Contáctanos

Anexo sobre el tratamiento de OneStock

Última actualización: 3 de noviembre de 2025

El presente Anexo sobre el tratamiento de datos, incluidos sus apéndices (en conjunto, el «DPA»), forma parte del Contrato celebrado entre la OneStock correspondiente que figura en el Formulario de pedido pertinente (OneStock) y el Cliente identificado en el Formulario de pedido correspondiente («Cliente») que hace referencia al presente DPA (el «Contrato»).

El presente DPA entrará en vigor en la fecha de entrada en vigor del Acuerdo o en el momento de la firma del último Formulario de pedido por parte del Cliente o de cualquier otro acuerdo electrónico o escrito firmado de mutuo acuerdo entre las partes.

1. Tratamiento de datos

1.1 Descripción del tratamiento de datos. El tipo de datos personales tratados en virtud del presente Acuerdo de Tratamiento de Datos, así como el objeto, la duración, la naturaleza y la finalidad del tratamiento, y las categorías de interesados, se describen en el anexo 1 del presente Acuerdo de Tratamiento de Datos.

1.2 Ámbito de aplicación y funciones. Las partes reconocen y acuerdan que, en lo que respecta al tratamiento de datos personales en la prestación de los servicios previstos en el contrato, el Cliente y/o sus filiales son los responsables del tratamiento, mientras que OneStock encargado del tratamiento.

1.3 Obligaciones del Cliente. El Cliente, en el uso de los Servicios, deberá tratar los datos personales de conformidad con los requisitos de la legislación en materia de protección de datos. Las instrucciones del Cliente para el tratamiento de datos personales deberán cumplir con la legislación en materia de protección de datos, incluido cualquier requisito aplicable de notificar a los interesados el uso de OneStock encargado del tratamiento. El Cliente será el único responsable de la exactitud, calidad y legalidad de los Datos Personales, así como de los medios por los que los haya obtenido. El Cliente se asegurará de que tiene derecho a transferir los Datos Personales pertinentes a OneStock que OneStock sus subencargados del tratamiento puedan utilizar, tratar y transferir legalmente los Datos Personales de conformidad con el presente DPA y el Acuerdo en nombre del Cliente y de sus Filiales.

1.4 Obligaciones OneStock. OneStock los datos personales de conformidad con los requisitos de la legislación en materia de protección de datos aplicable al cumplimiento de las obligaciones que le incumben en virtud del presente DPA, incluyendo:

  • 1.4.1 OneStock solo OneStock los datos personales de conformidad con el Contrato y el presente DPA. Al formalizar el Contrato, el Cliente encarga OneStock trate los datos personales con los siguientes fines: (i) el tratamiento de conformidad con el Contrato y el Formulario de pedido aplicable, así como cualquier otro acuerdo electrónico o escrito firmado por ambas partes, lo que incluye la actualización de la Plataforma y la prevención o resolución de problemas técnicos o relacionados con el servicio; (ii) el tratamiento iniciado por los usuarios del Cliente en su uso de la Plataforma; y (iii) el tratamiento para cumplir con otras instrucciones razonables proporcionadas por el Cliente, siempre que dichas instrucciones sean coherentes con los términos del Contrato. El presente DPA y el Contrato constituyen las instrucciones documentadas dirigidas a OneStock el tratamiento de datos personales.
  • 1.4.2 OneStock los datos personales como información confidencial y OneStock asegurará OneStock que cualquier persona a la que haya autorizado para tratar datos personales haya aceptado o esté sujeta a obligaciones de confidencialidad similares a las que OneStock a cumplir en el Contrato.
  • 1.4.3 A petición del Cliente y cuando así lo exijan las leyes de protección de datos, OneStock asistencia al Cliente en el cumplimiento de sus obligaciones relacionadas con las evaluaciones de impacto en materia de protección de datos (en la medida en que estén relacionadas con los Servicios, y únicamente en la medida en que el Cliente no tenga acceso de otro modo a la información pertinente y en la medida en que dicha información esté a disposición de OneStock), así como en la consulta previa con la autoridad de control cuando sea aplicable en virtud del RGPD de la UE y del RGPD del Reino Unido.

2. Duración

2.1 El presente Acuerdo de Tratamiento de Datos permanecerá en vigor hasta que se produzca la primera de las siguientes circunstancias: (i) la expiración o rescisión del Contrato; y (b) la devolución o supresión de los Datos Personales.

3. Seguridad

3.1 Seguridad. OneStock y mantendrá un programa integral de seguridad de la información diseñado para proteger los Datos Personales contra la destrucción, pérdida, alteración, divulgación o acceso no autorizados, siempre que dichas medidas sean adecuadas para: (a) el tamaño, el alcance y el tipo de actividad OneStock; (b) la cantidad de recursos de que dispone OneStock; (c) el tipo de información que OneStock ; y (d) la necesidad de seguridad y confidencialidad de dicha información («en conjunto, OneStock »). Las Medidas OneStock se establecen en el Anexo 2 del presente DPA. OneStock periódicamente el cumplimiento de estas salvaguardias.

3.2 Notificación de violaciones. En la medida en que lo permita y exija la ley, OneStock por escrito y sin demora indebida al Cliente tan pronto como tenga conocimiento razonable de una violación de la seguridad que dé lugar a la destrucción, pérdida, alteración, divulgación no autorizada o acceso no autorizado a los Datos Personales («Violación de Datos Personales»). Dicha notificación, en la medida en que lo permitan y exijan las Leyes de Protección de Datos aplicables, describirá: (i) la naturaleza de la Violación de Datos Personales, incluyendo, si se conoce, las categorías y el número aproximado de interesados y registros de datos personales afectados; (b) las medidas OneStock tomado, o tiene previsto tomar, para responder a la Violación de Datos Personales y mitigarla; (c) cualquier medida OneStock que el Cliente adopte para hacer frente a la violación de datos personales; y (d) información relativa al punto de contacto OneStockcon respecto a la violación de datos personales. Si OneStock proporcionar toda la información anterior en la notificación inicial, OneStock la información al Cliente tan pronto como esté disponible.

3.3 Auditoría.
3.3.1 OneStock auditores externos para verificar la idoneidad de sus medidas de seguridad en lo que respecta al tratamiento de los datos personales. Dichas auditorías se llevan a cabo al menos una vez al año, a cargo OneStock, y son realizadas por profesionales de seguridad externos independientes designados a discreción OneStock.

3.3.2 El Cliente podrá solicitar una auditoría de OneStock verificar el cumplimiento OneStockde los términos del presente DPA si dicha auditoría es exigida por la legislación en materia de protección de datos y el cumplimiento OneStockno puede demostrarse mediante medios menos gravosos para OneStock incluidos los previstos en la sección 3.3.1). Dicha auditoría no se llevará a cabo más de una vez en un periodo de 12 meses, salvo que lo exija una autoridad de control competente, y se basará en los siguientes requisitos: (1) el Cliente deberá notificarlo OneStock escrito; (2) tras la recepción de dicha notificación, el Cliente y OneStock mutuamente el alcance, el momento y la duración de la auditoría, así como la tasa de reembolso de la que será responsable el Cliente; (3) cualquier auditoría estará sujeta a las obligaciones de confidencialidad establecidas en el Acuerdo o según se acuerde por escrito entre las partes; (4) el Cliente reembolsará OneStock el tiempo dedicado a dicha auditoría in situ según las tarifas de servicios profesionales vigentes en ese momento OneStock, las cuales se pondrán a disposición del Cliente previa solicitud. Todas las tarifas de reembolso serán razonables, teniendo en cuenta los recursos empleados por OneStock; (5) cualquier auditoría deberá ser realizada durante el horario laboral habitual por el Cliente o por un auditor externo independiente del Cliente que no sea competidor de OneStock, y deberá limitarse a los datos relevantes para el Cliente; (6) el Cliente notificará sin demora OneStock cualquier incumplimiento detectado durante el transcurso de una auditoría.

4. Subencargados del tratamiento

4.1 Autorización de subencargados del tratamiento. El Cliente otorga una autorización general por escrito para que: (a) las filiales OneStockactúen como subencargados del tratamiento; y (b) OneStock terceros subencargados del tratamiento en relación con la prestación de los Servicios.

4.2 Identificación de los subencargados del tratamiento. OneStock una lista actualizada de los subencargados del tratamiento, disponible en www.onestock-retail/en/legals/subprocessors/ (la «Lista de subencargados del tratamiento»). OneStock la Lista de subencargados con cualquier subencargado nuevo o sustituto que se nombre al menos treinta (30) días antes de la fecha en que dicho subencargado nuevo o sustituto comience a tratar datos personales. La Lista de subencargados incluye un mecanismo para que el Cliente se suscriba a las notificaciones de subencargados nuevos o sustitutos. El Cliente puede registrarse para recibir notificaciones por correo electrónico de dichos cambios en la Lista de subencargados.

4.3 Objeciones a los subencargados del tratamiento. En caso de que el Cliente tenga alguna objeción respecto a dicho nuevo subencargado del tratamiento, podrá oponerse al uso de dicho subencargado OneStock OneStock notificándolo por escrito OneStock , en un plazo de diez (10) días a partir de la fecha en que OneStock actualizado su Lista de subencargados del tratamiento. Dicha notificación deberá explicar los motivos razonables de la objeción. Tras la recepción de dicha notificación, OneStock todo lo posible por poner a disposición del Cliente un cambio en los Servicios o recomendar un cambio comercialmente razonable en la configuración o el uso de los Servicios por parte del Cliente, con el fin de evitar el tratamiento de Datos Personales por parte del nuevo subencargado al que se ha objetado, sin imponer una carga irrazonable al Cliente. Si OneStock no OneStock poner a disposición dicho cambio en un plazo razonable, que no excederá de treinta (30) días, el Cliente podrá, dentro de dicho plazo, rescindir inmediatamente el Formulario de Pedido o Formularios de Pedido aplicables únicamente en lo que respecta a aquellos Servicios que OneStock no pueda prestar OneStock el uso del nuevo subencargado del tratamiento objeto de la objeción, mediante notificación por escrito a OneStock. Tras dicha rescisión, OneStock al Cliente cualquier importe pagado por adelantado que cubra el resto de la vigencia de dicho(s) Formulario(s) de Pedido a partir de la fecha efectiva de rescisión con respecto a dichos Servicios rescindidos, sin imponer al Cliente ninguna penalización por dicha rescisión.

4.4 Requisitos para los subencargados del tratamiento. OneStock un acuerdo por escrito con cada subencargado del tratamiento que incluya obligaciones en materia de protección de datos equivalentes a las establecidas en el presente DPA. OneStock responsable de las acciones y omisiones de sus subencargados del tratamiento realizadas en relación con el cumplimiento OneStockde lo dispuesto en el presente DPA, en la misma medida OneStock si prestara los Servicios directamente.

5. Solicitudes de los interesados

5.1 OneStock la medida en que lo permita la ley, OneStock sin demora al Cliente si OneStock alguna solicitud de un interesado para ejercer los siguientes derechos: acceso, rectificación, limitación del tratamiento, supresión («derecho al olvido»), portabilidad de los datos, oposición al tratamiento o no ser objeto de una toma de decisiones automatizada (cada una de ellas, una «Solicitud del interesado»). Teniendo en cuenta la naturaleza del tratamiento, OneStock asistencia al Cliente mediante las medidas técnicas y organizativas adecuadas, en la medida en que sea razonablemente posible, para el cumplimiento de la obligación del Cliente de responder a una Solicitud del interesado en virtud de las Leyes de Protección de Datos aplicables. Además, en la medida en que el Cliente, en su uso de los Servicios, no tenga la capacidad de atender una Solicitud del interesado, OneStock , a petición del Cliente, OneStock todos los esfuerzos comercialmente razonables para ayudar al Cliente a responder a dicha Solicitud del interesado, en la medida OneStock legalmente autorizado a hacerlo y la respuesta a dicha Solicitud del interesado sea exigida por las Leyes de Protección de Datos aplicables.

6. Devolución y destrucción de datos

6.1 De conformidad con los términos del Contrato, en caso de rescisión o vencimiento del mismo, OneStock o destruirá todas las copias de los Datos del Cliente que se encuentren en los sistemas OneStocko que estén de cualquier otra forma en posesión o bajo el control OneStock, salvo que la ley lo prohíba.

7. Transferencias de datos

Instrucciones. Las partes acuerdan que las transferencias de datos personales a OneStock estén sujetas a una decisión de adecuación aplicable no requieren un mecanismo de transferencia aprobado por separado. Si una transferencia de datos personales a OneStock no OneStock sujeta a una decisión de adecuación aplicable (una «transferencia restringida»), dicha transferencia restringida se realizará de conformidad con lo siguiente:

7.1 Cuando se realice una transferencia restringida desde el EEE o Suiza, las Cláusulas Contractuales Típicas se incorporarán por referencia al presente Acuerdo de Tratamiento de Datos y se aplicarán a la transferencia de la siguiente manera:

  • 7.1.1 El módulo 2 se aplica cuando el cliente es el responsable del tratamiento y OneStock el encargado del tratamiento
  • 7.1.2 En la cláusula 7 de las SCC, no se aplica la cláusula de reducción opcional;
  • 7.1.3 En la cláusula 9(a) de las SCC, se aplica la opción 2 de conformidad con lo dispuesto en el artículo 4 del presente DPA;
  • 7.1.4 En la cláusula 11(a) de las SCC, no se aplica la formulación opcional;
  • 7.1.5 En la cláusula 17 de las Condiciones Generales de Contratación, se aplica la opción 1, siendo la ley aplicable la de Francia;
  • 7.1.6 Según la cláusula 18(b) de las Condiciones Generales de Contratación, los litigios se resolverán ante los tribunales de Toulouse (Francia);
  • 7.1.7 El anexo 1 de las CGC se completa con la información que figura en el apéndice 1 del presente DPA;
  • 7.1.8 El anexo 2 de las CCT se completa con la información que figura en el apéndice 2 del presente DPA;
  • 7.1.9 El anexo 3 de las CCT se completa con la información incluida en la lista de subencargados del tratamiento

7.2 Cuando se realice una transferencia restringida desde el Reino Unido, el Anexo sobre transferencias del Reino Unido se incorpora por referencia al presente Acuerdo de Tratamiento de Datos y se aplica a la transferencia de la siguiente manera:

  • 7.2.1 El anexo del Reino Unido se completa con la información de la sección 7.1.1, la lista de subencargados del tratamiento y los apéndices 1 y 2 del presente acuerdo de tratamiento de datos;
  • 7.2.2 En la tabla 4 se han seleccionado tanto «Importador» como «Exportador»

7.3 Aplicaciones específicas de las SCC. Las siguientes condiciones se aplican a las SCC:

  • 7.3.1 El cliente podrá ejercer sus derechos de auditoría en virtud de las CCT, tal y como se establece en la sección 3.3 del presente DPA
  • 7.3.2 OneStock designar subencargados del tratamiento con arreglo a las Cláusulas Contractuales Típicas, tal y como se establece en la sección 4 del presente Acuerdo de Tratamiento de Datos
  • 7.3.3 En lo que respecta a las transferencias restringidas realizadas a OneStock, OneStock no OneStock participar, ni permitir que ningún subencargado del tratamiento participe, en ninguna otra transferencia restringida, a menos que dicha transferencia se realice en pleno cumplimiento de las leyes de protección de datos y de conformidad con las cláusulas contractuales tipo aplicables o con un mecanismo de transferencia alternativo que cumpla con la legislación vigente.

8. Responsabilidad

8.1 El presente Acuerdo de Tratamiento de Datos estará sujeto a las limitaciones de responsabilidad acordadas entre las Partes (y cualquier referencia a la responsabilidad de una parte se entenderá que se refiere a dicha parte y a sus filiales en su conjunto) en virtud del Contrato.

9. General

  • 9.1 En lo que respecta al objeto del presente DPA, en caso de que existan discrepancias entre las disposiciones del presente DPA y las del Acuerdo, prevalecerán las disposiciones de los siguientes documentos (por orden de prelación): las CCT; a continuación, el presente DPA; y, por último, el Acuerdo.
  • 9.2 El presente Acuerdo de Tratamiento de Datos se regirá e interpretará de conformidad con las disposiciones sobre la legislación aplicable y la jurisdicción establecidas en el Contrato, salvo que las Leyes de Protección de Datos dispongan lo contrario.
  • 9.3 OneStock modificar el presente DPA cuando (i) el cambio sea necesario para cumplir con la legislación en materia de protección de datos; o (ii) el cambio sea comercialmente razonable, no reduzca de manera significativa la seguridad de los Servicios, no altere el alcance del tratamiento de los datos personales OneStocky no tenga un impacto negativo significativo en los derechos del Cliente en virtud del presente DPA.

10. Definiciones

Los términos en mayúsculas que no se definan de otro modo en el presente DPA o en el Acuerdo tendrán el siguiente significado:

  • 10.1 Por «responsable del tratamiento» se entiende la entidad que determina los fines y los medios del tratamiento de los datos personales.
  • 10.2 «Encargado del tratamiento»: la entidad que trata datos personales por cuenta del responsable del tratamiento
  • 10.3 Por «Leyes de protección de datos» se entiende todas las leyes, tratados y/o reglamentos locales, estatales, nacionales y/o extranjeros, incluidos el RGPD de la UE y el RGPD del Reino Unido, así como las leyes y reglamentos de Suiza y de los Estados Unidos y sus estados, aplicables a: (i) OneStock su calidad de proveedor de servicios que trata datos en virtud del Contrato, o (ii) el Cliente y sus Filiales, según sea el caso.
  • 10.4 «Interesado»: la persona física identificada o identificable a la que se refieren los datos personales
  • 10.5 «RGPD de la UE» se refiere al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos)
  • 10.6 Por «Datos personales» se entiende cualquier información relativa a una persona identificada o identificable que haya sido facilitada por el Cliente o en su nombre a la Plataforma, o que haya sido recopilada y tratada por el Cliente o en su nombre a través de la Plataforma.
  • 10.7 «Tratamiento» significa cualquier operación o conjunto de operaciones realizadas sobre datos personales, ya sea por medios automáticos o no, tales como la recogida, el registro, la organización, el almacenamiento, la adaptación o la modificación, la recuperación, la consulta, la utilización, la comunicación por transmisión, la difusión o cualquier otra forma de puesta a disposición, la interrelación o la combinación, el bloqueo, la supresión o la destrucción.
  • 10.8 Por «cláusulas contractuales tipo» o «SCC» se entiende: (i) cuando sea de aplicación el RGPD de la UE o la Ley Federal Suiza sobre el Tratamiento de Datos, las cláusulas contractuales anexas a la Decisión de Ejecución 2021/914 de la Comisión Europea, de 4 de junio de 2021, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a terceros países con arreglo al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo («SCC de la UE»); y (ii) cuando se aplique el RGPD del Reino Unido, las cláusulas tipo de protección de datos adoptadas de conformidad con el artículo 46 del RGPD del Reino Unido o permitidas en virtud de dicho artículo («SCC del Reino Unido»)
  • 10.9 «Subencargado del tratamiento»: cualquier encargado del tratamiento contratado por OneStock tratar datos personales en el marco de la prestación de los Servicios.
  • 10.10 «RGPD del Reino Unido» se refiere al RGPD de la UE tal y como se ha incorporado a la legislación del Reino Unido en virtud del artículo 3 de la Ley del Reino Unido sobre la Unión Europea (Retirada) de 2018.

ANEXO 1: DETALLES DEL TRATAMIENTO

A. LISTA DE PARTES

Exportador de datos El cliente
Datos de contacto tal y como se establece en el Contrato (incluido el Formulario de pedido)
Función de exportador de datos Las partes reconocen y acuerdan que, en lo que respecta al tratamiento de datos personales, el Cliente actúa como responsable del tratamiento y OneStock encargado del tratamiento.
Importador de datos OneStock
Datos de contacto previsto en el Acuerdo
Función de importador de datos Las partes reconocen y acuerdan que, en lo que respecta al tratamiento de datos personales, el Cliente actúa como responsable del tratamiento y OneStock encargado del tratamiento.

B. DESCRIPCIÓN DEL TRATAMIENTO Y LA TRANSFERENCIA DE DATOS

Categorías de interesados cuyos datos personales se transfieren

El exportador de datos podrá enviar datos personales a la plataforma del importador de datos en la medida en que lo determine y controle el exportador de datos, lo cual se limitará a los datos personales relativos a las siguientes categorías de interesados:

Empleados, agentes, asesores, contratistas y autónomos del exportador de datos que sean usuarios de la Plataforma (que sean personas físicas)

Los clientes o visitantes del cliente procedentes de un sitio web de comercio electrónico o de una tienda física del cliente
Categorías de datos personales transferidos

El exportador de datos podrá enviar datos personales a la plataforma del importador de datos en la medida en que lo determine y controle el exportador de datos, lo cual se limitará a:

Para los usuarios de la plataforma: nombre de usuario; datos de contacto; cargo; dirección de correo electrónico; dirección IP; número de teléfono; dirección postal de la tienda que se les haya asignado (cuando proceda)

Para los clientes y visitantes del Cliente:

  • Datos del pedido gestionados a través de la Plataforma: nombre del cliente; correo electrónico; dirección postal; número de teléfono (opcional); datos de facturación y envío; información sobre la compra y otras transacciones, incluido el estado de la transacción; mensaje de regalo (opcional)
  • Preferencia de la tienda (opcional)
  • Preferencias del perfil (opcional)
Datos sensibles transferidos (si procede) y restricciones o medidas de protección aplicadas que tengan plenamente en cuenta la naturaleza de los datos y los riesgos que entrañan, como, por ejemplo, una limitación estricta de la finalidad, restricciones de acceso (incluido el acceso exclusivo para el personal que haya recibido formación especializada), el mantenimiento de un registro de los accesos a los datos, restricciones a las transferencias posteriores o medidas de seguridad adicionales. Ninguna (no está permitido en virtud del Acuerdo)
La frecuencia de la transferencia (es decir, si los datos se transfieren de forma puntual o continua) De forma continua durante la vigencia del Contrato, en función del uso que el Cliente haga de los Servicios
Naturaleza del tratamiento OneStock los datos personales en el marco de la prestación de los Servicios, de conformidad con los términos del Contrato
Finalidad o finalidades de la transferencia de datos y del tratamiento posterior Tratamiento necesario para la prestación de los Servicios de conformidad con el Contrato
El plazo durante el cual se conservarán los datos personales o, si ello no fuera posible, los criterios utilizados para determinar dicho plazo OneStock y conservará los datos personales de conformidad con la sección 6 del presente Acuerdo de Tratamiento de Datos (Devolución y destrucción de datos personales)
En el caso de las transferencias a (sub)encargados del tratamiento, especifique también el objeto, la naturaleza y la duración del tratamiento El objeto, la naturaleza y la duración del tratamiento serán los especificados en la Lista de subencargados del tratamiento

C. AUTORIDAD DE SUPERVISIÓN COMPETENTE

Identifique la autoridad o autoridades de control competentes de conformidad con la cláusula 13 de las CCT
  • En lo que respecta a las Cláusulas Contractuales Típicas de la UE, se refiere a la autoridad de control competente designada de conformidad con la cláusula 13 de dichas cláusulas.
  • En lo que respecta a las cláusulas contractuales tipo del Reino Unido, se refiere a la Oficina del Comisionado de Información del Reino Unido

ANEXO 2: MEDIDAS TÉCNICAS Y ORGANIZATIVAS, INCLUIDAS LAS MEDIDAS TÉCNICAS Y ORGANIZATIVAS DESTINADAS A GARANTIZAR LA SEGURIDAD DE LOS DATOS

Las medidas de seguridad técnicas y organizativas se recogen en los Términos y condiciones OneStock aplicables a la Plataforma, que se adjuntan al Contrato o a cualquier otro acuerdo electrónico o escrito firmado por ambas partes.

Keeping Promises
Gestión distribuida de pedidos basada en inteligencia artificial.
Solicitar una demostración