  • Responsable del tratamiento (RT): la entidad que determina los fines y los medios del tratamiento (art. 4.7 RGPD).
  • Encargado del tratamiento (ST): la entidad que trata los datos por cuenta del responsable (art. 4.8 RGPD).
  • Encargado ulterior: proveedor tercero contratado por el encargado para realizar actividades específicas de tratamiento.
  • Datos de carácter personal (DCP): toda información sobre una persona física identificada o identificable (art. 4.1 RGPD).
  • Tratamiento: cualquier operación realizada sobre datos personales (recogida, registro, conservación, consulta, supresión, etc.; art. 4.2 RGPD).
  • Interesados: las personas físicas cuyos DCP son tratados en el marco del servicio.
  • Violación de DCP: violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita, o la comunicación o acceso no autorizados, a datos personales (art. 4.12 RGPD).

Artículo 2 — Objeto y duración

Objeto: QronoPlay trata DCP por cuenta del Cliente en el marco del servicio SaaS de juegos de marketing por código QR (loterías publicitarias, instantes ganadores, juegos de engagement).

Duración: el presente DPA se aplica durante toda la vigencia del contrato de servicio, ampliada en un período de retención de 6 meses para los ganadores conforme a la política de conservación (recomendación CNIL IS001).

Artículo 3 — Naturaleza y finalidad del tratamiento

QronoPlay trata los DCP exclusivamente con las siguientes finalidades definidas por el Cliente:

  • Recogida de leads (correo electrónico, nombre, apellido, teléfono opcional) a través de los juegos configurados por el Cliente.
  • Sorteo y atribución de premios para las loterías publicitarias.
  • Almacenamiento técnico necesario para la prestación del servicio.
  • Lucha contra el fraude (deduplicación, detección de cuentas múltiples, rate limiting).
  • Producción de estadísticas anonimizadas para el panel del Cliente.

Artículo 4 — Categorías de DCP tratados

  • Datos de identificación: correo electrónico, nombre, apellido, teléfono (opcional según la configuración del Cliente).
  • Datos de localización IP: dirección IP anonimizada a /24 desde la recogida (nunca almacenada en claro).
  • Metadatos técnicos: user-agent, deviceHash, marca de tiempo de la participación.
  • Datos de juego: código de campaña, estado de premio, lote atribuido en su caso.
  • Datos de consentimiento: registros con marca de tiempo de los consentimientos otorgados (RGPD, marketing de socios).

No se tratan datos sensibles en el sentido del artículo 9 RGPD (salud, religión, orientación sexual, etc.).

Artículo 5 — Categorías de interesados

  • Jugadores que participan en los juegos a través de código QR o enlace directo.
  • Ganadores de los premios atribuidos por el Cliente.

Artículo 6 — Obligaciones del Cliente (Responsable del tratamiento (RT))

El Cliente se compromete a:

  • Designar las finalidades del tratamiento y determinar la base legal aplicable (art. 6 RGPD).
  • Informar a sus jugadores conforme a los artículos 13 y 14 RGPD (información, plazos de conservación, derechos).
  • Garantizar la obtención de los consentimientos necesarios (en particular para la prospección comercial, art. 7 RGPD).
  • Llevar el registro de actividades de tratamiento que le concierne (art. 30 RGPD).
  • Realizar una evaluación de impacto relativa a la protección de datos (EIPD) si así lo exige el artículo 35 RGPD.
  • Documentar toda instrucción dirigida a QronoPlay relativa al tratamiento.
  • Cooperar con QronoPlay para responder a las solicitudes de los interesados y a los controles de las autoridades.

Artículo 7 — Obligaciones de QronoPlay (Encargado del tratamiento (ST))

QronoPlay se compromete a:

  • Tratar los DCP únicamente conforme a instrucciones documentadas del Cliente, incluso en lo relativo a transferencias fuera de la UE, salvo obligación legal en contrario (en cuyo caso QronoPlay informará previamente al Cliente).
  • Garantizar la confidencialidad de los DCP: compromiso de confidencialidad firmado por cada empleado y encargado ulterior con acceso a los datos.
  • Aplicar las medidas técnicas y organizativas (TOM) apropiadas en el sentido del artículo 32 RGPD (véase el Artículo 8).
  • Asistir al Cliente en el cumplimiento de sus obligaciones en materia de seguridad, notificación de violaciones de DCP, EIPD y consulta previa a la CNIL (arts. 32 a 36 RGPD).
  • Cooperar con la CNIL o cualquier autoridad de control competente cuando lo solicite.
  • Al final del contrato, devolver o destruir los DCP a elección del Cliente, acompañado de una certificación escrita (véase el Artículo 14).
  • Poner a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de las obligaciones previstas en el artículo 28 RGPD.

Artículo 8 — Medidas técnicas y organizativas (TOM)

QronoPlay aplica las siguientes medidas para garantizar un nivel de seguridad adecuado al riesgo (art. 32 RGPD):

  • Alojamiento soberano en Francia: servidores OVH Roubaix (Francia).
  • Cifrado: TLS 1.3 para datos en tránsito, AES-256 para datos en reposo.
  • Control de accesos: acceso limitado a personas autorizadas mediante autenticación multifactor (MFA), roles RBAC y principio de mínimo privilegio.
  • Registro de actividad: los registros de acceso y operaciones se conservan como máximo 12 meses.
  • Copias de seguridad: copias cifradas diarias, restauración probada periódicamente.
  • Segregación: aislamiento de entornos (producción, preproducción, desarrollo) y aislamiento lógico de los datos entre Clientes.
  • Auditoría: revisión periódica de accesos y registros, tests de intrusión periódicos.
  • Formación: sensibilización del personal sobre RGPD y seguridad desde la contratación y a intervalos regulares.
  • Anonimización: las direcciones IP se anonimizan a /24 desde la recogida.
  • Continuidad de negocio: procedimientos documentados de recuperación tras incidentes.

Artículo 9 — Encargados ulteriores

El Cliente autoriza a QronoPlay a recurrir a los encargados ulteriores enumerados a continuación (estado a 5 de mayo de 2026):

  • OVH SAS — Francia — alojamiento de servidores y almacenamiento.
  • Resend, Inc. — Estados Unidos (DPF) — envío de correos transaccionales.
  • Mollie B.V. — Países Bajos — procesamiento de pagos.
  • Stripe Payments Europe Ltd. — Irlanda — procesamiento de pagos (legacy).
  • Tawk.to LLC — Estados Unidos (DPF) — chat de soporte en directo.
  • Cloudflare, Inc. — Estados Unidos (DPF) — CDN, DNS, protección anti-DDoS.
  • Twilio Ireland Ltd. — Irlanda — envío de SMS (opcional según la configuración del Cliente).
  • n8n.jalimani.com — Francia — workflows internos de automatización (autoalojados por SAS Jalimani).

QronoPlay informará al Cliente por correo electrónico antes de cualquier adición o sustitución de un encargado ulterior. El Cliente dispondrá de un plazo de 15 días desde la notificación para oponerse de manera motivada. Si una oposición legítima no puede resolverse, el Cliente podrá rescindir el contrato de servicio sin penalización.

QronoPlay impondrá a cada encargado ulterior, mediante contrato escrito, las mismas obligaciones de protección de datos que las establecidas en el presente DPA. QronoPlay seguirá siendo plenamente responsable ante el Cliente del cumplimiento por parte del encargado ulterior de sus obligaciones.

Artículo 10 — Transferencias fuera de la UE

Los DCP se almacenan exclusivamente en Francia (OVH Roubaix). Algunos encargados ulteriores pueden tratar DCP en los Estados Unidos (Resend, Tawk.to, Cloudflare) o fuera de Francia dentro de la UE (Mollie, Stripe, Twilio).

  • Las transferencias a los Estados Unidos están enmarcadas por la certificación Data Privacy Framework (DPF) UE–EE. UU. cuando el encargado ulterior está adherido.
  • En su defecto, las transferencias se enmarcan en las Cláusulas contractuales tipo (CCT) de la Comisión Europea (Decisión 2021/914) y, en su caso, en medidas adicionales (cifrado, seudonimización).

El Cliente podrá solicitar en cualquier momento la lista detallada de transferencias y las garantías aplicables a [email protected].

Artículo 11 — Notificación de violaciones de DCP

QronoPlay notificará al Cliente cualquier violación de DCP que afecte a los datos tratados por su cuenta en un plazo de 72 horas desde su descubrimiento, conforme al artículo 33 RGPD.

La notificación escrita (correo electrónico + mensaje en el panel admin) incluirá:

  • La naturaleza de la violación y la fecha de descubrimiento.
  • Las categorías y el número aproximado de interesados afectados.
  • Las categorías y la cantidad aproximada de DCP afectados.
  • Las consecuencias probables de la violación.
  • Las medidas adoptadas o propuestas para remediar la violación y limitar sus consecuencias.
  • El punto de contacto dedicado a la gestión del incidente.

QronoPlay asistirá al Cliente en sus obligaciones de notificación a la CNIL y, en su caso, a los interesados (arts. 33 y 34 RGPD).

Artículo 12 — Asistencia en derechos de los interesados

QronoPlay proporcionará al Cliente las herramientas necesarias para responder a las solicitudes de los interesados conforme a los artículos 15 a 22 RGPD (acceso, rectificación, supresión, limitación, portabilidad, oposición, decisiones automatizadas).

  • Scripts de exportación y supresión disponibles en la plataforma admin.
  • Plazo de transmisión de los elementos: 5 días hábiles desde la solicitud escrita del Cliente.
  • Si un interesado se dirige directamente a QronoPlay, su solicitud se transmitirá al Cliente sin demora y sin respuesta de fondo.

Artículo 13 — Auditoría e inspección

El Cliente (o un auditor tercero independiente que designe, sujeto a una obligación de confidencialidad equivalente) podrá auditar la conformidad de QronoPlay con las obligaciones del presente DPA una vez al año como máximo, mediante solicitud escrita con un preaviso de 30 días.

La auditoría se realizará en horario laboral, sin perturbar las operaciones, y respetando la confidencialidad de los demás clientes de QronoPlay.

Los costes de la auditoría correrán a cargo del Cliente solicitante, salvo que se constate una no conformidad mayor imputable a QronoPlay, en cuyo caso QronoPlay asumirá los costes razonables.

QronoPlay podrá, alternativamente, proporcionar un informe de auditoría independiente reciente (tipo ISO 27001, SOC 2 o pentest externo) que cubra el alcance solicitado.

Artículo 14 — Devolución / destrucción de DCP

Al finalizar el contrato de servicio, y salvo obligación legal de conservación, el Cliente elegirá entre:

  • Devolución: exportación estructurada de los DCP (CSV/JSON) en un plazo de 30 días desde la solicitud escrita.
  • Destrucción certificada: supresión irreversible de los DCP en un plazo de 30 días, con un certificado escrito de destrucción.

Copias de seguridad: los DCP presentes en las copias de seguridad se destruirán a más tardar 90 días tras la expiración del ciclo de retención de las copias.

A falta de instrucción del Cliente en un plazo de 30 días tras el final del contrato, QronoPlay procederá por defecto a la destrucción certificada de los DCP.

Artículo 15 — Responsabilidad

Cada parte responderá de los daños causados por su incumplimiento de las obligaciones RGPD que le incumben. QronoPlay es responsable, en su calidad de encargado, conforme al artículo 82 RGPD, de los daños derivados de violaciones imputables a sus propios actos u omisiones o a los de sus encargados ulteriores.

La responsabilidad global de QronoPlay en virtud del presente DPA está limitada en las condiciones previstas por las Condiciones Generales de Uso, salvo en caso de culpa grave, infracción intencionada o cuando la ley aplicable imponga una responsabilidad más amplia.

Artículo 16 — Modificación del DPA

Toda modificación del presente DPA debe ser aceptada por ambas partes por escrito (correo electrónico con acuse de recibo o adenda firmada).

QronoPlay podrá modificar unilateralmente el DPA para adaptarse a una evolución normativa (RGPD, ePrivacy, decisiones de la CNIL/CEPD, jurisprudencia). En tal caso, se notificará al Cliente con al menos 30 días de antelación a la entrada en vigor. En caso de desacuerdo importante, el Cliente podrá rescindir el contrato de servicio sin penalización.

Artículo 17 — Contacto / Ley aplicable

RPD QronoPlay: [email protected]
Contacto general: [email protected]
Domicilio: SAS Jalimani, [adresse à compléter par Nicolas]
SIREN: 833 142 631

El presente DPA se rige por el derecho francés y el RGPD. Todo litigio relativo a su interpretación o ejecución será competencia exclusiva de los tribunales de Cherbourg-en-Cotentin (Francia), sin perjuicio de las normas de competencia imperativas.

Fecha de entrada en vigor: en la firma del contrato de servicio QronoPlay.

Documento facilitado a título estándar. Para necesidades específicas (Enterprise, sector regulado), puede negociarse una adenda a medida.

Enlaces útiles: Política de privacidad · Condiciones de uso · Reglamento de juegos · Contacto.

Última actualización :
Volver al inicio

© 2025 QronoPlay • [email protected]

vv177860162