Acuerdo de Procesamiento de Datos (DPA)

Última actualización: 29 de mayo de 2026

1. Partes

Este Acuerdo de Procesamiento de Datos (\"DPA\") se celebra entre:

  • Costplus OÜ, empresa registrada en Estonia, con domicilio social en Pärnu mnt 139b, 11317 Tallin, Estonia, número de registro mercantil 16936614 (\"Encargado del tratamiento\", \"nosotros\", \"nos\", o \"Cost+\"); y
  • el comerciante que haya instalado la aplicación de Shopify Cost+ Checkout, o que se haya integrado de otro modo con el servicio Cost+ Checkout, aceptando nuestras Condiciones de Servicio en https://costplus.io/shopify-app-terms.html (\"Responsable del tratamiento\", \"Comerciante\", o \"usted\"),

cada uno, una \"Parte\" y, conjuntamente, las \"Partes\".

Este DPA forma parte de, y está sujeto a, las Condiciones de Servicio entre las Partes. En caso de conflicto entre este DPA y las Condiciones de Servicio respecto al tratamiento de Datos Personales, prevalecerá este DPA.

2. Definiciones

Salvo que se definan de otro modo, los términos en mayúscula tienen los significados que se les atribuyen en el Reglamento (UE) 2016/679 (el \"GDPR\"). A efectos prácticos:

  • \"Datos Personales\" tiene el significado del artículo 4(1) del GDPR.
  • \"Tratamiento\" tiene el significado del artículo 4(2) del GDPR.
  • \"Interesado\" designa a un cliente o usuario final de Shopify cuyos Datos Personales son tratados en virtud de este DPA.
  • \"Subencargado del tratamiento\" designa a cualquier tercero contratado por el Encargado del tratamiento para tratar Datos Personales en nombre del Responsable del tratamiento.
  • \"Servicios\" designa el servicio Cost+ Checkout (la aplicación de Shopify, las APIs asociadas y las páginas de pago alojadas) prestado por el Encargado del tratamiento al Responsable del tratamiento en virtud de las Condiciones de Servicio.

3. Objeto, naturaleza, finalidad y duración del tratamiento

3.1 Objeto

El Encargado del tratamiento trata Datos Personales sobre los clientes del Responsable del tratamiento con el fin de prestar los Servicios. Cost+ Checkout es una herramienta de orquestación de embudo que dirige a los compradores que llegan desde puntos de entrada controlados por el Comerciante (por ejemplo, campañas de correo electrónico, páginas de destino, anuncios en redes sociales o enlaces directos a la tienda de Shopify) a través de una experiencia de pago coherente y unificada, y crea el pedido correspondiente en la tienda Shopify del Comerciante tras el pago.

3.2 Naturaleza y finalidad del tratamiento

El Encargado del tratamiento trata Datos Personales para las siguientes finalidades:

  • Recopilar la información de contacto y envío del comprador durante el proceso de pago;
  • Calcular los impuestos y tarifas de envío aplicables a través de los propios servicios de cálculo de impuestos y envíos de Shopify;
  • Crear el pedido correspondiente en Shopify una vez que el comprador completa el pago;
  • Procesar pagos a través de la infraestructura de pagos de Cost+ o del proveedor de pagos configurado por el Comerciante;
  • Reflejar los reembolsos, cancelaciones y eventos de cumplimiento iniciados por el Comerciante en su panel de administración de Shopify en la configuración de Cost+ Checkout del Comerciante;
  • Responder a las solicitudes de los interesados remitidas por Shopify a través de los webhooks estándar del GDPR (customers/data_request, customers/redact, shop/redact);
  • Proporcionar analíticas orientadas al comerciante derivadas de datos de sesión agregados y seudonimizados.

3.3 Duración

El Encargado del tratamiento trata los Datos Personales durante la vigencia de los Servicios, y conserva dichos datos durante los períodos establecidos en la Sección 9 a continuación.

4. Tipos de Datos Personales y categorías de Interesados

4.1 Tipos de Datos Personales

  • Nombre y apellidos;
  • Dirección de correo electrónico;
  • Número de teléfono (cuando se facilite);
  • Dirección de envío (calle, ciudad, código postal, país, segunda línea de dirección opcional, provincia/estado);
  • Dirección de facturación (mismos campos);
  • Detalles del pedido, incluidas las líneas de artículos, identificadores de productos, cantidades, precios, códigos de descuento aplicados, importe total del pedido, divisa y estado de cumplimiento;
  • Metadatos relacionados con el pago (token o referencia del método de pago, identificadores de autorización y captura) — se hace constar que los números de cuenta primarios completos (PAN) nunca entran en los sistemas del Encargado del tratamiento; son tokenizados por la infraestructura de pagos compatible con PCI DSS de Cost+ o por el proveedor de pagos configurado por el Comerciante.

4.2 Categorías de Interesados

  • Los clientes (compradores) del Responsable del tratamiento que completan el proceso de pago a través de Cost+ Checkout.

5. Obligaciones del Encargado del tratamiento

El Encargado del tratamiento deberá:

5.1 Instrucciones documentadas

Tratar los Datos Personales únicamente siguiendo las instrucciones documentadas del Responsable del tratamiento, incluso en lo que respecta a las transferencias de Datos Personales a un tercer país u organización internacional, salvo que una norma de la Unión o de un Estado miembro a la que esté sujeto el Encargado del tratamiento lo exija. En tal caso, el Encargado del tratamiento informará al Responsable del tratamiento de dicha obligación legal antes de proceder al tratamiento, salvo que la ley prohíba tal información por razones imperiosas de interés público. Las Partes acuerdan que las Condiciones de Servicio, este DPA y el uso de los Servicios por parte del Responsable del tratamiento a través de las opciones de configuración estándar constituyen instrucciones documentadas en el sentido del artículo 28(3)(a) del GDPR.

5.2 Confidencialidad

Garantizar que las personas autorizadas para tratar los Datos Personales se hayan comprometido a guardar confidencialidad o estén sujetas a una obligación legal de confidencialidad adecuada.

5.3 Medidas de seguridad

Aplicar medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad apropiado al riesgo, conforme a lo exigido por el artículo 32 del GDPR. Un resumen de estas medidas se recoge en el Anexo 1. El Responsable del tratamiento reconoce que el Anexo 1 podrá actualizarse periódicamente para reflejar mejoras en la postura de seguridad del Encargado del tratamiento, y que ninguna de dichas actualizaciones supondrá una reducción material del nivel de seguridad.

5.4 Subencargados del tratamiento

Contratar Subencargados del tratamiento únicamente en los términos de la Sección 7 a continuación.

5.5 Asistencia en el ejercicio de los derechos de los Interesados

Teniendo en cuenta la naturaleza del tratamiento, asistir al Responsable del tratamiento mediante medidas técnicas y organizativas adecuadas, en la medida de lo posible, para el cumplimiento de la obligación del Responsable del tratamiento de atender las solicitudes de ejercicio de los derechos de los Interesados conforme al Capítulo III del GDPR.

5.6 Asistencia con otras obligaciones del Responsable del tratamiento

Asistir al Responsable del tratamiento en garantizar el cumplimiento de las obligaciones derivadas de los artículos 32 a 36 del GDPR, teniendo en cuenta la naturaleza del tratamiento y la información disponible para el Encargado del tratamiento.

5.7 Devolución o supresión al finalizar los Servicios

A elección del Responsable del tratamiento, suprimir o devolver todos los Datos Personales al Responsable del tratamiento una vez finalizada la prestación de los Servicios relativos al tratamiento, y eliminar las copias existentes, salvo que una norma de la Unión o de un Estado miembro exija la conservación de los Datos Personales. El Encargado del tratamiento suprimirá los Datos Personales en un plazo de 90 días desde la finalización de los Servicios, excepto cuando la Sección 9 exija un período de conservación más prolongado.

5.8 Registro de actividades de tratamiento

Mantener un registro escrito de todas las categorías de actividades de tratamiento realizadas en nombre del Responsable del tratamiento, conforme a lo exigido por el artículo 30(2) del GDPR.

5.9 Auditorías

Poner a disposición del Responsable del tratamiento toda la información necesaria para demostrar el cumplimiento del artículo 28 del GDPR, y permitir y contribuir a las auditorías, incluidas las inspecciones, realizadas por el Responsable del tratamiento o por otro auditor designado por éste. El Responsable del tratamiento asumirá cualquier coste de dichas auditorías que vaya más allá de la información estándar ya disponible para él a través de los Servicios. El Responsable del tratamiento deberá notificarlo con una antelación razonable (de al menos 30 días), realizar las auditorías en horario comercial habitual y no perturbar las operaciones del Encargado del tratamiento.

6. Obligaciones del Responsable del tratamiento

El Responsable del tratamiento garantiza que:

  • Ha establecido una base jurídica válida conforme al artículo 6 del GDPR (y, cuando proceda, al artículo 9 del GDPR) para todos los Datos Personales que pone a disposición del Encargado del tratamiento a través de los Servicios;
  • Ha proporcionado toda la información de transparencia exigida a los Interesados conforme a los artículos 13 y 14 del GDPR, incluido el hecho de que se utiliza Cost+ Checkout para procesar los datos de pago y pedidos;
  • Ha configurado correctamente Cost+ Checkout (incluidas las reglas de flujo, los países permitidos, los métodos de pago y cualquier script o bloque personalizado) de manera que los Servicios traten únicamente los Datos Personales necesarios para los fines lícitos del Comerciante;
  • Responderá a las solicitudes de los Interesados remitidas por el Encargado del tratamiento dentro de los plazos exigidos por la ley.

7. Subencargados del tratamiento

7.1 Autorización general

El Responsable del tratamiento otorga autorización general al Encargado del tratamiento para contratar Subencargados del tratamiento en la ejecución de los Servicios. La lista de Subencargados del tratamiento vigentes se mantiene en el Anexo 2 y se actualiza periódicamente.

7.2 Notificación de cambios

El Encargado del tratamiento informará al Responsable del tratamiento de cualquier cambio previsto en la lista de Subencargados del tratamiento (incorporación o sustitución) con al menos 30 días de antelación, dando al Responsable del tratamiento la oportunidad de oponerse por motivos razonables. Si el Responsable del tratamiento se opone y las Partes no alcanzan un acuerdo en un plazo de 30 días, el Responsable del tratamiento podrá resolver la parte afectada de los Servicios por conveniencia.

7.3 Obligaciones en cascada

El Encargado del tratamiento impondrá a cada Subencargado del tratamiento, mediante contrato, las mismas obligaciones de protección de datos establecidas en este DPA, y seguirá siendo plenamente responsable ante el Responsable del tratamiento por el cumplimiento de las obligaciones de cada Subencargado del tratamiento.

8. Transferencias internacionales de datos

8.1 Alojamiento principal

El Encargado del tratamiento aloja los Servicios en la Unión Europea y trata los Datos Personales principalmente dentro de la UE/EEE. Algunos Subencargados del tratamiento autorizados (por ejemplo, determinados socios de adquirencia de pagos) están ubicados fuera del EEE; cuando así sea, el Encargado del tratamiento garantiza que la transferencia está protegida por una decisión de adecuación o por Cláusulas Contractuales Tipo conforme a lo establecido en la Sección 8.2, e identifica a los Subencargados del tratamiento pertinentes en el Anexo 2.

8.2 Transferencias a Subencargados del tratamiento

Cuando un Subencargado del tratamiento esté ubicado fuera de la UE/EEE, el Encargado del tratamiento garantiza que las transferencias están amparadas por una decisión de adecuación conforme al artículo 45 del GDPR, o por Cláusulas Contractuales Tipo adoptadas por la Comisión Europea (Módulo 2: responsable a encargado o Módulo 3: encargado a encargado, según proceda), o por otro mecanismo de transferencia válido en virtud del Capítulo V del GDPR.

8.3 Transferencias ulteriores

Shopify actúa por sí mismo como responsable independiente del tratamiento respecto a los datos de clientes que el Responsable del tratamiento ha introducido en su tienda Shopify. La recepción de dichos datos por parte del Encargado del tratamiento procedentes de Shopify, y la devolución de los datos de pedidos creados en Shopify a Shopify, están cubiertas por las propias condiciones de protección de datos de Shopify con el Comerciante y no constituyen transferencias ulteriores en virtud de este DPA.

9. Conservación y supresión

El Encargado del tratamiento conserva los Datos Personales durante los siguientes períodos:

  • Datos de sesiones activas (sesiones de pago en curso que no han finalizado): suprimidos 30 días después del vencimiento de la sesión;
  • Datos de pedidos completados (sesiones que dieron lugar a un pedido en Shopify): conservados durante 7 años para cumplir los requisitos legales de conservación en materia fiscal y contable en Estonia y en la mayoría de las jurisdicciones de la UE, y posteriormente suprimidos;
  • Tokens de pago y registros de autorización: conservados durante el período de conservación del método de pago subyacente (habitualmente 7 años);
  • Datos de registro (registros de solicitudes, registros de entrega de webhooks): conservados durante 90 días y posteriormente eliminados por rotación;
  • Registros de auditoría / eventos de seguridad: conservados durante 1 año.

A la resolución de los Servicios, el Encargado del tratamiento suprimirá o devolverá los Datos Personales conforme a lo establecido en la Sección 5.7 anterior, con sujeción a los períodos de conservación exigidos por la legislación aplicable.

10. Notificación de brechas de datos

El Encargado del tratamiento notificará al Responsable del tratamiento, sin dilación indebida y, en todo caso, en un plazo de 48 horas desde que tenga conocimiento de ello, cualquier brecha de seguridad de los Datos Personales que afecte a los datos del Responsable del tratamiento. La notificación contendrá, como mínimo, la información exigida por el artículo 33(3) del GDPR en la medida en que esté disponible, y se actualizará a medida que se conozca información adicional.

11. Responsabilidad

La responsabilidad de las Partes en virtud de este DPA está sujeta a las disposiciones sobre responsabilidad de las Condiciones de Servicio, con la excepción de que ninguna limitación de responsabilidad recogida en las Condiciones de Servicio excluirá ni limitará la responsabilidad por cualquier cuestión respecto a la cual dicha exclusión o limitación fuera ilícita en virtud de la legislación aplicable en materia de protección de datos.

12. Legislación aplicable y jurisdicción

Este DPA se rige por la legislación de Estonia, sin consideración de sus normas sobre conflicto de leyes. Las Partes se someten a la jurisdicción exclusiva de los tribunales del condado de Harju, Estonia, para cualquier litigio derivado de o relacionado con este DPA, con sujeción a cualquier disposición legal imperativa en materia de jurisdicción sobre litigios relativos a consumidores o a interesados.

13. Vigencia y resolución

Este DPA entra en vigor en la fecha en que el Responsable del tratamiento instale o utilice por primera vez los Servicios y se extingue automáticamente a la resolución de las Condiciones de Servicio. Las cláusulas que por su naturaleza deban sobrevivir a la resolución (incluidas las Secciones 5.7, 9, 10 y 12) continuarán en vigor.

14. Acuerdo íntegro

Este DPA, junto con las Condiciones de Servicio en https://costplus.io/shopify-app-terms.html y la Política de Privacidad en https://costplus.io/privacy-policy.html, constituye el acuerdo íntegro entre las Partes con respecto al objeto del mismo y reemplaza a todos los entendimientos previos.

Anexo 1 — Medidas técnicas y organizativas

El Encargado del tratamiento aplica las siguientes medidas técnicas y organizativas para proteger los Datos Personales:

Cifrado

  • Todos los datos en tránsito se cifran mediante TLS 1.2 o superior, con certificados gestionados a través de Let's Encrypt y rotación automática.
  • Los tokens de acceso a la API de Shopify y las credenciales de proveedores de pago de terceros se cifran en reposo mediante AES-256-GCM con claves de capa de aplicación gestionadas a través de HashiCorp Vault Transit o un sistema de gestión de claves equivalente.
  • Las copias de seguridad de la base de datos se cifran antes de su transferencia al almacenamiento externo.

Control de acceso

  • El acceso al sistema de producción está restringido a un conjunto definido de personal autorizado con cuentas individualmente identificables, autenticación basada en clave SSH para el acceso a servidores y autenticación multifactor respaldada por hardware o TOTP para las interfaces administrativas.
  • Las contraseñas de los comerciantes a nivel de aplicación se almacenan mediante hash con Argon2id con parámetros de memoria intensiva.
  • El acceso a los Datos Personales queda registrado y se conserva de conformidad con la Sección 9 del DPA.

Infraestructura

  • Los Servicios se alojan en centros de datos de nivel Tier-III o equivalente ubicados dentro de la Unión Europea.
  • Separación lógica entre los entornos de prueba y producción; no se utilizan datos de producción en entornos de desarrollo o prueba.
  • Aplicación periódica de parches en sistemas operativos, entornos de ejecución y dependencias de terceros.

Personal

  • El personal con acceso a Datos Personales está sujeto a obligaciones escritas de confidencialidad que perviven tras la finalización de su relación laboral.
  • Formación de incorporación y periódica en concienciación sobre seguridad para todo el personal con acceso a Datos Personales o a la infraestructura de producción.

Respuesta a incidentes

  • Procedimiento documentado de respuesta a incidentes de seguridad que abarca la detección, contención, investigación, notificación (incluida la notificación al Responsable del tratamiento en un plazo de 48 horas conforme a la Sección 10) y revisión posterior al incidente.
  • Revisión trimestral de los procedimientos de respuesta a incidentes y de la información de contacto.

Prevención de pérdida de datos

  • Controles de acceso a nivel de aplicación delimitados por comerciante individual y sesión individual; ningún comerciante puede acceder a los datos de otro comerciante a través de la API.
  • Registro de auditoría de todos los accesos a Datos Personales, conservado según la Sección 9.
  • Pruebas periódicas de restauración de copias de seguridad cifradas.

Desarrollo seguro

  • Código fuente alojado en un repositorio privado con revisión obligatoria de todos los cambios antes de la fusión.
  • Análisis automatizado de dependencias y actualizaciones periódicas de bibliotecas de terceros.
  • Pruebas de penetración al menos una vez al año cuando los Servicios alcancen disponibilidad general.

Anexo 2 — Subencargados autorizados

En la fecha de última actualización del presente DPA, los siguientes Subencargados están autorizados a tratar Datos Personales en nombre del Responsable:

Subencargado del tratamientoFinalidadUbicaciónMecanismo de transferencia
OVH SASAlojamiento de infraestructura en la nube (cómputo, almacenamiento, red) y copias de seguridad cifradas fuera de las instalacionesFrancia (UE)Intra-EEA
SMTP2GOCorreos electrónicos transaccionales y de notificaciónEUIntra-EEA
Infraestructura de pagos de Cost+ (Costplus OÜ)Tokenización de pagos, autorización, captura, reembolsoEUIntra-EEA
Ginger PaymentsPasarela de pago / enrutamiento de transaccionesPaíses Bajos (UE)Intra-EEA
FinteqHubPasarela de pago / orquestaciónChipre y Lituania (UE)Intra-EEA
ComplyPayProveedor de Banca como Servicio (BaaS)Dinamarca (UE)Intra-EEA
RapydAdquisición / procesamiento de pagosUE / Reino UnidoIntra-EEA; transferencias al Reino Unido bajo la decisión de adecuación UE–RU
SHIFT4Adquisición / procesamiento de pagosUE / Reino UnidoIntra-EEA; transferencias al Reino Unido bajo la decisión de adecuación UE–RU
ElavonAdquisición / procesamiento de pagosUE / Reino UnidoIntra-EEA; transferencias al Reino Unido bajo la decisión de adecuación UE–RU
ClearhausAdquisición / procesamiento de pagosDinamarca (UE)Intra-EEA
PayneticsAdquisición de pagos / emisión de dinero electrónicoBulgaria (UE)Intra-EEA
DiditVerificación de identidad, cumplimiento KYB / KYC / AMLEstados Unidos / España (UE)Cláusulas Contractuales Estándar (Art. 46 RGPD)

El Encargado mantendrá una versión actualizada de esta lista en https://costplus.io/dpa/sub-processors y notificará al Responsable cualquier incorporación o sustitución de conformidad con la Sección 7.2 del presente DPA.

Fin del Acuerdo de Tratamiento de Datos.