Acuerdo de Procesamiento de Datos.
Acuerdo estándar de Procesamiento de Datos conforme al Artículo 28 del UK GDPR entre Hangar.Media y sus clientes.
Última actualización: May 2026
Introducción
Este Acuerdo de Procesamiento de Datos ("APD") forma parte de los Términos de Servicio entre Hangar.Media Ltd, empresa registrada en Inglaterra y Gales ("Hangar.Media", "Encargado del Tratamiento"), y el cliente identificado en la cuenta de Hangar.Media correspondiente ("Cliente", "Responsable del Tratamiento").
Establece las condiciones bajo las cuales Hangar.Media trata datos personales en nombre del Cliente en relación con la plataforma de señalización digital de Hangar.Media (el "Servicio"), de conformidad con el Artículo 28 del Reglamento General de Protección de Datos del Reino Unido ("UK GDPR") y la Ley de Protección de Datos de 2018.
Este APD se aplica automáticamente a todos los Clientes del Servicio. No se requiere firma independiente; el APD entra en vigor cuando el Cliente acepta los Términos de Servicio. Los Clientes cuyos procesos internos así lo requieran pueden solicitar una versión con firma de ambas partes a través del formulario de contacto .
Definiciones
Los términos utilizados en este APD que no estén definidos en él tendrán los significados que se les atribuyen en los Términos de Servicio o en el UK GDPR. A efectos de claridad:
- "Responsable del Tratamiento", "Encargado del Tratamiento", "Interesado", "Datos Personales", "Tratamiento" y "Violación de Datos Personales" tienen los significados que se les atribuyen en el UK GDPR.
- "Datos Personales del Cliente" hace referencia a los Datos Personales que Hangar.Media trata en nombre del Cliente en el marco de la prestación del Servicio.
- "Subencargado del Tratamiento" hace referencia a cualquier tercero contratado por Hangar.Media para tratar los Datos Personales del Cliente.
- "Autoridad de Control" hace referencia a la Oficina del Comisionado de Información (ICO) del Reino Unido.
Roles de las Partes
En relación con los Datos Personales del Cliente tratados en virtud de este APD:
- El Cliente actúa como Responsable del Tratamiento.
- Hangar.Media actúa como Encargado del Tratamiento, y opera únicamente siguiendo las instrucciones documentadas del Cliente.
El uso que el Cliente hace del Servicio, incluida la configuración de Contenidos, pantallas, usuarios y funciones opcionales de medición de audiencia, constituye instrucciones documentadas a Hangar.Media a los efectos del Artículo 28(3)(a) del UK GDPR.
A efectos de claridad, en lo que respecta a los datos de cuenta y facturación propios de Hangar.Media (incluidos los datos de registro del Cliente, los datos de pago y las comunicaciones con el soporte técnico), Hangar.Media actúa como Responsable del Tratamiento, y dicho tratamiento se rige por la Política de Privacidad, y no por este APD.
Objeto, Duración, Naturaleza y Finalidad
| Elemento | Descripción |
|---|---|
| Objeto | Prestación de la plataforma de señalización digital de Hangar.Media al Cliente. |
| Duración | Durante el período de la suscripción del Cliente, más el período de retención de datos posterior a la rescisión especificado en los Términos de Servicio (30 días). |
| Naturaleza y finalidad | Almacenamiento, transmisión, visualización y gestión de Contenidos de señalización digital; administración de cuentas de usuario y accesos; distribución de contenidos a dispositivos; supervisión del estado de los dispositivos; y, cuando el Cliente lo habilite, generación de estadísticas agregadas y anónimas de medición de audiencia. |
| Categorías de Interesados |
|
| Categorías de Datos Personales |
|
| Datos de categoría especial | Hangar.Media no requiere, solicita ni procesa intencionalmente ningún dato de categoría especial conforme al Artículo 9 del UK GDPR. El Cliente no debe cargar Contenido que contenga datos de categoría especial a menos que haya establecido una base jurídica adecuada conforme al Artículo 9(2). |
Obligaciones del Encargado del Tratamiento
Hangar.Media deberá:
- Tratar los Datos Personales del Cliente únicamente siguiendo las instrucciones documentadas del Cliente, incluso en lo que respecta a las transferencias de Datos Personales fuera del Reino Unido, salvo que la ley exija lo contrario (en cuyo caso Hangar.Media informará al Cliente de dicho requisito legal antes del tratamiento, a menos que la ley prohíba tal notificación por razones importantes de interés público).
- Garantizar que las personas autorizadas para tratar los Datos Personales del Cliente estén sujetas a obligaciones contractuales de confidencialidad apropiadas o a obligaciones legales de confidencialidad.
- Adoptar todas las medidas requeridas conforme al Artículo 32 del UK GDPR, tal como se describe en la sección Seguridad a continuación.
- Asistir al Cliente, teniendo en cuenta la naturaleza del tratamiento, mediante medidas técnicas y organizativas adecuadas, en el cumplimiento de la obligación del Cliente de responder a las solicitudes de los Interesados que ejerzan sus derechos conforme al UK GDPR.
- Asistir al Cliente en el cumplimiento de sus obligaciones conforme a los Artículos 32 a 36 del UK GDPR (seguridad, notificación de brechas, EIPD y consulta previa), teniendo en cuenta la naturaleza del tratamiento y la información disponible para Hangar.Media.
- A elección del Cliente, eliminar o devolver todos los Datos Personales del Cliente una vez finalizada la prestación del Servicio, y eliminar las copias existentes salvo que la ley exija su conservación, tal como se describe con mayor detalle en la sección Eliminación y Devolución de Datos a continuación.
- Poner a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en este DPA y en el Artículo 28 del UK GDPR.
Subencargados
El Cliente otorga a Hangar.Media autorización general para contratar Subencargados que colaboren en la prestación del Servicio, sujeto a las condiciones establecidas en esta sección.
Subencargados actuales
| Subencargado | Finalidad | Ubicación |
|---|---|---|
| DigitalOcean, LLC | Alojamiento de infraestructura (servidores, bases de datos, almacenamiento de objetos) | Reino Unido (Londres) |
| Stripe Payments Europe, Ltd | Procesamiento de pagos | Unión Europea (Irlanda) |
Cambios en los Subencargados
Hangar.Media notificará al Cliente con antelación cualquier cambio previsto en la lista de Subencargados (por ejemplo, la incorporación de un nuevo Subencargado o la sustitución de uno existente), dando al Cliente la oportunidad de oponerse a dichos cambios. La notificación se realizará mediante la actualización de este DPA y, cuando se haya proporcionado una dirección de correo electrónico para notificaciones, por correo electrónico al contacto registrado del Cliente, con al menos 30 días de antelación a la entrada en vigor del cambio.
Si el Cliente tiene una objeción razonable a un nuevo Subencargado propuesto por motivos de protección de datos, deberá notificarlo a Hangar.Media por escrito en un plazo de 14 días desde la recepción de la notificación. Las partes trabajarán de buena fe para resolver la objeción. Si no se alcanza una solución aceptable, cualquiera de las partes podrá resolver la suscripción del Cliente sin penalización, y Hangar.Media reembolsará las tarifas prepagadas no utilizadas de forma proporcional.
Obligaciones de los Subencargados
Cuando Hangar.Media contrate a un Subencargado, le impondrá, mediante un contrato escrito, obligaciones de protección de datos que no sean menos protectoras que las establecidas en este DPA. Hangar.Media seguirá siendo plenamente responsable ante el Cliente por el cumplimiento de las obligaciones de cualquier Subencargado.
Derechos de los Interesados
Teniendo en cuenta la naturaleza del tratamiento, Hangar.Media asistirá al Cliente mediante medidas técnicas y organizativas adecuadas, en la medida en que sea posible, en el cumplimiento de la obligación del Cliente de responder a las solicitudes de ejercicio de los derechos de los Interesados conforme al Capítulo III del UK GDPR, incluyendo:
- El derecho de acceso (Artículo 15)
- El derecho de rectificación (Artículo 16)
- El derecho de supresión (Artículo 17)
- El derecho a la limitación del tratamiento (Artículo 18)
- El derecho a la portabilidad de los datos (Artículo 20)
- El derecho de oposición (Artículo 21)
Si Hangar.Media recibe una solicitud directamente de un Interesado en relación con los Datos Personales del Cliente, Hangar.Media no responderá a dicha solicitud directamente (salvo para acusar recibo) y la remitirá al Cliente sin demora indebida.
El Servicio proporciona al Cliente herramientas de autogestión a través del panel de control y la API para responder a la mayoría de las solicitudes de los Interesados (por ejemplo, exportar, corregir o eliminar cuentas de usuario y Contenido).
Seguridad
Hangar.Media implementará medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad apropiado al riesgo, conforme a lo exigido por el Artículo 32 del UK GDPR. Estas medidas incluyen, como mínimo:
- Cifrado en tránsito: Todos los datos transmitidos entre los dispositivos de los usuarios finales y los servidores de Hangar.Media se cifran mediante TLS 1.3 o equivalente.
- Cifrado en reposo: Los Datos Personales del Cliente almacenados en bases de datos y en almacenamiento de objetos se cifran mediante AES-256.
- Control de acceso: El acceso a los Datos Personales del Cliente está restringido al personal autorizado según el principio de necesidad de conocer, mediante controles de acceso basados en roles y autenticación robusta. El acceso administrativo queda registrado.
- Seguridad de red: La infraestructura de producción está protegida por cortafuegos, detección de intrusiones y análisis automatizado de vulnerabilidades.
- Copias de seguridad: Se mantienen copias de seguridad cifradas en un ciclo rotativo de 30 días, almacenadas en una ubicación del Reino Unido geográficamente separada.
- Gestión de vulnerabilidades: Los parches de seguridad se aplican a los sistemas de producción conforme a una política documentada de gestión de parches, aplicándose los parches críticos sin demora indebida.
- Respuesta a incidentes: Hangar.Media mantiene un proceso documentado de respuesta a incidentes que abarca la detección, contención, notificación y remediación.
- Formación del personal: El personal con acceso a los Datos Personales del Cliente recibe formación en protección de datos y seguridad de la información.
- Desarrollo seguro: Los cambios en el Servicio se revisan, prueban e implementan mediante un proceso de lanzamiento controlado.
Hangar.Media se reserva el derecho de actualizar estas medidas a lo largo del tiempo para mantener un nivel de seguridad adecuado, siempre que las medidas actualizadas ofrezcan una protección no inferior a la aquí descrita.
Notificación de Violación de Datos Personales
Hangar.Media notificará al Cliente sin demora indebida y, en todo caso, en un plazo máximo de 72 horas desde que tenga conocimiento de una Violación de Datos Personales que afecte a los Datos Personales del Cliente. La notificación incluirá, en la medida en que se conozca en ese momento:
- La naturaleza de la Violación de Datos Personales, incluidas las categorías y el número aproximado de Interesados y registros afectados
- Las posibles consecuencias de la Violación de Datos Personales
- Las medidas adoptadas o propuestas para hacer frente a la Violación de Datos Personales y mitigar sus posibles efectos adversos
- Los datos de contacto de una persona de referencia a través de la cual se pueda obtener más información
En caso de que no sea posible facilitar toda esta información de una sola vez, se proporcionará de forma escalonada sin demora indebida adicional. Hangar.Media también cooperará razonablemente con el Cliente en sus obligaciones de investigación y notificación ante la Autoridad de Control y los Interesados afectados.
Transferencias Internacionales
Los Datos Personales del Cliente se almacenan y procesan en el Reino Unido. Cuando un Subencargado se encuentre dentro de la Unión Europea (por ejemplo, Stripe en Irlanda), Hangar.Media se ampara en la regulación de adecuación del Reino Unido para la UE, en virtud de la cual los estándares de protección de datos de la UE se reconocen como adecuados a los efectos del UK GDPR.
Hangar.Media no transferirá Datos Personales del Cliente a un tercer país fuera del Reino Unido o del Espacio Económico Europeo sin garantizar que exista un mecanismo de transferencia adecuado, como el Acuerdo de Transferencia Internacional de Datos del Reino Unido, las Cláusulas Contractuales Tipo con el Anexo del Reino Unido, o el amparo en una regulación de adecuación.
Derechos de Auditoría
Hangar.Media pondrá a disposición del Cliente, previa solicitud escrita razonable y con una frecuencia máxima de una vez por período de doce meses, la información razonablemente necesaria para demostrar el cumplimiento de este DPA y del Artículo 28 del UK GDPR. Esto podrá adoptar la forma de:
- Respuestas escritas a un cuestionario razonable de protección de datos
- Copias de políticas, procedimientos o certificaciones relevantes
- Informes resumidos de las evaluaciones de seguridad realizadas sobre el Servicio
Cuando el Cliente tenga una obligación regulatoria o una base razonable para requerir una auditoría in situ, las partes acordarán con antelación el calendario, el alcance y las condiciones de confidencialidad de dicha auditoría, que se llevará a cabo a expensas del Cliente y de manera que no interrumpa el funcionamiento del Servicio.
Eliminación y Devolución de Datos
Tras la rescisión o vencimiento de la suscripción del Cliente:
- El Cliente dispondrá de un período de 30 días tras la rescisión para exportar el Contenido del Cliente y los datos de la cuenta a través del panel del Servicio o la API.
- Transcurrido el período de 30 días, Hangar.Media eliminará todos los Datos Personales del Cliente de los sistemas de producción activos. Los datos eliminados serán purgados de las copias de seguridad dentro del ciclo de rotación de backups de 30 días.
- Los registros de facturación y facturas se conservarán durante 7 años de conformidad con los requisitos legales de HMRC, tal como se describe en la Política de Privacidad.
- Hangar.Media proporcionará, previa solicitud, confirmación escrita de que la eliminación ha tenido lugar.
Responsabilidad
La responsabilidad de cada parte en virtud de o en relación con este DPA está sujeta a las limitaciones y exclusiones de responsabilidad establecidas en los Términos de Servicio. Nada en este DPA excluye ni limita ninguna responsabilidad que no pueda ser excluida o limitada conforme a la legislación aplicable.
Prevalencia
En caso de conflicto entre este DPA y los Términos de Servicio, este DPA prevalecerá en lo que respecta al tratamiento de los Datos Personales del Cliente. El resto de materias se rigen por los Términos de Servicio.
Legislación Aplicable
Este DPA se rige e interpreta de conformidad con las leyes de Inglaterra y Gales. Cualquier disputa derivada de este DPA estará sujeta a la jurisdicción exclusiva de los tribunales de Inglaterra y Gales.
Cambios en este DPA
Hangar.Media podrá actualizar este DPA periódicamente para reflejar cambios en los requisitos legales, los subencargados o el Servicio. Los cambios sustanciales se notificarán al Cliente con al menos 30 días de antelación, de la misma manera que los cambios en los Términos de Servicio.
Contacto
Si tiene alguna pregunta sobre este DPA o necesita ponerse en contacto con Hangar.Media en relación con cualquier asunto contemplado en él, utilice el formulario de contacto en nuestro sitio web.