Praisera

Acuerdo de Encargo del Tratamiento

Versión
dpa-2026-06-09
Fecha de entrada en vigor
9 de junio de 2026

Este Acuerdo de Encargo del Tratamiento ("DPA") forma parte de los Términos del Servicio de Praisera o de cualquier otro acuerdo escrito entre Praisera y el Cliente (el "Contrato"). Este DPA se aplica cuando Praisera trata datos personales por cuenta del Cliente en relación con el Servicio.

1. Partes y definiciones

"Praisera" significa Dmitry Museychuk, profesional autónomo establecido en España, que opera comercialmente bajo el nombre "Praisera".

"Cliente" significa la empresa, profesional autónomo, organización u otra entidad que utiliza el Servicio en capacidad profesional o comercial.

"Servicio" significa la plataforma Praisera de recogida, gestión, moderación, análisis y visualización de reseñas.

"Datos Personales del Cliente" significa los datos personales tratados por Praisera por cuenta del Cliente a través del Servicio.

"Normativa de Protección de Datos" significa el RGPD, la normativa española de protección de datos aplicable al tratamiento realizado por Praisera y cualquier otra normativa de protección de datos expresamente aplicable al tratamiento de Datos Personales del Cliente por Praisera como encargado.

Los términos "Responsable", "Encargado", "Datos personales", "Tratamiento" y "Violación de la seguridad de los datos personales" tienen el significado previsto en el RGPD.

2. Roles de las partes

El Cliente es el Responsable respecto de los Datos Personales del Cliente. Praisera actúa como Encargado cuando trata dichos datos por cuenta del Cliente y conforme a sus instrucciones documentadas.

Praisera actúa como Encargado principalmente para:

  • recoger reseñas relacionadas con productos, servicios o recursos del Cliente;
  • aplicar reglas de moderación configuradas por el Cliente;
  • mostrar reseñas mediante el widget integrado;
  • tratar eventos del widget para informes del Cliente;
  • gestionar recursos, categorías, configuración del widget, reglas de moderación, respuestas del Cliente y notificaciones configuradas por el Cliente;
  • enviar notificaciones, alertas, resúmenes o reportes configurados por el Cliente a destinatarios designados por el Cliente.

Este DPA no se aplica a actividades en las que Praisera actúa como Responsable independiente, incluyendo administración de cuentas de Praisera, administración de cuentas de Autores de reseñas, facturación, pagos, impuestos, seguridad, prevención de abuso, integridad del Servicio, gestión de denuncias, retirada de contenido, Declaraciones de Motivos, evidencia, disputas, cumplimiento legal y respuesta a autoridades.

Los Datos Personales del Cliente no incluyen registros conservados por Praisera como Responsable independiente, incluidos registros de denuncias, verificación del denunciante, Declaraciones de Motivos, registros de cumplimiento legal, prevención de abuso, integridad del Servicio, seguridad, facturación, impuestos o copias de prueba conservadas para documentación, disputas o defensa frente a reclamaciones.

3. Detalles del tratamiento

El objeto, duración, naturaleza, finalidad, categorías de interesados y tipos de datos personales se describen en el Anexo 1.

Praisera podrá realizar cambios técnicos u operativos razonables en el Servicio siempre que no reduzcan materialmente el nivel de protección de los Datos Personales del Cliente ni alteren sustancialmente las finalidades cubiertas por este DPA.

4. Instrucciones del Cliente

Praisera tratará los Datos Personales del Cliente únicamente conforme a instrucciones documentadas del Cliente, salvo que el Derecho de la Unión Europea o de un Estado miembro exija otro tratamiento. En tal caso, Praisera informará al Cliente antes del tratamiento, salvo que la ley lo prohíba.

Las instrucciones documentadas incluyen el Contrato, este DPA, la configuración del Servicio, las acciones de Usuarios de Cuenta autorizados, solicitudes documentadas de soporte y cualquier otra instrucción escrita aceptada por Praisera.

Praisera no estará obligada a seguir instrucciones ilícitas, técnicamente inviables, contrarias al Contrato, fuera del alcance del Servicio o que creen un riesgo inaceptable de seguridad, privacidad, legalidad, abuso, integridad u operación, salvo que la Normativa de Protección de Datos exija lo contrario.

Si Praisera considera que una instrucción infringe la Normativa de Protección de Datos, informará al Cliente sin dilación indebida, salvo que la ley o razones de seguridad lo impidan.

5. Obligaciones del Cliente

El Cliente es responsable de:

  • determinar los fines y medios del tratamiento;
  • contar con una base jurídica válida para recoger, moderar, mostrar, exportar y tratar reseñas;
  • facilitar avisos de privacidad adecuados;
  • configurar el Servicio de forma lícita;
  • asegurar que los destinatarios de notificaciones están autorizados para recibir la información correspondiente;
  • no introducir ni instruir el tratamiento de datos sensibles, datos de personas menores de 18 años, datos penales u otros datos de alto riesgo prohibidos por el Contrato;
  • responder a solicitudes de interesados cuando actúe como Responsable;
  • retirar o desactivar el widget cuando deje de utilizar el Servicio o cierre su cuenta.

El Cliente no utilizará el Servicio en sectores, jurisdicciones o contextos prohibidos por los Términos del Servicio.

6. Confidencialidad y acceso

Praisera asegurará que las personas autorizadas para tratar Datos Personales del Cliente estén sujetas a obligaciones adecuadas de confidencialidad.

Praisera limitará el acceso a Datos Personales del Cliente a quienes necesiten dicho acceso para prestar, proteger, mantener o dar soporte al Servicio, o para cumplir obligaciones legales aplicables.

El acceso de soporte se regula en la Sección 15.

7. Seguridad

Praisera aplicará medidas técnicas y organizativas adecuadas para proteger los Datos Personales del Cliente frente al acceso no autorizado, pérdida accidental, alteración, divulgación o destrucción.

Las medidas principales se describen en el Anexo 2. Praisera podrá actualizarlas para reflejar mejoras técnicas, cambios operativos, evolución del riesgo, cambios de infraestructura o cambios de proveedores, siempre que no reduzcan materialmente el nivel general de protección.

8. Subencargados

El Cliente autoriza de forma general a Praisera a contratar subencargados para prestar el Servicio.

La lista actual de subencargados, incluyendo su función, ubicación y garantías de protección de datos, está disponible en la Lista de Subencargados publicada en Lista de Subencargados.

Praisera celebrará, aceptará o mantendrá un acuerdo escrito, acuerdo electrónico, anexo de tratamiento de datos u otro instrumento contractual vinculante con cada subencargado que trate Datos Personales del Cliente. Dicho instrumento impondrá, en sustancia, obligaciones de protección de datos equivalentes a las impuestas a Praisera bajo este DPA, en la medida aplicable a la naturaleza del servicio del subencargado.

Praisera seguirá siendo responsable frente al Cliente por el cumplimiento de las obligaciones de protección de datos de sus subencargados en la medida exigida por la Normativa de Protección de Datos.

9. Cambios de subencargados

Praisera podrá añadir o sustituir subencargados. Cuando el cambio sea material para el tratamiento de Datos Personales del Cliente, Praisera actualizará la Lista de Subencargados y, cuando sea razonablemente posible, notificará al Cliente por correo electrónico, dentro del Servicio o por otro canal razonable.

El Cliente podrá oponerse a un nuevo subencargado por motivos razonables y documentados de protección de datos dentro del plazo indicado en la notificación o, si no se indica plazo, dentro de los treinta (30) días siguientes.

Si el Cliente se opone válidamente, Praisera podrá ofrecer medidas de mitigación, limitar el tratamiento afectado, permitir desactivar la funcionalidad afectada, sustituir el subencargado o permitir al Cliente terminar la parte afectada del Servicio. Si el subencargado es necesario para prestar el Servicio y Praisera no puede acomodar razonablemente la oposición, el único remedio del Cliente será terminar la parte afectada del Servicio, salvo que la ley exija otra cosa.

10. Transferencias internacionales

La infraestructura principal de aplicación, base de datos y copias de seguridad de Praisera se alojará dentro del Espacio Económico Europeo, salvo que se indique otra cosa en la Lista de Subencargados o en un acuerdo escrito con el Cliente.

Cuando un subencargado o proveedor trate Datos Personales del Cliente fuera del EEE, Praisera utilizará un mecanismo de transferencia válido conforme al Capítulo V del RGPD, como una decisión de adecuación, Cláusulas Contractuales Tipo, certificación activa bajo el Marco de Privacidad de Datos UE-EE.UU. cuando sea aplicable, u otra garantía válida.

Praisera podrá actualizar los mecanismos de transferencia cuando sea necesario para mantener un mecanismo válido, siempre que no se reduzca materialmente el nivel de protección.

11. Asistencia al Cliente

Teniendo en cuenta la naturaleza del tratamiento y la información disponible, Praisera asistirá razonablemente al Cliente en:

  • responder a solicitudes de interesados relativas a Datos Personales del Cliente;
  • cumplir obligaciones de seguridad del tratamiento;
  • evaluar y gestionar brechas de datos personales;
  • realizar evaluaciones de impacto cuando proceda;
  • responder a consultas previas de autoridades de control cuando proceda.

La asistencia se prestará principalmente mediante documentación, este DPA, la Política de Privacidad, la Lista de Subencargados, documentación de seguridad razonablemente disponible y respuestas razonables a solicitudes específicas.

Praisera podrá cobrar costes razonables por asistencia que exceda el soporte estándar, salvo que la asistencia sea necesaria por un incumplimiento de Praisera de este DPA.

12. Solicitudes de interesados

Si Praisera recibe una solicitud relativa a Datos Personales del Cliente tratados como Encargado, podrá remitir la solicitud al Cliente, indicar al interesado que contacte con el Cliente o coordinar la respuesta con el Cliente.

Praisera no estará obligada a actuar directamente sobre Datos Personales del Cliente sin instrucciones del Cliente, salvo que la Normativa de Protección de Datos lo exija o que Praisera actúe como Responsable independiente respecto de la actividad afectada.

13. Brechas de datos personales

Praisera notificará al Cliente sin dilación indebida después de tener conocimiento de una Violación de la seguridad de los datos personales que afecte a Datos Personales del Cliente tratados por Praisera como Encargado.

La notificación incluirá, en la medida en que esté razonablemente disponible:

  • la naturaleza general de la brecha;
  • las categorías de datos y personas afectadas, cuando se conozcan;
  • las medidas adoptadas o propuestas para contener o mitigar la brecha;
  • información razonablemente necesaria para que el Cliente evalúe sus obligaciones de notificación.

Praisera podrá proporcionar información de forma escalonada. La notificación de una brecha no constituye reconocimiento de culpa o responsabilidad.

14. Supresión y devolución

La terminación del Contrato, cancelación de suscripción, cierre de cuenta y gestión de cuentas inactivas se regulan en los Términos del Servicio o en el acuerdo aplicable.

La falta de uso del Servicio por parte del Cliente no implica por sí sola la terminación automática del Contrato ni de este DPA.

Al terminar el Servicio afectado o cerrarse la cuenta de Cliente, el Cliente podrá solicitar devolución o exportación de los Datos Personales del Cliente tratados únicamente como Encargado antes del cierre de la cuenta o dentro de los treinta (30) días siguientes a la terminación, salvo que Praisera acuerde otra cosa por escrito o la ley exija un plazo distinto.

Durante ese plazo, Praisera podrá desactivar el workspace, retirar la visualización pública, limitar el acceso operativo y conservar temporalmente los datos disponibles razonablemente necesarios para atender una solicitud de devolución o exportación.

Transcurrido el plazo de treinta (30) días, Praisera podrá suprimir o anonimizar los Datos Personales del Cliente tratados únicamente como Encargado conforme a su proceso estándar.

El Cliente podrá solicitar supresión inmediata de los Datos Personales del Cliente tratados únicamente como Encargado. En tal caso, salvo obligación legal aplicable, Praisera podrá iniciar la supresión o anonimización sin conservar una ventana adicional de exportación, y el Cliente se considerará que renuncia a la devolución o exportación.

La exportación se proporcionará en un formato razonable, comúnmente utilizado y disponible dentro del Servicio o mediante soporte razonablemente asistido. El derecho a exportar reseñas o datos relacionados no transfiere al Cliente derechos de propiedad intelectual de los Autores de reseñas ni afecta a los Términos del Autor de reseña.

La supresión o devolución no se aplica a datos que Praisera conserve como Responsable independiente, incluyendo registros de denuncias, Declaraciones de Motivos, registros de prevención de abuso, seguridad, cumplimiento legal, facturación, impuestos, integridad del Servicio, copias de prueba o datos excluidos de los Datos Personales del Cliente conforme a la Sección 2.

Las copias de seguridad se eliminan conforme al ciclo de retención de backups de Praisera. Praisera no purga quirúrgicamente datos de copias de seguridad, salvo que decida hacerlo a su discreción o que la ley lo exija.

15. Acceso de soporte

Cuando el soporte requiera acceso a datos controlados por el Cliente, Praisera tratará dichos datos como Encargado, salvo que el acceso se realice para fines independientes de seguridad, cumplimiento legal, prevención de abuso, integridad del Servicio, gestión de denuncias, disputas o defensa frente a reclamaciones.

Para soporte ordinario, cuando esté disponible y resulte apropiado, Praisera podrá utilizar sesiones de soporte efímeras, de duración limitada y solo lectura, acotadas al workspace afectado. Dicho acceso podrá registrarse y, cuando se conceda mediante el flujo de soporte, notificarse al propietario o administrador principal del Cliente, salvo que un motivo legal, de seguridad, privacidad, abuso, integridad del Servicio o protección de terceros justifique retrasar o limitar la notificación.

Los incidentes de seguridad, cumplimiento legal, abuso, denuncia, retirada, recuperación de infraestructura o integridad del Servicio pueden requerir acceso de operador controlado fuera del flujo ordinario de soporte, sujeto a controles internos proporcionales.

16. Auditorías

Praisera pondrá a disposición del Cliente información razonablemente necesaria para demostrar el cumplimiento de este DPA, principalmente mediante este DPA, la Política de Privacidad, la Lista de Subencargados, documentación de seguridad razonablemente disponible y respuestas escritas a solicitudes razonables.

El Cliente podrá solicitar una auditoría razonable no más de una vez cada doce (12) meses, salvo brecha material documentada o exigencia legal. Antes de solicitar una auditoría intrusiva, el Cliente deberá intentar resolver sus dudas mediante documentación y respuestas escritas.

Cualquier auditor deberá ser independiente, cualificado, estar sujeto a confidencialidad y no ser competidor de Praisera ni actuar en nombre de un competidor.

Las auditorías deberán notificarse con antelación razonable, realizarse durante horario laboral, limitarse al alcance necesario y no comprometer seguridad, confidencialidad, disponibilidad, secretos comerciales, privilegio legal, datos de otros clientes o integridad del Servicio. No incluirán pruebas de penetración, escaneos, acceso a código fuente, bases de datos, datos de otros clientes o infraestructura de producción salvo acuerdo previo por escrito.

Praisera podrá rechazar, suspender o limitar una auditoría que comprometa los intereses anteriores, procurando ofrecer información alternativa razonable cuando sea posible.

Praisera podrá cobrar costes razonables por auditorías o asistencia que excedan la documentación estándar, salvo que la auditoría revele un incumplimiento material de Praisera.

17. Tratamiento sensible prohibido

El Cliente no utilizará el Servicio para tratar categorías especiales de datos personales, datos relativos a condenas o infracciones penales, datos de personas menores de 18 años u otros datos de alto riesgo, salvo autorización expresa por escrito de Praisera y garantías adicionales acordadas.

Si Praisera tiene conocimiento de dicho uso, podrá suspender, restringir o terminar el Servicio afectado, retirar o restringir contenido, exigir medidas correctivas o tomar otras medidas razonables.

18. Responsabilidad e indemnización

La responsabilidad de cada parte bajo este DPA estará sujeta a las limitaciones y exclusiones del Contrato, salvo en la medida en que la Normativa de Protección de Datos no permita dicha limitación o exclusión.

El Cliente indemnizará y mantendrá indemne a Praisera frente a reclamaciones de terceros, reclamaciones regulatorias, daños, sanciones, costes y gastos, en la medida legalmente recuperable o indemnizable, derivados de instrucciones ilícitas, falta de base jurídica, avisos insuficientes, configuración ilícita, destinatarios no autorizados, uso prohibido del Servicio, envío de datos sensibles o de alto riesgo, Contenido de la Reseña o respuestas bajo control del Cliente, o incumplimiento del Cliente de este DPA, del Contrato o de la Normativa de Protección de Datos.

Esta indemnización no se aplicará en la medida en que la reclamación derive directamente de un incumplimiento de Praisera de este DPA o de la Normativa de Protección de Datos aplicable a Praisera.

19. Orden de prelación

En caso de conflicto entre este DPA y el Contrato respecto del tratamiento de Datos Personales del Cliente por Praisera como Encargado, prevalecerá este DPA.

En caso de conflicto entre este DPA y la Política de Privacidad, este DPA prevalecerá únicamente respecto del tratamiento de Datos Personales del Cliente por Praisera como Encargado. La Política de Privacidad seguirá aplicando a las actividades en las que Praisera actúe como Responsable.

En caso de conflicto entre este DPA y Cláusulas Contractuales Tipo u otro mecanismo obligatorio de transferencia, prevalecerá dicho mecanismo en la medida del conflicto.

20. Cambios

Praisera podrá actualizar este DPA para reflejar cambios legales, técnicos, operativos, de seguridad, proveedores, Servicio o estructura de Praisera.

Praisera no realizará cambios materiales que reduzcan materialmente el nivel de protección de los Datos Personales del Cliente sin notificarlo a Clientes afectados.

Si un cambio material adverso afecta al tratamiento de Datos Personales del Cliente y el Cliente se opone razonablemente por motivos de protección de datos, el Cliente podrá terminar la parte afectada del Servicio antes de que el cambio surta efecto, salvo que el cambio sea necesario por ley, seguridad, continuidad del proveedor, integridad del Servicio o necesidad operativa urgente.

Si la titularidad u operación del Servicio se transfiere a una sociedad u otra entidad sucesora, dicha entidad asumirá las obligaciones de Praisera bajo este DPA y la transferencia no reducirá materialmente el nivel de protección de los Datos Personales del Cliente.

21. Contacto

Para consultas relacionadas con este DPA:

Anexo 1 — Detalles del tratamiento

Objeto: prestación del Servicio Praisera al Cliente, incluyendo recogida, gestión, moderación, análisis y visualización de reseñas.

Duración: durante la vigencia del Contrato y, después de su terminación, durante el tiempo necesario para devolución/exportación, supresión o anonimización, expiración de backups, obligaciones legales, reservas legales, disputas, denuncias activas, seguridad, prevención de abuso o defensa frente a reclamaciones.

Naturaleza y finalidad: recogida de reseñas, estructuración por recursos/categorías/puntuaciones, moderación configurada por el Cliente, visualización mediante widget, respuestas del Cliente, informes, analítica, notificaciones configuradas, registros de moderación/auditoría, soporte y operación técnica del Servicio.

Categorías de interesados: Usuarios de Cuenta, Autores de reseñas, Visitantes del widget, destinatarios de notificaciones configurados por el Cliente y personas mencionadas incidentalmente en reseñas, respuestas, configuraciones, notificaciones o comunicaciones.

Tipos de datos personales: nombres, alias, correos electrónicos, roles, identificadores de cuenta/workspace, contenido de reseñas, puntuaciones, categorías, respuestas, metadatos de reseñas, configuración del widget, recursos, reglas de moderación, datos de notificaciones, eventos del widget, timestamps, dominio de origen, user agent, cabeceras técnicas, registros de moderación/auditoría, comunicaciones de soporte y datos contenidos en backups.

Categorías especiales: el Servicio no está diseñado para tratar categorías especiales de datos, datos penales, datos de personas menores de 18 años ni otros datos de alto riesgo. El Cliente no debe introducir ni instruir el tratamiento de dichos datos.

Anexo 2 — Medidas técnicas y organizativas

Praisera mantiene medidas técnicas y organizativas adecuadas al tamaño, naturaleza, alcance y riesgo del Servicio, incluyendo, según corresponda:

  • acceso limitado a personal autorizado y basado en necesidad;
  • confidencialidad del personal autorizado;
  • separación lógica entre workspaces de Clientes;
  • controles de autenticación, sesión y permisos;
  • contraseñas almacenadas como hash con sal;
  • autenticación multifactor para Usuarios de Cuenta cuando esté disponible, habilitada o requerida;
  • cifrado en tránsito mediante HTTPS/TLS;
  • protección de tráfico mediante proveedores de red y seguridad;
  • registros de aplicación, seguridad y auditoría proporcionales;
  • monitorización de errores y disponibilidad;
  • limitación de solicitudes y controles antiabuso;
  • mecanismos de denuncia y revisión de contenido;
  • acceso de soporte limitado, registrado y controlado;
  • copias de seguridad periódicas con ciclo escalonado de retención;
  • revisión de proveedores relevantes y acuerdos de tratamiento cuando correspondan;
  • mecanismos de transferencia documentados cuando apliquen;
  • proceso interno de respuesta a incidentes, incluyendo clasificación, contención, evaluación de riesgo, análisis de notificación y remediación.

Praisera revisará estas medidas cuando se produzcan cambios sustanciales en la arquitectura, proveedores, autenticación, entrega del widget, modelo de amenazas o naturaleza del Servicio.