Acuerdo de Tratamiento de Datos (DPA)

Este Acuerdo de Tratamiento de Datos ("DPA") forma parte integrante de:

• Los Términos y Condiciones de Uso de la Plataforma Qanvit,
• Las Condiciones Generales de Contratación y cualquier formulario de pedido o suscripción acordado entre las partes,

(conjuntamente, el "Acuerdo") suscrito entre:

FQ Source Technologies, S.L., como Encargado del Tratamiento (en adelante, "Qanvit", "nosotros"), y el Cliente identificado en el Acuerdo, como Responsable del Tratamiento (en adelante, "Cliente").

En caso de conflicto entre este DPA y otras disposiciones del Acuerdo sobre tratamiento de datos personales, prevalecerá este DPA.

1. ENTRADA EN VIGOR

Este DPA es jurídicamente vinculante entre Qanvit y el Cliente:

• Tras la firma del Acuerdo, o
• Tras el primer acceso o uso de la Plataforma Qanvit por parte del Cliente (incluidas cuentas Free Trial),

lo que ocurra antes.

2. DURACIÓN Y VIGENCIA

La duración de este DPA se alinea automáticamente con la duración del Acuerdo:

• Entra en vigor al mismo tiempo que el Acuerdo.
• Permanece en vigor mientras Qanvit trate datos personales en nombre del Cliente.
• Termina automáticamente cuando finaliza el Acuerdo y cesan todas las actividades de tratamiento, sin perjuicio de obligaciones que por su naturaleza deban sobrevivir.

3. DEFINICIONES

• "Qanvit", "Encargado": FQ Source Technologies, S.L., con domicilio en Calle Fuente de Don Diego, nº15, piso 4º I, 23001 Jaén, España.
• "Plataforma" o "Servicios": La Plataforma SaaS proporcionada por Qanvit, incluyendo AI Agents y herramientas relacionadas, que permite a los Clientes definir tesis de inversión, descubrir y evaluar startups y gestionar procesos de Corporate Venture.
• "Cliente", "Responsable": La entidad que contrata la Plataforma, identificada en el Acuerdo.
• "Normativa de Protección de Datos": (i) RGPD; (ii) Directiva 2002/58/CE (ePrivacy); (iii) LOPDGDD; (iv) cualquier otra ley de protección de datos aplicable.
• "Subencargado": Cualquier "otro encargado" en el sentido del Art. 28.4 RGPD, contratado por Qanvit para tratar datos personales en nombre del Cliente.
• "Cláusulas Contractuales Tipo" o "SCC": Cláusulas estándar adoptadas por la Comisión Europea para transferencias internacionales fuera del EEE.
• "Datos del Cliente": Cualquier dato personal tratado por Qanvit en nombre del Cliente, descrito en el Apéndice 1.

4. FINALIDAD Y ROLES

4.1 Finalidad del Tratamiento

En el contexto de los Servicios, Qanvit tratará los Datos del Cliente para:

• Recopilar, estructurar y almacenar datos personales en procesos de Corporate Venture y cuentas de usuario.
• Habilitar identificación, comunicación y coordinación entre representantes de corporates y startups.
• Gestionar derechos de acceso, logs y controles de seguridad internos.
• Eliminar o anonimizar datos a petición o tras terminación.

Una descripción detallada del tratamiento se encuentra en el Apéndice 1.

4.2 Roles de las Partes

• El Cliente es el Responsable del Tratamiento.
• Qanvit es el Encargado del Tratamiento, tratando los Datos del Cliente conforme a las instrucciones documentadas del Responsable.

5. DESCRIPCIÓN DEL TRATAMIENTO Y MEDIDAS DE SEGURIDAD

Una descripción de la naturaleza y finalidad del tratamiento, categorías de interesados, categorías de datos personales y operaciones de tratamiento se encuentra en el Apéndice 1. Una lista no exhaustiva de Subencargados se encuentra en el Apéndice 2.

6. RESPONSABILIDADES DEL CLIENTE (RESPONSABLE)

El Cliente es el único responsable de:

• Garantizar que su uso de la Plataforma cumple la Normativa de Protección de Datos.
• Identificar las bases legales del tratamiento, informar a los interesados y mantener registros de actividades.
• Determinar si debe realizar una Evaluación de Impacto (EIPD) antes de usar la Plataforma.
• Implementar medidas adicionales si la EIPD lo requiere.
• Garantizar que los datos subidos a la Plataforma son adecuados, pertinentes y limitados a lo necesario.

7. OBLIGACIONES DE QANVIT COMO ENCARGADO

7.1 Tratamiento conforme a Instrucciones Documentadas

Qanvit tratará los Datos del Cliente solo siguiendo las instrucciones documentadas del Cliente, según se establezcan en este DPA, en la configuración de la Plataforma o por escrito. Si Qanvit considera que una instrucción infringe la Normativa, lo comunicará al Cliente y se abstendrá de actuar hasta su aclaración.

7.2 Confidencialidad

Qanvit garantizará que las personas autorizadas para tratar los Datos estén sujetas a obligaciones de confidencialidad y hayan recibido formación adecuada en protección de datos.

7.3 Medidas Técnicas y Organizativas (Art. 32 RGPD)

Qanvit implementará y mantendrá medidas apropiadas, incluyendo:

• Seudonimización y cifrado de datos en tránsito y, cuando proceda, en reposo.
• Capacidad de garantizar confidencialidad, integridad, disponibilidad y resiliencia.
• Procedimientos para restaurar disponibilidad y acceso en caso de incidente.
• Procesos para evaluar regularmente la eficacia de las medidas.

7.4 Asistencia con Derechos de los Interesados

Qanvit prestará asistencia razonable al Cliente para responder a solicitudes de los interesados (acceso, rectificación, supresión, limitación, portabilidad, oposición). Reenviará al Cliente cualquier solicitud recibida directamente y no responderá por iniciativa propia salvo autorización escrita del Cliente o exigencia legal.

7.5 Asistencia con EIPDs y Consultas Previas

Qanvit prestará asistencia razonable al Cliente para cumplir con las obligaciones de los Arts. 35 y 36 RGPD, en relación con tratamientos realizados en nombre del Cliente.

7.6 Registros y Auditorías

Qanvit mantendrá registros conforme al Art. 30.2 RGPD y pondrá a disposición del Cliente la información razonablemente necesaria para demostrar el cumplimiento del Art. 28 RGPD, permitiendo y contribuyendo a auditorías sujetas a las siguientes condiciones:

• Las auditorías podrán realizarse no más de una vez al año, salvo que se haya producido una Brecha de Datos en los doce (12) meses anteriores.
• En horario laboral, con preaviso razonable y minimizando la disrupción.
• Alcance acordado por adelantado.
• Qanvit no está obligado a divulgar datos de otros clientes, información financiera interna o información que comprometa la seguridad de sus sistemas.

Qanvit podrá satisfacer requisitos de auditoría mediante certificaciones de terceros (p. ej. SOC, ISO).

8. NOTIFICACIÓN DE BRECHAS DE SEGURIDAD

En caso de Brecha de Datos que afecte a los Datos del Cliente, Qanvit:

• Notificará al Cliente sin demora indebida tras conocer la brecha.
• Proporcionará información disponible: descripción de la naturaleza de la brecha, punto de contacto, consecuencias probables y medidas adoptadas.
• Si no toda la información puede facilitarse a la vez, la suministrará progresivamente.

El Cliente es responsable de evaluar si la Brecha debe notificarse a la Autoridad de Control y/o a los interesados afectados.

9. SUBENCARGADOS Y TRANSFERENCIAS INTERNACIONALES

9.1 Uso de Subencargados

El Cliente concede a Qanvit autorización general por escrito para contratar Subencargados para prestar los Servicios. Qanvit garantizará que los Subencargados estén vinculados por obligaciones contractuales no menos protectoras que las de este DPA, conforme al Art. 28.4 RGPD. Una lista no exhaustiva se encuentra en el Apéndice 2.

Qanvit notificará al Cliente cualquier adición o sustitución de Subencargados, dándole la oportunidad de oponerse por motivos razonables relacionados con la protección de datos.

9.2 Transferencias Internacionales

Cuando un Subencargado o Qanvit trate Datos del Cliente fuera del EEE, dicho tratamiento solo se realizará cumpliendo el Capítulo V RGPD, basándose en una decisión de adecuación o en SCC u otras garantías apropiadas.

10. DEVOLUCIÓN Y ELIMINACIÓN DE DATOS

Tras la terminación del Acuerdo y a elección del Cliente, Qanvit:

• Devolverá todos los Datos del Cliente (en formato común y de lectura mecánica, cuando sea técnicamente factible) y eliminará todas las copias; o
• Eliminará todos los Datos del Cliente (incluidas copias de seguridad) sin demora indebida, salvo que la conservación sea exigida por ley.

11. USO DE DATOS PARA FINES INTERNOS

El Cliente reconoce que Qanvit puede tratar datos agregados y/o anonimizados derivados del uso de la Plataforma para fines internos legítimos: operación y mejora de la Plataforma, facturación, desarrollo de funcionalidades y modelos, monitorización de seguridad y producción de estadísticas o benchmarks que no identifiquen al Cliente o a ningún interesado.

En relación con datos personales del Cliente, Qanvit se compromete a no usarlos para sus propios fines, salvo que estén agregados y anonimizados.

12. RESPONSABILIDAD Y LEY APLICABLE

Este DPA se sujeta a la misma ley aplicable y jurisdicción que el Acuerdo. La responsabilidad de Qanvit derivada de este DPA estará sujeta a las limitaciones y topes de responsabilidad establecidos en el Acuerdo.

13. MISCELÁNEA

• Si una disposición se considera inválida, las demás permanecerán en pleno vigor.
• Este DPA puede actualizarse por mutuo acuerdo o mediante los mecanismos del Acuerdo cuando sea exigido por cambios legislativos.
• En caso de inconsistencia entre el cuerpo principal del Acuerdo y este DPA en materia de protección de datos, prevalecerá este DPA.

APÉNDICE 1 — DESCRIPCIÓN DEL TRATAMIENTO

1. Categorías de Interesados

• Empleados, contratistas y representantes del Cliente (corporate venture, innovación, M&A, finanzas, etc.).
• Empleados, contratistas y representantes de startups y potenciales startups participantes en procesos de Corporate Venture.
• Usuarios que acceden a o gestionan procesos y perfiles de startups en la Plataforma.
• Otros contactos profesionales cuyos datos son subidos por el Cliente.

Qanvit no pretende tratar datos de consumidores ni categorías especiales de datos personales de forma sistemática. El Cliente debe evitar introducir tales datos.

2. Categorías de Datos Personales

Datos de identificación:

• Nombre, apellidos.
• Cargo o rol en la empresa.
• Nombre de la empresa y departamento.

Datos de contacto:

• Email profesional.
• Teléfono profesional.
• Dirección comercial, país.

Perfil profesional y datos de proyecto:

• Información sobre el rol del interesado en procesos de Corporate Venture.
• Preferencias, notas o etiquetas introducidas por el Cliente.

Datos de uso y técnicos:

• Tiempos de acceso, logs de actividad, analítica básica de uso de la Plataforma.
• Dirección IP, navegador, dispositivo, en la medida necesaria para seguridad y rendimiento.

3. Naturaleza y Finalidad del Tratamiento

• Recogida y registro de datos personales introducidos por el Cliente o sus usuarios.
• Organización, estructuración y almacenamiento en bases de datos alojadas en la infraestructura usada por Qanvit y sus Subencargados.
• Consulta y uso para autenticar usuarios, gestionar roles y permisos, habilitar interacciones entre corporates y startups, generar y gestionar workflows de Corporate Venture.
• Transmisión o divulgación a otros usuarios o organizaciones implicadas en el mismo proyecto.
• Conservación, archivo y backup durante el plazo del Acuerdo y posteriores plazos legales.
• Eliminación o anonimización a petición del Cliente o tras la terminación.

APÉNDICE 2 — LISTA DE SUBENCARGADOS

La siguiente tabla contiene una lista no exhaustiva de Subencargados contratados por Qanvit a la fecha de este DPA:

Qanvit puede actualizar o ampliar esta lista. Cualquier cambio se comunicará al Cliente conforme a la Sección 9 de este DPA.