dpa

ANEXO DE TRATAMIENTO DE DATOS

Publicada: March 27th, 2026 - Última actualización: March 27th, 2026

ANEXO DE TRATAMIENTO DE DATOS

YesHello — por Thrive Route Digital Limited

Última actualización: 27 de marzo de 2026 Fecha de entrada en vigor: 27 de marzo de 2026 Versión: 1.0

Este Anexo de Tratamiento de Datos ("ATD") forma parte de los Términos y Condiciones ("Términos") disponibles en https://yeshello.app/page/terms entre Thrive Route Digital Limited, una empresa constituida en Hong Kong (Número de Registro Empresarial: 73780714) ("YesHello", "Encargado del Tratamiento", "nosotros", "nos") y usted ("Responsable del Tratamiento", "usted", "su") - conjuntamente las "Partes".

Este ATD se aplica cuando YesHello trata Datos Personales en su nombre en relación con la prestación del Servicio, particularmente a través de formularios de captación de clientes potenciales, formularios de contacto y otras funciones de recopilación de datos en sus Tarjetas.

1. Definiciones

Los términos en mayúsculas no definidos en este ATD tienen el significado que se les otorga en los Términos. Además:

"Legislación Aplicable de Protección de Datos" significa todas las leyes y regulaciones aplicables al tratamiento de Datos Personales en virtud de este ATD, incluyendo el Reglamento General de Protección de Datos de la UE (Reglamento (UE) 2016/679) ("RGPD"), el Reglamento General de Protección de Datos del Reino Unido, la Ordenanza de Datos Personales (Privacidad) de Hong Kong (Cap. 486), la Ley de Privacidad del Consumidor de California enmendada por la Ley de Derechos de Privacidad de California ("CCPA/CPRA") y cualquier otra legislación aplicable de protección de datos.

"Responsable del Tratamiento" significa usted, el Usuario de YesHello que determina los fines y medios del tratamiento de Datos Personales recopilados a través de sus Tarjetas.

"Interesado" significa una persona física identificada o identificable cuyos Datos Personales se tratan en virtud de este ATD, incluyendo los Visitantes que envían información a través de sus Tarjetas.

"Datos Personales" significa cualquier información relativa a un Interesado que es tratada por YesHello en su nombre a través del Servicio.

"Violación de Datos Personales" significa una violación de la seguridad que conduce a la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilícito a Datos Personales transmitidos, almacenados o tratados de otro modo por YesHello.

"Encargado del Tratamiento" significa YesHello, que trata Datos Personales en nombre del Responsable del Tratamiento.

"Subencargado del Tratamiento" significa cualquier tercero contratado por YesHello para tratar Datos Personales en nombre del Responsable del Tratamiento.

"Cláusulas Contractuales Tipo" o "CCT" significa las cláusulas contractuales tipo aprobadas por la Comisión Europea para la transferencia de Datos Personales a países fuera del Espacio Económico Europeo.

2. Alcance y Funciones

2.1 Funciones

Usted es el Responsable del Tratamiento y YesHello es el Encargado del Tratamiento con respecto a los Datos Personales recopilados de los Visitantes a través de los formularios de captación de clientes potenciales, formularios de contacto y otras funciones de recopilación de datos de sus Tarjetas. YesHello trata estos Datos Personales únicamente en su nombre y de acuerdo con sus instrucciones documentadas.

2.2 Alcance del Tratamiento

Las categorías de Datos Personales, Interesados y actividades de tratamiento cubiertas por este ATD son:

Interesados: Visitantes que interactúan con sus Tarjetas y envían información a través de formularios u otras funciones de recopilación de datos que usted haya configurado.

Categorías de Datos Personales: Según lo determinado por los campos del formulario que usted configure, que pueden incluir nombres, direcciones de correo electrónico, números de teléfono, nombres de empresas, cargos laborales, mensajes y cualquier otro campo que decida recopilar.

Actividades de Tratamiento: Recopilación, almacenamiento, recuperación, transmisión (incluyendo a través de webhooks que usted configure), visualización en el panel de su Cuenta y eliminación.

Duración: Mientras su Cuenta esté activa, más sesenta (60) días posteriores a la terminación de la Cuenta, según lo descrito en los Términos, a menos que la Legislación Aplicable de Protección de Datos requiera un período de retención más largo.

3. Obligaciones del Responsable del Tratamiento

Usted deberá:

(a) Asegurar que su recopilación y tratamiento de Datos Personales a través del Servicio cumple con la Legislación Aplicable de Protección de Datos, incluyendo tener una base jurídica válida para el tratamiento;

(b) Proporcionar avisos de privacidad adecuados a los Interesados antes o en el momento de la recopilación de datos, informándoles de su identidad como Responsable del Tratamiento y los fines del tratamiento;

(c) Responder a las solicitudes de los Interesados (acceso, rectificación, supresión, portabilidad, oposición, limitación) dentro de los plazos requeridos por la Legislación Aplicable de Protección de Datos;

(d) Asegurar que cualquier instrucción que dé a YesHello respecto al tratamiento de Datos Personales cumple con la Legislación Aplicable de Protección de Datos;

(e) Mantener sus propios registros de actividades de tratamiento según lo requerido por la Legislación Aplicable de Protección de Datos; y

(f) Notificar a YesHello con prontitud si tiene conocimiento de cualquier circunstancia que pueda afectar la capacidad de YesHello para cumplir con sus obligaciones en virtud de este ATD.

4. Obligaciones del Encargado del Tratamiento

4.1 Instrucciones de Tratamiento

YesHello tratará Datos Personales únicamente siguiendo sus instrucciones documentadas, a menos que la legislación aplicable le exija hacerlo de otro modo. Sus instrucciones están documentadas en: (a) este ATD; (b) los Términos; y (c) su uso de las funciones y configuraciones del Servicio (incluyendo configuraciones de formularios, configuraciones de webhooks y solicitudes de exportación de datos). Si la legislación aplicable exige a YesHello tratar Datos Personales para cualquier otro fin, YesHello le informará de dicho requisito legal antes del tratamiento, a menos que la ley le prohíba hacerlo.

4.2 Confidencialidad

YesHello se asegurará de que las personas autorizadas para tratar Datos Personales se hayan comprometido a la confidencialidad o estén sujetas a una obligación estatutaria adecuada de confidencialidad.

4.3 Medidas de Seguridad

YesHello implementará y mantendrá las medidas técnicas y organizativas apropiadas para proteger los Datos Personales contra la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilícito. Estas medidas incluyen:

(a) Cifrado en tránsito: Todos los datos transmitidos entre Usuarios, Visitantes y los servidores de YesHello se cifran utilizando TLS 1.2 o superior; (b) Cifrado en reposo: Los Datos Personales almacenados en los servidores de YesHello se cifran en reposo; (c) Controles de acceso: El acceso a los Datos Personales está restringido al personal autorizado con base en la necesidad de conocer, con autenticación y controles de acceso basados en roles; (d) Seguridad de la infraestructura: Todos los servidores están alojados en centros de datos ubicados en Alemania con controles de seguridad física, sistemas de extinción de incendios y suministro eléctrico redundante; (e) Copias de seguridad y recuperación: Copias de seguridad automatizadas periódicas con procedimientos de recuperación probados; (f) Seguridad de red: Protección por cortafuegos, detección de intrusiones y monitorización de la infraestructura de servidores; (g) Gestión de vulnerabilidades: Actualizaciones y parches regulares del software del servidor y dependencias; y (h) Respuesta a incidentes: Procedimientos documentados de respuesta a incidentes para identificar, contener y remediar incidentes de seguridad.

YesHello revisará y actualizará periódicamente estas medidas para asegurar su adecuación continua teniendo en cuenta el estado de la técnica, los costes de implementación y la naturaleza, alcance, contexto y fines del tratamiento, así como el riesgo para los derechos y libertades de los Interesados.

4.4 Asistencia con Solicitudes de los Interesados

YesHello, teniendo en cuenta la naturaleza del tratamiento, le asistirá mediante medidas técnicas y organizativas apropiadas en el cumplimiento de su obligación de responder a las solicitudes de los Interesados. Cuando un Interesado contacte directamente a YesHello con una solicitud relativa a sus datos, YesHello redirigirá dicha solicitud a usted con prontitud y no responderá al Interesado directamente sin su instrucción, a menos que la ley lo requiera.

4.5 Asistencia con el Cumplimiento

YesHello le asistirá en asegurar el cumplimiento de sus obligaciones respecto a la seguridad del tratamiento, la notificación de Violaciones de Datos Personales, las evaluaciones de impacto de protección de datos y las consultas previas con las autoridades de control, teniendo en cuenta la naturaleza del tratamiento y la información disponible para YesHello.

4.6 Eliminación y Devolución de Datos

Tras la terminación de los Términos o a petición escrita suya, YesHello, a su elección, eliminará o devolverá todos los Datos Personales tratados en su nombre, y eliminará las copias existentes, a menos que la legislación aplicable requiera su conservación. Tras la terminación de la Cuenta, los Datos Personales se eliminarán dentro de los sesenta (60) días según lo descrito en los Términos. Puede exportar sus datos en cualquier momento a través de la funcionalidad de exportación del Servicio.

5. Subencargados del Tratamiento

5.1 Autorización

Usted otorga autorización general por escrito para que YesHello contrate Subencargados del Tratamiento para tratar Datos Personales en su nombre, sujeto a los requisitos de esta Sección 5.

5.2 Subencargados del Tratamiento Actuales

A la Fecha de Entrada en Vigor, YesHello utiliza los siguientes Subencargados del Tratamiento:

SubencargadoFinalidadUbicaciónNetcup GmbHAlojamiento de servidores e infraestructuraAlemaniaStripe, Inc.Procesamiento de pagos (recibe únicamente identificadores de eventos de Stripe de YesHello; los datos de la tarjeta de pago se transmiten directamente desde el navegador del Usuario a Stripe)Estados Unidos / GlobalGoogle LLC (Google Places / Business Profile API)Recuperación de datos de Google Reviews, cuando el Usuario lo habilitaEstados Unidos / GlobalDataForSEORecuperación de datos de Google Reviews, cuando el Usuario lo habilitaEstados Unidos

Nota sobre Stripe: YesHello transmite únicamente referencias de transacciones no sensibles (identificadores de eventos de Stripe, últimos cuatro dígitos de la tarjeta, marcas de tiempo) a sus propios servidores. Los datos completos de la tarjeta de pago se transmiten directamente desde el navegador del Usuario o Visitante a Stripe y nunca pasan por la infraestructura de YesHello. Stripe actúa como responsable independiente del tratamiento de los datos de pago que recopila directamente.

Nota sobre webhooks: Cuando usted configura webhooks para enviar datos a puntos de conexión de terceros, esos destinatarios terceros no son Subencargados del Tratamiento de YesHello. Usted dirige la transferencia como Responsable del Tratamiento, y el destinatario tercero procesa los datos bajo su instrucción y sus propios términos.

5.3 Notificación de Cambios

YesHello le notificará por correo electrónico con al menos treinta (30) días de antelación antes de contratar a un nuevo Subencargado del Tratamiento o sustituir a uno existente. La notificación identificará al Subencargado del Tratamiento, su ubicación y las actividades de tratamiento que realizará.

5.4 Derecho de Oposición

Si usted tiene una objeción razonable a un nuevo Subencargado del Tratamiento por motivos de protección de datos, puede notificar a YesHello por escrito dentro de los catorce (14) días siguientes a la recepción de la notificación. YesHello realizará esfuerzos comercialmente razonables para abordar su objeción, lo que puede incluir ofrecer una configuración alternativa que evite el uso del Subencargado del Tratamiento objetado. Si YesHello no puede atender razonablemente su objeción, cualquiera de las partes puede resolver la parte afectada del Servicio, y usted recibirá un reembolso proporcional de cualquier tarifa prepagada por la parte resuelta.

5.5 Obligaciones de los Subencargados del Tratamiento

YesHello impondrá a cada Subencargado del Tratamiento obligaciones de protección de datos que no sean materialmente menos protectoras que las establecidas en este ATD. YesHello seguirá siendo plenamente responsable ante usted del cumplimiento de las obligaciones de cada Subencargado del Tratamiento.

6. Transferencias Internacionales de Datos

6.1 Ubicación del Alojamiento

Los Datos Personales tratados en virtud de este ATD se alojan en servidores ubicados en Alemania.

6.2 Transferencias Fuera del EEE

Cuando los Datos Personales originados en el Espacio Económico Europeo, el Reino Unido o Suiza se transfieren a un Subencargado del Tratamiento ubicado fuera de dichas regiones (como Stripe en Estados Unidos), YesHello garantiza que dichas transferencias se lleven a cabo de conformidad con la Legislación Aplicable de Protección de Datos utilizando uno o más de los siguientes mecanismos:

(a) La decisión de adecuación de la Comisión Europea para el país destinatario; (b) Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea, incorporadas en los acuerdos de YesHello con los Subencargados del Tratamiento; (c) La certificación del destinatario bajo un marco de transferencia aprobado (como el Marco de Privacidad de Datos UE-EE.UU.); o (d) Cualquier otro mecanismo de transferencia lícito reconocido por la Legislación Aplicable de Protección de Datos.

6.3 Salvaguardias Adicionales

Cuando se recurra a las Cláusulas Contractuales Tipo, YesHello realizará una evaluación del impacto de la transferencia e implementará medidas complementarias cuando sea necesario para asegurar que el nivel de protección de los Datos Personales no se vea menoscabado por la transferencia.

7. Notificación de Violación de Datos Personales

7.1 Notificación al Responsable del Tratamiento

YesHello le notificará sin dilación indebida, y en cualquier caso dentro de las setenta y dos (72) horas, después de tener conocimiento de una Violación de Datos Personales que afecte a los Datos Personales tratados en su nombre.

7.2 Contenido de la Notificación

La notificación incluirá, en la medida en que esté disponible:

(a) Una descripción de la naturaleza de la Violación de Datos Personales, incluyendo las categorías y el número aproximado de Interesados y registros afectados; (b) Las consecuencias probables de la violación; (c) Una descripción de las medidas adoptadas o propuestas para abordar la violación, incluyendo medidas para mitigar sus posibles efectos adversos; y (d) El nombre y los datos de contacto de un punto de contacto del que se pueda obtener más información.

7.3 Información Continua

Cuando no sea posible proporcionar toda la información en el momento de la notificación inicial, YesHello proporcionará información por fases sin más dilación indebida a medida que esté disponible.

7.4 Cooperación

YesHello cooperará con usted y tomará medidas comercialmente razonables para asistir en la investigación, mitigación y remediación de la Violación de Datos Personales. YesHello conservará las pruebas relacionadas con la violación con fines de investigación.

7.5 Sin Evaluación de Riesgo

La notificación de una Violación de Datos Personales por parte de YesHello no constituye un reconocimiento de culpa o responsabilidad. Usted conserva la responsabilidad de evaluar si la violación requiere notificación a las autoridades de control o a los Interesados en virtud de la Legislación Aplicable de Protección de Datos.

8. Auditoría e Inspección

8.1 Información y Cumplimiento

YesHello pondrá a su disposición toda la información razonablemente necesaria para demostrar el cumplimiento de las obligaciones establecidas en este ATD.

8.2 Derechos de Auditoría

Usted tiene el derecho de realizar auditorías, incluyendo inspecciones, para verificar el cumplimiento de YesHello con este ATD, sujeto a las siguientes condiciones:

(a) Deberá proporcionar al menos treinta (30) días de aviso previo por escrito de una solicitud de auditoría; (b) Las auditorías se realizarán durante el horario comercial normal y no interferirán de manera irrazonable con las operaciones comerciales de YesHello; (c) Usted asumirá los costes de cualquier auditoría, a menos que la auditoría revele un incumplimiento material de este ATD por parte de YesHello; (d) Los hallazgos de la auditoría se tratarán como información confidencial; y (e) Las auditorías no excederán de una (1) por cada período de doce (12) meses, a menos que lo requiera una autoridad de control o sea motivada por una Violación de Datos Personales.

8.3 Auditor Externo

Usted puede designar a un auditor externo independiente cualificado para realizar la auditoría en su nombre, siempre que el auditor acepte obligaciones de confidencialidad aceptables para YesHello.

8.4 Garantía Alternativa

Como alternativa a una auditoría presencial, YesHello puede proporcionarle: (a) un resumen de informes de auditoría de terceros o certificaciones relevantes (como SOC 2 o ISO 27001, si se obtuvieron); (b) cuestionarios de seguridad estandarizados completados; o (c) otra documentación que demuestre razonablemente el cumplimiento de este ATD. Usted considerará dicha garantía alternativa de buena fe antes de ejercer sus derechos de auditoría presencial.

9. Responsabilidad

La responsabilidad de cada parte en virtud de este ATD está sujeta a las limitaciones de responsabilidad establecidas en los Términos. Nada en este ATD limitará la responsabilidad de cualquiera de las partes por incumplimientos de la Legislación Aplicable de Protección de Datos en la medida en que dicha responsabilidad no pueda ser limitada en virtud de dicha ley.

10. Duración y Terminación

10.1 Duración

Este ATD permanecerá en vigor mientras YesHello trate Datos Personales en su nombre.

10.2 Supervivencia

Las Secciones 4.6 (Eliminación y Devolución de Datos), 7 (Notificación de Violación de Datos Personales), 8 (Auditoría e Inspección) y 9 (Responsabilidad) sobrevivirán a la terminación de este ATD.

11. Ley Aplicable

Este ATD se regirá e interpretará de conformidad con la ley aplicable de los Términos. En la medida en que la Legislación Aplicable de Protección de Datos requiera la aplicación de la ley de una jurisdicción específica (por ejemplo, el RGPD requiere que ciertas disposiciones se rijan por la ley de un Estado miembro de la UE), dicha ley se aplicará a las disposiciones pertinentes de este ATD.

12. Modificaciones

YesHello podrá actualizar este ATD periódicamente para reflejar cambios en la Legislación Aplicable de Protección de Datos, nuestros Subencargados del Tratamiento o nuestras medidas de seguridad. Los cambios materiales se notificarán de conformidad con la Sección 20 de los Términos. La versión actual de este ATD está siempre disponible en https://yeshello.app/page/dpa.

13. Contacto

Para preguntas sobre este ATD o asuntos de tratamiento de datos:

Thrive Route Digital Limited 21/F CMA Building, 64 Connaught Road Central, Hong Kong Correo electrónico: [email protected]