Adenda de Procesamiento de Datos (DPA)

Versión 1.0 Fecha de entrada en vigor: 1 de enero de 2025 Última actualización: 1 de enero de 2025

1. Introducción

Esta Adenda de Procesamiento de Datos ("DPA") forma parte de los Términos de Servicio y la Política de Privacidad de Ask My DNA entre usted ("Interesado", "Usuario", "usted") y Wundekind S.R.O. ("Responsable del Tratamiento", "Encargado", "nosotros", "nos") con respecto al procesamiento de Datos Personales en relación con los servicios de Ask My DNA.

Información de la Empresa:

• Nombre: Wundekind S.R.O.
• Registro: República Checa
• Dirección: Roháčova 145/14, Žižkov, 130 00 Praha 3, República Checa
• Email: dpo@askmydna.com
• Sitio web: https://askmydna.com

Esta DPA se celebra para garantizar el cumplimiento con:

• Reglamento General de Protección de Datos de la UE (RGPD)
• Ley Checa No. 110/2019 Coll. sobre Procesamiento de Datos Personales
• Ley de Privacidad del Consumidor de California (CCPA)
• Otras leyes aplicables de protección de datos

2. Definiciones

Para los fines de esta DPA, los siguientes términos tienen los significados establecidos a continuación:

"Datos Personales" significa cualquier información relativa a una persona física identificada o identificable, según se define en el Artículo 4(1) del RGPD.

"Datos de Categoría Especial" significa datos genéticos, datos biométricos, datos de salud y otros datos personales sensibles según se define en el Artículo 9 del RGPD.

"Procesamiento" significa cualquier operación realizada sobre Datos Personales, incluida la recopilación, almacenamiento, uso, divulgación y eliminación, según se define en el Artículo 4(2) del RGPD.

"Responsable del Tratamiento" significa Wundekind S.R.O., que determina los fines y medios del Procesamiento de Datos Personales.

"Interesado" significa la persona física a la que se refieren los Datos Personales.

"Subencargado" significa cualquier tercero contratado por el Encargado para Procesar Datos Personales en nombre del Responsable del Tratamiento.

"Leyes de Protección de Datos" significa todas las leyes y regulaciones aplicables relacionadas con la privacidad y la protección de datos, incluido el RGPD.

"Cláusulas Contractuales Estándar (CCE)" significa las cláusulas estándar de protección de datos aprobadas por la Comisión Europea para la transferencia de Datos Personales a terceros países.

3. Roles y Responsabilidades

3.1 Responsable del Tratamiento

Wundekind S.R.O. actúa como Responsable del Tratamiento para todos los Datos Personales procesados a través del servicio Ask My DNA. Como Responsable del Tratamiento, nosotros:

• Determinamos los fines y medios del Procesamiento
• Garantizamos que existe una base legal para todas las actividades de Procesamiento
• Implementamos medidas técnicas y organizativas apropiadas
• Respondemos a las solicitudes de los Interesados
• Mantenemos registros de actividades de Procesamiento
• Realizamos Evaluaciones de Impacto de Protección de Datos cuando sea necesario

3.2 Derechos del Interesado

Como Interesado, tiene los derechos descritos en nuestra Política de Privacidad y esta DPA, incluyendo:

• Derecho de acceso a sus Datos Personales
• Derecho a la rectificación de datos inexactos
• Derecho al olvido ("derecho a ser olvidado")
• Derecho a la restricción del Procesamiento
• Derecho a la portabilidad de datos
• Derecho a oponerse al Procesamiento
• Derechos relacionados con la toma de decisiones automatizada

4. Alcance del Procesamiento

4.1 Materia y Propósito

La materia del Procesamiento es la prestación de servicios de análisis e interpretación genética impulsados por IA a través de la plataforma Ask My DNA.

Propósitos del Procesamiento:

• Proporcionar servicios de análisis de datos genéticos
• Generar información personalizada de salud y bienestar
• Mantener cuentas y suscripciones de usuarios
• Mejorar nuestros modelos de IA y servicios
• Proporcionar soporte al cliente
• Garantizar la seguridad de la plataforma
• Cumplir con obligaciones legales

4.2 Naturaleza del Procesamiento

El Procesamiento incluye:

• Recopilación: Recibir información de cuenta de usuario y datos genéticos
• Almacenamiento: Almacenar datos de forma segura en servidores cifrados
• Análisis: Procesar datos genéticos a través de modelos de IA
• Generación: Crear informes e información personalizados
• Transmisión: Entregar resultados a los usuarios
• Eliminación: Eliminar datos permanentemente a solicitud

4.3 Duración del Procesamiento

Los Datos Personales se Procesan:

• Durante Cuenta Activa: Mientras su cuenta permanezca activa
• A Solicitud de Eliminación: Eliminado dentro de los 30 días de los sistemas activos
• Retención de Copias de Seguridad: Eliminado de copias de seguridad dentro de los 90 días
• Retención Legal: Ciertos datos retenidos según lo requiera la ley (por ejemplo, registros de pago durante 7 años)

4.4 Tipos de Datos Personales

Datos Personales Estándar:

• Dirección de correo electrónico
• Nombre (opcional)
• Preferencia de idioma
• Contraseña (hasheada)
• Dirección IP (anonimizada después de 30 días)
• Información de pago (procesada por terceros)
• Datos de uso y análisis

Datos de Categoría Especial (Artículo 9 del RGPD):

• Datos Genéticos: Archivos genéticos sin procesar, variantes procesadas, resultados de análisis genético
• Datos de Salud: Preguntas relacionadas con la salud, información de bienestar, información de predisposición

4.5 Categorías de Interesados

• Usuarios individuales de la plataforma Ask My DNA
• Usuarios potenciales que envían solicitudes de acceso anticipado
• Personas que contactan al soporte al cliente

5. Obligaciones del Responsable del Tratamiento

Wundekind S.R.O. como Responsable del Tratamiento se compromete a:

5.1 Procesamiento Lícito

• Procesar Datos Personales solo con base legal bajo el Artículo 6 del RGPD
• Obtener consentimiento explícito para Datos de Categoría Especial (Artículo 9(2)(a) del RGPD)
• Procesar datos solo para fines especificados y legítimos
• Garantizar que el Procesamiento sea necesario y proporcionado

5.2 Minimización de Datos

• Recopilar solo datos necesarios para los fines establecidos
• Evitar recopilar datos excesivos o irrelevantes
• Revisar y purgar regularmente datos innecesarios
• Implementar privacidad por diseño y por defecto

5.3 Exactitud de los Datos

• Tomar medidas razonables para garantizar la exactitud de los datos
• Proporcionar a los usuarios herramientas para actualizar su información
• Corregir datos inexactos a solicitud
• Eliminar o anonimizar datos obsoletos

5.4 Limitación de Almacenamiento

• Retener datos solo el tiempo necesario
• Implementar calendarios claros de retención
• Eliminar o anonimizar automáticamente datos cuando ya no sean necesarios
• Borrar datos de forma segura de las copias de seguridad

5.5 Medidas de Seguridad

Implementar medidas técnicas y organizativas apropiadas:

Medidas Técnicas:

• Cifrado AES-256 en reposo
• Cifrado TLS 1.3 en tránsito
• Autenticación multifactor
• Control de acceso basado en roles
• Sistemas de detección de intrusiones
• Auditorías de seguridad regulares
• Procedimientos de copia de seguridad seguros

Medidas Organizativas:

• Capacitación de empleados en protección de datos
• Verificación de antecedentes para personal con acceso a datos
• Acuerdos de confidencialidad
• Procedimientos de respuesta a incidentes
• Protocolos de notificación de violaciones de datos
• Revisiones regulares de cumplimiento de privacidad

5.6 Responsabilidad

• Mantener registros de actividades de Procesamiento (Artículo 30 del RGPD)
• Realizar Evaluaciones de Impacto de Protección de Datos (Artículo 35 del RGPD)
• Nombrar Delegado de Protección de Datos
• Implementar programas de monitoreo de cumplimiento
• Documentar medidas de cumplimiento

6. Subencargados

6.1 Subencargados Autorizados

Contratamos a los siguientes Subencargados para ayudar a proporcionar el Servicio:

Infraestructura en la Nube:

• Nombre: Amazon Web Services, Inc. (AWS)
• Ubicación: Estados Unidos
• Propósito: Alojamiento de datos, almacenamiento y servicios de computación
• Salvaguardas: Marco de Privacidad de Datos UE-EE.UU., Cláusulas Contractuales Estándar

Servicios de IA:

• Nombre: Anthropic, PBC
• Ubicación: Estados Unidos
• Propósito: Interpretación de datos genéticos impulsada por IA
• Salvaguardas: Acuerdo de Procesamiento de Datos, cifrado, desidentificación

Procesamiento de Pagos:

• Nombre: Stripe, Inc.
• Ubicación: Estados Unidos
• Propósito: Procesamiento de pagos y gestión de suscripciones
• Salvaguardas: Cumplimiento PCI-DSS, Cláusulas Contractuales Estándar

Servicios de Correo Electrónico:

• Nombre: [Proveedor de Servicios de Email]
• Ubicación: [Ubicación]
• Propósito: Correos electrónicos transaccionales y de marketing
• Salvaguardas: Acuerdo de Procesamiento de Datos, cifrado

6.2 Requisitos del Subencargado

Todos los Subencargados deben:

• Celebrar acuerdos por escrito con obligaciones equivalentes de protección de datos
• Implementar medidas de seguridad técnicas y organizativas apropiadas
• Procesar datos solo para fines especificados
• Permitir auditorías e inspecciones
• Notificarnos de cualquier violación de datos
• Cumplir con el RGPD y las leyes aplicables de protección de datos

6.3 Cambios de Subencargado

Aviso de Nuevos Subencargados:

• Proporcionaremos aviso anticipado de nuevos Subencargados por correo electrónico o notificación en la plataforma
• Tiene derecho a oponerse a nuevos Subencargados dentro de los 30 días
• Si se opone, trabajaremos para encontrar una solución alternativa o le permitiremos terminar sin penalización

Lista Actualizada: Los Subencargados actuales se enumeran en nuestro sitio web en https://askmydna.com/legal/sub-processors

7. Transferencias Internacionales de Datos

7.1 Mecanismo de Transferencia

Los Datos Personales se transfieren desde el Espacio Económico Europeo (EEE) a los Estados Unidos. Garantizamos una protección adecuada a través de:

Marco de Privacidad de Datos UE-EE.UU.:

• Nuestros proveedores de servicios de EE.UU. están certificados bajo el Marco de Privacidad de Datos UE-EE.UU.
• Este marco proporciona adecuación según lo reconocido por la Comisión Europea

Cláusulas Contractuales Estándar (CCE):

• Hemos ejecutado CCE aprobadas por la Comisión Europea (Decisión 2021/914)
• Las CCE se incorporan en acuerdos con todos los Subencargados en terceros países
• Puede solicitar una copia de las CCE en dpo@askmydna.com

7.2 Medidas Suplementarias

Además de las CCE, implementamos medidas suplementarias:

Salvaguardas Técnicas:

• Cifrado de extremo a extremo (AES-256)
• Pseudonimización de datos cuando sea factible
• Cifrado de datos en tránsito (TLS 1.3)
• Gestión segura de claves

Salvaguardas Organizativas:

• Acceso limitado al personal con necesidad legítima
• Auditorías regulares de registros de acceso a datos
• Verificación de antecedentes del personal con acceso a datos
• Obligaciones contractuales de confidencialidad

Salvaguardas Legales:

• Evaluación de leyes de terceros países y programas de vigilancia
• Procedimientos de notificación si se reciben solicitudes de datos
• Desafío de solicitudes de datos ilegales cuando sea posible

7.3 Transparencia sobre Solicitudes Gubernamentales

Si recibimos una solicitud gubernamental o de aplicación de la ley para sus datos:

• Le notificaremos a menos que esté legalmente prohibido
• Desafiaremos solicitudes excesivamente amplias o ilegales
• Divulgaremos solo los datos mínimos legalmente requeridos
• Publicamos informes de transparencia anualmente

8. Derechos del Interesado

8.1 Derecho de Acceso (Artículo 15 del RGPD)

Tiene derecho a obtener:

• Confirmación de si Procesamos sus Datos Personales
• Copia de sus Datos Personales
• Información sobre fines del Procesamiento, categorías, destinatarios y retención

Cómo Ejercer:

• Email: dpo@askmydna.com
• Asunto: "Solicitud de Acceso RGPD"
• Tiempo de Respuesta: Dentro de 1 mes

8.2 Derecho de Rectificación (Artículo 16 del RGPD)

Puede solicitar la corrección de Datos Personales inexactos o incompletos.

Cómo Ejercer:

• Actualizar información en la configuración de la cuenta, o
• Email: dpo@askmydna.com
• Tiempo de Respuesta: Dentro de 1 mes

8.3 Derecho al Olvido (Artículo 17 del RGPD)

Puede solicitar la eliminación de sus Datos Personales cuando:

• Los datos ya no sean necesarios para el propósito original
• Retire el consentimiento y no exista otra base legal
• Se oponga al Procesamiento y no existan motivos legítimos prevalentes
• Los datos fueron Procesados ilegalmente
• La eliminación sea necesaria para cumplir con una obligación legal

Excepciones:

• Requisitos de retención legal o regulatoria (por ejemplo, registros fiscales)
• Establecimiento, ejercicio o defensa de reclamaciones legales
• Interés público o investigación científica (si aplica)

Cómo Ejercer:

• Usar la función de eliminación de cuenta en la configuración, o
• Email: dpo@askmydna.com
• Cronograma de Eliminación: 30 días de sistemas activos, 90 días de copias de seguridad

8.4 Derecho a la Restricción (Artículo 18 del RGPD)

Puede solicitar un Procesamiento restringido cuando:

• Impugne la exactitud de los datos (durante el período de verificación)
• El Procesamiento sea ilegal pero no desea la eliminación
• Ya no necesitemos los datos pero usted los necesite para reclamaciones legales
• Se haya opuesto al Procesamiento (pendiente de verificación)

8.5 Derecho a la Portabilidad de Datos (Artículo 20 del RGPD)

Tiene derecho a:

• Recibir sus Datos Personales en formato estructurado y legible por máquina (JSON o CSV)
• Transmitir datos a otro responsable sin impedimentos

Cómo Ejercer:

• Email: dpo@askmydna.com
• Asunto: "Solicitud de Portabilidad de Datos"
• Formato: Especificar formato preferido (JSON, CSV, etc.)

8.6 Derecho a Oponerse (Artículo 21 del RGPD)

Puede oponerse al Procesamiento basado en:

• Intereses legítimos (Artículo 6(1)(f))
• Marketing directo (derecho absoluto, sin anulación)
• Investigación científica/histórica o estadísticas

Cómo Ejercer:

• Email: dpo@askmydna.com
• Especificar motivos de oposición

8.7 Toma de Decisiones Automatizada (Artículo 22 del RGPD)

Tiene derecho a no estar sujeto a decisiones basadas únicamente en Procesamiento automatizado que produzcan efectos legales o similares significativos.

Nuestra Práctica:

• Nuestra IA proporciona información e información
• Las decisiones finales siempre son tomadas por usted
• No se toman decisiones automatizadas con efectos legales/significativos sin intervención humana

8.8 Tiempo de Respuesta y Costos

• Plazo de Respuesta: 1 mes desde la solicitud (extensible por 2 meses para solicitudes complejas)
• Costo: Sin cargo
• Solicitudes Excesivas: Podemos cobrar una tarifa razonable o rechazar solicitudes manifiestamente infundadas/excesivas
• Identificación: Podemos solicitar información para verificar su identidad

9. Notificación de Violación de Datos

9.1 Notificación a la Autoridad Supervisora

En caso de una violación de Datos Personales, nosotros:

• Notificaremos a la Autoridad Checa de Protección de Datos (ÚOOÚ) dentro de 72 horas del descubrimiento
• Proporcionaremos descripción de la violación, categorías y número aproximado de Interesados afectados
• Describiremos las consecuencias probables y las medidas tomadas o propuestas
• Proporcionaremos punto de contacto para más información

9.2 Notificación a los Interesados

Si es probable que la violación resulte en un alto riesgo para sus derechos y libertades, le notificaremos sin demora indebida:

• Comunicación Directa: Por correo electrónico a su dirección registrada
• Contenido: Descripción de la violación, consecuencias probables, medidas tomadas, punto de contacto
• Excepciones: Si los datos fueron cifrados, la notificación ya se dio a la autoridad, o se requiere esfuerzo desproporcionado (entonces comunicación pública)

9.3 Procedimientos de Respuesta a Violaciones

Al detectar una violación:

1. Contención: Acción inmediata para contener y limitar la violación
2. Evaluación: Evaluar alcance, datos afectados e impacto potencial
3. Notificación: Notificar a autoridades e individuos afectados según sea necesario
4. Investigación: Realizar investigación exhaustiva de la causa raíz
5. Remediación: Implementar medidas para prevenir recurrencia
6. Documentación: Mantener registros detallados de la violación y respuesta

10. Evaluación de Impacto de Protección de Datos (EIPD)

10.1 Cuándo se Realiza la EIPD

Realizamos EIPD (Artículo 35 del RGPD) para:

• Nuevas tecnologías o métodos de Procesamiento
• Procesamiento a gran escala de Datos de Categoría Especial
• Monitoreo sistemático de áreas de acceso público
• Toma de decisiones automatizada con efectos legales/significativos
• Cuando lo recomiende el Delegado de Protección de Datos

10.2 Proceso de EIPD

Nuestro proceso de EIPD incluye:

1. Descripción: Descripción sistemática de operaciones de Procesamiento
2. Evaluación de Necesidad: Evaluación de necesidad y proporcionalidad
3. Evaluación de Riesgos: Identificación de riesgos para derechos del Interesado
4. Medidas de Mitigación: Descripción de salvaguardas y medidas de seguridad
5. Consulta: Consulta con DPO y, si es necesario, autoridad supervisora

10.3 EIPD de Datos Genéticos

Hemos realizado una EIPD integral para el Procesamiento de datos genéticos, concluyendo:

• Alto Riesgo: El Procesamiento de datos genéticos presenta altos riesgos que requieren salvaguardas mejoradas
• Mitigaciones: Cifrado, controles de acceso, pseudonimización, capacitación del personal, auditorías regulares
• Cumplimiento: Con salvaguardas robustas, los riesgos se mitigan a niveles aceptables

11. Registros de Actividades de Procesamiento

11.1 Documentación

Mantenemos registros de actividades de Procesamiento (Artículo 30 del RGPD) incluyendo:

• Nombre y datos de contacto del Responsable del Tratamiento y DPO
• Fines del Procesamiento
• Categorías de Interesados y Datos Personales
• Categorías de destinatarios (incluidos Subencargados)
• Transferencias internacionales de datos y salvaguardas
• Períodos de retención
• Descripción de medidas de seguridad técnicas y organizativas

11.2 Disponibilidad

Los registros son:

• Revisados y actualizados regularmente
• Puestos a disposición de las autoridades supervisoras a solicitud
• Usados para demostrar cumplimiento con el RGPD

12. Derechos de Auditoría

12.1 Sus Derechos de Auditoría

Tiene derecho a solicitar información que demuestre nuestro cumplimiento con esta DPA.

Documentación Disponible:

• Registros de actividades de Procesamiento
• Lista y acuerdos de Subencargados
• Medidas y políticas de seguridad de datos
• Registros y respuestas de violaciones de datos
• Resúmenes de EIPD (porciones no confidenciales)

Cómo Solicitar:

• Email: dpo@askmydna.com
• Asunto: "Solicitud de Documentación de Auditoría"
• Respuesta: Dentro de 30 días

12.2 Auditorías de Terceros

Nos sometemos a:

• Auditorías de Seguridad Anuales: Por auditores independientes de terceros
• Revisiones de Cumplimiento del RGPD: Evaluación regular de prácticas de protección de datos
• Pruebas de Penetración: Pruebas regulares de controles de seguridad

Informes de Auditoría: Resúmenes disponibles a solicitud (los detalles confidenciales pueden ser redactados).

13. Responsabilidad e Indemnización

13.1 Asignación de Responsabilidad

• Cada parte es responsable de los daños causados por el Procesamiento que viole el RGPD
• Somos responsables de los daños causados por nuestros Subencargados como si los hubiéramos causado directamente
• La responsabilidad sigue las disposiciones del Artículo 82 del RGPD

13.2 Limitación

Nuestra responsabilidad bajo esta DPA está sujeta a limitaciones en los Términos de Servicio, excepto donde lo prohíba la ley.

13.3 Indemnización

Le indemnizaremos por daños y costos derivados de:

• Nuestro incumplimiento de esta DPA
• Nuestro incumplimiento del RGPD
• Procesamiento no autorizado por nuestros empleados o Subencargados

14. Vigencia y Terminación

14.1 Vigencia

Esta DPA es efectiva a partir de su aceptación de los Términos de Servicio y continúa mientras Procesemos sus Datos Personales.

14.2 Terminación

Esta DPA termina cuando:

• Elimine su cuenta y todos los Datos Personales sean borrados
• Los Términos de Servicio terminen
• Por acuerdo mutuo por escrito

14.3 Efecto de la Terminación

Al terminar:

• Cesaremos el Procesamiento de sus Datos Personales
• Eliminaremos o devolveremos sus Datos Personales según usted indique
• La eliminación ocurrirá dentro de los 30 días de los sistemas activos
• Los datos de copia de seguridad se purgarán dentro de los 90 días
• Las disposiciones relacionadas con confidencialidad, responsabilidad y auditoría sobreviven

15. Modificaciones

15.1 Cambios a la DPA

Podemos actualizar esta DPA para reflejar:

• Cambios en las leyes de protección de datos
• Nuevos Subencargados o actividades de Procesamiento
• Medidas de seguridad mejoradas
• Orientación de la autoridad supervisora

15.2 Notificación

Le notificaremos de cambios materiales:

• Por correo electrónico a su dirección registrada
• Al menos 30 días antes de que los cambios entren en vigor
• Puede oponerse o terminar si no está de acuerdo con los cambios

16. Resolución de Disputas

16.1 Negociaciones de Buena Fe

Las partes acuerdan primero intentar resolver disputas a través de negociaciones de buena fe.

16.2 Autoridad Supervisora

Tiene derecho a presentar una queja ante:

• Autoridad Supervisora Checa: Úřad pro ochranu osobních údajů (ÚOOÚ), Pplk. Sochora 27, 170 00 Prague 7, República Checa
• Su Autoridad Local: La autoridad supervisora en su país de residencia de la UE

16.3 Ley Aplicable

Esta DPA se rige por:

• RGPD y leyes aplicables de protección de datos de la UE
• Leyes checas de protección de datos
• Como se especifica en los Términos de Servicio

17. Información de Contacto

Delegado de Protección de Datos: Email: dpo@askmydna.com

Equipo de Privacidad: Email: privacy@askmydna.com

Dirección Postal: Wundekind S.R.O. Atención: Delegado de Protección de Datos Roháčova 145/14, Žižkov 130 00 Praha 3 República Checa

Tiempo de Respuesta: Nuestro objetivo es responder dentro de 5 días hábiles.

Al usar el Servicio Ask My DNA, reconoce que ha leído, entendido y acepta esta Adenda de Procesamiento de Datos.

Última actualización: 1 de enero de 2025 Versión 1.0