Annex II — Data Processing Agreement (DPA)

Binding version in Spanish · Last revision: May 18, 2026

Important summary: This document (Data Processing Agreement) governs the processing of personal data that DATAGROWT SYSTEMS, S.L. (Data Processor) carries out on behalf of the Tenant (Data Controller) within the framework of Article 28 GDPR. It is an integral and inseparable part of the Terms and Conditions of Use v2.0. For data protection matters: dpo@affiliatracker.com. Legal channel: legal@affiliatracker.com.

PREAMBLE

This Personal Data Processing Agreement (hereinafter, the "DPA" or the "Agreement") governs, in accordance with Article 28 of Regulation (EU) 2016/679 of the European Parliament and of the Council of April 27, 2016, on the protection of natural persons with regard to the processing of personal data and on the free movement of such data (hereinafter, "GDPR"), Organic Law 3/2018, of December 5, on the Protection of Personal Data and the Guarantee of Digital Rights (hereinafter, "LOPDGDD") and other applicable Spanish and European regulations, the conditions, guarantees and obligations under which DATAGROWT SYSTEMS, S.L., in its technical capacity as Data Processor, shall render to the Tenant — in its capacity as Data Controller — the instrumental personal-data processing services necessary for the performance of the principal Contract and the provision of the affiliatracker Platform.

This DPA is concluded as an integrated, inseparable and binding annex of the Contract and shall be construed harmoniously with the Terms and Conditions of Use (ToS v2.0). In the event of conflict between the ToS and this DPA in matters strictly and specifically related to the protection of personal data, the content of this DPA shall prevail. In all other matters, the ToS shall prevail.

The Tenant's acceptance of the principal Contract — whether by click-wrap, browse-wrap, execution of the Service or express signature — entails the full, express and unequivocal acceptance of this DPA, without need for any additional signature, in accordance with the functional equivalence principles recognized in Law 6/2020, of November 11, regulating certain aspects of electronic trust services, and Regulation (EU) 910/2014 (eIDAS).

CLAUSE 1. PARTIES

1.1. Data Controller ("Controller" or "Tenant")

Concept	Details
Identity	The legal entity, professional or sole trader appearing as the holder of the principal Service account (Tenant) and whose identifying details appear in the Service Order or in the administration panel of the Platform.
Capacity	Data Controller pursuant to Article 4(7) GDPR.
Determination of purposes and means	This is the exclusive competence of the Tenant, and the Data Processor's technical assistance shall not alter this attribution.

1.2. Data Processor ("Processor" or "DataGrowt")

Concept	Details
Corporate name	DATAGROWT SYSTEMS, S.L.
Tax ID (C.I.F.)	B-27650928
Registered office	Calle Gonzalo Tejero Langarita, number 20, PB-O, postal code 46026, Valencia (Spain)
Registry details	Registered with the Mercantile Registry of Valencia, sheet V-234235
Legal representative	Mr. Jose Luis Herrera Loaiza, National ID 61021552-E, Sole Administrator
Commercial brand	affiliatracker
DPO / Privacy contact	dpo@affiliatracker.com
Capacity	Data Processor pursuant to Article 4(8) GDPR.

1.3. Nature of the relationship

The Parties declare and acknowledge, without reservation, that this processing relationship is an ancillary technical relationship to the provision of the multitenant SaaS instrumental Service, in which the Data Processor acts solely and exclusively on behalf of, and pursuant to the documented instructions of, the Data Controller, without determining the essential purposes or means of the processing. The concurrence of any element that could reinterpret this processing engagement as joint controllership (Article 26 GDPR), independent controllership, or a transfer of data from the Data Controller to the Data Processor is expressly rejected by the Parties, save where imperative legal provisions provide otherwise.

CLAUSE 2. OBJECT AND SCOPE OF APPLICATION

2.1. Object

The purpose of this DPA is to govern the processing of personal data that DataGrowt shall carry out, in the name and on behalf of the Tenant, solely and exclusively for the purpose of providing the instrumental services of the contracted affiliatracker SaaS (modules CRM Cloud, Affiliation Cloud, Marketing/Delivery Cloud and Lead Gen Cloud, as well as the cross-cutting Agents/Brain unit under a Human-in-the-Loop regime) and its ancillary services of maintenance, support, storage, backup, security monitoring and portability.

2.2. Territorial and regulatory scope

This Agreement is governed by applicable Spanish and European Union legislation and applies to all processing of personal data performed by the Data Processor in the context of the provision of the Service, regardless of the physical location of the servers, provided that such servers are located in the European Economic Area (EEA) or in countries having an adequacy decision, except as expressly agreed in Clause 9 on international transfers.

2.3. Purpose limitation — Essential clause

The Data Processor undertakes to process the personal data solely, exclusively and in a limited manner for the provision of the Service and pursuant to the Data Controller's documented instructions, undertaking not to use them for any different purpose — and in particular not to use them for its own purposes, for commercial, advertising or market-profiling purposes, for training its own identifiable models, or for transfer to third parties other than the authorized sub-processors — except where imperative European Union or Member State law so requires, in which case it shall notify the Data Controller in advance, except where such notification is expressly prohibited by law.

2.4. Submission to documented instructions

The following constitute documented instructions of the Data Controller, for the purposes of Article 28(3)(a) GDPR:
- (a) the principal Contract (ToS v2.0) and this DPA;
- (b) the Service Order and the chosen service plans;
- (c) the configurations, parametrizations and actions executed by the Tenant or its Authorized Users in the administration panel of the Platform (which shall have the value of documented instructions of the Data Controller);
- (d) written communications addressed to dpo@affiliatracker.com through the enabled channels, with unequivocal identification of the sender.

If the Data Processor considers that an instruction of the Data Controller infringes the GDPR, the LOPDGDD or other applicable regulations, it shall immediately inform the Data Controller, suspending its execution in good faith in the meantime, without giving rise to any liability for delay or breach.

CLAUSE 3. SPECIFICATION OF THE PROCESSING

For the purposes of Article 28(3) GDPR, the essential elements of the processing are specified below:

3.1. Nature and purpose of the processing

Element	Specification
Technical nature	Collection, recording, organization, structuring, storage, adaptation, modification, consultation, use, internal communication by transmission, controlled dissemination, collation, interconnection, restriction, erasure and destruction, all of the foregoing in a Software-as-a-Service multitenant cloud architecture.
Purpose	To provide the instrumental services of the contracted modules (CRM, Affiliation, Marketing/Delivery, Lead Gen) and of the Agents/Brain unit under HITL regime, in accordance with the configuration and use that the Data Controller makes of the Platform.
Modality	Automated processing and, where applicable, partially manual processing through the intervention of the Data Controller's Authorized Users.
Multitenant logic	Each Tenant operates in a logically isolated space (segregation by tenant_id), without the Data Processor performing data cross-referencing between Tenants.

3.2. Categories of personal data processed

The following categories shall be processed, on a non-limiting basis and in accordance with the actual use the Data Controller makes of the Service:

(i) Identification and contact data: name, surnames, corporate name, Tax ID/Corporate Tax ID, postal and professional address, email address, landline or mobile telephone number.
(ii) Technical traffic data: IP address, user agent, device identifiers, cookies and similar technologies, browsing and event logs.
(iii) Consent and evidentiary data: timestamp of acceptance, source IP, version of the informative text, snapshot of the form, hash of the evidentiary record.
(iv) Commercial or professional-relationship data: job title, department, sector, data relating to commercial opportunities, interaction history, free-text notes entered by the Tenant's Authorized Users.
(v) Campaign and marketing data: opens, clicks, bounces, unsubscribes, segmentations and direct behavioral metrics.
(vi) Affiliation and conversion data: identifier of the originating Publisher, identifier of the destination Advertiser, lead data injected via API, campaign metadata, conversion events.
(vii) Data derived from OSINT that the Tenant decides to incorporate following the assistance of the AI Agent and prior Conscious Validation.
(viii) Login and administration data: users, encrypted credentials, Platform access logs.

3.3. Ab initio prohibition of special categories

The Data Controller undertakes not to introduce, import or process through the Platform, without prior specific written agreement with the Data Processor, special categories of data (Article 9 GDPR: racial or ethnic origin, political opinions, religious or philosophical beliefs, trade-union membership, genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health, sex life or sexual orientation), data relating to criminal convictions and offences (Article 10 GDPR) or data of minors except where the specific regime of Article 7 LOPDGDD applies and is duly evidenced. The undue introduction of such data by the Tenant shall constitute a material breach of the Contract and shall release the Data Processor from any liability arising from their subsequent processing.

3.4. Categories of data subjects affected

(i) Leads and prospects captured by the Tenant through Lead Gen Cloud.
(ii) Commercial contacts managed in CRM Cloud (customers, suppliers, opportunities).
(iii) Recipients of email-marketing communications issued from Marketing/Delivery Cloud.
(iv) Publishers and Advertisers participating in the Tenant's affiliation program (Affiliation Cloud), and leads injected via API by such Publishers.
(v) Authorized Users designated by the Tenant to operate the Platform.
(vi) Legal representatives and contact persons of the Tenant in its relationship with the Data Processor.

3.5. Duration of processing

The processing shall extend throughout the term of the principal Contract, its renewals and the grace period for return or deletion regulated in Clause 11, without prejudice to any applicable legal retention blocks.

CLAUSE 4. OBLIGATIONS OF THE DATA PROCESSOR

DataGrowt undertakes, pursuant to Article 28(3) GDPR and concordant regulations, to the following:

4.1. Strict adherence to documented instructions

To process personal data only in accordance with the documented instructions of the Data Controller, including with regard to international transfers, except where required by Union or Member State law to which the Data Processor is subject, in which case it shall inform the Data Controller of that legal requirement before processing, unless notification is prohibited.

4.2. Duty of confidentiality

To ensure that the persons authorized to process personal data under its responsibility (employees, collaborators and, where applicable, contractors) have committed themselves in writing to respect confidentiality — an obligation that shall persist even after the termination of the employment or contractual relationship — or are subject to an equivalent statutory obligation. The Data Processor may evidence such commitment by means of contractual clauses, specific declarations or binding internal policies.

4.3. Strict logical isolation between Tenants

To maintain, as an essential and permanent obligation, the rigorous logical isolation between the spaces of the different Tenants of the Platform, by means of technical segregation mechanisms (unique Tenant identifiers, access controls, membership validation in each operation, row-level security or equivalents), so that no Tenant has access, under normal operating conditions, to the data of any other Tenant.

4.4. Technical and Organizational Measures (TOMs) (Article 32 GDPR)

To adopt and implement appropriate Technical and Organizational Measures (TOMs) to ensure a level of security appropriate to the risk, taking into account the state of the art, the costs of implementation, and the nature, scope, context and purposes of the processing, as well as the risks of varying likelihood and severity for the rights and freedoms of natural persons. The specific TOMs in force are described in Appendix 2 of this DPA and may evolve as the state of the art advances, without thereby degrading the level of protection undertaken.

4.5. Assistance to the Data Controller

To assist the Data Controller — taking into account the nature of the processing and the information available to it — through appropriate Technical and Organizational Measures (TOMs), in fulfilling the obligations of:

(a) Attending to data subject rights (Clause 7).
(b) Security of processing (Article 32 GDPR).
(c) Notification of personal-data breaches to the supervisory authority (Article 33 GDPR) and to data subjects (Article 34 GDPR).
(d) Data Protection Impact Assessments (Article 35 GDPR).
(e) Prior consultations with the supervisory authority (Article 36 GDPR).

Cost pass-through. Ordinary assistance is included in the price of the Service. Where the assistance requires custom developments, specific integrations, dedication of extraordinary technical hours, or non-standardized professional services, the Data Processor may pass on to the Data Controller the reasonable documented costs, subject to prior communication and the latter's agreement; in the event of disagreement, it shall render the minimum assistance legally required.

4.6. Provision of information and audits

To make available to the Data Controller, upon reasoned written request, the information necessary to demonstrate compliance with the obligations of Article 28 GDPR, in the form of:

(a) Technical and descriptive documentation of the Technical and Organizational Measures (TOMs) (Appendix 2).
(b) Certifications and/or independent audits available to the Data Processor.
(c) To permit audits — including inspections — by the Data Controller or by an independent external auditor subject to an equivalent confidentiality duty, with a minimum advance notice of thirty (30) calendar days, no more than once (1) per year except for justified cause (in particular, well-founded suspicion of a material breach or an authority's request), during business hours, without significantly disrupting operations, remotely whenever feasible, and at the sole expense of the Data Controller.

4.7. Data Processor's processing-activities register

To maintain a Register of Processing Activities pursuant to Article 30(2) GDPR, which shall be made available to the supervisory authority and, with justification, to the Data Controller.

4.8. Designation of Data Protection Officer

DataGrowt maintains a designated Data Protection Officer (DPO) reachable at dpo@affiliatracker.com, pursuant to Article 37 GDPR, with functional independence in the exercise of his/her competences.

CLAUSE 5. SECURITY-BREACH NOTIFICATION (Art. 33 GDPR)

5.1. Notification deadline

The Data Processor shall notify the Data Controller — without undue delay and, in any event, within a maximum period of forty-eight (48) hours and in no case longer than seventy-two (72) hours from the moment it has actual awareness of any personal-data security breach affecting the Data Controller's Data — through the enabled channels (email to the Tenant's DPO contact if one has been designated, and to the principal account administrator).

5.2. Minimum content of the notification

The notification shall include, to the extent that the information is available at the time, and successively if not:

(a) Nature of the breach, categories and approximate number of data subjects and records affected.
(b) Relevant facts, date or period of the breach and date of its detection.
(c) Contact details of the DPO or technical point of contact.
(d) Likely consequences.
(e) Measures taken or proposed to remedy, contain and mitigate the effects.
(f) Where appropriate, recommendations for the Data Controller.

5.3. Nature of the computation

The time period begins to run from the Data Processor's actual awareness, understood as reasonable knowledge confirmed by the responsible technical team, and not from mere unvalidated alerts, false positives or unconfirmed events.

5.4. Responsibility for notification to the authority

The notification to the Spanish Data Protection Agency (AEPD) — or any other competent supervisory authority — within the 72-hour period under Article 33 GDPR, and the communication to data subjects under Article 34 GDPR, are the responsibility of the Data Controller, with the Data Processor providing reasonable assistance in the terms of Clause 4.5.

5.5. Cooperation

The Data Processor shall cooperate in good faith with the Data Controller in managing the incident, without such cooperation entailing any acknowledgment of fault or causation in its sphere, and shall reserve the right to autonomously document the incident for its own purposes of legal defense and compliance.

CLAUSE 6. SUB-PROCESSORS

6.1. General prior authorization

The Data Controller generally authorizes, pursuant to Article 28(2) GDPR, the Data Processor to engage Sub-processors for the provision of the Service, in particular:

(a) Cloud infrastructure providers located in the European Economic Area (EEA), such as Amazon Web Services EMEA SARL, Google Cloud EMEA Limited, Microsoft Ireland Operations Limited and other equivalent providers, with data centers preferably located in European Union regions.
(b) Providers of ancillary technical services: monitoring, transactional email, anti-fraud systems, content delivery networks, encrypted backups, telemetry and support services.

6.2. Current list and notification of changes

The up-to-date list of authorized Sub-processors shall be published in the transparency section of the Platform or in a document accessible to the Data Controller. The Data Processor shall notify the Data Controller — with a minimum advance notice of thirty (30) calendar days — of any planned changes regarding the addition or replacement of Sub-processors, by electronic notification or publication in the relevant area.

6.3. Right of reasoned objection

The Data Controller may object, within said period and on legitimate and duly justified grounds related to data protection, to the addition or replacement of a Sub-processor. An objection without justified grounds, or whose effect is to prevent the Data Processor from rendering the Service under reasonable conditions, shall entitle the Data Processor to:

(i) Propose a reasonable alternative; or
(ii) Failing that, deem the Contract terminated due to non-attributable supervening impossibility, with pro-rata-temporis settlement and without penalty for either Party.

6.4. Chain of responsibility

The Data Processor shall impose on its Sub-processors, by means of a written contract or equivalent legal instrument, the same data-protection obligations as those stipulated in this DPA, in particular with respect to sufficient Technical and Organizational Measures (TOMs), in accordance with Article 28(4) GDPR. The Data Processor shall be liable to the Data Controller for its Sub-processors' breach of data-protection obligations.

CLAUSE 7. EXERCISE OF DATA SUBJECT RIGHTS (ARCO+)

7.1. Channeling to the Data Controller

The data subject rights (access, rectification, erasure, objection, restriction, portability, automated decisions and information — "ARCO+") are exercised vis-à-vis the Data Controller. If the Data Processor directly receives a request, it shall refrain from responding and shall forward the request to the Data Controller within 72 hours of its receipt, without prejudice to informing the data subject of the person competent to resolve.

7.2. Technical assistance

The Data Processor shall make available to the Data Controller, within the standard functionalities of the Platform, the tools necessary to locate, export, rectify, erase or restrict the processing of data of specific data subjects (searches, exports, bulk delete, opt-out lists, etc.). Where the exercise requires custom development, extensive manual intervention or additional professional services, its cost shall be passed through in accordance with Clause 4.5.

CLAUSE 8. REINFORCED CLAUSE ON OSINT, AI AGENTS AND HUMAN-IN-THE-LOOP REGIME

8.1. OSINT in CRM Cloud

8.1.1. The processing of information obtained by OSINT utilities (consultation of publicly accessible sources) in CRM Cloud is carried out solely and exclusively upon express order of the Data Controller, materialized in the manual activation of the utility by an Authorized User of the Tenant.

8.1.2. Exclusive responsibility of the Tenant. The Data Controller is the sole party responsible for:

(i) Determining the lawful basis (Article 6 GDPR) applicable to the subsequent processing of the OSINT data collected;
(ii) Fulfilling the duty to inform under Article 14 GDPR with respect to data subjects whose data were not obtained directly from them;
(iii) Performing, where appropriate, the legitimate-interest balancing test and recording it;
(iv) Avoiding the use of OSINT for invasive profiling or mass processing without a clear legal basis.

8.1.3. Exoneration of the Data Processor. DataGrowt acts as a mere technical gateway for consultation and aggregation, without determining the substantive purposes or means of the OSINT data processing, without guaranteeing the accuracy of the sources, and without being liable for the consequences of the commercial use the Data Controller makes of the information found.

8.2. Agents/Brain — HITL Regime

8.2.1. Processing under human control. The AI Agents integrated in the Agents/Brain unit are manually invoked by the Data Controller's Authorized User and operate exclusively on the Tenant's own personal data to produce AI Outputs in draft state, without automatic transmission to third parties.

8.2.2. No training with Tenant data. Save with the express, separate and revocable consent of the Data Controller, the Data Processor shall not use the Tenant's personal data to train its own or third parties' general artificial-intelligence models. Where the Data Processor uses aggregated metrics for service improvements, these shall be subject to a prior process of irreversible anonymization in accordance with the state of the art.

8.2.3. Third-party AI integrations activated by the Tenant. Where the Data Controller decides to integrate third-party APIs to enrich the functionality of the Platform (for example, generative models provided by OpenAI, Anthropic, Google, Mistral or others), the flow of personal data to such third parties is performed under the sovereign decision and exclusive responsibility of the Tenant, who shall:

(i) Enter directly with the AI provider into the corresponding data processing agreement or contractual relationship;
(ii) Carry out the Data Protection Impact Assessment (Article 35 GDPR) if applicable;
(iii) Obtain the Standard Contractual Clauses (SCCs) approved by the European Commission (Implementing Decision (EU) 2021/914) in case of international transfer outside the EEA;
(iv) Implement the supplementary measures required by the Schrems II case law and the guidelines of the European Data Protection Board (EDPB).

8.2.4. AI Output imputed to the Tenant. Once consciously validated, the AI Output is legally imputed to the Data Controller, in accordance with Chapter III of the ToS v2.0 (clauses 6 to 9). The Data Processor is not liable for the material correctness, sectoral lawfulness, suitability or consequences of the Output adopted by the Tenant.

CLAUSE 9. LIABILITY SHIELD ON LEAD INJECTION — AFFILIATION CLOUD

9.1. Technical configuration

In the Affiliation Cloud (Lead Brokerage / CPL) module, the Publishers directly contracted by the Data Controller inject lead records — cold or warm — via API, through a unique link generated by the Tenant. The Data Processor merely receives, stores and technically routes such records pursuant to the Data Controller's configuration.

9.2. Tenant's contractual warranty — Drastic clause

The Data Controller declares, warrants and undertakes — irrevocably, essentially and as a structural condition of the Contract — that it holds, with respect to each lead injected via API by its Publishers:

(i) An explicit, specific, informed, free, unequivocal, verifiable and revocable consent basis (Articles 6(1)(a) and 7 GDPR), or any other valid lawful basis that covers the foreseen subsequent processing;
(ii) Layered informative clause provided prior to collection, in accordance with Article 13 GDPR;
(iii) Identification of transfers to Advertisers and of the subsequent commercial purposes, where these are foreseeable at the time of collection;
(iv) Preserved documentary evidence (logs, snapshots, IP, timestamp) that can be produced to the AEPD or any other competent authority.

9.3. Technical gateway of the Data Processor

DataGrowt acts solely and exclusively as a technical gateway for the transport, receipt, storage and routing of leads, without validating, auditing or verifying the actual existence, sufficiency or lawfulness of the consent basis of the injected leads. The Data Processor does not participate in the collection, does not design the forms, and does not act as guarantor of the practices of the Data Controller's Publishers.

9.4. Reinforced indemnity

If an injected lead were to lack a valid lawful basis — and as a result inspections, requests, sanctioning files or resolutions of the AEPD or any other competent authority, data subject claims, communications to the authority by third parties, civil indemnities or any other adverse consequences arise — the Data Controller shall fully and exclusively assume all liability, undertaking to hold DataGrowt harmless and to reimburse it, where appropriate, for the reasonable costs of legal defense, fines wrongly imposed and proven reputational damages.

9.5. Preventive suspension

Upon well-founded indications of mass injection of leads without a lawful basis, the Data Processor may preventively suspend the receipt of leads through the affected API, without such suspension giving rise to any right of indemnification in favor of the Data Controller, and with prior or simultaneous notice to the latter.

CLAUSE 10. INTERNATIONAL DATA TRANSFERS

10.1. Principle of processing within the EEA

The Data Processor shall process the Data Controller's personal data primarily within the European Economic Area (EEA) and shall use Sub-processors with European infrastructure whenever technically feasible.

10.2. Exceptions and regime

Where, due to technical needs (24/7 support, geographic redundancy, specific integrations) or by configurative decision of the Data Controller, an international transfer of data to a third country or international organization outside the EEA without an adequacy decision is to take place, the Parties shall ensure that one of the following mechanisms applies:

(i) Standard Contractual Clauses (SCCs) approved by the European Commission — Implementing Decision (EU) 2021/914, in the applicable module;
(ii) Approved Binding Corporate Rules (BCRs);
(iii) Approved codes of conduct or certification mechanisms with binding commitments;
(iv) The cases of Article 49 GDPR, interpreted restrictively.

10.3. Third-party AI integrations — Assumption by the Tenant

In accordance with Clause 8.2.3, where the international transfer arises from third-party AI integrations activated by the Tenant (e.g., OpenAI Inc., Anthropic PBC or others), it shall be the Data Controller's responsibility to enter into the SCCs and to implement the supplementary measures post-Schrems II. The Data Processor shall provide reasonable assistance, passing on costs in accordance with Clause 4.5.

10.4. Supplementary measures

The Parties shall implement, where appropriate, technical, organizational and contractual supplementary measures in accordance with the EDPB Recommendations 01/2020, in particular robust encryption, pseudonymization, legal assessments of the destination country and reinforced transparency obligations vis-à-vis requests by foreign authorities.

CLAUSE 11. DURATION, RETURN AND DELETION OF DATA

11.1. Duration of the processing engagement

This DPA shall remain in force throughout the entire duration of the principal Contract, its renewals and the grace period regulated in the following section.

11.2. Grace period for return or portability

Upon termination of the Contract — for any reason — the Data Processor shall make available to the Data Controller, for a grace period of thirty (30) calendar days, the export and data portability functionalities in structured and commonly used formats (CSV, JSON or equivalent). Upon expiry of such period without the Data Controller having completed the export, the data shall become subject to secure erasure.

11.3. Secure deletion

Once the grace period has elapsed — or earlier, if the Data Controller so expressly requests — the Data Processor shall proceed with the secure and certifiable deletion of the Data Controller's personal data and copies thereof, in accordance with industry standards (e.g., NIST SP 800-88 or equivalents), including data hosted in backup systems once their natural rotation cycles have expired, which shall be communicated to the Data Controller upon request.

11.4. Legal retention-block exception

In accordance with Article 32 LOPDGDD, the Data Processor may keep blocked — that is, accessible only to attend to requests by authorities, judges or courts — those data whose retention is required by an imperative Spanish or European Union legal provision (in particular, tax, mercantile, labor, anti-money-laundering, or defense against potential claims during the applicable limitation periods). The block shall be maintained for the legally required period, after which the data shall be deleted.

11.5. Certification

The Data Processor shall issue, upon reasoned request by the Data Controller, an electronic deletion certificate identifying the scope, date and method of erasure, without such certificate including information that would compromise the technical security of DataGrowt.

CLAUSE 12. LIABILITY, INDEMNITY AND LIMITS

12.1. GDPR liability regime

Each Party shall be liable in accordance with Article 82 GDPR for the breach of its respective obligations. The Data Processor shall be liable for the breach of obligations specifically imposed on processors by the GDPR and for the lawful instructions of the Data Controller.

12.2. Reciprocal and reinforced indemnity toward the Data Processor

Without prejudice to the regime of the previous section, the Data Controller shall hold harmless the Data Processor against any fines, sanctions, indemnities, costs and damages arising from:

(a) The introduction of data without a lawful basis by the Data Controller, its Authorized Users or its Publishers;
(b) The breach of the Data Controller's duty to inform its data subjects;
(c) The adoption and Conscious Validation of AI Outputs that prove unlawful, false or harmful;
(d) The use of OSINT contrary to Clauses 8.1 et seq.;
(e) The injection of leads without consent (Clause 9);
(f) The activation of third-party AI integrations without SCCs or supplementary measures (Clause 10.3).

12.3. Reference to the Contract's indemnity cap

Without prejudice to the erga omnes regime of Article 82 GDPR vis-à-vis data subjects, in the inter-party relationship the indemnity cap of Chapter VII of the ToS v2.0 shall apply, save for cases of willful misconduct or gross negligence.

CLAUSE 13. REGIME VIS-À-VIS SUPERVISORY AUTHORITIES AND JUDICIAL REQUESTS

13.1. Mutual information

The Parties shall reciprocally inform each other, without delay, of any request, inspection or proceeding initiated by supervisory authorities in relation to the processing covered by this DPA, except where expressly prohibited by law, with a view to articulating a coordinated defense where possible and appropriate.

13.2. Requests by foreign authorities

The Data Processor shall not transmit personal data to authorities of third countries without sufficient legal basis (international treaty, cooperation mechanism or competent judicial authorization), notifying the Data Controller in advance except where expressly prohibited, in line with Article 48 GDPR.

CLAUSE 14. FINAL PROVISIONS

14.1. Modifications

This DPA may be modified to adapt to new regulatory requirements, AEPD/EDPB criteria or relevant European judicial resolutions (including the post-Schrems evolution), notifying the Data Controller of the changes with reasonable advance notice.

14.2. Binding language and translations

The binding version is the Spanish one. Any translations are for informational purposes.

14.3. Applicable law and jurisdiction

This DPA is governed by applicable Spanish and European Union legislation. For the resolution of any disputes arising hereunder, the Parties expressly submit, waiving any other forum, to the Courts and Tribunals of the city of Valencia (Spain), in harmony with Clause 33 of the ToS v2.0.

14.4. Integrity and documentary precedence

In matters exclusively related to the protection of personal data, this DPA prevails over the rest of the Contract. In other matters, the ToS v2.0 prevails.

14.5. Acceptance

The Data Controller's acceptance of the principal Contract entails, without need for any additional handwritten signature, the full acceptance of this DPA, in accordance with the principles of functional equivalence, click-wrap and browse-wrap recognized in Law.

APPENDIX 1 — DETAILED DESCRIPTION OF THE PROCESSING

Element	Detail
Identification of the processing	Instrumental provision of the affiliatracker Platform (CRM, Affiliation, Marketing/Delivery, Lead Gen) and the Agents/Brain unit under HITL.
Data Controller	The Tenant as identified in the Service Order.
Data Processor	DataGrowt Systems, S.L. (B-27650928).
Main Sub-processors	Current list published in the transparency area of the Platform.
Categories of data subjects	Clause 3.4.
Categories of data	Clause 3.2.
Nature and purpose	Clause 3.1.
Duration	Clause 11.1.

APPENDIX 2 — TECHNICAL AND ORGANIZATIONAL MEASURES (TOMs) (ART. 32 GDPR)

Without prejudice to the evolution in line with the state of the art, the Data Processor adopts, as a minimum, the following Technical and Organizational Measures (TOMs).

A. Confidentiality and integrity.
- Encryption of data in transit (TLS 1.2+) and at rest (AES-256 or equivalent).
- Cryptographic key management with periodic rotation.
- Role-Based Access Control (RBAC) policy and least-privilege principle.
- Reinforced authentication (MFA) for administrators and operators.

B. Multitenant logical isolation.
- Logical separation of data by tenant_id with validation on every operation.
- Periodic non-leakage testing between tenants.

C. Availability and resilience.
- Encrypted backups with documented retention plan.
- Business-continuity and disaster-recovery plan with defined RTO/RPO.
- 24/7 security and infrastructure monitoring.

D. Incident management.
- Documented procedure for detection, containment, eradication, recovery and lessons learned.
- Compliance with the notification regime of Clause 5.

E. Personnel.
- Written confidentiality commitment from employees and collaborators.
- Periodic training in data protection and security.
- End-of-employment policy with immediate revocation of access.

F. Sub-processor management.
- Prior assessment of providers.
- Contractual agreements with equivalent GDPR clauses.
- Periodic compliance review.

G. Development security.
- Secure development life cycle (S-SDLC).
- Code reviews, static and dynamic analysis, vulnerability scanning.
- Vulnerability management and patching.

H. Privacy by design and by default (Art. 25 GDPR).
- Data minimization in standard forms.
- Secure default privacy configurations.
- HITL regime as native design for the Agents/Brain.

I. Testing and audit.
- Periodic penetration testing by third parties.
- Annual internal review of the ISMS.
- Documentary support for Data Controller audits in accordance with Clause 4.6.

APPENDIX 3 — LIST OF AUTHORIZED SUB-PROCESSORS (TEMPLATE)

Sub-processor	Service rendered	Main processing location	Safeguard mechanism (EU/SCCs)
[Cloud provider]	Hosting, storage, compute	EU (regions to be specified)	Processing within the EEA
[Transactional email provider]	Technical sending of Service emails	EU	DPA + technical measures
[Monitoring provider]	Platform observability	EU	DPA + encryption
[Anti-fraud provider]	Detection of anomalous patterns	EU	DPA + minimization
(others — updatable list)	—	—	—

The list in force is published in the transparency section of the Platform and is notified in accordance with Clause 6.2.

Acceptance. The activation of the account and the effective use of the Platform by the Tenant manifest its full, express and unreserved acceptance of this Personal Data Processing Agreement (DPA), in its capacity as Data Controller.

For DATAGROWT SYSTEMS, S.L. (Data Processor)
Mr. Jose Luis Herrera Loaiza — Sole Administrator
Valencia, Spain

For the TENANT (Data Controller)
Acceptance via click-wrap / account activation pursuant to the principal Contract.

Anexo II — Acuerdo de Encargo de Tratamiento (DPA)

Versión vinculante en castellano · Última revisión: 18 de mayo de 2026

Resumen importante: Este documento (Data Processing Agreement) regula el tratamiento de datos personales que DATAGROWT SYSTEMS, S.L. (Encargado) realiza por cuenta del Tenant (Responsable del Tratamiento) en el marco del artículo 28 del RGPD. Forma parte integrante e inseparable de los Términos y Condiciones de Uso v2.0. Para protección de datos: dpo@affiliatracker.com. Canal jurídico: legal@affiliatracker.com.

PREÁMBULO

El presente Acuerdo de Encargo de Tratamiento de Datos Personales (en adelante, el "DPA" o el "Acuerdo") regula, de conformidad con el artículo 28 del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante, "RGPD"), la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (en adelante, "LOPDGDD") y demás normativa española y europea aplicable, las condiciones, garantías y obligaciones bajo las cuales DATAGROWT SYSTEMS, S.L., en su condición técnica de Encargado del Tratamiento, prestará a el Tenant —en su condición de Responsable del Tratamiento— los servicios instrumentales de tratamiento de datos personales necesarios para la ejecución del Contrato principal y la prestación de la Plataforma affiliatracker.

El presente DPA se concierta como anexo integrado, inseparable y vinculante del Contrato y se interpretará armónicamente con los Términos y Condiciones de Uso (ToS v2.0). En caso de contradicción entre el ToS y el presente DPA en materias estricta y específicamente referidas a la protección de datos personales, prevalecerá el contenido del presente DPA. En el resto de materias, prevalecerá el ToS.

La aceptación del Contrato principal por el Tenant —por click-wrap, browse-wrap, ejecución del Servicio o firma expresa— supone la aceptación íntegra, expresa e inequívoca del presente DPA, sin necesidad de firma adicional, de conformidad con los principios de equivalencia funcional admitidos en la Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza, y el Reglamento (UE) 910/2014 (eIDAS).

CLÁUSULA 1. PARTES INTERVINIENTES

1.1. Responsable del Tratamiento ("Responsable" o "Tenant")

Concepto	Datos
Identidad	La persona jurídica, profesional o empresario individual que figure como titular de la cuenta principal del Servicio (Tenant) y cuyos datos identificativos consten en la Orden de Servicio o en el panel de administración de la Plataforma.
Condición	Responsable del Tratamiento conforme al artículo 4.7 RGPD.
Determinación de fines y medios	Es competencia exclusiva del Tenant, sin que la asistencia técnica del Encargado altere esta atribución.

1.2. Encargado del Tratamiento ("Encargado" o "DataGrowt")

Concepto	Datos
Denominación	DATAGROWT SYSTEMS, S.L.
C.I.F.	B-27650928
Domicilio social	Calle Gonzalo Tejero Langarita, número 20, PB-O, código postal 46026, Valencia (España)
Datos registrales	Inscrita en el Registro Mercantil de Valencia, hoja V-234235
Representante legal	D. Jose Luis Herrera Loaiza, D.N.I. 61021552-E, Administrador Único
Marca comercial	affiliatracker
Contacto DPO / Privacidad	dpo@affiliatracker.com
Condición	Encargado del Tratamiento conforme al artículo 4.8 RGPD.

1.3. Naturaleza de la relación

Las Partes declaran y reconocen, sin reservas, que la presente relación de encargo es una relación técnica accesoria a la prestación del Servicio instrumental SaaS multitenant, en la que el Encargado actúa única y exclusivamente por cuenta y conforme a las instrucciones documentadas del Responsable, sin determinar los fines ni los medios esenciales del tratamiento. La concurrencia de cualquier elemento que pudiera reinterpretar este encargo como corresponsabilidad (artículo 26 RGPD), responsabilidad propia o cesión de datos del Responsable al Encargado se rechaza expresamente por las Partes, salvo previsión legal imperativa en contrario.

CLÁUSULA 2. OBJETO Y ÁMBITO DE APLICACIÓN

2.1. Objeto

El presente DPA tiene por objeto regular el tratamiento de datos personales que DataGrowt llevará a cabo, en nombre y por cuenta del Tenant, única y exclusivamente con la finalidad de prestar los servicios instrumentales del SaaS affiliatracker contratados (módulos CRM Cloud, Affiliation Cloud, Marketing/Delivery Cloud y Lead Gen Cloud, así como la unidad transversal Agentes/Cerebro bajo régimen Human-in-the-Loop) y sus servicios accesorios de mantenimiento, soporte, almacenamiento, copia de seguridad, monitorización de seguridad y portabilidad.

2.2. Ámbito territorial y normativo

El presente Acuerdo se rige por la legislación española y de la Unión Europea aplicable y resulta de aplicación a todo tratamiento de datos personales realizado por el Encargado en el contexto de la prestación del Servicio, con independencia del lugar físico de los servidores siempre que dichos servidores se ubiquen en el Espacio Económico Europeo (EEE) o en países que dispongan de decisión de adecuación, salvo lo expresamente pactado en la cláusula 9 sobre transferencias internacionales.

2.3. Limitación de la finalidad — Cláusula esencial

El Encargado se obliga a tratar los datos personales única, exclusiva y limitadamente para la prestación del Servicio y conforme a las instrucciones documentadas del Responsable, comprometiéndose a no utilizarlos con fin distinto —y en particular a no destinarlos a finalidades propias, comerciales, publicitarias, de elaboración de perfiles de mercado, de entrenamiento de modelos propios identificables o de cesión a terceros distintos de los subencargados autorizados— salvo que disposición legal imperativa de la Unión Europea o de un Estado miembro le obligue, en cuyo caso lo notificará previamente al Responsable, salvo prohibición legal expresa.

2.4. Sumisión a instrucciones documentadas

Constituyen instrucciones documentadas del Responsable, a los efectos del artículo 28.3.a) RGPD:
- (a) el Contrato principal (ToS v2.0) y el presente DPA;
- (b) la Orden de Servicio y los planes de servicio elegidos;
- (c) las configuraciones, parametrizaciones y acciones que el Tenant ejecute o sus Usuarios Autorizados ejecuten en el panel de administración de la Plataforma (que tendrán valor de instrucción documentada del Responsable);
- (d) las comunicaciones escritas dirigidas a dpo@affiliatracker.com mediante canales habilitados, con identificación inequívoca del remitente.

Si el Encargado considera que una instrucción del Responsable infringe el RGPD, la LOPDGDD u otra normativa aplicable, lo informará inmediatamente al Responsable, suspendiendo entretanto su ejecución de buena fe, sin que ello genere responsabilidad por mora ni incumplimiento.

CLÁUSULA 3. ESPECIFICACIÓN DEL TRATAMIENTO

A los efectos del artículo 28.3 RGPD, se especifican a continuación los elementos esenciales del tratamiento:

3.1. Naturaleza y finalidad del tratamiento

Elemento	Especificación
Naturaleza técnica	Recogida, registro, organización, estructuración, conservación, adaptación, modificación, consulta, utilización, comunicación interna por transmisión, difusión controlada, cotejo, interconexión, limitación, supresión y destrucción, todo ello en arquitectura Software-as-a-Service multitenant en la nube.
Finalidad	Prestar los servicios instrumentales de los módulos contratados (CRM, Affiliation, Marketing/Delivery, Lead Gen) y de la unidad Agentes/Cerebro en régimen HITL, conforme a la configuración y uso que el Responsable haga de la Plataforma.
Modalidad	Tratamiento automatizado y, en su caso, parcialmente manual mediante intervención de los Usuarios Autorizados del Responsable.
Lógica multitenant	Cada Tenant opera en un espacio lógico aislado (segregación por tenant_id), sin que el Encargado realice cruces de datos entre Tenants.

3.2. Categorías de datos personales tratados

Se tratarán, con carácter no limitativo y conforme al uso efectivo que el Responsable haga del Servicio, las siguientes categorías:

(i) Datos identificativos y de contacto: nombre, apellidos, denominación social, NIF/CIF, dirección postal y profesional, dirección de correo electrónico, número de teléfono fijo o móvil.
(ii) Datos de tráfico técnico: dirección IP, user agent, identificadores de dispositivo, cookies y tecnologías similares, logs de navegación y de eventos.
(iii) Datos de consentimiento y prueba: timestamp de aceptación, IP de origen, versión del texto informativo, snapshot del formulario, hash del registro probatorio.
(iv) Datos comerciales o de relación profesional: cargo, departamento, sector, datos relativos a oportunidades comerciales, históricos de interacción, anotaciones libres introducidas por los Usuarios Autorizados del Tenant.
(v) Datos de campañas y marketing: aperturas, clics, rebotes, bajas, segmentaciones y métricas directas de comportamiento.
(vi) Datos de afiliación y conversión: identificador del Publisher de origen, identificador del Advertiser destinatario, datos de lead inyectado vía API, metadatos de campaña, eventos de conversión.
(vii) Datos derivados de OSINT que el Tenant decida incorporar tras la asistencia del Agente IA y previa Validación Consciente.
(viii) Datos de inicio de sesión y administración: usuarios, credenciales cifradas, registros de acceso a la Plataforma.

3.3. Prohibición ab initio de categorías especiales

El Responsable se compromete a no introducir, importar ni tratar a través de la Plataforma, sin previo acuerdo escrito específico con el Encargado, categorías especiales de datos (artículo 9 RGPD: origen racial o étnico, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, biométricos para identificación unívoca, datos de salud, vida u orientación sexual), datos relativos a condenas e infracciones penales (artículo 10 RGPD) ni datos de menores salvo cuando concurra y se acredite el régimen específico del artículo 7 LOPDGDD. La introducción indebida de tales datos por el Tenant constituirá incumplimiento esencial del Contrato y eximirá al Encargado de cualquier responsabilidad derivada de su tratamiento ulterior.

3.4. Colectivos de interesados afectados

(i) Leads y prospectos captados por el Tenant a través de Lead Gen Cloud.
(ii) Contactos comerciales gestionados en CRM Cloud (clientes, proveedores, oportunidades).
(iii) Destinatarios de comunicaciones de email marketing emitidas desde Marketing/Delivery Cloud.
(iv) Publishers y Advertisers participantes en el programa de afiliación del Tenant (Affiliation Cloud), y leads inyectados vía API por dichos Publishers.
(v) Usuarios Autorizados que el Tenant designe para operar la Plataforma.
(vi) Representantes legales y personas de contacto del Tenant en su relación con el Encargado.

3.5. Duración del tratamiento

El tratamiento se extenderá durante toda la vigencia del Contrato principal, sus prórrogas y el periodo de gracia para devolución o borrado regulado en la cláusula 11, sin perjuicio de los bloqueos legales aplicables.

CLÁUSULA 4. OBLIGACIONES DEL ENCARGADO

DataGrowt se obliga, conforme al artículo 28.3 RGPD y normativa concordante, a lo siguiente:

4.1. Sujeción estricta a instrucciones documentadas

Tratar los datos personales únicamente conforme a las instrucciones documentadas del Responsable, incluso en lo relativo a transferencias internacionales, salvo obligación impuesta por el Derecho de la Unión o de un Estado miembro al que esté sujeto el Encargado, en cuyo caso informará al Responsable de tal exigencia legal antes del tratamiento, salvo prohibición de notificación.

4.2. Deber de confidencialidad

Garantizar que las personas autorizadas para tratar datos personales bajo su responsabilidad (empleados, colaboradores y, en su caso, contratistas) se hayan comprometido por escrito a respetar la confidencialidad —obligación que persistirá incluso tras la finalización de la relación laboral o contractual— o estén sujetas a una obligación legal equivalente. El Encargado podrá acreditar este compromiso mediante cláusulas contractuales, declaraciones específicas o políticas internas vinculantes.

4.3. Aislamiento lógico estricto entre Tenants

Mantener, como obligación esencial y permanente, el aislamiento lógico riguroso entre los espacios de los distintos Tenants de la Plataforma, mediante mecanismos técnicos de segregación (identificadores únicos de Tenant, controles de acceso, validaciones de pertenencia en cada operación, row-level security o equivalentes), de modo que ningún Tenant tenga acceso, en condiciones normales de operación, a los datos de otro Tenant.

4.4. Medidas técnicas y organizativas (artículo 32 RGPD)

Adoptar e implementar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, considerando el estado de la técnica, los costes de aplicación y la naturaleza, alcance, contexto y fines del tratamiento, así como los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas. Las medidas concretas y vigentes se describen en el Apéndice 2 del presente DPA y podrán evolucionar conforme avance el estado del arte, sin que ello degrade el nivel de protección comprometido.

4.5. Asistencia al Responsable

Asistir al Responsable —teniendo en cuenta la naturaleza del tratamiento y la información de que disponga— mediante medidas técnicas y organizativas apropiadas, en el cumplimiento de las obligaciones de:

(a) Atención a los derechos de los interesados (cláusula 7).
(b) Seguridad del tratamiento (artículo 32 RGPD).
(c) Notificación de violaciones de seguridad a la autoridad de control (artículo 33 RGPD) y a los interesados (artículo 34 RGPD).
(d) Evaluaciones de impacto en la protección de datos (artículo 35 RGPD).
(e) Consultas previas a la autoridad de control (artículo 36 RGPD).

Repercusión de costes. La asistencia ordinaria está incluida en el precio del Servicio. Cuando la asistencia exija desarrollos a medida, integraciones específicas, dedicación de horas técnicas extraordinarias o servicios profesionales no estandarizados, el Encargado podrá repercutir al Responsable los costes razonables documentados, previa comunicación y conformidad de éste; en caso de divergencia, prestará la asistencia mínima legalmente exigible.

4.6. Puesta a disposición de información y auditorías

Poner a disposición del Responsable, previa solicitud razonable y por escrito, la información necesaria para demostrar el cumplimiento de las obligaciones del artículo 28 RGPD, en forma de:

(a) Documentación técnica y descriptiva de las medidas de seguridad (Apéndice 2).
(b) Certificaciones y/o auditorías independientes de las que disponga el Encargado.
(c) Permitir auditorías —incluidas inspecciones— por parte del Responsable o de un auditor externo independiente sometido a deber de confidencialidad equivalente, con un preaviso mínimo de treinta (30) días naturales, no más de una (1) vez al año salvo causa justificada (en particular, sospecha fundada de brecha relevante o requerimiento de autoridad), en horario laboral, sin perturbar significativamente la operación, en remoto siempre que sea posible y a costa exclusiva del Responsable.

4.7. Registro de actividades del Encargado

Mantener un Registro de Actividades del Tratamiento conforme al artículo 30.2 RGPD, que se pondrá a disposición de la autoridad de control y, motivadamente, del Responsable.

4.8. Designación de Delegado de Protección de Datos

DataGrowt mantiene designado un Delegado de Protección de Datos (DPO) accesible en dpo@affiliatracker.com, conforme al artículo 37 RGPD, con independencia funcional para el ejercicio de sus competencias.

CLÁUSULA 5. NOTIFICACIÓN DE BRECHAS DE SEGURIDAD (Art. 33 RGPD)

5.1. Plazo de notificación

El Encargado notificará al Responsable —sin dilación indebida y, en cualquier caso, en un plazo máximo de cuarenta y ocho (48) horas y, en ningún caso, superior a setenta y dos (72) horas desde que tenga constancia efectiva de cualquier violación de la seguridad de los datos personales que afecte a Datos del Responsable— por los canales habilitados (correo electrónico al contacto del DPO del Tenant si lo hubiere designado, y al administrador principal de la cuenta).

5.2. Contenido mínimo de la notificación

La notificación incluirá, en la medida en que la información esté disponible al momento, y con carácter sucesivo en caso de no estarlo:

(a) Naturaleza de la violación, categorías y número aproximado de interesados y registros afectados.
(b) Hechos relevantes, fecha o periodo de la brecha y fecha de su detección.
(c) Datos de contacto del DPO o punto de contacto técnico.
(d) Consecuencias probables.
(e) Medidas adoptadas o propuestas para poner remedio, contener y mitigar los efectos.
(f) Si procede, recomendaciones para el Responsable.

5.3. Naturaleza del cómputo

El cómputo del plazo se inicia desde la constancia efectiva del Encargado, entendida como conocimiento razonable y confirmado por el equipo técnico responsable, y no por meras alertas no validadas, falsos positivos o eventos sin confirmar.

5.4. Responsabilidad de la notificación a la autoridad

La notificación a la Agencia Española de Protección de Datos (AEPD) —u otra autoridad de control competente— en el plazo de 72 horas del artículo 33 RGPD, y la comunicación a los interesados del artículo 34 RGPD, corresponden al Responsable del Tratamiento, prestando el Encargado la asistencia razonable en los términos de la cláusula 4.5.

5.5. Cooperación

El Encargado cooperará de buena fe con el Responsable en la gestión del incidente, sin que ello implique reconocimiento de culpa o causalidad en su esfera, y se reservará el derecho a documentar de forma autónoma el incidente para sus propios fines de defensa legal y de cumplimiento.

CLÁUSULA 6. SUBENCARGADOS DE TRATAMIENTO

6.1. Autorización general previa

El Responsable autoriza con carácter general, conforme al artículo 28.2 RGPD, al Encargado a recurrir a subencargados de tratamiento para la prestación del Servicio, en particular:

(a) Proveedores de infraestructura cloud sitos en el Espacio Económico Europeo (EEE), tales como Amazon Web Services EMEA SARL, Google Cloud EMEA Limited, Microsoft Ireland Operations Limited y otros proveedores equivalentes, con datacenters preferentemente situados en regiones de la Unión Europea.
(b) Proveedores de servicios técnicos accesorios: monitorización, transaccionales de correo, sistemas antifraude, content delivery networks, copias de seguridad cifradas, telemetría y servicios de soporte.

6.2. Listado vigente y comunicación de cambios

La lista actualizada de subencargados autorizados se publicará en la sección de transparencia de la Plataforma o en documento accesible al Responsable. El Encargado comunicará al Responsable —con una antelación mínima de treinta (30) días naturales— cualquier cambio previsto en la incorporación o sustitución de subencargados, mediante notificación electrónica o publicación en el área correspondiente.

6.3. Derecho de oposición motivada

El Responsable podrá oponerse, en el referido plazo y por motivos legítimos y debidamente justificados vinculados a la protección de datos, a la incorporación o sustitución de un subencargado. La oposición sin motivos justificados, o cuyo efecto sea impedir al Encargado la prestación del Servicio en condiciones razonables, facultará al Encargado a:

(i) Proponer una alternativa razonable; o
(ii) En su defecto, considerar resuelto el Contrato por imposibilidad sobrevenida no imputable, con liquidación pro rata temporis y sin penalización para ninguna de las Partes.

6.4. Cadena de responsabilidad

El Encargado impondrá a sus subencargados, mediante contrato escrito o instrumento jurídico equivalente, las mismas obligaciones en materia de protección de datos que las estipuladas en el presente DPA, en particular en cuanto a garantías técnicas y organizativas suficientes, conforme al artículo 28.4 RGPD. El Encargado responderá frente al Responsable del incumplimiento por sus subencargados de las obligaciones de protección de datos.

CLÁUSULA 7. EJERCICIO DE DERECHOS DE LOS INTERESADOS (ARCO+)

7.1. Canalización al Responsable

Los derechos de los interesados (acceso, rectificación, supresión, oposición, limitación, portabilidad, decisiones automatizadas e información — "ARCO+") se ejercitan frente al Responsable del Tratamiento. El Encargado, si recibiera directamente una solicitud, se abstendrá de responder y trasladará la solicitud al Responsable dentro de las 72 horas siguientes a su recepción, sin perjuicio de informar al interesado de la persona competente para resolver.

7.2. Asistencia técnica

El Encargado pondrá a disposición del Responsable, dentro de las funcionalidades estándar de la Plataforma, las herramientas necesarias para localizar, exportar, rectificar, suprimir o limitar el tratamiento de datos de interesados concretos (búsquedas, exports, bulk delete, opt-out lists, etc.). Cuando el ejercicio requiera desarrollo a medida, intervención manual extensa o servicios profesionales adicionales, su coste se repercutirá conforme a la cláusula 4.5.

CLÁUSULA 8. CLÁUSULA REFORZADA DE OSINT, AGENTES IA Y RÉGIMEN HUMAN-IN-THE-LOOP

8.1. OSINT en CRM Cloud

8.1.1. El procesamiento de información obtenida por las utilidades OSINT (consulta de fuentes públicamente accesibles) en CRM Cloud se realiza única y exclusivamente bajo orden expresa del Responsable, materializada en la activación manual de la utilidad por parte de un Usuario Autorizado del Tenant.

8.1.2. Responsabilidad exclusiva del Tenant. El Responsable es único responsable de:

(i) Determinar la base de licitud (artículo 6 RGPD) aplicable al tratamiento ulterior de los datos OSINT recopilados;
(ii) Cumplir el deber de información del artículo 14 RGPD respecto de los interesados cuyos datos no se obtuvieron directamente de ellos;
(iii) Realizar, cuando proceda, el juicio ponderado de interés legítimo y dejar constancia del mismo;
(iv) Evitar el uso de OSINT para perfilados invasivos o tratamientos masivos sin base jurídica clara.

8.1.3. Exoneración del Encargado. DataGrowt actúa como mera pasarela técnica de consulta y agregación, sin determinar fines ni medios sustantivos del tratamiento de los datos OSINT, sin garantizar la exactitud de las fuentes y sin responder de las consecuencias del uso comercial que el Responsable haga de la información hallada.

8.2. Agentes/Cerebro — Régimen HITL

8.2.1. Tratamiento bajo control humano. Los Agentes IA integrados en la unidad Agentes/Cerebro son invocados manualmente por el Usuario Autorizado del Responsable y operan exclusivamente sobre datos personales del propio Tenant para producir Outputs IA en estado de borrador, sin transmisión automática a terceros.

8.2.2. No entrenamiento con datos del Tenant. Salvo consentimiento expreso, separado y revocable del Responsable, el Encargado no utilizará los datos personales del Tenant para entrenar modelos de inteligencia artificial generales propios o de terceros. Cuando el Encargado utilice métricas agregadas para mejoras de servicio, estas se someterán a un proceso de anonimización irreversible previo conforme al estado del arte.

8.2.3. Integraciones de IA de terceros activadas por el Tenant. Cuando el Responsable decida integrar APIs de terceros para enriquecer la funcionalidad de la Plataforma (por ejemplo, modelos generativos como los proporcionados por OpenAI, Anthropic, Google, Mistral u otros), el flujo de datos personales hacia dichos terceros se realiza bajo decisión soberana y exclusiva responsabilidad del Tenant, quien deberá:

(i) Suscribir directamente con el proveedor de IA el correspondiente acuerdo de encargo o relación contractual;
(ii) Realizar la Evaluación de Impacto en la Protección de Datos (artículo 35 RGPD) si fuera procedente;
(iii) Obtener las Cláusulas Contractuales Tipo (SCCs) aprobadas por la Comisión Europea (Decisión de Ejecución (UE) 2021/914) en caso de transferencia internacional fuera del EEE;
(iv) Implementar las medidas suplementarias que la jurisprudencia Schrems II y las directrices del Comité Europeo de Protección de Datos (EDPB) exijan.

8.2.4. Output IA imputado al Tenant. Una vez validado conscientemente, el Output IA queda jurídicamente imputado al Responsable, conforme al Capítulo III del ToS v2.0 (cláusulas 6 a 9). El Encargado no responde de la corrección material, licitud sectorial, idoneidad ni consecuencias del Output adoptado por el Tenant.

CLÁUSULA 9. ESCUDO DE RESPONSABILIDAD EN LA INYECCIÓN DE LEADS — AFFILIATION CLOUD

9.1. Configuración técnica

En el módulo Affiliation Cloud (Lead Brokerage / CPL), los Publishers contratados directamente por el Responsable inyectan registros de leads —fríos o calientes— mediante API, a través de un enlace único generado por el Tenant. El Encargado se limita a recibir, almacenar y enrutar técnicamente dichos registros conforme a la configuración del Responsable.

9.2. Garantía contractual del Tenant — Cláusula drástica

El Responsable declara, garantiza y se obliga —de forma irrevocable, esencial y como condición estructural del Contrato— que dispone, respecto de cada lead inyectado vía API por sus Publishers, de:

(i) Base de consentimiento explícito, específico, informado, libre, inequívoco, verificable y revocable (artículos 6.1.a) y 7 RGPD), o cualquier otra base de licitud válida que cubra el tratamiento posterior previsto;
(ii) Cláusula informativa por capas previa a la captación, conforme al artículo 13 RGPD;
(iii) Identificación de las cesiones a Advertisers y de las finalidades comerciales subsiguientes, cuando estas sean previsibles al momento de la captación;
(iv) Prueba documental conservada (logs, snapshots, IP, timestamp) susceptible de ser exhibida a la AEPD o a cualquier otra autoridad competente.

9.3. Pasarela técnica del Encargado

DataGrowt actúa única y exclusivamente como pasarela técnica de transporte, recepción, almacenamiento y enrutamiento de leads, sin validar, auditar ni verificar la efectiva existencia, suficiencia o licitud de la base de consentimiento de los leads inyectados. El Encargado no participa en la captación, no diseña los formularios ni se constituye en garante de las prácticas de los Publishers del Responsable.

9.4. Indemnidad reforzada

Si un lead inyectado careciese de base de licitud válida —y de ello derivasen inspecciones, requerimientos, expedientes sancionadores o resoluciones de la AEPD u otra autoridad competente, reclamaciones de interesados, comunicaciones a la autoridad por terceros, indemnizaciones civiles o cualquier otra consecuencia adversa—, el Responsable asumirá íntegra y exclusivamente toda responsabilidad, obligándose a mantener indemne a DataGrowt y a reembolsarle, en su caso, los costes razonables de defensa jurídica, multas erróneamente impuestas y daños reputacionales acreditados.

9.5. Suspensión preventiva

Ante indicios fundados de inyección masiva de leads sin base de licitud, el Encargado podrá suspender preventivamente la recepción de leads a través de la API afectada, sin que dicha suspensión genere derecho indemnizatorio alguno a favor del Responsable, y previa o coetánea comunicación al mismo.

CLÁUSULA 10. TRANSFERENCIAS INTERNACIONALES DE DATOS

10.1. Principio de tratamiento dentro del EEE

El Encargado tratará los datos personales del Responsable prioritariamente dentro del Espacio Económico Europeo (EEE) y se servirá de subencargados con infraestructura europea siempre que sea técnicamente viable.

10.2. Excepciones y régimen

Cuando, por necesidades técnicas (soporte 24/7, redundancia geográfica, integraciones específicas) o por decisión configurativa del Responsable, hubiera de producirse una transferencia internacional de datos a un país tercero o a una organización internacional fuera del EEE sin decisión de adecuación, las Partes garantizarán que se aplique uno de los siguientes mecanismos:

(i) Cláusulas Contractuales Tipo (SCCs) aprobadas por la Comisión Europea — Decisión de Ejecución (UE) 2021/914, en el módulo que corresponda;
(ii) Normas Corporativas Vinculantes (BCRs) aprobadas;
(iii) Códigos de conducta o mecanismos de certificación aprobados con compromisos vinculantes;
(iv) Supuestos del artículo 49 RGPD interpretados restrictivamente.

10.3. Integraciones de IA de terceros — Asunción por el Tenant

Conforme a la cláusula 8.2.3, cuando la transferencia internacional derive de integraciones de IA de terceros activadas por el Tenant (verbi gratia, OpenAI Inc., Anthropic PBC u otros), corresponderá al Responsable la suscripción de las SCCs y la implementación de las medidas suplementarias post-Schrems II. El Encargado prestará asistencia razonable, repercutiendo costes conforme a la cláusula 4.5.

10.4. Medidas suplementarias

Las Partes implementarán, cuando proceda, medidas suplementarias técnicas, organizativas y contractuales conforme a las Recomendaciones 01/2020 del EDPB, en particular cifrado robusto, pseudonimización, evaluaciones jurídicas del país destino y obligaciones reforzadas de transparencia ante requerimientos de autoridades extranjeras.

CLÁUSULA 11. DURACIÓN, DEVOLUCIÓN Y SUPRESIÓN DE LOS DATOS

11.1. Duración del encargo

El presente DPA se mantendrá vigente durante toda la duración del Contrato principal, sus prórrogas y el periodo de gracia regulado en el apartado siguiente.

11.2. Periodo de gracia para devolución o portabilidad

A la terminación del Contrato —por cualquier causa— el Encargado pondrá a disposición del Responsable, durante un periodo de gracia de treinta (30) días naturales, las funcionalidades de exportación y portabilidad de datos en formatos estructurados y de uso común (CSV, JSON o equivalente). Transcurrido dicho plazo sin que el Responsable haya completado la exportación, los datos quedarán sujetos al borrado seguro.

11.3. Borrado seguro

Finalizado el periodo de gracia —o antes, si el Responsable así lo solicita expresamente—, el Encargado procederá al borrado seguro y certificable de los datos personales del Responsable y de sus copias, conforme a estándares de la industria (por ejemplo, NIST SP 800-88 o equivalentes), incluidos los datos alojados en sistemas de copia de seguridad una vez expirados sus ciclos naturales de rotación, los cuales serán comunicados al Responsable a petición.

11.4. Excepción de bloqueo legal

Conforme al artículo 32 LOPDGDD, el Encargado podrá conservar bloqueados —es decir, accesibles únicamente para atender requerimientos de autoridades, jueces o tribunales— aquellos datos cuya conservación venga impuesta por norma legal imperativa española o de la Unión Europea (en particular, obligaciones fiscales, mercantiles, laborales, anti-money laundering, o de defensa frente a posibles reclamaciones durante los plazos de prescripción aplicables). El bloqueo se mantendrá durante el periodo legalmente exigido, transcurrido el cual los datos serán suprimidos.

11.5. Certificación

El Encargado emitirá, a petición razonable del Responsable, una certificación electrónica de borrado que identifique el alcance, fecha y método de la supresión, sin que ello incluya información que comprometa la seguridad técnica de DataGrowt.

CLÁUSULA 12. RESPONSABILIDAD, INDEMNIDAD Y LÍMITES

12.1. Régimen de responsabilidad RGPD

Cada Parte responderá conforme al artículo 82 RGPD por el incumplimiento de sus respectivas obligaciones. El Encargado responderá del incumplimiento de obligaciones específicamente impuestas a los encargados por el RGPD y de las instrucciones lícitas del Responsable.

12.2. Indemnidad recíproca y reforzada hacia el Encargado

Sin perjuicio del régimen del apartado anterior, el Responsable mantendrá indemne al Encargado frente a cualesquiera multas, sanciones, indemnizaciones, costes y daños derivados de:

(a) La introducción de datos sin base de licitud por el Responsable, sus Usuarios Autorizados o sus Publishers;
(b) El incumplimiento del deber de información del Responsable frente a sus interesados;
(c) La adopción y Validación Consciente de Outputs IA que resulten ilícitos, falsos o lesivos;
(d) El uso de OSINT contrario a las cláusulas 8.1 y siguientes;
(e) La inyección de leads sin consentimiento (cláusula 9);
(f) La activación de integraciones de IA de terceros sin SCCs o medidas suplementarias (cláusula 10.3).

12.3. Remisión al techo indemnizatorio del Contrato

Sin perjuicio del régimen erga omnes del artículo 82 RGPD frente a interesados, en las relaciones inter partes regirá el techo indemnizatorio del Capítulo VII del ToS v2.0, dejando a salvo los supuestos de dolo o culpa grave.

CLÁUSULA 13. RÉGIMEN FRENTE A AUTORIDADES DE CONTROL Y REQUERIMIENTOS JUDICIALES

13.1. Información mutua

Las Partes se informarán recíprocamente, sin dilación, de cualquier requerimiento, inspección o procedimiento iniciado por autoridades de control en relación con el tratamiento objeto de este DPA, salvo prohibición legal expresa, con el fin de articular una defensa coordinada cuando ello sea posible y procedente.

13.2. Requerimientos de autoridades extranjeras

El Encargado no transmitirá datos personales a autoridades de terceros países sin base jurídica suficiente (tratado internacional, mecanismo de cooperación o autorización judicial competente), notificando previamente al Responsable salvo prohibición expresa, en línea con el artículo 48 RGPD.

CLÁUSULA 14. DISPOSICIONES FINALES

14.1. Modificaciones

El presente DPA podrá modificarse para adaptarse a nuevas exigencias regulatorias, criterios de la AEPD/EDPB o resoluciones judiciales europeas relevantes (incluida la evolución post-Schrems), notificando los cambios al Responsable con preaviso razonable.

14.2. Idioma vinculante y traducciones

La versión vinculante es la castellana. Cualesquiera traducciones tienen carácter informativo.

14.3. Ley aplicable y jurisdicción

El presente DPA se rige por la legislación española y de la Unión Europea aplicable. Para la resolución de cualesquiera controversias derivadas del mismo, las Partes se someten expresamente, con renuncia a cualquier otro fuero, a los Juzgados y Tribunales de la ciudad de Valencia (España), en armonía con la cláusula 33 del ToS v2.0.

14.4. Integridad y prevalencia documental

En materia exclusiva de protección de datos personales, el presente DPA prevalece sobre el resto del Contrato. En el resto de materias, prevalece el ToS v2.0.

14.5. Aceptación

La aceptación del Contrato principal por el Responsable comporta, sin necesidad de firma manuscrita adicional, la aceptación íntegra del presente DPA, conforme a los principios de equivalencia funcional, click-wrap y browse-wrap admitidos en Derecho.

APÉNDICE 1 — DESCRIPCIÓN DETALLADA DEL TRATAMIENTO

Elemento	Detalle
Identificación del tratamiento	Prestación instrumental de la Plataforma affiliatracker (CRM, Affiliation, Marketing/Delivery, Lead Gen) y unidad Agentes/Cerebro bajo HITL.
Responsable	El Tenant que figura en la Orden de Servicio.
Encargado	DataGrowt Systems, S.L. (B-27650928).
Subencargados principales	Listado vigente publicado en el área de transparencia de la Plataforma.
Categorías de interesados	Cláusula 3.4.
Categorías de datos	Cláusula 3.2.
Naturaleza y finalidad	Cláusula 3.1.
Duración	Cláusula 11.1.

APÉNDICE 2 — MEDIDAS TÉCNICAS Y ORGANIZATIVAS DE SEGURIDAD (ART. 32 RGPD)

Sin perjuicio de la evolución conforme al estado del arte, el Encargado adopta, como mínimo, las medidas que se relacionan a continuación.

A. Confidencialidad e integridad.
- Cifrado de datos en tránsito (TLS 1.2+) y en reposo (AES-256 o equivalente).
- Gestión de claves criptográficas con rotación periódica.
- Política de control de accesos basada en roles (RBAC) y privilegio mínimo.
- Autenticación reforzada (MFA) para administradores y operadores.

B. Aislamiento lógico multitenant.
- Separación lógica de datos por tenant_id con validación en cada operación.
- Pruebas periódicas de no fuga entre tenants.

C. Disponibilidad y resiliencia.
- Copias de seguridad cifradas con plan de retención documentado.
- Plan de continuidad de negocio y recuperación ante desastres con RTO/RPO definidos.
- Monitorización 24/7 de seguridad e infraestructura.

D. Gestión de incidentes.
- Procedimiento documentado de detección, contención, erradicación, recuperación y lessons learned.
- Cumplimiento del régimen de notificación de la cláusula 5.

E. Personal.
- Compromiso escrito de confidencialidad de empleados y colaboradores.
- Formación periódica en protección de datos y seguridad.
- Política de fin de empleo con revocación inmediata de accesos.

F. Gestión de subencargados.
- Evaluación previa de proveedores.
- Acuerdos contractuales con cláusulas RGPD equivalentes.
- Revisión periódica de cumplimiento.

G. Seguridad del desarrollo.
- Ciclo de vida seguro (S-SDLC).
- Revisiones de código, análisis estático y dinámico, vulnerability scanning.
- Gestión de vulnerabilidades y parcheo.

H. Privacidad por diseño y por defecto (art. 25 RGPD).
- Minimización de datos en formularios estándar.
- Configuraciones de privacidad seguras por defecto.
- Régimen HITL como diseño nativo para los Agentes/Cerebro.

I. Pruebas y auditoría.
- Pruebas de penetración periódicas por terceros.
- Revisión interna anual del SGSI.
- Soporte documental para auditorías del Responsable conforme a la cláusula 4.6.

APÉNDICE 3 — LISTADO DE SUBENCARGADOS AUTORIZADOS (PLANTILLA)

Subencargado	Servicio prestado	Localización principal del tratamiento	Mecanismo de garantía (UE/SCCs)
[Proveedor cloud]	Hosting, almacenamiento, cómputo	UE (regiones a especificar)	Tratamiento dentro del EEE
[Proveedor de email transaccional]	Envío técnico de emails de Servicio	UE	DPA + medidas técnicas
[Proveedor de monitorización]	Observabilidad de la Plataforma	UE	DPA + cifrado
[Proveedor antifraude]	Detección de patrones anómalos	UE	DPA + minimización
(otros — listado actualizable)	—	—	—

El listado vigente se publica en la sección de transparencia de la Plataforma y se notifica conforme a la cláusula 6.2.

Aceptación. La activación de la cuenta y la utilización efectiva de la Plataforma por parte del Tenant manifiestan su aceptación íntegra, expresa y sin reservas del presente Acuerdo de Encargo de Tratamiento de Datos Personales (DPA), en su condición de Responsable del Tratamiento.

Por DATAGROWT SYSTEMS, S.L. (Encargado del Tratamiento)
D. Jose Luis Herrera Loaiza — Administrador Único
Valencia, España

Por el TENANT (Responsable del Tratamiento)
Aceptación vía click-wrap / activación de cuenta conforme al Contrato principal.