Preamble

DataGrowt Systems, S.L. operates the multitenant SaaS platform commercially known as affiliatracker. We are firmly committed to data protection, transparency, privacy-by-design and privacy-by-default (Article 25 GDPR). This Policy follows the layered information structure recommended by the AEPD: a brief, accessible Layer 1 summary and an exhaustive Layer 2 developing each item required by Article 13 GDPR and Article 11 LOPDGDD.

This Policy applies to: (i) visitors of the corporate website and public subdomains; (ii) prospects who fill in public contact, demo, support or marketing forms; (iii) Tenants (B2B clients) and their representatives; and (iv) end data subjects whose data is loaded or processed by a Tenant through the Service modules (CRM Cloud, Affiliation Cloud, Marketing/Delivery Cloud, Lead Gen Cloud) — where DataGrowt acts solely as Data Processor.

1. Data Controller (overview)

Identity: DATAGROWT SYSTEMS, S.L. — Tax ID B-27650928 — Calle Gonzalo Tejero Langarita 20, PB-O, 46026 Valencia (Spain).

Privacy / DPO contact: dpo@affiliatracker.com — Legal contact: legal@affiliatracker.com.

A Data Protection Officer is appointed under Articles 37 GDPR and 34 LOPDGDD, with functional independence.

2. Dual Approach — Multitenant Architecture (overview)

DataGrowt operates two legally distinct roles in respect of personal data:

• Block A — Data Controller: for data collected directly in its own corporate sphere (Tenant accounts, website visitors, contact-form prospects, B2B newsletter recipients, recruitment candidates).
• Block B — Data Processor: for data uploaded or processed by Tenants through the Service modules. DataGrowt does not determine the purposes nor exploit such data; processing is carried out exclusively on the Tenant's documented instructions under Article 28 GDPR.

3. AI & OSINT Transparency (overview)

Per Article 50 AI Act, all AI features ("Agents/Brain") are clearly labelled and operate under Human-in-the-Loop (HITL) control. DataGrowt does not carry out automated profiling with legal effects on data subjects in its own name. OSINT utilities in CRM Cloud are activated exclusively by the Tenant under its own lawful basis (Articles 6 and 14 GDPR). DataGrowt does not train models with identifiable Tenant data.

4. Anti-Spam & Lawful Lead Capture (overview)

DataGrowt enforces zero tolerance to spam under Article 21 LSSI-CE and Article 22 LSSI-CE for cookies. The Tenant must guarantee a valid lawful basis for every recipient, must operate functional unsubscribe links, and bears full regulatory liability for any unlawful sending. Reports of abuse: abuse@affiliatracker.com.

5. Data Subject Rights (overview)

Access, rectification, erasure, opposition, restriction, portability, and the right not to be subject to solely automated individual decisions with legal effects (Articles 15–22 GDPR). Direct contact: dpo@affiliatracker.com. Right to lodge a complaint with the Spanish Data Protection Agency (AEPD), www.aepd.es.

6. Sub-processors & International Transfers (overview)

Processing is performed preferentially within the EEA. Where ancillary transfers occur to third countries, they are covered by Standard Contractual Clauses (Decision 2021/914) and supplementary post-Schrems II measures (encryption at rest, key management, transfer impact assessment). The current list of authorised sub-processors is available upon request at dpo@affiliatracker.com.

Sections 7–12 · Skeleton

Sections 7 (Security — TOMs per Article 32 GDPR), 8 (Cookies — reference to the Cookie Policy), 9 (Minors — service not directed to children below 18), 10 (Changes), 11 (Applicable law — Spain, Valencia courts), and 12 (Contact) are fully developed in the binding Spanish version. For the working English translation of any specific section, contact legal@affiliatracker.com.

PREÁMBULO Y COMPROMISO CORPORATIVO

DATAGROWT SYSTEMS, S.L. (en adelante, "DataGrowt"), titular de la plataforma SaaS multitenant comercializada bajo la marca "affiliatracker", ha sido constituida y opera bajo un compromiso firme y verificable con la protección de los datos personales, la transparencia informativa, la privacy-by-design y la privacy-by-default exigidas por el artículo 25 del RGPD.

La presente Política de Privacidad (en adelante, la "Política") se redacta conforme a la estructura de información por capas preconizada por la Agencia Española de Protección de Datos (AEPD), de modo que el interesado disponga de una primera capa breve, clara y accesible —orientativa— y de una segunda capa exhaustiva y técnicamente rigurosa que desarrolla cada extremo del artículo 13 del RGPD y del artículo 11 de la LOPDGDD.

Esta Política se aplica a:
- (i) Los visitantes del sitio web corporativo y de los subdominios públicos de affiliatracker;
- (ii) Los prospectos que cumplimentan formularios públicos de contacto, demostración, soporte o marketing;
- (iii) Los Tenants (clientes B2B que contratan el SaaS) y sus representantes en el alta y vida de la relación;
- (iv) Los interesados finales cuyos datos sean cargados o procesados por un Tenant a través de los módulos del Servicio (CRM Cloud, Affiliation Cloud, Marketing/Delivery Cloud y Lead Gen Cloud), respecto de los cuales DataGrowt actúa como mero Encargado del Tratamiento.

CAPA 1 — INFORMACIÓN BÁSICA RESUMEN (TABLA AEPD)

CAPA 2 — INFORMACIÓN AMPLIADA Y DESARROLLADA

SECCIÓN 1. IDENTIFICACIÓN DEL RESPONSABLE DEL TRATAMIENTO

1.1. Datos del Responsable

1.2. Delegado de Protección de Datos

DataGrowt mantiene designado un Delegado de Protección de Datos (DPO) conforme al artículo 37 del RGPD y al artículo 34 de la LOPDGDD, con independencia funcional para el ejercicio de sus competencias, accesible permanentemente en la dirección dpo@affiliatracker.com para cualquier cuestión relativa a privacidad, ejercicio de derechos o seguridad de los datos personales.

SECCIÓN 2. ENFOQUE DUAL DEL TRATAMIENTO — ARQUITECTURA MULTITENANT

DataGrowt opera con dos roles jurídicamente diferenciados sobre los datos personales que circulan por su ecosistema. Esta dualidad es estructural y se mantiene en todo momento separada, tanto técnica como contractualmente. Comprenderla es esencial para que cualquier interesado pueda identificar correctamente al verdadero responsable de un determinado tratamiento.

BLOQUE A — DataGrowt como RESPONSABLE DEL TRATAMIENTO

DataGrowt actúa como Responsable del Tratamiento —es decir, determina por sí los fines y medios— únicamente sobre los datos personales que recoge directamente en su esfera corporativa propia, en los siguientes flujos:

2.A.1. Tenants que crean una cuenta y operan la suscripción

Datos tratados. Datos identificativos y de contacto del Tenant y de sus representantes (denominación social, NIF/CIF, persona de contacto, cargo, correo electrónico profesional, teléfono, dirección postal/fiscal), datos de facturación (forma de pago, cuenta bancaria o tarjeta tokenizada, importes facturados), datos técnicos de la cuenta (credenciales cifradas, MFA, logs de acceso administrativo) y metadatos de la suscripción (plan, módulos activos, fechas, consumos).

Finalidades.
- (i) Alta, mantenimiento, gestión y ejecución del contrato de prestación del Servicio SaaS;
- (ii) Facturación, cobro, gestión de impagos y obligaciones contables;
- (iii) Soporte técnico, comunicación operativa y atención al cliente;
- (iv) Cumplimiento de obligaciones legales fiscales, mercantiles y de prevención del blanqueo de capitales cuando proceda;
- (v) Defensa frente a posibles reclamaciones.

Base legal.
- Artículo 6.1.b) RGPD — ejecución del contrato del que el Tenant es parte (o medidas precontractuales a petición del Tenant).
- Artículo 6.1.c) RGPD — cumplimiento de obligaciones legales aplicables a DataGrowt (Código de Comercio, Ley General Tributaria, normativa de prevención del blanqueo, etc.).
- Artículo 6.1.f) RGPD — interés legítimo en la seguridad de la cuenta, prevención del fraude, defensa jurídica y gestión interna de la relación contractual.

Plazos de conservación.
- Datos contractuales: durante la vigencia del contrato y la suscripción.
- Datos contables y fiscales: bloqueados durante los plazos legales aplicables, en particular seis (6) años conforme al artículo 30 del Código de Comercio para libros y documentos contables, y los cinco (5) años generales de prescripción tributaria de la Ley General Tributaria (artículo 66), prevaleciendo el más largo cuando concurran.
- Datos para defensa jurídica: hasta la prescripción de las acciones aplicables.

2.A.2. Visitantes del sitio web corporativo

Datos tratados. Dirección IP, identificadores técnicos del dispositivo y navegador, user agent, fecha y hora de la visita, páginas visitadas, eventos de navegación, referrer, datos derivados de cookies propias y de terceros activadas por el visitante (conforme a la Política de Cookies — Anexo VI).

Finalidades.
- (i) Funcionamiento técnico del sitio web;
- (ii) Analítica web agregada y mejora de la experiencia de usuario;
- (iii) Seguridad informática, prevención de ataques, anti-DDoS, gestión de incidentes;
- (iv) Estadísticas sobre uso del sitio;
- (v) Personalización no invasiva del contenido cuando proceda.

Base legal.
- Artículo 6.1.f) RGPD — interés legítimo en la seguridad y el correcto funcionamiento del sitio (cookies estrictamente necesarias y medidas de seguridad).
- Artículo 6.1.a) RGPD y artículo 22 LSSI-CE — consentimiento del visitante para cookies analíticas, de personalización o publicitarias, recabado mediante el banner de cookies.

Plazos. Los plazos específicos de retención por tipo de cookie figuran en la Política de Cookies (Anexo VI). Logs de seguridad: hasta doce (12) meses por defecto, salvo investigación de incidente.

2.A.3. Personas que contactan a través de formularios web, demos, soporte o canales públicos

Datos tratados. Nombre y apellidos, empresa, cargo, correo electrónico profesional, teléfono, mensaje y datos voluntariamente facilitados por el interesado en el formulario, así como metadatos técnicos asociados (IP, fecha y hora, user agent, prueba documental del consentimiento).

Finalidades.
- (i) Atender y responder a la consulta o solicitud recibida;
- (ii) Gestionar la solicitud de demostración del Servicio o de información comercial;
- (iii) En su caso, dar continuidad comercial al contacto profesional B2B;
- (iv) Estadísticas anónimas sobre el origen y temática de las consultas.

Base legal.
- Artículo 6.1.a) RGPD — consentimiento expreso del interesado, otorgado mediante casilla específica y no premarcada, libre, específico, informado e inequívoco, conforme al artículo 7 RGPD.
- Artículo 6.1.b) RGPD — medidas precontractuales a petición del interesado, cuando la consulta sea instrumental a la eventual contratación.
- Artículo 6.1.f) RGPD — interés legítimo en la respuesta a contactos comerciales B2B y en la prevención del spam en los propios formularios.

Plazos.
- Mientras dure la gestión de la consulta;
- Plazo adicional razonable para evaluación de oportunidad comercial (máximo doce (12) meses salvo nueva interacción del interesado);
- Bloqueo posterior por defensa jurídica durante los plazos de prescripción.

2.A.4. Comunicaciones B2B propias de DataGrowt (newsletter, eventos, novedades de producto)

Datos tratados. Correo electrónico profesional y, en su caso, nombre, empresa y cargo del destinatario.

Finalidades. Envío de comunicaciones B2B sobre novedades del producto affiliatracker, contenidos formativos, invitaciones a eventos y materiales corporativos.

Base legal.
- Artículo 6.1.a) RGPD y artículo 21.1 LSSI-CE — consentimiento expreso recabado en el momento de la suscripción a la newsletter;
- Artículo 21.2 LSSI-CE — comunicaciones comerciales electrónicas dirigidas a clientes actuales sobre productos o servicios similares a los previamente contratados, con cobertura legal específica y posibilidad efectiva e inmediata de oposición.

Mecanismo de baja. Cada comunicación incluye un mecanismo gratuito, accesible y permanente de baja (unsubscribe) conforme al artículo 22.1 LSSI-CE; alternativamente, podrá ejercerse en cualquier momento mediante correo a dpo@affiliatracker.com.

Plazos. Hasta que el interesado retire su consentimiento o ejercite oposición.

2.A.5. Candidatos en procesos de selección (en su caso)

Datos tratados. Datos curriculares facilitados voluntariamente por el candidato.

Base legal. Consentimiento (art. 6.1.a RGPD) y medidas precontractuales (art. 6.1.b RGPD).

Plazos. Máximo dos (2) años desde la presentación de la candidatura, salvo retirada anterior del consentimiento.

BLOQUE B — DataGrowt como ENCARGADO DEL TRATAMIENTO

Declaración expresa de gran relevancia para los interesados finales:

Cuando una persona —ya sea consumidor, profesional o cualquier otro sujeto— rellena un formulario alojado en una landing page publicada por un Tenant de affiliatracker, recibe un correo de marketing enviado a través de la Plataforma, es objeto de seguimiento en el CRM de un Tenant o forma parte de un programa de afiliación operado por un Tenant, el responsable jurídico de ese tratamiento es el propio Tenant (la empresa o profesional que ha contratado el SaaS y opera la cuenta), no DataGrowt.

DataGrowt actúa, en esos casos, única y exclusivamente como Encargado del Tratamiento conforme al artículo 28 del RGPD y al Acuerdo de Encargo de Tratamiento (DPA — Anexo II al ToS v2.0), limitándose a poner a disposición la infraestructura técnica multitenant, sin determinar los fines ni los medios sustantivos del tratamiento, sin explotar los datos para finalidades propias y sin venderlos ni cederlos comercialmente a terceros distintos de los subencargados técnicos autorizados.

2.B.1. Naturaleza instrumental de la Plataforma

DataGrowt opera affiliatracker como un middleware tecnológico multitenant cuyas funciones se reducen a:

• (a) Proveer al Tenant el entorno lógico aislado en el que pueda cargar, gestionar, segmentar y operar sus propios datos;
• (b) Permitir la integración técnica con sus Publishers, Advertisers, leads y destinatarios;
• (c) Ejecutar las órdenes técnicas que el Tenant configure (envíos, trackings, formularios, scoring, etc.);
• (d) Almacenar y respaldar los datos del Tenant con las medidas de seguridad del artículo 32 RGPD descritas en el Apéndice 2 del DPA.

2.B.2. Módulos y atribución de responsabilidad

2.B.3. Ejercicio de derechos por los interesados finales — Canalización al Tenant

Los interesados cuyos datos hayan sido recabados o tratados a través de la actividad de un Tenant en cualquier módulo deberán dirigir el ejercicio de sus derechos directamente al Tenant administrador correspondiente —cuyos datos de contacto deben figurar, conforme al artículo 13 y 14 del RGPD, en la cláusula informativa del formulario, campaña o canal específico mediante el cual se recabaron sus datos—.

Si el interesado se dirigiera por error a DataGrowt, el DPO le informará razonadamente y, en la medida en que disponga de información suficiente, le indicará el Tenant administrador competente, sin perjuicio de tramitar internamente la solicitud al amparo de la cláusula 7 del DPA (canalización al Responsable en 72 horas).

2.B.4. No explotación de datos del Tenant para fines propios

DataGrowt no utilizará los datos personales que el Tenant introduzca en la Plataforma para:
- (a) Ofrecerlos a terceros con fines comerciales;
- (b) Construir bases de datos comercializables;
- (c) Realizar marketing propio dirigido a los interesados finales del Tenant;
- (d) Entrenar modelos de IA con datos identificables.

El único uso permitido es el estrictamente necesario para prestar el Servicio y, en su caso, la utilización de metadatos operativos anonimizados de forma irreversible al amparo de la cláusula 18 (Aprendizaje Algorítmico Automatizado) del ToS v2.0 — quedando estos últimos fuera del ámbito material del RGPD conforme al Considerando 26.

SECCIÓN 3. TRATAMIENTO REFORZADO DE INTELIGENCIA ARTIFICIAL Y OSINT — TRANSPARENCIA *AI ACT*

3.1. Información transparente del uso de IA (artículo 50 AI Act)

En cumplimiento del artículo 50 del Reglamento (UE) 2024/1689 (AI Act), DataGrowt informa de forma clara y transparente que la Plataforma affiliatracker incorpora componentes de inteligencia artificial integrados en la unidad transversal denominada "Agentes/Cerebro".

Estos componentes operan siempre y en todo caso bajo régimen Human-in-the-Loop (HITL), lo que significa:

• (i) Los Agentes IA no tienen autonomía decisoria. No envían correos, no validan campañas, no exportan datos, no ejecutan operaciones con efectos frente a terceros por sí solos.
• (ii) Su función se limita a asistir, sugerir, analizar, prediseñar y diagnosticar sobre datos del propio Tenant que los invoca.
• (iii) Cada output algorítmico exige una invocación manual y una Validación Consciente del Usuario Autorizado del Tenant antes de surtir cualquier efecto.
• (iv) Una vez validados, los outputs IA quedan jurídicamente imputados al Tenant como acto propio.

3.2. Ausencia de perfilados automatizados con efectos jurídicos en nombre de DataGrowt

DataGrowt no realiza, en nombre propio, decisiones automatizadas individuales —incluida la elaboración de perfiles— que produzcan efectos jurídicos sobre los interesados o les afecten significativamente de modo similar, en el sentido del artículo 22 del RGPD.

Los procesos asistidos por IA en la Plataforma (sugerencia de correos, scoring de leads, optimización de horarios de envío, análisis predictivo de campañas, copiloto de diseño) operan como herramientas instrumentales al servicio del Tenant, sin que DataGrowt extraiga inferencias autónomas con efectos sobre los interesados finales.

Cuando un Tenant decida configurar sus propios procesos de scoring o segmentación con efectos relevantes sobre interesados, será éste —y no DataGrowt— quien deba cumplir las obligaciones de transparencia, supervisión humana cualificada y, en su caso, evaluación de impacto del artículo 22 RGPD y de la normativa AI Act.

3.3. Utilidades OSINT del módulo CRM Cloud — Bajo orden exclusiva del Tenant

El módulo CRM Cloud incorpora utilidades de OSINT (Open Source Intelligence) que permiten consultar fuentes públicamente accesibles de Internet para enriquecer fichas de cuentas y contactos profesionales.

DataGrowt declara expresamente que:
- (a) Estas utilidades se activan exclusivamente por orden e instrucción manual del Tenant, mediante invocación expresa de un Usuario Autorizado;
- (b) DataGrowt actúa como mera pasarela técnica de consulta y agregación, sin determinar finalidad ni medios sustantivos;
- (c) Es responsabilidad exclusiva del Tenant disponer de la base de licitud aplicable al tratamiento ulterior de los datos OSINT recopilados (artículos 6 y 14 RGPD), realizar el juicio de ponderación de interés legítimo cuando proceda, y cumplir el deber sobreviniente de información del artículo 14 RGPD a los interesados afectados;
- (d) DataGrowt no garantiza la exactitud, actualidad o licitud específica de las fuentes consultadas, ni la idoneidad de la información para una finalidad concreta.

3.4. Sin entrenamiento de modelos con datos identificables del Tenant

Conforme a la cláusula 18 del ToS v2.0 y la cláusula 8.2.2 del DPA, DataGrowt no utiliza los datos personales del Tenant para entrenar modelos generales de IA propios o de terceros. La mejora algorítmica de la Plataforma se realiza únicamente con metadatos y métricas operativas sometidos a anonimización irreversible conforme al Dictamen 05/2014 del Grupo de Trabajo del Artículo 29 y a las directrices del EDPB, lo que sitúa estos datos fuera del ámbito material del RGPD (Considerando 26).

3.5. Integraciones de IA de terceros activadas por el Tenant

Cuando el Tenant decida integrar APIs de terceros (verbi gratia, OpenAI Inc., Anthropic PBC, Google, Mistral u otros proveedores), la transferencia de datos hacia dichos terceros se realiza bajo decisión soberana y exclusiva responsabilidad del Tenant, quien deberá suscribir directamente con el proveedor el correspondiente acuerdo y, en su caso, las Cláusulas Contractuales Tipo (SCCs) y medidas suplementarias post-Schrems II exigibles.

SECCIÓN 4. POLÍTICA DE TOLERANCIA CERO AL SPAM Y CAPTACIÓN LÍCITA DE LEADS

4.1. Compromiso público

DataGrowt mantiene una política pública y verificable de tolerancia cero al spam y a las prácticas de captación ilícita de leads, sin perjuicio del régimen contractual estricto al que somete a sus Tenants en virtud del ToS v2.0.

4.2. Prohibiciones contractuales drásticas

Conforme a las cláusulas 14.6, 15.2, 15.8 y 26.1 del ToS v2.0, queda terminantemente prohibido a los Tenants utilizar la Plataforma para:

• (a) Enviar comunicaciones electrónicas comerciales sin base de licitud o sin las garantías del artículo 21 LSSI-CE;
• (b) Cargar, importar o utilizar listas adquiridas, alquiladas o intercambiadas sin base jurídica específica;
• (c) Cargar, importar o utilizar listas obtenidas mediante scraping de redes sociales, directorios web o plataformas de Internet sin consentimiento de los interesados;
• (d) Utilizar listas filtradas o sustraídas ilícitamente, con independencia de su accesibilidad fáctica;
• (e) Inyectar fake leads, tráfico fraudulento, click farms, cookie stuffing o cualquier práctica fraudulenta en Affiliation Cloud.

La inobservancia de cualquiera de estas prohibiciones constituye incumplimiento esencial y faculta a DataGrowt a la suspensión inmediata del módulo y la resolución unilateral del contrato sin reembolso ni indemnización (cláusula 26 del ToS v2.0).

4.3. Mecanismos técnicos de cumplimiento — Unsubscribe obligatorio

El módulo Marketing/Delivery Cloud integra, como dotación técnica nativa y no desactivable, los siguientes mecanismos de cumplimiento:

• (i) Inclusión obligatoria de enlace de desuscripción (unsubscribe) en cada comunicación comercial electrónica, conforme al artículo 22.1 LSSI-CE y a las mejores prácticas internacionales (CAN-SPAM, RFC 8058, List-Unsubscribe en cabecera, one-click unsubscribe);
• (ii) Lista de supresión global que impide reactivar contactos que hayan ejercido previamente su baja;
• (iii) Validación SPF/DKIM/DMARC para identificación del remitente;
• (iv) Umbrales técnicos de envío y monitorización de tasas de queja con suspensión automática preventiva ante indicios de abuso;
• (v) Identificación del remitente y etiquetado "PUBLI" o equivalente exigible al Tenant cuando proceda;
• (vi) Registro probatorio de envíos, aperturas, bajas y quejas, exhibible a la autoridad cuando proceda.

4.4. Atribución de responsabilidad regulatoria al Tenant

Las sanciones que la AEPD u otras autoridades de control competentes puedan imponer por denuncias de spam, comunicaciones ilícitas, cookies no conformes o captación irregular de leads recaerán íntegramente sobre el Tenant en su condición de Responsable del Tratamiento, sin perjuicio del derecho de repetición de DataGrowt si fuera erróneamente identificada como corresponsable.

4.5. Canal de denuncia de abusos

Cualquier interesado, autoridad o tercero podrá comunicar a DataGrowt el uso aparentemente abusivo de la Plataforma por algún Tenant en la dirección abuse@affiliatracker.com (o, subsidiariamente, dpo@affiliatracker.com). DataGrowt investigará la denuncia diligentemente y, sin desvelar la identidad del Tenant salvo requerimiento legítimo de autoridad, adoptará las medidas correctivas que procedan.

SECCIÓN 5. DERECHOS DE LOS INTERESADOS (ARCO+) Y VÍA AEPD

5.1. Derechos reconocidos

Los interesados pueden ejercer, en los términos de los artículos 15 a 22 del RGPD y artículos 12 a 18 de la LOPDGDD, los siguientes derechos:

• (a) Acceso (art. 15 RGPD) — Obtener confirmación sobre si se están tratando sus datos personales y, en su caso, acceder a los mismos y a la información complementaria.
• (b) Rectificación (art. 16 RGPD) — Solicitar la corrección de datos inexactos o incompletos.
• (c) Supresión / "derecho al olvido" (art. 17 RGPD) — Solicitar la supresión de los datos cuando concurra alguna de las causas legalmente previstas.
• (d) Oposición (art. 21 RGPD) — Oponerse al tratamiento cuando concurra base legítima específica, en particular frente a la mercadotecnia directa.
• (e) Limitación del tratamiento (art. 18 RGPD) — Solicitar la limitación en los casos legalmente previstos.
• (f) Portabilidad (art. 20 RGPD) — Recibir los datos en formato estructurado, de uso común y lectura mecánica.
• (g) No ser objeto de decisiones automatizadas (art. 22 RGPD) — Derecho a no ser objeto de decisiones individuales automatizadas, incluida la elaboración de perfiles, con efectos jurídicos significativos. DataGrowt no realiza, en nombre propio, decisiones automatizadas de este tipo (sección 3.2).
• (h) Retirar el consentimiento otorgado, en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada.

5.2. Distinción entre Bloque A y Bloque B — Foro competente

• (i) Tratamientos del Bloque A (DataGrowt como Responsable): los interesados (Tenants, visitantes web, prospectos, suscriptores de newsletter, candidatos) deberán dirigirse directamente a DataGrowt a través de los canales descritos en el apartado 5.3.
• (ii) Tratamientos del Bloque B (DataGrowt como Encargado): los interesados finales cuyos datos hayan sido recabados o tratados por un Tenant deberán dirigirse al Tenant administrador correspondiente, conforme a la canalización de la cláusula 7 del DPA. Si se dirigieran por error a DataGrowt, su solicitud será trasladada al Tenant en plazo de 72 horas.

5.3. Cauce procedimental para el ejercicio frente a DataGrowt

5.4. Reclamación ante la autoridad de control — AEPD

Sin perjuicio de cualquier otra vía judicial o administrativa, el interesado tiene derecho a presentar una reclamación ante la autoridad de control competente, en España, la Agencia Española de Protección de Datos (AEPD), especialmente cuando considere que el tratamiento no se ajusta a la normativa o cuando no haya recibido una respuesta satisfactoria.

Antes de presentar reclamación ante la AEPD, DataGrowt invita al interesado a contactar previamente con el DPO para intentar una resolución amistosa, sin que ello suponga renuncia ni demora al derecho de reclamación.

5.5. Derecho a la tutela judicial efectiva

El interesado conserva, en todo caso, su derecho a la tutela judicial efectiva conforme al artículo 79 del RGPD y a la legislación procesal aplicable.

SECCIÓN 6. SUBPROCESADORES, ALMACENAMIENTO Y TRANSFERENCIAS INTERNACIONALES

6.1. Principio de tratamiento en el Espacio Económico Europeo (EEE)

DataGrowt diseña su arquitectura técnica de modo que los datos personales se traten prioritariamente en datacenters ubicados dentro del Espacio Económico Europeo (EEE), recurriendo a proveedores cloud de primer nivel con regiones europeas (Amazon Web Services EMEA SARL, Google Cloud EMEA Limited, Microsoft Ireland Operations Limited y equivalentes), bajo acuerdos de encargo de tratamiento robustos y certificaciones reconocidas (ISO 27001, ISO 27017, ISO 27018, SOC 2, etc.).

6.2. Categorías de subencargados (subprocesadores)

El listado actualizado de subencargados se publica en el área de transparencia de la Plataforma y se notifica conforme a la cláusula 6.2 del DPA.

6.3. Transferencias internacionales — Régimen y salvaguardas

Cuando, por necesidades técnicas, de soporte 24/7, redundancia geográfica o integraciones específicas, hubiera de producirse una transferencia internacional accesoria de datos personales a un país tercero sin decisión de adecuación de la Comisión Europea, DataGrowt aplicará alguna de las siguientes garantías conforme al Capítulo V del RGPD:

• (i) Cláusulas Contractuales Tipo (SCCs) aprobadas por la Comisión Europea — Decisión de Ejecución (UE) 2021/914, en el módulo aplicable (Responsable/Encargado);
• (ii) Normas Corporativas Vinculantes (BCRs) aprobadas;
• (iii) Códigos de conducta o mecanismos de certificación con compromisos vinculantes;
• (iv) Supuestos del artículo 49 RGPD interpretados restrictivamente.

Adicionalmente, DataGrowt implementará, cuando proceda, medidas suplementarias técnicas, organizativas y contractuales conforme a las Recomendaciones 01/2020 del EDPB y la jurisprudencia Schrems II (cifrado robusto extremo a extremo, pseudonimización, evaluación jurídica del país destino, obligaciones reforzadas de transparencia ante requerimientos extranjeros).

6.4. Transferencias derivadas de integraciones activadas por el Tenant

Cuando una transferencia internacional sea consecuencia directa de una integración de terceros activada por el Tenant (modelos de IA generativa, plataformas de marketing externas, conectores específicos), corresponderá al Tenant, en su condición de Responsable del Tratamiento, suscribir las SCCs necesarias y desplegar las medidas suplementarias exigidas, conforme a la cláusula 10.3 del DPA.

6.5. Disponibilidad de la información sobre garantías

Las copias de las salvaguardas adoptadas (SCCs vigentes, evaluaciones, certificaciones) podrán solicitarse al DPO en dpo@affiliatracker.com.

SECCIÓN 7. SEGURIDAD DEL TRATAMIENTO

DataGrowt aplica medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, conforme al artículo 32 del RGPD, considerando el estado de la técnica, los costes de aplicación, la naturaleza, alcance, contexto y fines del tratamiento. Las medidas concretas se documentan en el Apéndice 2 del DPA (Anexo II) e incluyen, entre otras:

• Cifrado en tránsito (TLS 1.2+) y en reposo (AES-256 o equivalente);
• Autenticación multifactor (MFA) obligatoria para administradores;
• Control de accesos basado en roles (RBAC) y privilegio mínimo;
• Aislamiento lógico estricto entre Tenants;
• Copias de seguridad cifradas y plan de continuidad de negocio;
• Monitorización 24/7, gestión de vulnerabilidades, ciclo S-SDLC;
• Procedimiento documentado de gestión de incidentes y notificación de brechas en plazo máximo de 72 horas (cláusula 5 del DPA).

SECCIÓN 8. INFORMACIÓN ESPECÍFICA SOBRE COOKIES

El sitio web de DataGrowt utiliza cookies propias y de terceros con distintas finalidades (técnicas, analíticas, de personalización y, en su caso, publicitarias). El régimen detallado, identificación de las cookies concretas, duración y mecanismos de gestión del consentimiento se contiene en la Política de Cookies — Anexo VI, accesible permanentemente desde el banner de cookies y desde el pie de página del sitio.

SECCIÓN 9. MENORES DE EDAD

DataGrowt opera un servicio dirigido a profesionales y empresas (B2B) y no recopila intencionalmente datos personales de menores de edad. Si se constatara que se han recogido datos de un menor sin la cobertura legal del artículo 7 LOPDGDD (consentimiento del titular de la patria potestad o tutela para menores de 14 años), DataGrowt procederá a su supresión inmediata. Cualquier persona que detecte tal circunstancia podrá comunicarlo al DPO.

SECCIÓN 10. MODIFICACIONES DE LA POLÍTICA

DataGrowt podrá modificar la presente Política para adaptarla a cambios normativos, jurisprudenciales, regulatorios (en particular criterios de la AEPD o del EDPB) o evolución de los servicios. Las modificaciones sustanciales se comunicarán mediante aviso visible en el sitio web y, cuando proceda, mediante notificación electrónica a los Tenants. La fecha de la última actualización figura en el encabezado.

SECCIÓN 11. LEY APLICABLE Y FUERO

La presente Política se rige por la legislación española y por la normativa de la Unión Europea directamente aplicable. Cualesquiera controversias relativas a la interpretación o ejecución de la Política se someterán al fuero de los Juzgados y Tribunales de la ciudad de Valencia (España), en armonía con la cláusula 33 del ToS v2.0, sin perjuicio del derecho del interesado a presentar reclamación ante la AEPD y a la tutela judicial efectiva.

SECCIÓN 12. CONTACTO

Para cualquier cuestión relativa a la presente Política, al ejercicio de derechos o a la protección de datos personales en general, el interesado puede dirigirse a:

• Delegado de Protección de Datos (DPO): dpo@affiliatracker.com
• Departamento jurídico-contractual: legal@affiliatracker.com
• Comunicación postal: DataGrowt Systems, S.L. — Att. DPO — Calle Gonzalo Tejero Langarita, 20, PB-O, 46026 Valencia (España).

DataGrowt Systems, S.L.
D. Jose Luis Herrera Loaiza — Administrador Único
Valencia, España — 18 de mayo de 2026