Legal
Fecha de entrada en vigor: 21 de abril de 2026
Última actualización: 21 de abril de 2026
Aidfine proporciona un Anexo de Tratamiento de Datos para clientes empresariales que necesitan condiciones aplicables al tratamiento, como encargado del tratamiento, de los datos personales contenidos en los Datos del Cliente tratados a través de los Servicios.
Este DPA debe leerse junto con los Terms & Conditions y la Privacy Policy.
Este Anexo de Tratamiento de Datos (« DPA ») se aplica cuando, y únicamente en la medida en que, Aidfine LLC (« Aidfine ») trate Datos Personales del Cliente en nombre de un cliente empresarial (« Cliente ») en relación con los Servicios.
Este DPA tiene por objeto complementar los Terms & Conditions aplicables, el formulario de pedido, el flujo de compra, las condiciones de suscripción u otro acuerdo que rija el uso de los Servicios por parte del Cliente (colectivamente, el « Acuerdo »).
Este DPA no se aplica al tratamiento respecto del cual Aidfine actúa como responsable independiente del tratamiento o como empresa que actúa por cuenta propia, incluyendo el tratamiento relacionado con la administración de cuentas, operaciones de facturación y pago, prevención del fraude, seguridad del servicio, cumplimiento legal y operaciones comerciales relacionadas fuera del alcance de los Datos del Cliente tratados en nombre del Cliente.
Entre las partes, el Cliente actúa como responsable del tratamiento o cliente empresarial análogo respecto de los Datos Personales del Cliente, y Aidfine actúa como encargado del tratamiento o proveedor de servicios análogo, en la medida en que Aidfine trate Datos Personales del Cliente contenidos en los Datos del Cliente en nombre del Cliente.
El Cliente sigue siendo responsable de determinar las finalidades del tratamiento, seleccionar las categorías de datos personales enviados a los Servicios, establecer una base jurídica adecuada y proporcionar cualquier aviso requerido a los interesados.
Aidfine actúa como responsable independiente del tratamiento o como empresa que actúa por cuenta propia respecto de los datos que trata para sus propios fines, incluyendo los datos relacionados con la administración de cuentas, la gestión de suscripciones y facturación, las operaciones de pago, la prevención del fraude, la seguridad del servicio, la gestión directa de la relación con el cliente y el cumplimiento legal.
El uso de los Servicios por parte del Cliente, la configuración administrativa de los Servicios, el Acuerdo, así como las comunicaciones escritas e instrucciones de soporte del Cliente, constituyen conjuntamente las instrucciones documentadas del Cliente a Aidfine para el tratamiento de los Datos Personales del Cliente en virtud de este DPA.
Aidfine tratará los Datos Personales del Cliente únicamente conforme a las instrucciones documentadas del Cliente, en la medida necesaria para proporcionar, proteger, apoyar, mantener y mejorar los Servicios de conformidad con el Acuerdo, o cuando así lo exija la ley aplicable.
Aidfine podrá rechazar o suspender cualquier instrucción que sea ilegal, técnicamente insegura, incompatible con el Acuerdo o razonablemente susceptible de comprometer la seguridad, integridad o funcionamiento fiable de los Servicios.
Aidfine restringe el acceso a los Datos Personales del Cliente al personal, contratistas y subencargados que tengan una necesidad legítima de conocer dichos datos con el fin de proporcionar, apoyar, proteger u operar legalmente los Servicios.
Las personas autorizadas a tratar Datos Personales del Cliente están sujetas a obligaciones de confidencialidad adecuadas, ya sean contractuales, legales o de otro modo jurídicamente vinculantes.
El acceso para soporte, resolución de problemas, mantenimiento y seguridad se limita a lo que sea razonablemente necesario para el servicio, seguridad o finalidad legal correspondiente.
Aidfine mantiene medidas técnicas y organizativas diseñadas para proteger los Datos Personales del Cliente contra el acceso, divulgación, alteración, pérdida o destrucción no autorizados o ilícitos, teniendo en cuenta la naturaleza de los Servicios y los riesgos que presenta el tratamiento.
controles de acceso basados en roles y gestión de acceso conforme al principio de privilegio mínimo para los entornos de clientes y el acceso operativo interno;
salvaguardas de autenticación y administración, incluyendo controles adicionales para accesos sensibles o administrativos cuando corresponda, así como autenticación multifactor para accesos sensibles o administrativos cuando sea aplicable;
cifrado en tránsito y cifrado en reposo para los sistemas y almacenamiento que traten Datos Personales del Cliente, según corresponda al entorno de servicio pertinente;
supervisión de seguridad, registro y alertas operativas diseñadas para respaldar la integridad del servicio, la investigación y la respuesta a incidentes;
prácticas de desarrollo seguro, gestión controlada de cambios y separación lógica entre entornos de producción y no producción;
medidas de copia de seguridad, recuperación y resiliencia diseñadas para respaldar la continuidad del servicio y la restauración de la disponibilidad de los datos; y
procesos internos documentados para la gestión, escalamiento y remediación de incidentes.
Los detalles adicionales sobre las medidas técnicas y organizativas de Aidfine se resumen en el Anexo II. Ningún método de transmisión, almacenamiento o tratamiento es completamente seguro, y las medidas descritas en este DPA están destinadas a ser basadas en riesgos, razonables y comercialmente creíbles, sin constituir garantías absolutas.
El Cliente otorga a Aidfine una autorización general para contratar subencargados que sean razonablemente necesarios para proporcionar, apoyar, proteger o mantener los Servicios.
Aidfine impondrá a sus subencargados obligaciones escritas de protección de datos y confidencialidad que sean adecuadas a los servicios que prestan y que exijan la protección de los Datos Personales del Cliente de una manera materialmente coherente con este DPA.
Aidfine seguirá siendo responsable de sus subencargados en la medida requerida por la ley aplicable.
Aidfine podrá actualizar sus subencargados o categorías de subencargados de vez en cuando y proporcionará un preaviso razonable de los cambios materiales por medios razonables. El Cliente podrá oponerse a un cambio material por motivos razonables de protección de datos dentro de los 15 días siguientes a la notificación.
Si las partes no pueden resolver de buena fe una objeción razonable, Aidfine podrá proporcionar una alternativa comercialmente razonable o, si no hay una alternativa razonablemente disponible, permitir que el Cliente rescinda los Servicios afectados.
Los servicios de terceros seleccionados, conectados o instruidos directamente por el Cliente no son subencargados de Aidfine en la medida en que operen bajo la relación, configuración o instrucciones separadas del Cliente. Asimismo, las relaciones con proveedores utilizados por Aidfine en su calidad de responsable independiente del tratamiento, incluyendo ciertas operaciones de facturación, pago, prevención del fraude, seguridad, sitio web o cumplimiento, quedan fuera del alcance de este DPA, excepto en la medida en que traten Datos Personales del Cliente en nombre de Aidfine como encargado del tratamiento.
Aidfine podrá tratar Datos Personales del Cliente en los Estados Unidos y en otros países donde Aidfine o sus subencargados operen.
Cuando la ley aplicable lo exija para transferencias internacionales de Datos Personales del Cliente, las partes acuerdan que se aplicarán las Cláusulas Contractuales Tipo de la Comisión Europea, junto con cualquier mecanismo de transferencia aplicable del Reino Unido y Suiza, complementados según sea razonablemente necesario para el escenario de transferencia correspondiente.
Aidfine no transferirá Datos Personales del Cliente de una manera prohibida por la legislación aplicable en materia de protección de datos y mantendrá un marco de transferencia adecuado para los Servicios y las jurisdicciones pertinentes.
Teniendo en cuenta la naturaleza del tratamiento, Aidfine proporcionará asistencia razonable al Cliente para responder a las solicitudes de los interesados que deseen ejercer sus derechos conforme a la legislación aplicable en materia de protección de datos.
Si Aidfine recibe directamente una solicitud de un interesado relativa a Datos Personales del Cliente, Aidfine podrá redirigir al solicitante al Cliente o notificar al Cliente, salvo que Aidfine esté legalmente impedida para hacerlo.
El Cliente sigue siendo responsable de evaluar y responder a las solicitudes de los interesados como responsable del tratamiento, excepto en la medida en que la ley aplicable exija expresamente que Aidfine actúe de otra manera.
Aidfine notificará al Cliente sin demora indebida después de tener conocimiento de una violación confirmada de datos personales que afecte a los Datos Personales del Cliente tratados en virtud de este DPA.
La notificación de Aidfine podrá incluir la información disponible en ese momento sobre la naturaleza del incidente, las categorías de Datos Personales del Cliente afectadas, el impacto probable y las medidas de remediación o mitigación adoptadas o propuestas.
La información podrá proporcionarse por etapas a medida que esté razonablemente disponible. El Cliente sigue siendo responsable de determinar si se requieren notificaciones a autoridades de control, reguladores, interesados o terceros conforme a la ley aplicable.
Durante la vigencia del Acuerdo, y durante cualquier período limitado de recuperación posterior a la terminación puesto a disposición en virtud del Acuerdo, el Cliente podrá recuperar o exportar los Datos del Cliente utilizando las funcionalidades disponibles de los Servicios u otro soporte estándar de salida ofrecido por Aidfine.
Tras la terminación o expiración, los Datos Personales del Cliente podrán primero volverse inaccesibles antes de que se complete la eliminación total. La eliminación podrá realizarse de forma asíncrona mediante procesos operativos ordinarios, incluyendo flujos de trabajo de capa de almacenamiento, tareas de eliminación en cola, gestión de archivos y rotación de copias de seguridad.
Aidfine podrá conservar Datos Personales del Cliente en la medida requerida por la ley aplicable o razonablemente necesaria para fines legítimos de seguridad, prevención del fraude, continuidad del negocio, resolución de disputas, retención legal o cumplimiento. Cualquier dato conservado seguirá estando sujeto a salvaguardas adecuadas mientras se conserve.
Aidfine podrá satisfacer los derechos de auditoría e información del Cliente proporcionando primero documentación razonable y materiales de cumplimiento, incluyendo resúmenes de seguridad, información sobre políticas, información sobre subencargados y respuestas a cuestionarios razonables de due diligence.
Cuando una verificación adicional sea requerida por la ley aplicable o esté razonablemente justificada a la luz del riesgo de tratamiento del Cliente, cualquier auditoría adicional deberá ser limitada, controlada, no disruptiva y estar sujeta a restricciones adecuadas de confidencialidad.
Ningún derecho de auditoría en virtud de este DPA obliga a Aidfine a divulgar código fuente, detalles de vulnerabilidades que aumentarían materialmente el riesgo de seguridad, secretos comerciales, información interna de precios o datos relativos a otros clientes.
Salvo que lo exija la ley o se active por un incidente confirmado que afecte materialmente a los Datos Personales del Cliente, la actividad de auditoría en profundidad estará limitada a no más de una vez al año y durante el horario laboral normal.
Este DPA está destinado a formar parte del Acuerdo cuando se incorpore por referencia o se acuerde de otro modo entre Aidfine y el Cliente.
En caso de conflicto entre este DPA y el Acuerdo, este DPA prevalecerá únicamente respecto del tratamiento de Datos Personales del Cliente regido por este DPA.
Las limitaciones de responsabilidad, exclusiones y disposiciones de asignación de riesgos del Acuerdo se aplican a este DPA en la máxima medida permitida por la ley aplicable.
Nada en este DPA amplía las obligaciones de Aidfine más allá del alcance del tratamiento de Datos Personales del Cliente para el cual Aidfine actúa como encargado del tratamiento o proveedor de servicios análogo en virtud del Acuerdo.
Objeto y duración. Aidfine trata Datos Personales del Cliente en la medida necesaria para proporcionar, proteger, apoyar, mantener y administrar los Servicios durante la vigencia del Acuerdo y durante cualquier período limitado de recuperación, eliminación, copia de seguridad, retención legal o seguridad permitido por el Acuerdo o la ley aplicable.
Naturaleza y finalidad del tratamiento. El tratamiento puede incluir la recopilación, carga, almacenamiento, organización, revisión, transformación, recuperación, visualización, análisis, conciliación, generación de informes, acceso de soporte, resolución de problemas, supervisión de seguridad y eliminación de Datos Personales del Cliente en relación con los Servicios.
Las categorías de interesados pueden incluir usuarios autorizados del Cliente, administradores, personal financiero y contable, empleados, contratistas, contrapartes, proveedores, beneficiarios de pagos, pagadores y otras personas cuyos datos personales aparezcan en los Datos del Cliente enviados a los Servicios.
Los tipos de datos personales pueden incluir nombres, datos de contacto profesionales, roles e identificadores de cuenta, contenidos de archivos cargados, datos de hojas de cálculo, referencias de transacciones, descripciones, fechas, importes, saldos, resultados de informes, comentarios, contenido de soporte y otros datos personales incluidos por el Cliente o en su nombre en los Datos del Cliente.
Aidfine mantiene medidas diseñadas para proteger los Datos Personales del Cliente de una manera adecuada a los Servicios y a los riesgos presentados por el tratamiento. Estas medidas pueden incluir las siguientes categorías de controles:
controles de identidad y acceso, incluyendo permisos basados en roles, administración conforme al principio de privilegio mínimo, prácticas de revisión de acceso y salvaguardas adicionales para funciones sensibles o administrativas;
protecciones de autenticación y sesión, incluyendo controles de credenciales, protecciones de gestión de sesión y autenticación multifactor para accesos sensibles o administrativos cuando sea aplicable;
protecciones de red y transporte, incluyendo cifrado en tránsito y rutas de comunicación seguras entre los componentes del servicio y los usuarios;
protecciones de almacenamiento, incluyendo cifrado en reposo para los sistemas y almacenamiento que traten Datos Personales del Cliente, según corresponda al entorno de producción pertinente;
prácticas de registro, supervisión y alerta destinadas a respaldar la detección de actividad anómala, la investigación y la seguridad del servicio;
separación de entornos y prácticas de desarrollo seguro destinadas a separar la producción de los flujos de prueba o desarrollo y reducir el riesgo operativo;
controles de copia de seguridad, resiliencia y recuperación destinados a respaldar la continuidad del negocio y la restauración de la disponibilidad del servicio;
confidencialidad del personal, formación y salvaguardas de tratamiento interno adecuadas a las operaciones del servicio; y
procesos de respuesta a incidentes y remediación destinados a respaldar el escalamiento, contención, investigación y acciones correctivas.
Aidfine puede utilizar subencargados o proveedores de servicios del lado del encargado en categorías razonablemente necesarias para operar los Servicios. Según el despliegue y la configuración del servicio, estas categorías pueden incluir:
proveedores de infraestructura cloud y alojamiento de aplicaciones;
proveedores de almacenamiento de objetos o almacenamiento de archivos utilizados para almacenar contenidos cargados y resultados generados;
proveedores de envío de correo electrónico y comunicaciones utilizados para respaldar comunicaciones relacionadas con el servicio cuando traten Datos Personales del Cliente en nombre de Aidfine;
herramientas de supervisión operativa, registro, soporte y respuesta a incidentes utilizadas en relación con la operación y seguridad de los Servicios;
proveedores de lucha contra abusos, verificación o soporte de seguridad cuando traten Datos Personales del Cliente en nombre de Aidfine en relación con los Servicios.
Las integraciones dirigidas por el Cliente y los servicios de terceros elegidos o habilitados directamente por el Cliente no se consideran subencargados de Aidfine en la medida en que operen bajo la propia configuración, relación o condiciones contractuales del Cliente.
Los proveedores contratados por Aidfine en su calidad de responsable independiente del tratamiento, incluyendo ciertos proveedores relacionados con facturación, pagos, prevención del fraude, sitio web y operaciones corporativas, quedan fuera del alcance de este Anexo, excepto en la medida en que traten Datos Personales del Cliente en nombre de Aidfine como encargado del tratamiento.
