Preamble

This Acceptable Use Policy ("AUP") defines the binding rules of conduct, technical hygiene and prohibitions applicable to every Tenant and Authorized User of the affiliatracker platform. It applies cumulatively with the ToS v2.0 and the DPA (Annex II), and prevails in case of conflict regarding security, traffic integrity, anti-fraud and anti-spam matters.

Chapters I — VI · Skeleton (informational)

The AUP develops, in the binding Spanish version:

• Chapter I — Object, Legal Nature & Scope. Direct binding for the Tenant; reflex binding for Publishers, Advertisers and Authorized Users whose conduct the Tenant must control.
• Chapter II — System Security & Integrity. Absolute inviolability of the multitenant environment: no unauthorised penetration testing / scanning, no logical isolation bypass, no malware / exploit injection, no abusive resource consumption, no scraping or derivative-service construction, mandatory technical hygiene.
• Chapter III — Affiliation Cloud Anti-fraud Regime. Open catalogue of prohibited fraudulent practices (cookie stuffing, click injection, bot traffic, attribution fraud, incentivised traffic without disclosure), Tenant governance duties, Operator anti-fraud reservation rights.
• Chapter IV — Marketing/Delivery Cloud Anti-spam. Zero tolerance, absolute prohibition of non-consented lists, prohibited content, quantitative sending-quality thresholds with automated suspension, mandatory list hygiene and global suppression rights, mandatory authentication protocols (SPF, DKIM, DMARC, BIMI where applicable).
• Chapter V — Consequences & Containment Protocol. Precautionary suspension regime, automated immediate suspension cases, immediate termination without compensation, cooperation with third parties and authorities, internal exclusion lists, reinforced KYC, pre-constituted evidentiary traceability.
• Chapter VI — Final Provisions. Integration with the contractual block, versioning, Spanish law and Valencia courts, binding Spanish language.

A Final Provision asserts the technical primacy of the AUP within the contractual block in matters of security, anti-fraud and anti-spam.

PREÁMBULO

El presente documento (en adelante, la "AUP", la "Política de Uso Aceptable" o la "Política") constituye el Anexo III de los Términos y Condiciones de Uso de la Plataforma affiliatracker en su versión 2.0 (en adelante, los "Términos" o el "Contrato"), titularidad de DATAGROWT SYSTEMS, S.L. (en adelante, "DataGrowt", el "Operador" o el "Prestador del Servicio"), y se incorpora a estos por remisión expresa de la cláusula 14.7 del propio Contrato, conforme a la cual su cumplimiento íntegro constituye obligación esencial del Tenant.

La AUP desarrolla, de modo técnico y operativo, las prohibiciones, restricciones y deberes de conducta que el Tenant —y, de forma refleja, sus Usuarios Autorizados, sus Publishers y sus Advertisers— deben observar en el uso material de la Plataforma, con la finalidad estructural de:

(i) Preservar la integridad técnica, la seguridad operativa y la estabilidad del entorno Software-as-a-Service multitenant;
(ii) Garantizar el aislamiento lógico entre Tenants y la confidencialidad cruzada;
(iii) Prevenir el fraude publicitario y de tráfico en el módulo Affiliation Cloud;
(iv) Combatir el Spam, el phishing y las prácticas abusivas en el módulo Marketing/Delivery Cloud;
(v) Salvaguardar la reputación de las direcciones IP, los dominios de envío y los identificadores técnicos del Operador;
(vi) Asegurar el cumplimiento por el Tenant de la normativa española y europea aplicable (RGPD, LOPDGDD, LSSI-CE, AI Act, normativa sectorial publicitaria) en su esfera operativa propia.

La aceptación del Contrato principal por el Tenant —por click-wrap, browse-wrap, ejecución del Servicio o por cualquier otro medio admitido en Derecho— supone la aceptación íntegra, expresa, inequívoca e irrevocable de la presente AUP, sin necesidad de firma adicional, conforme a los principios de equivalencia funcional admitidos en la Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza, y al Reglamento (UE) 910/2014 (eIDAS).

En caso de contradicción entre el ToS y la presente AUP en materias estricta y específicamente referidas a usos prohibidos, umbrales técnicos de envío, protocolo de contención técnica o restricciones operativas, prevalecerá el contenido de la presente AUP por su carácter de norma técnica especializada. En el resto de materias prevalecerá el ToS y, en lo relativo a protección de datos personales, el DPA (Anexo II).

CAPÍTULO I. OBJETO, NATURALEZA JURÍDICA Y ÁMBITO DE APLICACIÓN

Cláusula 1. Objeto

1.1. La presente Política tiene por objeto definir, con rango contractual vinculante, las reglas técnicas, de seguridad, de calidad y de conducta que el Tenant —y, por extensión, sus Usuarios Autorizados, Publishers y Advertisers en los términos que se desarrollan en la cláusula 3— se obliga a observar en el uso material de la Plataforma affiliatracker y de cada uno de sus módulos (CRM Cloud, Affiliation Cloud, Marketing/Delivery Cloud, Lead Gen Cloud y la unidad transversal Agentes/Cerebro).

1.2. Su finalidad esencial es proteger la integridad técnica, la seguridad operativa, la reputación de los activos digitales del Operador, la calidad del Servicio prestado al conjunto de Tenants y el cumplimiento normativo del ecosistema, mediante un catálogo tasado, ejemplificativo y abierto de conductas prohibidas, restringidas o sujetas a umbrales técnicos.

1.3. La presente AUP no sustituye, modifica ni atenúa las obligaciones generales asumidas por el Tenant en el Contrato principal, en el DPA (Anexo II) o en la Política de Privacidad (Anexo I), sino que las complementa, desarrolla y refuerza en el plano operativo, técnico y de seguridad.

Cláusula 2. Naturaleza jurídica y carácter vinculante

2.1. Norma técnica contractual. La AUP ostenta naturaleza de norma técnica de carácter contractual, integrada en el bloque obligacional del Contrato, cuya inobservancia constituye, conforme a la cláusula 14.7 del ToS, incumplimiento esencial susceptible de activar el régimen de suspensión cautelar y resolución unilateral inmediata previsto en el Capítulo VIII del ToS y desarrollado en el Capítulo V de la presente Política.

2.2. Sumisión incondicional. El acceso, la activación de una cuenta o el simple uso de la Plataforma —aun en régimen de prueba, demostración, trial gratuito, freemium, sandbox o entorno de evaluación— implica la sumisión incondicional, automática y sin reservas del usuario a la totalidad de las normas técnicas contenidas en este documento.

2.3. Carácter unilateral instructivo. La presente Política se concibe como instrucción técnica unilateral del Operador en su condición de titular de la infraestructura, sin que su contenido deba ser objeto de negociación particularizada con cada Tenant. El Operador se reserva el derecho a actualizarla razonablemente conforme al procedimiento de la cláusula 35 del ToS para adaptarla a la evolución del estado del arte, a la jurisprudencia, a los pronunciamientos de la AEPD, del EDPB o de la Comisión Europea, o a la aparición de nuevas amenazas técnicas o de fraude.

2.4. Interpretación finalista pro-Operador. Cualquier duda interpretativa sobre el alcance de una restricción técnica o de un umbral cuantitativo se resolverá conforme al principio de protección máxima de la integridad del Servicio, de la seguridad multitenant y de la reputación de los activos digitales del Operador, en línea con el principio de "defense in depth" propio del estado del arte de la ciberseguridad.

Cláusula 3. Ámbito subjetivo — Vinculación directa y vinculación refleja

3.1. Vinculación directa del Tenant. Quedan vinculados de modo directo, principal y solidario por la presente AUP:

• (a) El Tenant, en su condición de titular contractual de la cuenta y de Responsable del Tratamiento;
• (b) La totalidad de Usuarios Autorizados a los que el Tenant haya conferido credenciales de acceso, con independencia de su rol funcional (administrador, operador, analista, comercial, integrador técnico, manager de campaña, etc.);
• (c) Cualesquiera contratistas, asesores externos, consultores, integradores tecnológicos o partners técnicos que el Tenant habilite para operar en su nombre dentro de su espacio lógico.

Las acciones, omisiones, configuraciones e incumplimientos de los sujetos enumerados se imputan íntegramente al Tenant como acto propio, sin posibilidad de invocar frente al Operador la conducta independiente de tales sujetos como causa de exoneración, mitigación o reparto de responsabilidad.

3.2. Vinculación refleja de Publishers y Advertisers. Los Publishers y Advertisers que accedan al entorno técnico de la Plataforma mediante credenciales subordinadas generadas por el Tenant (perfiles definidos en la cláusula 11.2 del ToS) quedan vinculados de forma refleja, indirecta y derivada a las normas técnicas de la presente AUP en cuanto a:

• (a) Las restricciones de seguridad e integridad del Capítulo II;
• (b) Las prohibiciones de fraude de tráfico del Capítulo III;
• (c) Las prohibiciones antispam y de contenido del Capítulo IV en lo que resulte aplicable a su perfil operativo.

El Tenant es único y exclusivo responsable ante el Operador de:

• (i) Trasladar contractualmente las obligaciones materiales de la presente AUP a sus Publishers y Advertisers mediante los acuerdos bilaterales correspondientes (términos de programa de afiliación, acuerdos con anunciantes, condiciones de campaña);
• (ii) Vigilar diligentemente su cumplimiento y reaccionar contra las desviaciones detectadas;
• (iii) Asumir frente al Operador las consecuencias de cualquier incumplimiento ejecutado materialmente por un Publisher o Advertiser bajo su esfera de control, en virtud del principio culpa in eligendo y culpa in vigilando.

3.3. Exclusión expresa de relación contractual triangular. Bajo ningún concepto se entenderá que la vinculación refleja de Publishers o Advertisers genera relación contractual directa alguna entre dichos terceros y el Operador. La relación contractual del Operador es exclusivamente con el Tenant, conforme a la cláusula 11.2.(b) y (c) del ToS.

Cláusula 4. Ámbito material y objetivo

4.1. Ámbito material. La AUP se aplica a la totalidad del uso material de la Plataforma, incluyendo —sin carácter limitativo—:

• (a) El acceso a paneles, interfaces gráficas, dashboards y consolas administrativas;
• (b) La invocación de APIs, endpoints, webhooks, postbacks y pixels de tracking;
• (c) La carga, importación, sincronización, modificación, exportación o eliminación de Datos del Tenant;
• (d) La configuración de campañas, workflows, secuencias, formularios, landings y creatividades;
• (e) La invocación de los Agentes/Cerebro y la Validación Consciente de Outputs IA;
• (f) El envío de comunicaciones electrónicas a través del módulo Marketing/Delivery Cloud;
• (g) La gestión de programas de afiliación y de tracking de conversiones en Affiliation Cloud;
• (h) Las integraciones nativas o vía API con terceros (ESPs, CDPs, trackers, plataformas de pago, redes publicitarias, MTAs externos).

4.2. Ámbito territorial. La presente Política se aplica con independencia del territorio físico desde el que se acceda al Servicio, alcanzando a todo uso material de la Plataforma desde cualquier punto geográfico, sin perjuicio de la sumisión a la jurisdicción y a la ley aplicable definidas en el Capítulo X del ToS.

4.3. Ámbito temporal. La AUP se aplica desde el momento de la activación de la cuenta —incluyendo la fase de trial, demo o evaluación— hasta la extinción efectiva de la relación contractual y de la migración o supresión de los Datos del Tenant conforme al protocolo de cesación regulado en el Contrato principal.

CAPÍTULO II. RESTRICCIONES DE SEGURIDAD E INTEGRIDAD DEL SISTEMA

Cláusula 5. Principio general de inviolabilidad técnica del entorno multitenant

5.1. La Plataforma constituye una infraestructura técnica crítica compartida entre múltiples Tenants en arquitectura multitenant, cuya integridad, confidencialidad, disponibilidad y resiliencia constituyen presupuestos esenciales del Servicio. Toda conducta —activa u omisiva— que comprometa, intente comprometer o pueda razonablemente comprometer dicha integridad, queda terminantemente prohibida y será calificada, a todos los efectos contractuales, como incumplimiento esencial cualificado.

5.2. El Tenant reconoce que la Plataforma se diseña conforme al estado del arte en ciberseguridad, aplicando los principios de mínimo privilegio, segregación lógica por tenant, defense in depth, zero trust en componentes críticos, cifrado en tránsito y en reposo, monitorización continua y trazabilidad reforzada, y se obliga a no realizar acto alguno que persiga, directa o indirectamente, eludir, debilitar o reconfigurar dichos mecanismos.

Cláusula 6. Prohibición absoluta de pruebas de intrusión, pentesting y escaneo no autorizado

6.1. Prohibición taxativa. Queda terminantemente prohibido, sin necesidad de calificación adicional, que el Tenant, sus Usuarios Autorizados o cualquier tercero que actúe por su cuenta o bajo su dirección, realicen, intenten realizar, ordenen, faciliten o consientan, sin autorización previa, expresa, escrita, específica e individualizada del Operador —emitida por la dirección legal@affiliatracker.com— cualquiera de las siguientes conductas:

• (a) Escaneo de vulnerabilidades, automatizado o manual, mediante herramientas tales como Nessus, Qualys, OpenVAS, Burp Suite, Acunetix, Nikto, Nmap, Masscan o equivalentes, sobre cualquier activo técnico del Operador, sus dominios, subdominios, rangos de IP, puertos abiertos, APIs o interfaces expuestas;
• (b) Pruebas de penetración (penetration testing, red teaming, blue teaming, purple teaming, adversary emulation), en cualquiera de sus modalidades (black box, gray box, white box);
• (c) Fuzzing de APIs, endpoints, parámetros de entrada, headers HTTP, cookies o cualesquiera mecanismos de entrada de datos;
• (d) Ataques o pruebas de denegación de servicio distribuida o no distribuida (DDoS, DoS, slowloris, amplification attacks, resource exhaustion, connection flooding);
• (e) Ingeniería social dirigida a empleados, contratistas, soporte técnico, partners o ingenieros del Operador, incluyendo phishing, vishing, smishing o pretexting;
• (f) Brute force, credential stuffing, password spraying o ataques de diccionario sobre cualquier mecanismo de autenticación;
• (g) Enumeración de cuentas, recursos, identificadores internos, IDs de Tenant, IDs de campaña o cualesquiera artefactos lógicos del entorno;
• (h) Captura de tráfico (sniffing) en redes del Operador o entre el cliente y el Servicio cuando ello implique elusión del cifrado, ataques man-in-the-middle o degradación de protocolos de seguridad;
• (i) Cualquier modalidad de prueba de seguridad no autorizada, aun cuando se realice con finalidades académicas, de investigación, divulgativas o de bug bounty informal.

6.2. Programa de divulgación responsable. El Operador podrá habilitar, de forma opcional y sin obligación, un programa formal de divulgación responsable de vulnerabilidades (responsible disclosure / bug bounty) cuyos términos específicos, alcance, activos elegibles, exclusiones, mecanismos de reporte y régimen de recompensas (si las hubiera) se publicarán, en su caso, en un documento separado. Únicamente la observancia estricta de dicho programa, en sus términos publicados y previo registro formal, exime al notificante de las prohibiciones del apartado 6.1.

6.3. Régimen de excepción para auditorías legítimas del Tenant. Si el Tenant requiriera, por razones de cumplimiento normativo propio (ENS, ISO 27001, SOC 2, PCI-DSS, due diligence de cliente final), realizar un ejercicio de auditoría de seguridad que incluyera técnicas susceptibles de afectar al entorno del Operador, deberá solicitar autorización previa, escrita y específica con una antelación mínima de treinta (30) días naturales, indicando: (i) alcance técnico exacto; (ii) ventana temporal propuesta; (iii) identidad y certificaciones del equipo auditor; (iv) IPs de origen; (v) controles de contención previstos. La autorización del Operador, si se concede, podrá quedar condicionada a la suscripción de un Letter of Authorization específico, a la coordinación con su equipo de seguridad, a la limitación a entornos sandbox y a la asunción por el Tenant de costes adicionales de monitorización.

6.4. Consecuencias jurídicas reforzadas. La realización no autorizada de cualquiera de las conductas descritas en el apartado 6.1 podrá, además de constituir incumplimiento esencial del Contrato, dar lugar a la interposición de denuncias o querellas penales por presuntos delitos de descubrimiento y revelación de secretos (artículos 197 y siguientes del Código Penal), daños informáticos (artículo 264 del Código Penal), acceso ilegal a sistemas informáticos (artículo 197 bis del Código Penal), interceptación de transmisiones (artículo 197 ter del Código Penal) o daños a datos o sistemas (artículo 264 bis del Código Penal), así como a las acciones civiles de reclamación de daños y perjuicios procedentes.

Cláusula 7. Prohibición de elusión del aislamiento lógico multitenant y de la row-level security

7.1. Inviolabilidad de la frontera lógica entre Tenants. El Tenant reconoce que la Plataforma implementa, por diseño, mecanismos técnicos de segregación lógica estricta entre los espacios de los distintos Tenants, incluyendo —sin carácter limitativo— Row-Level Security (RLS) a nivel de motor de base de datos, namespacing de identificadores, scoping de tokens y claims OAuth/JWT por tenant_id, segregación de almacenamiento de objetos, segregación de colas, queues y workers, y mecanismos de control de acceso basado en políticas (PBAC) reforzado.

7.2. Prohibiciones específicas. Queda absolutamente prohibido:

• (a) Intentar acceder, leer, enumerar, inferir, listar, copiar, exfiltrar, modificar, sobrescribir, eliminar o de cualquier forma manipular datos, recursos, identificadores, métricas, configuraciones, logs o cualesquiera artefactos lógicos pertenecientes a un Tenant distinto del propio;
• (b) Realizar manipulación de parámetros (parameter tampering), path traversal, IDOR (Insecure Direct Object Reference), modificación de cabeceras o de identificadores en peticiones API, alteración de claims de tokens, manipulación de cookies de sesión o cualquier técnica equivalente orientada a acceder a recursos no autorizados;
• (c) Realizar inyecciones de cualquier naturaleza dirigidas a comprometer la segregación: SQL injection, NoSQL injection, LDAP injection, OS command injection, server-side template injection, server-side request forgery (SSRF), XPath injection, XML external entity (XXE), inyección en colas de mensajería o en event buses;
• (d) Intentar evadir, eludir, debilitar, desactivar, sortear, bypassing o reconfigurar, por cualquier técnica, las políticas RLS, los guards de aplicación, los middlewares de autorización, los interceptors de API o los audit hooks del sistema;
• (e) Realizar ataques de canal lateral (side-channel attacks), análisis de tiempos (timing attacks), análisis de tamaño de respuesta o cualesquiera técnicas inferenciales destinadas a deducir la existencia o el contenido de recursos de otros Tenants;
• (f) Realizar ataques de confusión de roles (confused deputy) o de escalada de privilegios (vertical u horizontal) dentro del propio espacio o entre espacios;
• (g) Realizar abuso de funcionalidades multi-cuenta (creación masiva de Tenants instrumentales, uso de cuentas trial en cascada, account farming) con finalidad de reconocimiento, fraude o elusión de cuotas técnicas.

7.3. Indicios fundados y carga de la prueba. Bastará la concurrencia de indicios técnicos fundados —evidenciados, por ejemplo, en logs de aplicación, sistemas WAF, IDS/IPS, EDR, monitorización SIEM o análisis forense interno— para activar el protocolo de contención del Capítulo V, sin que ello exija acreditación judicial previa ni resolución administrativa firme. La carga de demostrar la inocuidad de la conducta detectada corresponderá al Tenant, en correspondencia con el principio de quien crea el riesgo controla la prueba.

Cláusula 8. Prohibición de inyección de malware, exploits, payloads maliciosos y código hostil

8.1. Prohibición taxativa. Queda estrictamente prohibido introducir, almacenar, ejecutar, transmitir, distribuir, intentar distribuir, vincular o de cualquier modo incorporar en la Plataforma, en sus módulos, en sus interfaces, en sus almacenes o en las comunicaciones que canalice:

• (a) Software malicioso de cualquier naturaleza: virus, gusanos, troyanos, rootkits, bootkits, backdoors, spyware, adware, keyloggers, ransomware, wipers, cryptojackers, banking trojans, RAT (Remote Access Trojans), info-stealers;
• (b) Exploits dirigidos a vulnerabilidades del Servicio, de sus dependencias, de los navegadores de los destinatarios, de los clientes de correo o de cualquier sistema receptor;
• (c) Payloads maliciosos entregados a través de campañas de Marketing/Delivery Cloud, formularios de Lead Gen Cloud, creatividades de Affiliation Cloud o postbacks de tracking;
• (d) Scripts maliciosos insertados en landing pages, formularios, plantillas de email, creatividades HTML o pixels de tracking: cross-site scripting (XSS reflejado, almacenado o basado en DOM), cross-site request forgery (CSRF), clickjacking, iframe injection, form jacking o cualquier técnica equivalente;
• (e) Cargas ofuscadas mediante codificación, cifrado, packers, técnicas anti-análisis o steganografía destinadas a evadir la detección por motores antimalware o por el equipo de seguridad del Operador;
• (f) Enlaces a recursos externos que distribuyan, alojen o redirijan a contenidos de las categorías anteriores, incluyendo cadenas de redirección, acortadores instrumentales con finalidad evasiva y cloaking dinámico;
• (g) Artefactos dual-use (herramientas legítimas utilizadas con finalidad maliciosa: frameworks de pruebas de seguridad ofensivas como Metasploit, Cobalt Strike, Sliver, Mythic, Empire, etc., cuando se desplieguen sin autorización contra activos del Operador o de terceros).

8.2. Detección automatizada y reserva técnica. El Operador implementa controles automatizados de detección (motores antimalware, URL reputation scanning, attachment sandboxing, análisis de contenido HTML, análisis de URLs en tiempo de envío, detección heurística de patrones de phishing) y se reserva el derecho a bloquear, poner en cuarentena o eliminar unilateralmente cualquier contenido, envío, archivo, landing o creatividad que active dichos controles, sin que ello genere derecho indemnizatorio alguno a favor del Tenant ni constituya renuncia a la imputación íntegra del incidente al propio Tenant.

8.3. Notificación obligatoria de hallazgos involuntarios. Si el Tenant detectare que, por error involuntario o por la actuación de un tercero, se ha introducido en la Plataforma cualquiera de los artefactos descritos en el apartado 8.1, vendrá obligado a notificar de inmediato al Operador (legal@affiliatracker.com y, en su caso, security@affiliatracker.com), siempre dentro de las veinticuatro (24) horas siguientes a su conocimiento, sin que ello le exonere de las responsabilidades subsiguientes pero atemperando, en su caso, el régimen sancionador contractual aplicable.

Cláusula 9. Prohibición de uso abusivo de recursos técnicos

9.1. Uso proporcionado. El Tenant se obliga a utilizar la Plataforma de forma razonable, proporcionada y conforme al estado del arte del sector, ajustándose a los límites técnicos del plan contratado y a las cuotas operativas razonables.

9.2. Conductas específicamente prohibidas. Queda prohibido:

• (a) Consumo desproporcionado de almacenamiento, cómputo, ancho de banda, queries a base de datos, llamadas a API o tokens de Agentes/Cerebro fuera de los límites del plan contratado o de cualquier fair use razonable;
• (b) Saturación intencionada de colas, workers, queues de envío, event buses o cualquier subsistema técnico del Operador;
• (c) Uso de la Plataforma como infraestructura de cómputo o almacenamiento genérico desligado de su finalidad funcional (uso como CDN, como file hosting, como backup genérico, como proxy abusivo);
• (d) Bucles automatizados infinitos, retry storms sin backoff razonable, integraciones mal diseñadas que generen cargas anómalas, o polling abusivo a APIs por encima de los límites publicados;
• (e) Generación intencionada de errores reiterados con finalidad de exploración del sistema o de reconocimiento de comportamiento interno;
• (f) Almacenamiento no funcional (carga de archivos sin propósito operativo, padding artificial de bases de datos para inflar contadores, simulación de actividad).

9.3. Rate limits y políticas de cuotas. El Operador podrá publicar y aplicar, mediante mecanismos técnicos (rate limiters, quotas, throttling, backpressure), límites cuantitativos a la frecuencia y volumen de uso, cuya elusión —mediante rotación de IPs, user-agents, tokens, cuentas instrumentales o cualesquiera otras técnicas— queda terminantemente prohibida.

Cláusula 10. Prohibición de scraping, extracción masiva y construcción de servicios derivados

10.1. Queda prohibido al Tenant —y a los terceros bajo su esfera de control— realizar:

• (a) Crawling o scraping masivo de las interfaces gráficas, paneles, documentación técnica accesible, endpoints internos no documentados o cualesquiera otros recursos del Operador;
• (b) Extracción sistemática de datos estructurales, esquemas, identificadores internos, listas de Tenants, métricas globales o cualesquiera artefactos pertenecientes al Operador;
• (c) Replicación funcional de la Plataforma o de cualquiera de sus módulos, ya sea por reverse engineering algorítmico, observación funcional sistemática, benchmarking destinado a clonación, o por cualquier otra técnica equivalente;
• (d) Construcción de servicios derivados, competidores o sustitutivos sobre la base de la observación del Servicio o del entrenamiento de modelos propios con datos extraídos de la Plataforma;
• (e) Publicación de comparativas técnicas no consentidas, benchmarks públicos, ingeniería inversa divulgada o estudios estructurales del Servicio sin autorización previa expresa.

10.2. La prohibición del apartado anterior se complementa y refuerza recíprocamente con la cláusula 14.5 y la cláusula 16.4 del ToS.

Cláusula 11. Higiene técnica obligatoria del Tenant

11.1. Mantenimiento de credenciales. El Tenant se obliga a mantener actualizados, vigentes y conformes con el estado del arte los siguientes elementos de su esfera de control:

• (a) Contraseñas robustas (mínimo doce caracteres, combinación de tipologías) con rotación razonable;
• (b) Autenticación multifactor (MFA) activa en todas las cuentas con privilegios elevados, conforme a la cláusula 14.2.(b) del ToS;
• (c) Tokens de API custodiados en gestores de secretos, jamás expuestos en repositorios públicos, logs de cliente, ficheros de configuración versionados sin cifrar, comunicaciones por canales inseguros (ticketing público, foros, redes sociales) o documentos compartidos sin control de acceso;
• (d) Revocación inmediata de credenciales de exempleados, excontratistas o exintegradores;
• (e) Segregación de funciones entre cuentas técnicas, cuentas humanas y cuentas de servicio.

11.2. Mantenimiento del stack del Tenant. El Tenant es responsable de la higiene de seguridad de su propio entorno técnico (estaciones de trabajo, dispositivos móviles, navegadores, redes corporativas, sistemas de correo, infraestructuras on-premise o cloud) desde el que accede a la Plataforma. Cualquier compromiso técnico del entorno del Tenant —malware en estación, phishing sobre un Usuario Autorizado, exposición de tokens, vulnerabilidad en integración propia— le será imputable íntegramente, sin posibilidad de trasladar consecuencias al Operador.

11.3. Notificación de incidentes propios. El Tenant comunicará al Operador, en el plazo máximo de veinticuatro (24) horas desde su conocimiento, cualquier incidente de seguridad que afecte —o pueda razonablemente afectar— a la Plataforma, conforme a la cláusula 14.2.(c) del ToS y, en lo aplicable a datos personales, a la cláusula 9 del DPA (Anexo II).

CAPÍTULO III. REGLAMENTO ESPECÍFICO CONTRA EL FRAUDE DE TRÁFICO — MÓDULO AFFILIATION CLOUD

Cláusula 12. Principio general de integridad del tráfico publicitario

12.1. La actividad de Lead Brokerage / CPL canalizada a través del módulo Affiliation Cloud descansa, como condición estructural de su utilidad y de su sostenibilidad, en la veracidad, autenticidad y trazabilidad de cada interacción, conversión, click, lead y postback generado dentro del programa del Tenant.

12.2. El Tenant —y, de forma refleja conforme a la cláusula 3.2, sus Publishers y Advertisers— se obliga a operar el módulo con integridad reforzada, absteniéndose de toda práctica que vicie, falsee, manipule, infle o degrade artificialmente las métricas, las conversiones o el tráfico orquestado.

12.3. Las prohibiciones contenidas en el presente Capítulo desarrollan, sin agotar, la prohibición general del apartado 15.8 del ToS, y constituyen su catálogo técnico de referencia.

Cláusula 13. Catálogo tasado y abierto de prácticas fraudulentas prohibidas

13.1. Fraude de generación artificial de tráfico y leads. Queda absolutamente prohibido:

• (a) Generación de fake leads mediante: formularios completados por bots, scripts automatizados, headless browsers (Puppeteer, Playwright, Selenium, etc. usados con finalidad fraudulenta), emuladores móviles, granjas de dispositivos virtuales, click-farms humanas remuneradas, crowd-sourcing fraudulento o servicios externos especializados en inflar conversiones;
• (b) Carga de leads sintéticos generados por modelos de lenguaje, datasets ficticios o catálogos comerciales de leads ya quemados;
• (c) Reciclaje de leads previamente vendidos, ya entregados o ya rechazados, presentados como nuevos a un Advertiser distinto;
• (d) Uso de datos personales inventados, robados, filtrados o intercambiados ilícitamente para construir registros que aparenten conversión auténtica;
• (e) Cualquier técnica de inflado artificial del volumen o de la calidad aparente de los leads entregados.

13.2. Manipulación del tracking y de las APIs. Queda absolutamente prohibido:

• (a) Cookie stuffing: inyección encubierta de cookies de afiliación en navegadores de usuarios que no han realizado ninguna acción comercial efectiva, mediante iframes invisibles, redirects forzados, JavaScript oculto o cualquier técnica equivalente;
• (b) Typosquatting: registro y uso de dominios visualmente confundibles con los del Advertiser, del Tenant o de terceros, para capturar tráfico erróneo y atribuirlo fraudulentamente a un programa;
• (c) URL hijacking, brand bidding no autorizado en buscadores, publicidad sobre marca del Advertiser sin licencia escrita, y suplantación de canales de marca;
• (d) Inyección de scripts en postbacks, manipulación de parámetros de callback (sid, clickid, transaction_id, amount, currency, status), suplantación de eventos de conversión, replay de postbacks legítimos antiguos, o fabricación de postbacks desde infraestructuras controladas por el Publisher;
• (e) Manipulación de APIs de tracking del Operador: peticiones falsificadas, alteración de cabeceras de origen, spoofing de IPs, spoofing de user-agent, modificación de marcas temporales o de identificadores de conversión;
• (f) Simulación fraudulenta de conversiones: pixel firing sin actividad económica subyacente, ejecución masiva de eventos sintéticos, coordinated bot conversions, manipulación de embudos para aparentar la culminación de una acción de pago, alta, descarga o suscripción que materialmente no se ha producido;
• (g) Atribución fraudulenta: manipulación de la ventana de atribución, last-click hijacking, robo de conversiones legítimas de otros canales o de tráfico orgánico del Advertiser;
• (h) Falsificación de geolocalización mediante VPNs, proxies residenciales o botnets distribuidas para hacer pasar tráfico de una geografía como originado en otra.

13.3. Conductas asociadas igualmente prohibidas. Quedan asimismo prohibidas, por su carácter instrumental al fraude:

• (a) Incentivized traffic (incentivación de leads mediante recompensa) cuando no esté expresamente autorizada por el Advertiser y declarada al Operador;
• (b) Misleading creatives: creatividades engañosas, falsas, no autorizadas por el Advertiser o que falseen las condiciones del producto;
• (c) Forced clicks, ventanas modales engañosas, falsos botones de cierre, pop-unders abusivos, malvertising;
• (d) Pre-pop o pre-fill fraudulento de formularios con datos no proporcionados conscientemente por el usuario final;
• (e) Re-attribution fraudulenta entre Publishers mediante intercambio de IDs;
• (f) Acuerdos colusorios entre dos o más Publishers para inflar artificialmente métricas o repartirse beneficios fraudulentos del programa.

13.4. Catálogo abierto. La enumeración del presente catálogo es no exhaustiva. Cualquier conducta análoga en gravedad o en lesividad que afecte a la integridad del tracking, la veracidad de los leads o la confianza del programa, se entenderá igualmente prohibida y producirá los mismos efectos contractuales.

Cláusula 14. Obligaciones específicas del Tenant en la gobernanza de su programa

14.1. Diligencia debida sobre Publishers. El Tenant se obliga a aplicar un régimen de Know Your Publisher (KYP) razonable que incluya, al menos:

• (a) Verificación de identidad del Publisher (persona física o jurídica, NIF/VAT, datos fiscales, datos de contacto);
• (b) Aprobación previa de los canales declarados por cada Publisher (dominios, handles, listas de email, traffic sources);
• (c) Aceptación contractual expresa por el Publisher de las prohibiciones del presente Capítulo y de las normas técnicas del programa;
• (d) Régimen de auditoría y suspensión del propio Tenant sobre sus Publishers;
• (e) Listas de exclusión (blacklists) de Publishers reincidentes o sancionados en programas previos.

14.2. Diligencia debida sobre Advertisers. El Tenant se obliga a verificar la legitimidad mercantil y normativa de los Advertisers cuyas ofertas comercialice a través del programa, absteniéndose de canalizar campañas de actividades prohibidas, no reguladas o gravemente lesivas (cláusula 18 de la presente AUP).

14.3. Calidad mínima del tráfico. El Tenant se obliga a mantener estándares razonables de calidad en el tráfico canalizado por su programa, vigilando indicadores tales como tasa de aprobación de leads, tasa de validación por el Advertiser, chargeback rate, ratio de reclamaciones por false positives, ratio de fraude reportado y métricas equivalentes.

14.4. Cooperación en investigaciones. El Tenant cooperará lealmente con el Operador en cualquier investigación de fraude que el Operador inicie de oficio o a instancia razonable de terceros (Advertisers afectados, autoridades de defensa del consumidor, plataformas publicitarias), facilitando logs internos, postbacks originales, IDs de transacción y demás información que conste en su esfera.

Cláusula 15. Sistema antifraude del Operador y reserva de medidas técnicas

15.1. El Operador podrá implementar —cuando así lo prevea el plan contratado, y siempre con naturaleza meramente asistencial— herramientas técnicas de detección de patrones anómalos, fingerprinting de dispositivos, análisis de IPs de riesgo, scoring automatizado de leads, detección de bots y filtrado de geolocalización inconsistente.

15.2. La existencia de estas herramientas no convierte al Operador en garante de la integridad del tráfico, no transmuta la naturaleza instrumental del Servicio en posición sustantiva del Operador, y no exonera al Tenant de su responsabilidad principal en la gobernanza diligente del programa.

15.3. El Operador se reserva el derecho a suspender cautelarmente, total o parcialmente, postbacks, conversiones, integraciones API o credenciales de Publishers concretos cuando concurran indicios fundados de fraude, conforme al Capítulo V de la presente AUP.

CAPÍTULO IV. REGLAMENTO ESPECÍFICO ANTISPAM Y CALIDAD DE LISTAS — MÓDULO MARKETING / DELIVERY CLOUD

Cláusula 16. Tolerancia cero al Spam y a la entrega de comunicaciones ilícitas

16.1. La protección de la reputación de las direcciones IP, dominios de envío, MTA shared pools y seedlists del Operador constituye un activo crítico cuya degradación supondría un daño desproporcionado e irreparable para el conjunto de Tenants. El Operador adopta, por ello, una política de tolerancia cero frente al Spam, al phishing, a la entrega de comunicaciones ilícitas y al uso de listas de baja calidad.

16.2. La presente cláusula desarrolla, en términos técnicos y cuantificables, la prohibición general del apartado 12.3 del ToS y de las cláusulas 14.6 y 15.2 del mismo, y prevalece, en caso de conflicto, sobre cualquier criterio comercial divergente.

Cláusula 17. Prohibición absoluta de listas no consentidas

17.1. Prohibiciones cualificadas. Queda terminantemente prohibido cargar, importar, sincronizar, procesar, enviar o de cualquier modo utilizar a través de Marketing/Delivery Cloud (y, en lo aplicable, de los demás módulos):

• (a) Listas compradas a data brokers, list vendors o intermediarios de datos, con independencia de la jurisdicción de origen y de las representaciones contractuales que dichos terceros formulen;
• (b) Listas alquiladas para campañas puntuales, co-registration sin consentimiento granular específico para la finalidad de envío del Tenant, intercambios de listas entre operadores, whitelabel mailings contratados a terceros que no acrediten consentimiento documentado;
• (c) Listas recolectadas mediante web scraping de redes sociales, plataformas profesionales, directorios públicos, whois, Yellow Pages digitales, foros, bases de datos abiertas o cualquier fuente accesible vía rastreo automatizado, cuando no concurra base de licitud específica para el envío comercial;
• (d) Bases de datos filtradas, sustraídas, obtenidas ilícitamente o procedentes de brechas de seguridad de terceros, con independencia de su accesibilidad fáctica en mercados secundarios o foros de la dark web;
• (e) Listas agregadas a partir de fuentes mixtas sin posibilidad de acreditar el consentimiento o la base jurídica para cada contacto individualizadamente;
• (f) Contactos ya dados de baja previamente —ya sea por el propio Tenant, por terceros cedentes, por listas globales de supresión del Operador, o por ejercicio de derechos RGPD del interesado—. La reactivación de contactos en supresión constituye incumplimiento esencial cualificado;
• (g) Listas obtenidas por adquisición de empresas, fusiones, escisiones o sucesiones empresariales sin haber verificado y, en su caso, renovado la base de licitud para la finalidad de marketing en cabeza del Tenant.

17.2. Carga de prueba documental. El Tenant deberá poder acreditar documentalmente, en cualquier momento y a primer requerimiento del Operador o de las autoridades de control, la base de licitud (consentimiento, relación contractual previa cualificada con productos/servicios similares, o cualquier otra base del artículo 6 RGPD) aplicable a cada contacto cargado, así como el cumplimiento de las obligaciones de información de los artículos 13 y 14 RGPD.

Cláusula 18. Contenidos prohibidos en las comunicaciones

18.1. Queda prohibido enviar a través del módulo, con independencia del carrier de salida y de la categoría jurídica del destinatario, comunicaciones cuyo contenido —textual, gráfico, enlazado o derivado— se refiera, promueva, facilite o se relacione con:

• (a) Phishing, spear phishing, whaling, credential harvesting, suplantación de marcas, instituciones financieras, organismos públicos, empresas tecnológicas, exchanges o cualesquiera entidades de confianza;
• (b) Ingeniería social dirigida a obtener credenciales, datos bancarios, OTPs, claves de recuperación, códigos MFA o información sensible del destinatario;
• (c) Apuestas, juego, casino, póker o lotería no reguladas por la autoridad competente del país del destinatario, o sin disponer de la licencia preceptiva (en España, autorización de la Dirección General de Ordenación del Juego);
• (d) Pornografía, contenido sexual explícito no solicitado, servicios de escort, contenido erótico no consentido por el destinatario, y, en términos absolutos, cualquier contenido sexual que afecte directa o indirectamente a menores, supuesto que se considerará causa de resolución unilateral inmediata y de comunicación a las autoridades penales competentes;
• (e) Esquemas piramidales, sistemas Ponzi, get rich quick, oportunidades de inversión engañosas, criptoactivos no regulados promocionados con prácticas prohibidas por la normativa CNMV, ICOs encubiertos, NFTs fraudulentos, rug pulls o cualesquiera ofertas financieras sin habilitación;
• (f) Medicamentos sujetos a receta médica comercializados fuera del canal farmacéutico autorizado, fármacos no autorizados en la UE, falsificaciones farmacéuticas, productos de dopaje, sustancias estupefacientes, psicotrópicos, research chemicals o sustancias sometidas a fiscalización internacional;
• (g) Productos sanitarios sin marcado CE, sin las autorizaciones de la AEMPS o equivalentes, terapias no acreditadas, pseudoterapias o productos con alegaciones de salud falsas o no autorizadas;
• (h) Armas, munición, explosivos, artículos de doble uso, productos sometidos a régimen de control de exportación, materiales radiactivos o precursores químicos;
• (i) Discurso de odio, contenidos discriminatorios por razón de raza, etnia, origen, religión, género, orientación sexual, identidad de género, discapacidad, edad o cualesquiera otras circunstancias protegidas;
• (j) Contenidos contrarios al orden público, a la dignidad humana, apología del terrorismo, glorificación de la violencia, contenido que incite a la autolesión, al suicidio o a trastornos alimentarios;
• (k) Productos falsificados, infractores de derechos de propiedad intelectual o industrial de terceros (réplicas, knock-offs, piracy software, contenidos audiovisuales sin licencia);
• (l) Cualquier otra actividad ilícita, fraudulenta o gravemente lesiva según las normas de la jurisdicción de origen, de tránsito o de destino de la comunicación.

18.2. La utilización de técnicas de evasión —ofuscación textual, sustitución por caracteres similares (homoglyphs), imágenes como medio único de transmisión del mensaje sin texto alternativo, redirecciones múltiples, cloaking, contenido condicional según user-agent o IP— para canalizar contenidos del catálogo anterior constituirá una agravante del incumplimiento.

Cláusula 19. Umbrales técnicos cuantitativos de calidad de envío — Régimen de suspensión automatizada

19.1. Carácter contractualmente vinculante de los umbrales. Los umbrales técnicos descritos en el presente artículo constituyen estándares mínimos de calidad de envío cuyo incumplimiento, una vez verificado por los sistemas de monitorización del Operador, activa automáticamente las medidas técnicas de contención descritas en el Capítulo V, sin necesidad de notificación previa ni de procedimiento contradictorio adicional al previsto en la propia notificación post-suspensión.

19.2. Umbral de tasa de rebote duro (Hard Bounce Rate). Se fija como umbral máximo aceptable una tasa de rebote duro del cinco por ciento (5%) computada sobre el volumen total enviado en una ventana móvil de los últimos siete (7) días naturales o, alternativamente, sobre las últimas mil (1.000) entregas procesadas, prevaleciendo el criterio que primero se active. La superación de este umbral indicará calidad insuficiente de la lista (direcciones inexistentes, dominios extintos, listas obsoletas o adquiridas), y desencadenará la suspensión del envío.

19.3. Umbral de tasa de quejas por Spam (Spam Complaint Rate). Se fija como umbral máximo aceptable una tasa de quejas por Spam del cero coma uno por ciento (0,1%), computada sobre el volumen entregado en idéntica ventana temporal o muestral. La tasa se calcula tomando como numerador las quejas formales recibidas a través de feedback loops de los principales proveedores de email (Gmail Postmaster, Microsoft SNDS/JMRP, Yahoo CFL, AOL FBL, Comcast, etc.) y como denominador el volumen efectivamente entregado.

19.4. Umbral de tasa de bajas inusual (Unsubscribe Rate). Una tasa de bajas superior al dos por ciento (2%) en una campaña singular o al uno por ciento (1%) sostenido en una ventana móvil de quince (15) días naturales se considerará anomalía indicativa de calidad insuficiente de la lista o de inadecuación del contenido, y activará controles reforzados de revisión técnica.

19.5. Umbrales de spamtraps y unknown user combinados. El registro de más de tres (3) impactos en spamtraps conocidas (sean pristine, recycled o typo traps) en una ventana de treinta (30) días naturales, así como una tasa de unknown user (550 5.1.1) superior al tres por ciento (3%), activará igualmente medidas de contención técnica reforzada.

19.6. Umbrales de engagement mínimo. Una tasa de apertura sostenida inferior al dos por ciento (2%) o una tasa de clic sostenida inferior al cero coma uno por ciento (0,1%) durante envíos sucesivos podrá ser indicio de listas frías, obsoletas o no consentidas, habilitando al Operador a requerir al Tenant un proceso de higiene técnica obligatoria (validación previa, double opt-in, supresión de inactivos prolongados).

19.7. Carácter dinámico de los umbrales. Los umbrales del presente artículo podrán ser actualizados unilateralmente por el Operador para adaptarlos al estado del arte del sector, a las políticas de los proveedores receptores, a los criterios de la Messaging, Malware and Mobile Anti-Abuse Working Group (M³AAWG), a las recomendaciones del RFC 5965 y normas técnicas posteriores, o a cualquier cambio normativo o reputacional relevante.

19.8. Política de warm-up obligatorio.* Para volúmenes significativos, el Tenant deberá observar la política de warm-up progresivo de envíos, IP/domain warming y gradual ramp-up* que el Operador publique en su documentación técnica vigente, absteniéndose de saltos volumétricos abruptos que comprometan la reputación de los activos compartidos.

Cláusula 20. Higiene obligatoria de listas y derecho de supresión global

20.1. Higiene activa de listas. El Tenant se obliga a:

• (a) Implementar mecanismos de doble opt-in cuando la base de licitud sea el consentimiento;
• (b) Realizar validación de calidad (sintaxis, MX, deliverability check) en el momento de la captación;
• (c) Eliminar direcciones inactivas prolongadas (sin apertura ni clic durante períodos superiores a seis [6] meses, salvo justificación operativa documentada);
• (d) Mantener listas de supresión específicas por Tenant para gestionar bajas, quejas y rebotes duros;
• (e) Respetar y propagar la lista de supresión global del Operador.

20.2. Inviolabilidad de las bajas. Las direcciones que hayan ejercitado el derecho de baja —por enlace de cancelación, respuesta a la comunicación, queja FBL, ejercicio formal de derechos RGPD o cualquier otro mecanismo idóneo— quedan definitivamente excluidas y no podrán ser reactivadas. Cualquier técnica de elusión (reimportación, modificación trivial de la dirección, regeneración mediante list-cleaning fraudulento) constituirá incumplimiento esencial cualificado.

20.3. Mecanismos de baja obligatorios. Cada comunicación deberá incluir, conforme a los artículos 21 y 22 LSSI-CE y al RFC 8058:

• (a) Enlace de baja directo, gratuito y operativo procesado en un plazo máximo de cuarenta y ocho (48) horas;
• (b) Cabeceras List-Unsubscribe y List-Unsubscribe-Post conforme al estado del arte;
• (c) Etiquetado "PUBLI" o equivalente cuando proceda;
• (d) Identificación clara del remitente y dirección física postal del Tenant.

Cláusula 21. Cumplimiento de protocolos técnicos de autenticación de email

21.1. El Tenant se obliga a:

• (a) Configurar correctamente los registros SPF (Sender Policy Framework) en los dominios de envío que utilice;
• (b) Habilitar DKIM (DomainKeys Identified Mail) con claves de longitud mínima de 2048 bits;
• (c) Publicar política DMARC (Domain-based Message Authentication, Reporting & Conformance), preferentemente con policy p=quarantine o p=reject en producción, y habilitar el reporting agregado;
• (d) Implementar, cuando proceda y según la criticidad, BIMI (Brand Indicators for Message Identification) y MTA-STS;
• (e) No utilizar dominios throwaway, recién registrados sin reputación o de mala reputación previa;
• (f) No realizar domain rotation abusiva destinada a evadir filtros antispam.

21.2. La negativa o incapacidad del Tenant a configurar correctamente los protocolos descritos podrá motivar la denegación de envíos desde su cuenta hasta su corrección.

CAPÍTULO V. CONSECUENCIAS DEL INCUMPLIMIENTO Y PROTOCOLO DE CONTENCIÓN

Cláusula 22. Principios rectores del régimen sancionador contractual

22.1. Proporcionalidad técnica. Las medidas de contención del Operador se aplicarán conforme al principio de proporcionalidad técnica atendiendo a la naturaleza, gravedad, persistencia y lesividad de la conducta detectada, así como al riesgo sistémico que represente para la integridad de la Plataforma, la reputación de los activos compartidos o los derechos de terceros.

22.2. Primacía de la contención sobre la deliberación. En supuestos de riesgo crítico, inminente o irreparable —ataque activo, fraude masivo, exfiltración de datos, degradación reputacional severa, vulneración del aislamiento multitenant, contenido manifiestamente ilícito en envío masivo— el Operador adoptará primero las medidas de contención técnica que minimicen el daño y, a posteriori, notificará al Tenant los hechos, las medidas adoptadas y las acciones requeridas para la regularización.

22.3. Reserva de acciones legales. Las medidas contractuales del presente Capítulo se entienden sin perjuicio del ejercicio de las acciones civiles, penales y administrativas que en cada caso correspondan al Operador, ni del derecho de comunicación a las autoridades competentes (AEPD, CNMC, Centro Criptológico Nacional, INCIBE-CERT, autoridades policiales o judiciales) cuando los hechos lo aconsejen.

Cláusula 23. Facultad de suspensión cautelar — Régimen general

23.1. Suspensión sin previo aviso. El Operador queda facultado, en su condición de titular de la infraestructura y guardián de la integridad del Servicio, para suspender cautelarmente y sin previo aviso, de modo total o parcial, el acceso del Tenant a la Plataforma, a uno o varios de sus módulos, a determinadas APIs, a postbacks, a credenciales específicas de Publishers/Advertisers, a integraciones con terceros o a cualesquiera funcionalidades, cuando concurra alguno de los siguientes supuestos:

• (a) Indicios fundados de incumplimiento de cualquier prohibición contenida en la presente AUP;
• (b) Activación automatizada de los umbrales técnicos de la cláusula 19;
• (c) Activación de sistemas de detección internos (WAF, IDS/IPS, EDR, SIEM, motores antimalware, motores antifraude) que reporten anomalías compatibles con incumplimiento;
• (d) Notificaciones razonables de terceros legitimados (autoridades, proveedores de email afectados, Advertisers reportando fraude, titulares de derechos lesionados, equipos de respuesta a incidentes);
• (e) Requerimiento de autoridad competente que ordene la suspensión;
• (f) Riesgo sistémico para la Plataforma, para la reputación de IPs/dominios compartidos, o para otros Tenants.

23.2. Modalidades de suspensión. La suspensión podrá adoptar, entre otras, las siguientes modalidades técnicas, individual o cumulativamente aplicadas:

• (a) Bloqueo total de la cuenta y de las sesiones activas;
• (b) Bloqueo selectivo de un módulo (p. ej., Marketing/Delivery) manteniendo otros;
• (c) Cuarentena de envíos (retención de las campañas en cola sin entrega efectiva);
• (d) Revocación de tokens de API o de credenciales específicas;
• (e) Bloqueo de IPs de origen desde las que se acceda al Servicio;
• (f) Suspensión de postbacks de Publishers concretos en Affiliation Cloud;
• (g) Aislamiento del tenant_id en una partición técnica restringida para análisis forense;
• (h) Bloqueo selectivo de creatividades, landings o contenidos específicos;
• (i) Forzado de procesos de validación adicional (validación de listas, double opt-in retroactivo, re-acreditación de bases de licitud).

23.3. Ausencia de derecho indemnizatorio del Tenant. La adopción de cualquiera de las medidas del presente artículo —cuando esté motivada en indicios fundados conforme a los apartados anteriores— no generará derecho indemnizatorio alguno a favor del Tenant, ni dará lugar a abono compensatorio, reembolso, descuento de cuotas o crédito a futuro, conforme a la cláusula 21 del ToS y al principio general de quien crea el riesgo soporta sus consecuencias.

23.4. Notificación post-suspensión y derecho de defensa contractual. Una vez aplicada la medida cautelar, el Operador notificará al Tenant —por los medios de contacto habituales y a la dirección legal designada en la Orden de Servicio— los hechos motivadores, las medidas adoptadas y la información requerida para iniciar el procedimiento de regularización. El Tenant dispondrá de un plazo razonable, no inferior a cinco (5) días hábiles, para presentar alegaciones, evidencias técnicas y un plan de subsanación, salvo que la naturaleza del incumplimiento exija plazos más breves o lo descarte por su irreversibilidad.

Cláusula 24. Activación automatizada — Casos de aplicación inmediata

24.1. La superación de los umbrales del Capítulo IV (Cláusula 19) y la detección de los siguientes patrones activarán medidas automatizadas e inmediatas de contención técnica, sin intervención humana previa, en los términos publicados en la documentación técnica del Operador:

• (a) Tasa de rebote duro superior al 5% → suspensión inmediata del envío hasta regularización;
• (b) Tasa de quejas por Spam superior al 0,1% → suspensión inmediata del envío y bloqueo cautelar de la lista activa;
• (c) Impactos en spamtraps conocidas → cuarentena de la cuenta y revisión forense de la procedencia de la lista;
• (d) Detección de carga masiva de leads con patrones de bot en Affiliation Cloud → suspensión de postbacks y bloqueo del Publisher implicado;
• (e) Detección de malware, exploits o payloads maliciosos → eliminación inmediata del artefacto y bloqueo de la cuenta;
• (f) Intento detectado de elusión del aislamiento multitenant → aislamiento técnico forzoso del Tenant y procedimiento sancionador agravado.

24.2. La activación automatizada operará como medida cautelar técnica reversible una vez acreditadas las acciones correctivas, sin perjuicio de las consecuencias contractuales subsiguientes (sanción, resolución, repetición).

Cláusula 25. Derecho de resolución unilateral inmediata sin indemnización

25.1. Resolución por incumplimiento esencial. Confirmado un incumplimiento esencial de la presente AUP —entendiéndose por tales, sin carácter limitativo, los descritos en los Capítulos II, III y IV—, el Operador queda facultado para resolver unilateralmente y de pleno derecho el Contrato principal y el conjunto de sus Anexos, conforme a la cláusula correspondiente del Capítulo VIII del ToS, mediante simple comunicación al Tenant con efectos inmediatos, sin necesidad de requerimiento previo ni interpelación judicial.

25.2. Pérdida de cuotas abonadas y sin derecho a reembolso. La resolución por causa imputable al Tenant acarreará:

• (a) La pérdida íntegra de las cuotas, importes y prepagos ya abonados, que el Operador hará suyos en concepto de cláusula penal compensatoria mínima de los daños sufridos, conforme al artículo 1.152 del Código Civil;
• (b) La inexigibilidad de reembolsos, descuentos o créditos de cualquier naturaleza;
• (c) El vencimiento anticipado de las cantidades pendientes de la suscripción contratada en su período actual;
• (d) La imposibilidad de invocar derecho de continuidad, grandfathering de planes, condiciones especiales pactadas o cualesquiera ventajas comerciales preexistentes.

25.3. Reclamación de daños y perjuicios — Cláusula penal cualificada por degradación reputacional. Adicionalmente al precio retenido, el Operador podrá reclamar al Tenant la totalidad de los daños y perjuicios causados, incluyendo —sin perjuicio de los techos generales de la cláusula 21 del ToS, que aquí se entienden no aplicables a la responsabilidad del Tenant frente al Operador—:

• (a) Daño emergente y lucro cesante efectivamente acreditados;
• (b) Costes técnicos de contención, análisis forense, mitigación y recuperación de la infraestructura afectada;
• (c) Costes de remediación reputacional sobre IPs y dominios degradados (procesos de delisting en blacklists como Spamhaus, SURBL, URIBL, Barracuda, Proofpoint; reingreso en whitelists; sustitución y warm-up de nuevos rangos; pérdida de reputación en Gmail Postmaster Tools, Microsoft SNDS, Yahoo y AOL);
• (d) Costes de respuesta a reclamaciones de terceros Tenants afectados por la degradación reputacional compartida;
• (e) Costes de defensa jurídica frente a procedimientos administrativos, judiciales o reclamaciones de terceros derivados o agravados por la conducta del Tenant;
• (f) Cuantificación pericial de la depreciación reputacional de la marca affiliatracker y de los activos digitales asociados, cuando proceda;
• (g) Indemnizaciones por pérdida de partners comerciales, contratos con ISPs, integraciones con proveedores estratégicos que se desvinculen como consecuencia directa o indirecta del incumplimiento.

Las Partes acuerdan que la presente cláusula penal es cumulativa con la indemnización efectiva de daños, conforme al artículo 1.152 párrafo segundo del Código Civil, dado el carácter cualificado del bien jurídico protegido (integridad técnica del Servicio y reputación del Operador frente a terceros).

25.4. Régimen reforzado en supuestos cualificados. Cuando el incumplimiento implique fraude doloso, envío de contenido manifiestamente ilícito (artículo 18.1.(d) y (e) en lo relativo a menores y a actividades delictivas), vulneración intencionada del aislamiento multitenant o ataque deliberado contra la infraestructura del Operador, las consecuencias del presente artículo se aplicarán en su grado máximo, sin posibilidad de atemperación contractual y con activación inmediata de las acciones penales correspondientes.

Cláusula 26. Régimen de cooperación con terceros legitimados y autoridades

26.1. Cooperación con proveedores afectados. El Operador podrá compartir, en lo estrictamente necesario y conforme al RGPD, información sobre incidentes con proveedores afectados (proveedores de email receptores, redes publicitarias, plataformas de pago, Advertisers reportantes) cuando ello sea preciso para la mitigación, contención o resolución del incidente, mediando interés legítimo del propio Operador (artículo 6.1.f RGPD) en la protección de su infraestructura y de terceros usuarios.

26.2. Comunicación a autoridades. En supuestos de presunto delito (fraude masivo, phishing, ransomware, distribución de contenidos ilícitos relativos a menores, ataques informáticos), el Operador podrá poner los hechos en conocimiento de las autoridades policiales, fiscales o judiciales competentes, conservando y aportando los logs, evidencias técnicas y elementos probatorios de que disponga.

26.3. Notificación a otras autoridades sectoriales. Cuando los hechos sean susceptibles de constituir infracción de la normativa de protección de datos, de competencia, de consumo o de juego no autorizado, el Operador podrá comunicarlos a la AEPD, la CNMC, las direcciones generales de consumo autonómicas, la Dirección General de Ordenación del Juego o las autoridades análogas competentes, sin perjuicio del derecho de defensa del Tenant en los procedimientos que en su caso se incoen.

26.4. Indemnidad del Operador frente a represalias. El Tenant se compromete a no iniciar acción alguna —contractual, extracontractual, reputacional o publicitaria— contra el Operador por las comunicaciones, cooperaciones y notificaciones realizadas de buena fe al amparo del presente artículo, asumiendo expresamente que tales actuaciones se enmarcan en el legítimo ejercicio de los derechos y deberes del Operador.

Cláusula 27. Reincidencia, listas internas de exclusión y KYC reforzado

27.1. Listas internas de exclusión. El Operador podrá mantener, con plena legitimidad amparada por su interés legítimo en la integridad del Servicio, listas internas de exclusión (denylists) de:

• (a) Tenants resueltos por incumplimiento esencial confirmado;
• (b) Personas físicas representantes de tales Tenants;
• (c) Dominios, IPs o rangos asociados a fraude reiterado;
• (d) Publishers/Advertisers reportados como fraudulentos.

27.2. Efectos sobre nuevas altas. El Operador podrá denegar la apertura de nuevas cuentas a entidades, personas o dominios incluidos en sus listas internas, así como aplicar procedimientos de Know Your Customer (KYC) reforzado —solicitando documentación adicional, certificaciones, garantías financieras o referencias comerciales— a tenores cuya actividad presente riesgo aumentado.

27.3. Período de exclusión. La exclusión de listas internas se mantendrá durante un período razonable y proporcionado a la gravedad del incumplimiento, no inferior a veinticuatro (24) meses en supuestos cualificados, sin perjuicio del derecho del afectado a solicitar su revisión motivada, que será resuelta por el Operador conforme a criterios de proporcionalidad y prevención de la reincidencia.

Cláusula 28. Trazabilidad probatoria y carácter de prueba preconstituida

28.1. La totalidad de los logs, registros técnicos, métricas, alerts de sistemas de detección, evidencias forenses y comunicaciones internas generados por el Operador en la detección, contención y gestión de un incumplimiento de la presente AUP, tendrán a todos los efectos contractuales y procesales la consideración de prueba preconstituida a favor del Operador, sin perjuicio de la libre valoración judicial.

28.2. El Tenant renuncia expresamente a impugnar genéricamente la validez probatoria de los logs y registros del Operador por su origen tecnológico unilateral, sin perjuicio de su derecho a aportar prueba en contrario en el caso concreto.

28.3. Los logs relevantes serán conservados por el Operador durante el plazo necesario para la finalidad probatoria, conforme a los plazos de conservación documentados en la Política de Privacidad (Anexo I) y en el DPA (Anexo II), y en cualquier caso por los plazos generales de prescripción de las acciones civiles y mercantiles aplicables.

CAPÍTULO VI. DISPOSICIONES FINALES

Cláusula 29. Integración con el bloque contractual

29.1. La presente AUP forma bloque inseparable con el ToS v2.0, el DPA (Anexo II), la Política de Privacidad (Anexo I), la Política de Cookies (Anexo VI) y demás Anexos del Contrato, y se interpretará armónicamente con ellos.

29.2. La declaración de nulidad de cualquier cláusula de la presente AUP no afectará a la validez de las restantes, conforme al principio de conservación del contrato (artículo 1.284 del Código Civil), procediendo su sustitución por la disposición legal aplicable o por la cláusula que, ajustándose al espíritu de la presente Política, mejor preserve el equilibrio contractual y la protección de los bienes jurídicos tutelados.

Cláusula 30. Actualización y versionado

30.1. La presente AUP podrá ser actualizada razonablemente por el Operador conforme a la cláusula 35 del ToS, comunicando al Tenant las modificaciones por los canales habituales con una antelación mínima de quince (15) días naturales antes de su entrada en vigor, salvo cuando la actualización venga impuesta por:

• (a) Modificaciones normativas imperativas;
• (b) Resoluciones administrativas o judiciales firmes;
• (c) Recomendaciones vinculantes de autoridades regulatorias;
• (d) Necesidades urgentes de seguridad técnica;
• (e) Aparición de nuevas amenazas o vectores de fraude no contemplados.

En tales casos, la actualización podrá ser inmediatamente exigible, sin perjuicio de su comunicación posterior al Tenant.

30.2. La continuación del uso de la Plataforma tras la fecha de entrada en vigor de la actualización constituirá aceptación tácita de la nueva versión de la AUP. El Tenant que no acepte las modificaciones podrá resolver el Contrato conforme al procedimiento previsto al efecto, sin penalización adicional a la propia liquidación de la suscripción en curso.

30.3. El historial de versiones y el control de cambios de la presente AUP se mantendrá accesible al Tenant a través del panel administrativo de la Plataforma o del legal hub del Operador, conforme al estándar de transparencia documental del propio Operador.

Cláusula 31. Ley aplicable y jurisdicción

31.1. La presente AUP se rige por la ley española y por la normativa de la Unión Europea aplicable, en idénticos términos a los previstos en el Capítulo X del ToS.

31.2. Las Partes se someten —con renuncia expresa a cualquier otro fuero que pudiera corresponderles— a los Juzgados y Tribunales de Valencia capital (España), conforme a la cláusula de sumisión expresa del ToS.

Cláusula 32. Idioma vinculante

La versión vinculante de la presente AUP es la redactada en lengua castellana. Cualesquiera traducciones a otros idiomas tendrán carácter meramente informativo y, en caso de discrepancia interpretativa, prevalecerá el texto original en castellano.

DISPOSICIÓN FINAL — CLÁUSULA DE COHERENCIA Y PRIMACÍA TÉCNICA

La presente Política de Uso Aceptable se concibe, redacta e interpreta bajo el principio rector de protección máxima de la integridad técnica del Servicio, de la seguridad multitenant, de la reputación de los activos digitales del Operador y de los derechos de terceros. En caso de duda interpretativa entre dos o más posibles entendimientos de una cláusula, prevalecerá aquel que mejor preserve dicho conjunto de bienes jurídicos, conforme al principio favor protectionis aplicado a la infraestructura crítica compartida.

Documento elaborado por el Equipo Legal & DPO de DataGrowt Systems, S.L.
Valencia (España), 18 de mayo de 2026.

Fin del Anexo III — Política de Uso Aceptable (AUP) — affiliatracker.