Actualizado el: 25 de septiembre de 2025

1. Introducción y Ámbito de Aplicación

  1. Este Anexo de Procesamiento de Datos («DPA«, Data Processing Addendum) es un anexo a los Términos del ServicioTérminos«) o al o al Acuerdo Marco de Servicios («MSA«, Master Services Agreement), según corresponda, y forma parte del Acuerdo. Todas las disposiciones del Acuerdo, incluidas las limitaciones de responsabilidad, se aplican y se incorporan a este DPA. Sin embargo, si existe un conflicto directo entre las disposiciones de este DPA y cualquier disposición de los Términos o del MSA, prevalecerán las disposiciones de este DPA.
  2. Actualizaciones del DPA. Podemos realizar cambios en este DPA en cualquier momento a nuestra entera discreción. Notificaremos cualquier cambio sustancial de este DPA por correo electrónico al Propietario de la Empresa o publicando un aviso de dichos cambios en la Plataforma. Tu uso continuado de nuestros Servicios durante más de 30 días tras la transmisión de nuestra notificación constituirá tu aceptación de nuestros cambios a este DPA. Si no estás de acuerdo con alguno de los cambios realizados en este DPA, puedes cancelar tu cuenta y rescindir el acuerdo de conformidad con lo establecido en el mismo.

2. Definiciones

Los términos en mayúsculas que no estén definidos en el presente DPA tendrán el significado que se les atribuye en otras partes del Acuerdo. Además, los siguientes términos definidos se aplican únicamente con respecto a este DPA.

  1. «Responsable del tratamiento«, «Empresa«, «Encargado del tratamiento«, «Proveedor de servicios«, «Sujeto de los datos» (que incluye «Consumidor«), «Tratamiento«, «Datos personales» (que incluye «Información personal«) y «Vender» (que incluye «Compartir» según la CCPA) (y variaciones similares o relacionadas de dichos términos) tendrán los significados que se les atribuyen en las Leyes de Protección de Datos aplicables.
  2. «Datos Personales del Cliente» se refiere a cualquier dato personal que se transmita, almacene o procese de cualquier otra forma por o a través de tus aplicaciones de cliente en relación con la prestación de los servicios por parte de Kinsta.
  3. «Violación de Datos Personales» se refiere a cualquier destrucción, pérdida, alteración, divulgación o acceso accidental o no autorizado a los datos personales de los clientes, pero excluyendo los intentos fallidos o las actividades que no comprometen la seguridad o la integridad de los datos personales de los clientes, incluyendo, entre otros, intentos de inicio de sesión, pings, escaneos de puertos, ataques de denegación de servicio y otros ataques de red a cortafuegos o sistemas en red.
  4. «Subencargado del tratamiento» se refiere a un tercero encargado del tratamiento contratado por Kinsta que puede tratar los Datos personales del cliente con el fin de prestar los Servicios.
  5. «Leyes de Protección de Datos de la UE» se refiere al Reglamento General de Protección de Datos 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 («GDPR«), tal y como se aplica y complementa en la legislación nacional de cada Estado Miembro, la Ley de Protección de Datos del Reino Unido de 2018 y el GDPR del Reino Unido, y la Ley de Protección de Datos de Suiza, y en cada caso, tal y como se modifique, sustituya o reemplace periódicamente.
  6. «Leyes de Protección de Datos de EE.UU.» se refiere a la Ley de Privacidad del Consumidor de California (modificada por la Ley de Derechos de Privacidad de California) (colectivamente, la «CCPA«), la Ley de Privacidad de Colorado, la Ley de Privacidad de Datos de Connecticut, la Ley de Privacidad de Datos Personales de Delaware, la Ley de Protección de Datos del Consumidor de Indiana, la Ley de Protección de Datos del Consumidor de Iowa, la Ley de Protección de Datos del Consumidor de Kentucky, la Ley de Privacidad de Datos Online de Maryland, la Ley de Privacidad de Datos del Consumidor de Minnesota, Ley de Protección de Datos de los Consumidores de Minnesota, Ley de Protección de Datos de los Consumidores de Montana, Ley de Protección de Datos de Nebraska, Ley de Protección de Datos de New Hampshire, Ley de Protección de Datos de New Jersey, Ley de Protección de Datos de los Consumidores de Oregón, Ley de Transparencia de Datos y Protección de la Privacidad de Rhode Island, Ley de Protección de Datos de Tennessee, Ley de Protección de Datos y Seguridad de Texas, Ley de Protección de Datos de los Consumidores de Utah y Ley de Protección de Datos de los Consumidores de Virginia, y en cada caso, en su versión modificada, sustituida o reemplazada en cada momento.
  7. «Leyes de Protección de Datos» se refiere a las leyes y normativas que rigen la privacidad, integridad y seguridad de los Datos Personales, incluidas las Leyes de Protección de Datos de la UE y las Leyes de Protección de Datos de EE.UU., en la medida en que dichas leyes y normativas se apliquen al Tratamiento por parte de Kinsta de tus Datos Personales de Cliente.
  8. «Transferencia Internacional» significa una exportación de
    1. Datos Personales del Cliente,
    2. regida por cualquiera de las Leyes de Protección de Datos de la UE,
    3. a un tercer país fuera del Espacio Económico Europeo («EEE»), Reino Unido («RU») o Suiza,
    4. que no haya sido designado por la Comisión Europea, el Reino Unido o Suiza como país que garantiza un nivel de protección adecuado.
  9. «SCC» se refiere a las cláusulas contractuales tipo, tal y como se adoptaron en la Decisión de Ejecución (UE) 2021/914 de la Comisión, de 4 de junio de 2021, sobre las cláusulas contractuales tipo para la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo.
  10. «Apéndice del Reino Unido» se refiere al Anexo sobre transferencia internacional de datos de las Cláusulas contractuales tipo de la Comisión Europea emitido por la Oficina del Comisionado de Información del Reino Unido, VERSIÓN B1.0, en vigor desde el 21 de marzo de 2022.

3. Funciones, Obligaciones Generales y Disposiciones de la CCPA

  1. El cliente es el responsable del tratamiento y la empresa, y Kinsta es el encargado del tratamiento y el proveedor de servicios en lo que respecta a los datos personales del cliente. Kinsta solo tratará los datos personales del cliente con el fin de prestar los servicios de acuerdo con las instrucciones documentadas del cliente, que incluyen las disposiciones del acuerdo, salvo que se requiera lo contrario para cumplir con cualquier ley de protección de datos. Te informaremos si tus instrucciones infringen las leyes de protección de datos. La naturaleza, la finalidad y la duración del tratamiento se establecen en el anexo I de las SCC.
  2. Kinsta certifica, entiende y acepta que no deberá
    1. Vender los Datos Personales del Cliente,
    2. retener, utilizar o revelar Datos Personales del Cliente para cualquier fin (incluido cualquier fin comercial) distinto del fin específico de prestar los Servicios conforme al Contrato, a menos que lo permitan expresamente las Leyes de Protección de Datos de EE.UU. aplicables, o
    3. conservar, utilizar o revelar Datos Personales del Cliente fuera de la relación comercial directa entre tú y Kinsta, a menos que esté expresamente permitido por las Leyes de Protección de Datos de EE.UU. aplicables.
  3. Te informaremos si determinamos que ya no podemos cumplir nuestras obligaciones en virtud de las Leyes de Protección de Datos de EE.UU. aplicables.
  4. El Cliente y Kinsta cumplirán las Leyes de Protección de Datos. El Cliente obtendrá todas las autorizaciones, consentimientos, liberaciones o permisos requeridos, y proporcionará todos los avisos de privacidad requeridos, en relación con los Datos Personales del Cliente. Para evitar dudas, salvo que se disponga lo contrario en el presente DPA, el Cliente será el único responsable de la exactitud, calidad y legalidad de todos los Datos Personales del Cliente y de las bases sobre las que se recopilan del Sujeto de Datos.

4. Evaluaciones de Seguridad e Impacto

  1. Kinsta se asegurará de que su personal esté sujeto a obligaciones vinculantes de confidencialidad con respecto a los Datos Personales del Cliente.
  2. Teniendo en cuenta el estado actual de la tecnología, los costes de implementación y la naturaleza, el alcance, el contexto y los fines del Tratamiento, así como el riesgo de probabilidad y gravedad variables para los derechos y libertades de los Interesados, Kinsta implementará las medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad adecuado al riesgo, incluidas las medidas establecidas en el Anexo II de las SCCs. Sujeto y condicionado a un acuerdo de confidencialidad y no divulgación por escrito, tú podrás solicitar y revisar la documentación actual de Kinsta sobre la gestión de la seguridad de la información, disponible en https://trust.kinsta.com/ («Documentación de Seguridad»).
  3. Teniendo en cuenta la naturaleza del Procesamiento y la información de que dispone Kinsta, Kinsta ayudará al Cliente a garantizar el cumplimiento de las obligaciones del Cliente en virtud de las Leyes de Protección de Datos con respecto a la seguridad, las evaluaciones de impacto y las consultas con las autoridades supervisoras o reguladoras.

5. Violación de Datos Personales

  1. Teniendo en cuenta la naturaleza del Tratamiento y la información de que dispone Kinsta, Kinsta ayudará al Cliente a garantizar el cumplimiento de las obligaciones del Cliente en virtud de las Leyes de Protección de Datos con respecto a una Violación de Datos Personales.
  2. Si descubrimos una Violación de Datos Personales, Kinsta, sin demora indebida, notificará por escrito la Violación de Datos Personales al Cliente.
  3. Nuestra notificación incluirá la siguiente información, en la medida en que se conozca en ese momento (y se actualizará a medida que se disponga de información adicional):
    1. las fechas y horas de la Violación de Datos Personales,
    2. los hechos básicos que subyacen al descubrimiento de la Violación de Datos Personales, o la decisión de iniciar una investigación sobre la sospecha de Violación de Datos Personales, según proceda,
    3. una descripción de los Datos Personales del Cliente implicados en la Violación de Datos Personales, ya sea específicamente, o por referencia a las categorías de datos, y
    4. las medidas previstas o en curso para remediar o mitigar la vulnerabilidad que dio lugar a la violación de datos personales.

6. Solicitudes de los Interesados

  1. Teniendo en cuenta la naturaleza del Tratamiento, Kinsta asistirá al Cliente mediante las medidas técnicas y organizativas apropiadas, en la medida en que ello sea posible, para el cumplimiento de la obligación del Cliente de responder a las solicitudes de ejercicio de los derechos del Titular de los Datos en virtud de las Leyes de Protección de Datos.
  2. Kinsta notificará inmediatamente al Cliente si recibimos una solicitud de un Interesado para invocar sus derechos con respecto a los Datos personales del Cliente, a menos que lo prohíba la legislación aplicable. No tomaremos ninguna medida de forma independiente en respuesta a una solicitud de un Interesado sin la instrucción previa por escrito del Cliente, salvo que lo exija la legislación aplicable.

7. Transferencias internacionales

  1. El Cliente puede seleccionar las regiones del centro de datos donde se alojarán sus Aplicaciones de Cliente. Independientemente de la región del centro de datos del Cliente, ciertos aspectos de los Servicios pueden requerir Transferencias Internacionales. El Cliente autoriza dichas Transferencias Internacionales de Datos Personales del Cliente con el único fin de prestar los Servicios. Las transferencias internacionales están sujetas al MÓDULO DOS (del responsable al encargado del tratamiento) de las CCT. Para las transferencias internacionales desde Suiza, las partes acuerdan que todas las adaptaciones y modificaciones de las SCC exigidas por el Comisionado Federal Suizo de Protección de Datos e Información se incorporen a las SCC (las «Modificaciones Suizas»). Para las Transferencias Internacionales desde el Reino Unido, las partes acuerdan el Anexo del Reino Unido. La información de la Tabla del Addendum del Reino Unido es la siguiente: Tabla 1: Véase el Anexo I de los SCC más abajo; Tabla 2: Véase la Sección 7.b más abajo; Tabla 3: Véanse los Anexos I y II de los SCC más abajo; la lista de subencargados del tratamiento de Kinsta se encuentra aquí: https://kinsta.com/legal/subprocessors/; Tabla 4: El importador y el exportador pueden poner fin al Addendum del Reino Unido según lo establecido en la Sección 19 del mismo.
  2. En cuanto a las disposiciones opcionales de las SCC, las Enmiendas Suizas y el Addendum del Reino Unido, las partes acuerdan lo siguiente:
    1. Las partes aceptan la Cláusula 7.
    2. Las partes eligen la OPCIÓN 2 de la Cláusula 9(a).
    3. Las partes no aceptan las disposiciones opcionales de la Cláusula 11(a).
    4. Las partes eligen la OPCIÓN 1 de la Cláusula 17 y el Estado Miembro será Irlanda, el Reino Unido o Suiza, según proceda.
    5. Las partes acuerdan que el Estado Miembro de la Cláusula 18(b) sea Irlanda, el Reino Unido o Suiza, según proceda.
  3. Las SCCs, las Enmiendas Suizas y el Apéndice del Reino Unido, según proceda, se incorporan por referencia al presente DPA para cualquier Transferencia Internacional. La aceptación del Acuerdo por las partes servirá como su acuerdo respectivo para cumplir con las SCCs, las Enmiendas Suizas y el Anexo del Reino Unido pertinentes con respecto a cualquier Transferencia Internacional.

8. Subencargados del Tratamiento

  1. El Cliente autoriza a Kinsta a contratar a los Subencargados del Tratamiento enumerados en https://kinsta.com/legal/subprocessors/ (la «Lista de Subencargados del Tratamiento«). Antes de añadir o sustituir a cualquier subencargado del tratamiento, Kinsta notificará por escrito dichos cambios al Cliente. El hecho de que el Cliente no se oponga por escrito a un nuevo subencargado del tratamiento en un plazo de 14 días a partir de la notificación de Kinsta del nuevo subencargado del tratamiento constituirá la autorización del Cliente al nuevo subencargado del tratamiento. Kinsta se reserva el derecho a utilizar inmediatamente un nuevo subencargados del tratamiento con el fin limitado de proteger los Servicios o las Aplicaciones del Cliente.
  2. Si Kinsta determina, a su entera discreción, que no puede dar cabida razonablemente a la objeción oportuna del Cliente a un subencargado del tratamiento, previa notificación de Kinsta, el Cliente podrá optar por rescindir el Contrato de conformidad con las disposiciones de rescisión del Contrato, lo que constituirá el único y exclusivo recurso del Cliente.
  3. Kinsta impondrá a sus Subencargados de tratamiento obligaciones iguales o equivalentes a las establecidas en el presente APD mediante contrato escrito. Kinsta será responsable ante el Cliente del cumplimiento por parte de los Subencargados del tratamiento de sus obligaciones en materia de protección de datos con respecto a los Datos Personales del Cliente.

9. Auditoría e Inspección

  1. Sujeto y condicionado a un acuerdo escrito de confidencialidad y no divulgación, el Cliente podrá solicitar y revisar la Documentación de Seguridad de Kinsta y cualquier otra información razonablemente necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente DPA.
  2. El Cliente sólo podrá realizar una auditoría si, tras revisar la Documentación de Seguridad, siguen sin resolverse problemas específicos de cumplimiento. Cualquier auditoría estará (i) condicionada a una notificación por escrito con una antelación razonable, no inferior a treinta (30) días, a Kinsta; (ii) condicionada a un acuerdo de confidencialidad y no divulgación por escrito y a un plan de auditoría detallado por escrito revisado y preaprobado por Kinsta; (iii) limitada a una vez cada doce (12) meses; (iv) por cuenta y cargo exclusivos del Cliente; y (v) en presencia virtual o física de un representante de Kinsta sin perturbar injustificadamente las operaciones comerciales de Kinsta.

10. Eliminación o Devolución de los Datos Personales del Cliente

A la debida terminación del Contrato y por indicación escrita del Cliente, Kinsta tomará las medidas razonables para eliminar los Datos Personales del Cliente o devolver al Cliente los Datos Personales del Cliente y las copias de los mismos, con sujeción a las leyes aplicables u otras obligaciones de Kinsta que requieran la conservación continuada de los Datos Personales del Cliente por parte de Kinsta.

SCCs Anexo I

A. LISTA DE PARTES

Exportador de Datos:

Nombre: La entidad identificada como Cliente.

Dirección: La dirección del Cliente registrada en la Plataforma o especificada de otro modo en el Acuerdo.

Nombre, cargo y datos de contacto: Los datos de contacto del Propietario de la Empresa asociados a la Cuenta del Cliente, o según se especifique de otro modo en el Acuerdo.

Actividades relacionadas con los datos transferidos en virtud de las Cláusulas: Funcionamiento de las Aplicaciones del Cliente Firma y fecha: Las partes acuerdan que la aceptación o las ejecuciones del Acuerdo, según proceda, constituirán la ejecución de estas SCCs por ambas partes.

Función: Controlador

Importador de datos:

Nombre: Kinsta Inc.

Dirección: 8605 Santa Monica Blvd #92581, West Hollywood, CA 90069, EE.UU.

Nombre, cargo y datos de contacto Equipo de Privacidad de Datos de Kinsta [email protected] o por correo a la dirección arriba indicada

Actividades relacionadas con los datos transferidos en virtud de las Cláusulas: Prestación de los Servicios

Firma y fecha: Las partes acuerdan que la aceptación o las ejecuciones del Acuerdo, según proceda, constituirán la ejecución de estas SCCs por ambas partes.

Función: Encargado del tratamiento

B. DESCRIPCIÓN DE LA TRANSFERENCIA

Categorías de interesados cuyos datos personales se transfieren
Cualquier tercero que pueda visitar, utilizar o acceder a las Aplicaciones del Cliente, o cuyos datos personales sean transmitidos, almacenados o tratados de cualquier otra forma a través de las Aplicaciones del Cliente por el Cliente, incluyendo, por ejemplo: empleados y demás personal, clientes y usuarios (incluido su personal), visitantes del sitio web o usuarios finales, proveedores (incluido su personal), familiares y asociados de los anteriores, asesores, consultores y otros expertos profesionales, accionistas, miembros o simpatizantes, y estudiantes y alumnos.

Categorías de datos personales transmitidos
Cualquier categoría permitida por el Cliente para ser transmitida, almacenada o procesada de cualquier otra forma a través de las Aplicaciones del Cliente. Dichas categorías pueden incluir, por ejemplo, información de contacto, detalles de empleo, información financiera, detalles de educación y formación, identificadores por parte de una autoridad pública, circunstancias familiares, de estilo de vida y sociales.

Datos sensibles transmitidos (si procede) y restricciones aplicadas
El Cliente puede permitir que se transmitan, almacenen o procesen de otro modo datos sensibles a través de las Aplicaciones del Cliente. Las restricciones y garantías especificadas en el Anexo II se aplican a estas categorías de datos personales (si las hubiera). El Cliente será responsable de informar a Kinsta de las categorías específicas de datos sensibles transferidos y de cualquier restricción adicional aplicada.

La frecuencia de la transferencia
Continua

Naturaleza del tratamiento
Tratamiento en relación con la prestación de los Servicios, incluido el alojamiento de las Aplicaciones del Cliente y el soporte relacionado.

Finalidad(es) de la transferencia de datos y del tratamiento posterior
Prestación de los Servicios

Período durante el cual se conservarán los datos personales
De conformidad con la DPA, Sección 10

Para las transferencias a (sub)encargados del tratamiento, especifica el objeto, la naturaleza y la duración del procesamiento
El objeto, la naturaleza y la duración del tratamiento por parte de los subencargados del tratamiento del tratamiento se establecen en este Anexo I, Sección B.

C. AUTORIDAD DE CONTROL COMPETENTE

Identifica la autoridad o autoridades de control competentes de conformidad con la cláusula 13
Irlanda

SCC Anexo II

MEDIDAS TÉCNICAS Y ORGANIZATIVAS INCLUIDAS LAS MEDIDAS TÉCNICAS Y ORGANIZATIVAS PARA GARANTIZAR LA SEGURIDAD DE LOS DATOS.

GOBERNANZA Y ORGANIZACIÓN DE LA SEGURIDAD

  • Mantenemos políticas de seguridad de la información que restringen el tratamiento de los Datos Personales del Cliente por parte de los miembros del equipo a sólo lo necesario para prestar los Servicios.
  • Todos los miembros del equipo firman acuerdos con cláusulas de confidencialidad antes de acceder a cualquier Dato Personal del Cliente.
  • Tenemos un equipo de Seguridad dedicado a tiempo completo.
  • Un grupo de supervisión de Seguridad incluye a miembros de los equipos de Ingeniería, Operaciones, Jurídico y Ejecutivo.
  • Todos los miembros del equipo reciben formación sobre la privacidad de los datos y nuestras políticas.

ENCRIPTACIÓN DE DATOS

  • Todos los Datos Personales de Clientes transferidos por Kinsta se encriptan en tránsito.
  • Todos los Datos Personales del Cliente almacenados en los centros de datos (todas las Aplicaciones del Cliente y los registros de acceso) están encriptados en reposo.
  • Kinsta ofrece certificados SSL gratuitos y permite a los Clientes forzar las conexiones HTTPS para cifrar todo el tráfico de las Aplicaciones del Cliente en tránsito.

GESTIÓN DE IDENTIDADES Y ACCESOS

  • Las políticas y prácticas de gestión de identidades y accesos siguen el principio del mínimo privilegio y el control de acceso basado en roles (RBAC).
  • Cuando procede, se activa la autenticación de dos factores en todas las cuentas de la Plataforma de los miembros del equipo con acceso a los Datos Personales del Cliente.
  • El acceso raíz a los contenedores y servidores se realiza únicamente mediante una clave privada única, y los miembros del equipo reciben el acceso mínimo necesario para desempeñar sus funciones.
  • El acceso raíz sólo es posible a través de puntos de acceso de red dedicados, no los mismos puntos de acceso que el acceso normal.

INFRAESTRUCTURA Y SEGURIDAD FÍSICA

  • Nuestros subencargados del tratamiento de datos implementan controles de acceso físico para limitar el acceso al hardware de los centros de datos.
  • Nuestros proveedores de centros de datos se han sometido a múltiples auditorías de seguridad y poseen certificaciones como SOC 2 Tipo II e ISO 27001.

SEGURIDAD DE RED Y PERÍMETRO

  • El Cortafuegos de Aplicaciones Web (WAF) y la protección DDoS están integrados en los Servicios.
  • Kinsta limita las conexiones no HTTP únicamente a protocolos seguros (SSH, SFTP).
  • Las Aplicaciones del Cliente están protegidas por un cortafuegos personalizado gestionado por el equipo de Ingeniería de Kinsta.

MINIMIZACIÓN DE DATOS

  • Hacemos esfuerzos razonables para procesar, transferir y conservar sólo la cantidad y el tipo de datos necesarios para prestar los Servicios.

COPIA DE SEGURIDAD, PORTABILIDAD, RETENCIÓN Y ELIMINACIÓN

  • Se crean múltiples formas de copias de seguridad periódicas. Los Clientes pueden descargar fácilmente copias de seguridad para transferirlas a otros hosts (portabilidad) o para almacenarlas en otros servicios.
  • Los Clientes pueden iniciar la eliminación de las Aplicaciones del Cliente de la Plataforma. Tras la finalización de los Servicios, Kinsta realiza esfuerzos razonables para eliminar todos los Datos Personales del Cliente en un plazo de 45 días.

GESTIÓN DE PARCHES Y CONFIGURACIÓN

  • Nuestro equipo de Ingeniería mantiene al día los paquetes y el software del servidor, y las actualizaciones de seguridad se aplican con prontitud.

Versiones anteriores

7 de julio de 2023 25 de octubre de 2022