Contrato de tratamiento de datos (DPA)

Artículo 1 · Definiciones

A efectos del presente DPA:

• «Cliente» designa a la persona física o jurídica que contrata Ooklo o utiliza el Marketplace.
• «Ooklo» designa a VICMEDIA LTD, 126 Aldersgate Street, Londres EC1A 4JQ, Reino Unido, que opera bajo la marca «Ooklo».
• «Datos del Cliente» designa los Datos personales cargados, importados o sincronizados por el Cliente en la plataforma (contactos, prospectos, empleados, etc.).
• «Datos del Marketplace» designa los contactos B2B o B2C puestos a disposición del Cliente a través del Marketplace de Ooklo, procedentes de bases producidas por varios editores cualificados independientes.
• «Subencargado» designa a todo proveedor contratado por Ooklo para tratar Datos por cuenta del Cliente.
• «Interesados» designa a las personas físicas cuyos Datos se tratan en virtud del presente DPA.

Los términos «Responsable del tratamiento», «Encargado del tratamiento», «Datos personales», «Tratamiento», «Violación de Datos», «Destinatario» e «Interesado» tienen el significado que les asigna el artículo 4 del RGPD.

Artículo 2 · Objeto y duración

El presente DPA tiene por objeto definir las condiciones en las que Ooklo trata los Datos del Cliente por cuenta del Cliente, así como las condiciones en las que Ooklo pone a disposición los Datos del Marketplace.

El DPA entra en vigor en la primera de las siguientes fechas: (i) aceptación de las Condiciones Generales de Uso, (ii) primera carga de una lista de contactos en la plataforma, (iii) primer pedido al Marketplace. Se aplica durante toda la relación contractual, ampliada por los periodos de conservación legal previstos en el Artículo 9.

Artículo 3 · Parte A — Ooklo como encargado del tratamiento del Cliente

Respecto de los Datos del Cliente, el Cliente es el único Responsable del tratamiento. Ooklo actúa como Encargado del tratamiento en el sentido del artículo 28 del RGPD y trata los Datos personales únicamente siguiendo instrucciones documentadas del Cliente. Las instrucciones del Cliente resultan (a) de la configuración de su cuenta Ooklo, (b) del uso de las funcionalidades de la plataforma y (c) en su caso, de instrucciones escritas específicas remitidas a dpo@ooklo.com.

3.1 Naturaleza y finalidad del Tratamiento

Ooklo trata los Datos del Cliente con las siguientes finalidades:

• Alojamiento y almacenamiento seguro de las listas de contactos del Cliente.
• Ejecución de las campañas de marketing creadas por el Cliente: email, SMS, publicaciones sociales, Google Business Profile, WhatsApp, módulos del Hub.
• Medición de la entregabilidad, cálculo de indicadores de rendimiento y panel del Cliente.
• Gestión automática de bajas y quejas (lista de supresión compartida en el ámbito de la cuenta del Cliente).
• Asistencia técnica a petición del Cliente, con trazabilidad documentada.

3.2 Categorías de Interesados

• Clientes y prospectos del Cliente.
• Miembros, abonados o participantes en programas del Cliente.
• Empleados del Cliente (únicamente si el Cliente los carga).
• Autores de reseñas y contactos entrantes a través de los canales conectados.

3.3 Categorías de Datos tratados

• Identificadores: nombre, apellido, tratamiento, identificador interno.
• Datos de contacto: email, teléfono fijo y móvil, dirección postal.
• Datos transaccionales: historial de compra, cesta media, frecuencia de visita (cuando los facilita el Cliente).
• Datos de comportamiento: aperturas, clics, conversiones vinculados a las campañas de Ooklo.
• Datos de consentimiento: estado opt-in / opt-out, fecha y fuente del consentimiento.
• Datos técnicos asociados a los envíos: dirección IP, agente de usuario, estado de entrega.

Ooklo no trata, salvo instrucción expresa y escrita del Cliente, categorías especiales de Datos en el sentido de los artículos 9 y 10 del RGPD.

3.4 Duración del Tratamiento

El Tratamiento se realiza durante toda la suscripción del Cliente, ampliada en un periodo de gracia de 30 días tras el cierre de la cuenta, durante el cual el Cliente puede reactivar o exportar sus Datos. Al término de ese periodo, los Datos del Cliente se suprimen conforme al Artículo 9.

Artículo 4 · Obligaciones de Ooklo como encargado del tratamiento

Ooklo se compromete, conforme al artículo 28.3 del RGPD, a:

• No tratar los Datos del Cliente salvo siguiendo instrucciones documentadas del Cliente, incluidas las transferencias fuera de la UE. A fecha del presente DPA no se realiza ninguna transferencia fuera de la UE/EEE.
• Garantizar que las personas autorizadas a tratar los Datos del Cliente están sometidas a un deber de confidencialidad apropiado, contractual o legal.
• Aplicar las medidas técnicas y organizativas descritas en el Anexo 2.
• Respetar las condiciones de recurso a Subencargados previstas en el Artículo 5 y el Anexo 1.
• Asistir al Cliente, mediante medidas técnicas y organizativas adecuadas, para responder a las solicitudes de los Interesados (acceso, rectificación, supresión, oposición, limitación, portabilidad, retirada del consentimiento).
• Asistir al Cliente en el cumplimiento de las obligaciones de los artículos 32 a 36 del RGPD (seguridad, notificación de Violaciones, evaluaciones de impacto, consulta previa).
• Al término del servicio, suprimir o devolver al Cliente todos los Datos del Cliente, a elección del Cliente, salvo obligación legal de conservación.
• Poner a disposición del Cliente toda la información necesaria para demostrar el cumplimiento del presente DPA y permitir auditorías en las condiciones del Artículo 10.
• Informar inmediatamente al Cliente si, a su juicio, una instrucción infringe el RGPD u otra norma aplicable.

Artículo 5 · Subencargados del tratamiento

El Cliente autoriza con carácter general a Ooklo a recurrir a los Subencargados enumerados en el Anexo 1 para la prestación del servicio. Todos los Subencargados actuales están ubicados dentro de la Unión Europea o del EEE.

Ooklo firma con cada Subencargado un contrato que le impone obligaciones de protección de Datos equivalentes a las del presente DPA, en particular los requisitos de seguridad del artículo 32 del RGPD.

En caso de cambio de Subencargados (alta o sustitución), Ooklo lo notifica al Cliente con al menos treinta (30) días de antelación por correo a la dirección de contacto de la cuenta o mediante publicación en la página /dpa. El Cliente dispone de un derecho de oposición motivado en ese plazo. Si la oposición es legítima, las Partes buscarán de buena fe una solución alternativa; en su defecto, el Cliente podrá resolver el servicio afectado sin penalización.

Artículo 6 · Seguridad

Ooklo aplica las medidas técnicas y organizativas descritas en el Anexo 2 para garantizar un nivel de seguridad adecuado al riesgo, en particular:

• Cifrado de los Datos personales en reposo (AES-256) y en tránsito (TLS 1.2+).
• Autenticación multifactor obligatoria en todas las cuentas administrativas.
• Controles de acceso basados en roles y principio de mínimo privilegio.
• Registro y supervisión de los accesos sensibles.
• Copias de seguridad cifradas, restauradas y probadas con regularidad.
• Pruebas de intrusión anuales y revisiones de vulnerabilidades.

Artículo 7 · Violación de Datos personales

En caso de Violación de Datos personales que afecte a los Datos del Cliente, Ooklo notifica al Cliente sin demora indebida y, a más tardar, en las setenta y dos (72) horas siguientes a tener conocimiento. La notificación detalla:

• La naturaleza de la Violación, las categorías y el volumen aproximado de Interesados y de Datos afectados.
• Las consecuencias probables.
• Las medidas adoptadas o propuestas para corregir la Violación y mitigar sus efectos.
• El punto de contacto de Ooklo.

Ooklo asiste al Cliente en sus obligaciones de notificación a la autoridad de control competente y, en su caso, a los Interesados.

Artículo 8 · Derechos de los Interesados

Cuando un Interesado dirige a Ooklo una solicitud de ejercicio de sus derechos (acceso, rectificación, supresión, oposición, limitación, portabilidad), Ooklo traslada la solicitud al Cliente en un plazo de cinco (5) días hábiles y, salvo instrucción contraria del Cliente, no responde directamente.

Ooklo facilita al Cliente funcionalidades de exportación y supresión en la plataforma para que pueda responder a los Interesados en el plazo de un mes previsto por el RGPD.

Artículo 9 · Conservación, devolución y supresión

Los periodos de conservación son los siguientes:

• Cuenta activa: duración de la suscripción.
• Periodo de gracia tras el cierre: 30 días, durante los cuales el Cliente puede reactivar o exportar sus Datos.
• Datos del Cliente tras el periodo de gracia: suprimidos de los sistemas activos; las copias de seguridad cifradas se purgan en un plazo máximo de 60 días.
• Datos sometidos a conservación legal (facturación, contabilidad, lucha contra el fraude): archivados durante el periodo exigido por la ley aplicable y, después, suprimidos.
• Datos del Marketplace consumidos por el Cliente: véase el Artículo 12.

Artículo 10 · Auditoría

El Cliente puede, a su cargo, auditar el cumplimiento por parte de Ooklo del presente DPA, como máximo una vez cada doce (12) meses y con un preaviso razonable de al menos treinta (30) días. La auditoría la realiza el Cliente o un auditor independiente designado por él, sujeto a confidencialidad. La auditoría no podrá abarcar datos o sistemas de otros clientes de Ooklo.

Ooklo podrá cumplir esta obligación facilitando informes de auditoría recientes (SOC 2, ISO 27001 o equivalentes), cuando estén disponibles.

Artículo 11 · Parte B — Marketplace de datos de prospectos

11.1 Origen de los Datos

Los Datos del Marketplace se agregan a partir de varias fuentes cualificadas, con un volumen indicativo aproximado de 3 millones de contactos B2B y 8 millones de contactos B2C, ubicados en Francia.

11.2 Base jurídica

• Contactos B2B: interés legítimo del remitente (artículo 6.1.f del RGPD y considerando 47), junto con un derecho de oposición sencillo y gratuito para los Interesados. Las solicitudes son estrictamente profesionales y están vinculadas a la función del destinatario.
• Contactos B2C: consentimiento libre, específico, informado e inequívoco (artículo 6.1.a y artículo 7 del RGPD), recabado por los productores de bases en el momento de la recogida, con sello de tiempo y fuente documentados. Los optin de marketing y SMS son distintos.

11.3 Frescura y calidad de los Datos

• Actualización mensual completa de las bases por los productores (entrega «anula y reemplaza» entre el día 1 y el día 10 de cada mes).
• Actualización semanal de bajas, quejas, NPAI, spamtraps y hardbounces. Estas señales se integran inmediatamente en la lista de supresión del Marketplace.
• Las direcciones email B2B y los números móviles B2B se entregan en forma cifrada (SHA-256) para el enrutamiento; los Datos B2C se entregan en claro para permitir el enrutamiento por Ooklo o por proveedores de enrutamiento acreditados.

11.4 Contrato de licencia

Ooklo es titular de contratos de licencia de comercialización celebrados con los productores de las bases cualificadas enumeradas en el §11.1. Estas licencias regulan, entre otros: los derechos de propiedad intelectual de los productores sobre las bases (artículo L341-1 del Código de la Propiedad Intelectual francés), las obligaciones de seguridad, las modalidades de declaración mensual de volúmenes, el tratamiento de las solicitudes de los Interesados, la destrucción de los Datos al término del contrato, y las obligaciones del capítulo III del RGPD.

Artículo 12 · Obligaciones del Cliente al usar el Marketplace

Al realizar un pedido al Marketplace, el Cliente se compromete a:

• Enviar a los contactos alquilados únicamente dentro del sector de actividad y zona geográfica declarados a Ooklo en el momento del pedido.
• Para alquileres de email y SMS B2B/B2C: no extraer las direcciones de email ni los números móviles, y no compartirlos con terceros. El enrutamiento lo realiza exclusivamente Ooklo o un enrutador acreditado conforme a la licencia aplicable.
• Para servicios de cesión o enriquecimiento: respetar los periodos de conservación indicados en el pedido, no revender los Datos y devolver o destruir cualquier Dato del Marketplace al final del servicio conforme al Artículo 9.
• Atender de inmediato cualquier solicitud de oposición, rectificación o supresión recibida de un Interesado, y trasladarla a Ooklo en un plazo de cinco (5) días hábiles a dpo@ooklo.com para que Ooklo y los productores de bases procedan a la supresión en origen.
• Incluir en cada comunicación un enlace de baja funcional y una mención clara que identifique al responsable del tratamiento (el Cliente) y el origen de los Datos («Fuente: Ooklo Marketplace»).
• Respetar los horarios y franjas de envío impuestos por la ley (en Francia: Decreto CNIL 2023-1085 sobre prospección telefónica, oposición Bloctel para contactos B2C por teléfono) y la lista de exclusiones comunicada por los productores de bases.

En caso de incumplimiento, Ooklo podrá suspender el acceso del Cliente al Marketplace y, en su caso, ejercer los recursos que le asistan.

Artículo 13 · Transferencias internacionales

A fecha del presente DPA, todos los Tratamientos previstos en las Partes A y B se alojan y ejecutan dentro de la Unión Europea o del Espacio Económico Europeo. No se realiza ninguna transferencia fuera de la UE/EEE.

Si un Subencargado tuviera que tratar Datos desde un tercer país en el futuro, Ooklo aplicará las garantías adecuadas previstas en el capítulo V del RGPD (cláusulas contractuales tipo de la Comisión Europea, decisión de adecuación u otro mecanismo reconocido) e informará previamente al Cliente.

Artículo 14 · Responsabilidad

La responsabilidad de cada Parte en virtud del presente DPA se rige por las cláusulas de limitación y exclusión previstas en las Condiciones Generales de Uso de Ooklo, sin perjuicio de las normas de orden público y, en particular, del artículo 82 del RGPD.

La limitación de responsabilidad no se aplica en caso de culpa grave, dolo o incumplimiento de las obligaciones relativas a la protección de Datos personales y a la seguridad de la información.

Artículo 15 · Ley aplicable y jurisdicción

El presente DPA se rige por la ley inglesa y se somete a la jurisdicción de los tribunales de Londres, sin perjuicio de las normas de orden público y de la competencia de las autoridades de control y tribunales de los Estados miembros de la Unión Europea en materia de protección de Datos.

Artículo 16 · Actualizaciones del DPA

Ooklo puede actualizar el presente DPA para reflejar la evolución normativa, del ecosistema de Subencargados o de los productos Ooklo. Toda actualización sustancial se notifica al Cliente al menos treinta (30) días antes de su entrada en vigor, por correo o mediante publicación en la página /dpa. El uso continuado del servicio implica la aceptación de la versión actualizada.

Para cualquier consulta relativa al presente DPA, contactar con dpo@ooklo.com.

Anexo 1 · Lista de Subencargados

Todos los Subencargados están ubicados dentro de la Unión Europea o del Espacio Económico Europeo. No se realiza ninguna transferencia fuera de la UE/EEE.

La lista actualizada se publica en esta página. Los Clientes que deseen recibir notificaciones activas de cambios pueden solicitarlo en dpo@ooklo.com.

Anexo 2 · Medidas técnicas y organizativas (TOMs)

Confidencialidad

• Cifrado de los Datos personales en reposo (AES-256) y en tránsito (TLS 1.2+).
• Autenticación multifactor obligatoria en todas las cuentas administrativas y técnicas.
• Controles de acceso basados en roles, principio de mínimo privilegio, revisiones trimestrales de accesos.
• Seudonimización de identificadores directos en entornos de soporte y depuración.

Integridad

• Registro inmutable de las operaciones sensibles, conservación de 12 meses.
• Controles de integridad a nivel aplicativo en las importaciones y exportaciones de listas de contactos.
• Revisión de código obligatoria y pruebas automatizadas en cada despliegue.

Disponibilidad

• Copias de seguridad cifradas diarias, conservadas 30 días y probadas mensualmente.
• Replicación multizona en la infraestructura de alojamiento principal.
• Plan de continuidad de negocio documentado, RPO 24h, RTO 8h.

Gobierno y organización

• DPO interno disponible en dpo@ooklo.com.
• Registro de tratamientos mantenido al día conforme al artículo 30 del RGPD.
• Evaluaciones de impacto (EIPD) para tratamientos de alto riesgo.
• Programa anual de sensibilización y formación del personal en protección de Datos y seguridad de la información.
• Procedimiento documentado de gestión de Violaciones con ejercicios anuales.

Seguridad de los Subencargados

• Evaluación previa de conformidad RGPD de cada Subencargado antes de la integración.
• Cláusulas contractuales que imponen obligaciones equivalentes al presente DPA.
• Revisión anual de la cadena de Subencargados.

Anexo 3 · Marketplace — Divulgación de la fuente de los Datos

Productores de las bases

El Marketplace se nutre de bases producidas por varios editores cualificados independientes, cada uno actuando como productor en el sentido del artículo L341-1 del Código de la Propiedad Intelectual francés y como Responsable del tratamiento original de su respectiva fuente. La composición indicativa figura en el §11.1.

Titular de las licencias y operador del Marketplace

Ooklo es titular de contratos de licencia de comercialización celebrados con los productores de las bases cualificadas enumeradas en el §11.1. Estas licencias abarcan los derechos de propiedad intelectual de los productores, las obligaciones de seguridad, la declaración mensual de volúmenes, el tratamiento de las solicitudes de los Interesados, la destrucción de los Datos al término del contrato y el conjunto de obligaciones del capítulo III del RGPD.

Entidad operadora

El servicio Ooklo está operado por Vicmedia Ltd, sociedad de Derecho inglés, domicilio social 126 Aldersgate Street, Londres, Inglaterra, EC1A 4JQ. Todas las comunicaciones, la facturación y el soporte al Cliente se gestionan bajo la marca Ooklo.

Volúmenes indicativos

• Alrededor de 3 millones de contactos B2B (Francia).
• Alrededor de 8 millones de contactos B2C (Francia).

Campos disponibles

B2B: email, tratamiento, apellido, nombre, teléfono fijo y móvil, optin de marketing y SMS con fecha de recogida, razón social, marca, SIREN/SIRET, código y descripción de la función, tipo de dirección de email (nominativa o genérica), dirección postal completa y geocodificación, URL del sitio, última acción observada y su fecha.

B2C: email, tratamiento, apellido, nombre, fecha y año de nacimiento, teléfono fijo y móvil, optin de marketing y SMS con fecha de recogida, dirección postal completa y geocodificación, última acción observada y su fecha.

Formato técnico de entrega

• B2B: email, fijo y móvil entregados en forma cifrada SHA-256; el resto de campos en claro.
• B2C: todos los campos entregados en claro.
• Actualización mensual «anula y reemplaza» entre el día 1 y el 10 de cada mes. Actualización semanal de bajas y quejas.

Gestión de supresiones y quejas

Toda oposición o queja recibida por Ooklo o los productores de bases se propaga a la fuente en un plazo máximo de siete (7) días e impide cualquier uso posterior del contacto en toda la cadena. Los hardbounces, spamtraps y NPAI detectados por Ooklo se comunican a los productores de bases en el mismo plazo.