Preamble

This document (the "Terms" or "Agreement") governs, on a contractual, binding and exclusive basis, the access to, contracting of, configuration and use of the technology platform commercially known as "affiliatracker" (the "Platform" or "Service"), owned by DATAGROWT SYSTEMS, S.L. ("DataGrowt", the "Operator" or the "Service Provider").

The Platform is designed, marketed and operated as a multitenant Software-as-a-Service technological infrastructure aimed exclusively at B2B commercial traffic, whose essential function is to act as an instrumental orchestration layer (middleware) between the professionals and companies contracting the Service (Tenants) and the third parties with whom such Tenants maintain their own and autonomous commercial relationships (Publishers, Advertisers, subscribers, leads, contacts and similar).

DataGrowt expressly declares, and the Tenant acknowledges and accepts without reservation upon activation of its account, that the Platform does not constitute, in any case, an economic, financial, advertising, commercial, fiduciary, marketing, affiliate, brokerage or substantive data processing agent with respect to the operations carried out by the Tenant through it, but rather a mere instrumental technological tool.

Acceptance of these Terms constitutes the perfection of a mercantile contract between professionals under Spanish law, including but not limited to Articles 50 et seq. of the Spanish Commercial Code, Articles 1.254 et seq. of the Spanish Civil Code, Law 34/2002 (LSSI-CE), Regulation (EU) 2016/679 (GDPR), Spanish Organic Law 3/2018 (LOPDGDD) and Regulation (EU) 2024/1689 (AI Act).

Chapter I — Provider Identification & Definitions

Service Provider

DATAGROWT SYSTEMS, S.L. — Spanish limited liability company — Tax ID B-27650928 — Registered office: Calle Gonzalo Tejero Langarita, 20, PB-O, 46026 Valencia (Spain) — Registered in the Valencia Commercial Registry (sheet V-234235) — Commercial brand: affiliatracker — Legal contact: legal@affiliatracker.com — DPO/Privacy: dpo@affiliatracker.com — Legal representative: Mr. Jose Luis Herrera Loaiza, Sole Director.

Key Definitions

• "Platform" or "Service": The multitenant SaaS solution including CRM Cloud, Affiliation Cloud, Marketing Cloud, Lead Gen Cloud and the cross-functional AI unit "Agents/Brain".
• "Operator": DataGrowt Systems, S.L., as technical provider and legal owner of the Service.
• "Tenant": Any legal entity, sole trader or professional that contracts the Service under subscription and is assigned an isolated logical space. The Tenant is the Data Controller over personal data introduced into the Platform.
• "Authorized User": Any natural person granted credentials by the Tenant to operate within its space. Their actions are legally imputed to the Tenant in full.
• "Publisher" / "Advertiser": Third parties external to the contract between DataGrowt and the Tenant, with direct and exclusive commercial relationships with the Tenant.
• "Middleware": Functional characterisation of the Platform as a technical interposition layer with no substantive market position.
• "AI Agent" / "Brain Agent": Software components based on algorithmic/statistical/machine-learning models whose function is exclusively to assist, suggest, analyse, pre-draft or diagnose, always operating under Human-in-the-Loop (HITL).
• "AI Output": Any suggestion, template, prediction, analysis, score, draft communication or recommendation generated by an AI Agent at the express invocation of an Authorized User.
• "Conscious Validation": An express, positive and unequivocal act by which the Authorized User assumes the AI Output as its own, duly logged with timestamp, user ID and hash.
• "OSINT": Instrumental techniques for querying publicly available sources; activation and use are subject to the Tenant's professional judgement and lawful basis (Art. 6 and 14 GDPR).
• "Spam": Commercial electronic communications without a valid lawful basis or pre-existing contractual relationship under Article 21.2 LSSI-CE.
• "DPA": Data Processing Agreement under Article 28 GDPR, included as Annex II.

Chapters II — X · Skeleton (informational)

The remaining chapters of the ToS — Object & Middleware Nature, Reinforced AI / HITL Clause, Module-Specific Regime, Tenant Obligations & Prohibitions, Intellectual Property, Liability Caps, Term & Termination, Data Protection (reference to Privacy Policy and DPA), and Applicable Law & Spanish Forum — are set out in the binding Spanish version. The Operator's substantive position remains that of a technological middleware, with the Tenant retaining 100% of operational, civil, administrative and privacy liability arising from its use of the Platform.

For the full English working translation of any specific clause, please contact legal@affiliatracker.com.

Annex II · Data Processing Agreement (skeleton)

Annex II implements Article 28 GDPR. DataGrowt acts as Processor; the Tenant acts as Controller. Key clauses: (1) Parties, (2) Object & Scope, (3) Processing Specification, (4) Processor Obligations, (5) Breach Notification (Art. 33 GDPR, within 48h to the Controller), (6) Sub-processors (general prior authorisation with reasoned objection right), (7) Data Subject Rights (channelled to the Controller), (8) Reinforced OSINT & HITL AI clause, (9) Lead Injection Liability Shield (Affiliation Cloud), (10) International Data Transfers (EEA principle, SCCs where applicable), (11) Term, Return & Deletion (NIST SP 800-88), (12) Liability & Indemnity, (13) Public Authorities & Judicial Requests, (14) Final Provisions. Three Appendices: (1) Detailed Processing, (2) TOMs Article 32, (3) Authorised Sub-processor list.

Annex III · Acceptable Use Policy (skeleton)

Annex III governs acceptable use of the Platform: (I) Object & Scope, (II) System Security & Integrity (no unauthorised pentesting, no logical isolation bypass, no malware injection, no resource abuse, no scraping), (III) Affiliation Cloud Anti-fraud Regime (cookie-stuffing, click-injection, bot-traffic, etc.), (IV) Marketing/Delivery Cloud Anti-spam Regime (zero tolerance, consent proofs, prohibited content, quantitative quality thresholds with automated suspension, SPF/DKIM/DMARC), (V) Enforcement (precautionary suspension, automated immediate suspension cases, immediate termination, cooperation with authorities, internal blocklists, evidentiary traceability), (VI) Final Provisions and Coherence & Technical Primacy disposition.

PREÁMBULO

El presente documento (en adelante, los "Términos" o el "Contrato") regula, con carácter contractual, vinculante y exclusivo, el acceso, contratación, configuración y utilización de la plataforma tecnológica denominada comercialmente "affiliatracker" (en adelante, la "Plataforma" o el "Servicio"), titularidad de DATAGROWT SYSTEMS, S.L. (en adelante, indistintamente, "DataGrowt", el "Operador" o el "Prestador del Servicio").

La Plataforma se concibe, diseña, comercializa y opera como una infraestructura tecnológica de tipo Software-as-a-Service multitenant orientada exclusivamente al tráfico comercial B2B (Business-to-Business), cuya función esencial es la de actuar como capa instrumental de orquestación (middleware) entre los profesionales y empresas que contratan el Servicio (Tenants) y los terceros con los que dichos Tenants mantienen relaciones comerciales propias y autónomas (Publishers, Advertisers, suscriptores, leads, contactos, prospectos y similares).

DataGrowt declara expresamente, y el Tenant reconoce y acepta sin reservas mediante la activación de su cuenta, que la Plataforma no constituye, en ningún caso, un agente económico, financiero, publicitario, comercial, fiduciario, de marketing, de afiliación, de intermediación o de tratamiento sustantivo de datos respecto de las operaciones que el Tenant desarrolle a través de ella, sino una mera herramienta tecnológica instrumental cuyo gobierno, control finalístico, parametrización, configuración, ejecución, supervisión y validación corresponden de modo íntegro, exclusivo y excluyente al propio Tenant.

La aceptación de los presentes Términos —por acción inequívoca de marcar la casilla habilitada al efecto, mediante click-wrap, browse-wrap, ejecución de la primera operación válida, o por cualquier otro medio admitido en Derecho que acredite manifestación de voluntad— constituye perfeccionamiento de un contrato mercantil entre profesionales al amparo de los artículos 50 y siguientes del Código de Comercio español, los artículos 1.254 y siguientes del Código Civil, la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI-CE), el Reglamento (UE) 2016/679 (RGPD), la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) y el Reglamento (UE) 2024/1689 sobre Inteligencia Artificial (AI Act), en lo que resulte de aplicación.

Quien no esté en condiciones de aceptar íntegramente, sin reservas ni matizaciones unilaterales, el contenido obligacional del presente Contrato, deberá abstenerse de utilizar la Plataforma o de continuar su uso.

CAPÍTULO I. DATOS IDENTIFICATIVOS DEL PRESTADOR Y DEFINICIONES

Cláusula 1. Identificación del Prestador del Servicio

A los efectos de lo dispuesto en el artículo 10 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico, y demás normativa concordante, se hace constar:

DataGrowt Systems, S.L. es única y exclusiva titular de todos los derechos de explotación comercial, técnica, intelectual e industrial sobre la Plataforma affiliatracker, incluyendo —sin carácter limitativo— el código fuente, los algoritmos, los modelos entrenados, las marcas, los signos distintivos, las interfaces gráficas, las arquitecturas multitenant, la documentación técnica y los flujos de datos diseñados.

Cláusula 2. Definiciones

A los efectos del presente Contrato, los términos siguientes, escritos con inicial mayúscula, tendrán el significado que se les asigna a continuación, ya se utilicen en singular o en plural:

2.1. "Plataforma" o "Servicio". La solución tecnológica integral Software-as-a-Service multitenant comercializada por DataGrowt bajo la denominación affiliatracker, incluyendo sus módulos CRM Cloud, Affiliation Cloud, Marketing Cloud, Lead Gen Cloud y la unidad transversal de inteligencia artificial denominada Agentes/Cerebro, junto con sus interfaces, APIs, paneles de administración, almacenes lógicos y servicios accesorios.

2.2. "Operador". DataGrowt Systems, S.L., en su condición de prestador técnico y titular jurídico del Servicio.

2.3. "Tenant". Cualquier persona jurídica, empresario individual, profesional o entidad asimilada que contrata el Servicio bajo modalidad de suscripción y a la que se le asigna un espacio lógico aislado (tenant) con credenciales administrativas. El Tenant ostenta la condición de Responsable del Tratamiento sobre los datos personales que introduzca, recolecte, importe o procese a través de la Plataforma, salvo pacto expreso en contrario debidamente documentado en el correspondiente Anexo de Encargado de Tratamiento (DPA).

2.4. "Usuario Autorizado". Toda persona física a la que el Tenant haya conferido credenciales de acceso para operar en su nombre dentro de su espacio lógico, con independencia del rol funcional asignado. Las acciones de los Usuarios Autorizados se imputan jurídicamente al Tenant en su totalidad.

2.5. "Publisher". Tercero, persona física o jurídica, externo a la relación contractual entre DataGrowt y el Tenant, que mantiene una relación comercial directa, autónoma y exclusiva con el Tenant orientada a la difusión, captación, redirección o promoción de tráfico, leads o conversiones, y cuyas credenciales —si las hubiera— son emitidas y gestionadas íntegramente por el Tenant.

2.6. "Advertiser". Tercero, persona física o jurídica, externo a la relación contractual entre DataGrowt y el Tenant, anunciante o titular de la oferta comercial, que mantiene relación comercial directa, autónoma y exclusiva con el Tenant y cuyas campañas, ofertas, payouts, comisiones, términos económicos y cumplimiento normativo son responsabilidad exclusiva del propio Tenant y del Advertiser, sin intervención sustantiva del Operador.

2.7. "Middleware". Carácter funcional de la Plataforma como capa tecnológica de interposición técnica entre los actores económicos del Tenant (Publishers, Advertisers, leads, contactos), sin que dicha interposición técnica genere para el Operador posición sustantiva, comercial, financiera o fiduciaria alguna en las relaciones de mercado del Tenant.

2.8. "Agente IA" o "Agente del Cerebro". Componente de software integrado en el módulo transversal Agentes/Cerebro, basado en modelos algorítmicos, estadísticos o de aprendizaje automático, cuya funcionalidad consiste exclusivamente en asistir, sugerir, analizar, prediseñar o diagnosticar, y que opera siempre y en todo caso bajo régimen de Human-in-the-Loop (HITL), careciendo por diseño de autonomía decisoria, ejecutiva o de despliegue automático.

2.9. "Output IA". Cualquier sugerencia, plantilla, predicción, análisis, score, borrador de comunicación, fragmento de texto, recomendación táctica, scoring de lead, propuesta de diseño, secuencia de email u otro producto algorítmico generado por un Agente IA a instancia y bajo invocación expresa del Usuario Autorizado.

2.10. "Validación Consciente". Acto positivo, expreso e inequívoco mediante el cual el Usuario Autorizado, tras revisar visualmente un Output IA, ejecuta un click o acción equivalente —debidamente registrada por la Plataforma con timestamp, identificador de usuario y hash del contenido— que materializa la asunción jurídica y operativa del referido Output como acto propio del Tenant.

2.11. "OSINT" (Open Source Intelligence). Conjunto de técnicas instrumentales de consulta, agregación y enriquecimiento de información obtenida de fuentes públicamente accesibles (registros mercantiles abiertos, redes profesionales públicas, whois, prensa, web abierta) que la Plataforma puede facilitar como utilidades de investigación. Su activación y uso quedan sometidos íntegramente al juicio profesional del Tenant y al cumplimiento por su parte de la base de licitud aplicable (artículos 6 y 14 RGPD).

2.12. "Spam". Toda comunicación electrónica comercial dirigida a destinatarios respecto de los cuales el Tenant carezca de base de licitud, consentimiento previo, válido, informado, específico y revocable, o relación contractual previa con la cobertura del artículo 21.2 LSSI-CE.

2.13. "Datos del Tenant". Conjunto de informaciones, registros, contactos, leads, métricas, configuraciones, integraciones, creatividades y demás contenidos que el Tenant —directamente o a través de sus Usuarios Autorizados, Publishers o Advertisers— introduzca, importe, sincronice o genere en la Plataforma.

2.14. "DPA". Data Processing Agreement o Anexo de Encargado de Tratamiento, suscrito en cumplimiento del artículo 28 RGPD, que regula el tratamiento por cuenta de terceros que pudiera realizar DataGrowt en su condición técnica de Encargado, sin alterar la atribución sustantiva de responsabilidad descrita en el presente Contrato.

2.15. "Cláusula HITL". Régimen contractual descrito en el Capítulo III conforme al cual la totalidad de las funcionalidades algorítmicas del Servicio operan bajo control humano significativo, supervisado y trazable.

CAPÍTULO II. OBJETO DEL CONTRATO, NATURALEZA INSTRUMENTAL DEL SERVICIO Y AJENEIDAD DEL OPERADOR

Cláusula 3. Objeto

3.1. El objeto del presente Contrato es regular el acceso y uso —en régimen de suscripción remota, no exclusivo, intransferible y revocable— de la Plataforma affiliatracker, conforme al plan de servicio contratado, así como articular el régimen de derechos, obligaciones y responsabilidades entre las Partes.

3.2. La contraprestación, plazos, niveles de servicio (SLA), límites técnicos, capacidades de almacenamiento, número de Usuarios Autorizados, módulos activos y demás condiciones económico-técnicas se regirán por la Orden de Servicio y/o por la página de planes vigente en el momento de la contratación, que se incorporan al presente Contrato por remisión, formando parte inseparable del mismo.

Cláusula 4. Naturaleza estrictamente instrumental (Middleware multitenant)

4.1. Carácter de herramienta. La Plataforma es —y será calificada a todos los efectos contractuales, civiles, mercantiles, administrativos, fiscales y reputacionales— una herramienta de software puesta a disposición, sin que su utilización por el Tenant transmute en ningún caso al Operador en agente económico, comercial, publicitario, mandatario, gestor, fiduciario, comisionista, mediador, asesor, consultor, partner comercial, broker o garante de las operaciones que el Tenant celebre con terceros.

4.2. Ausencia de intervención sustantiva. DataGrowt no interviene en: (i) la negociación, perfeccionamiento o ejecución de los contratos entre el Tenant y sus Publishers, Advertisers, suscriptores, leads o cualesquiera terceros; (ii) la fijación de comisiones, payouts, precios o condiciones económicas; (iii) la verificación material de las ofertas, productos o servicios comercializados por el Tenant; (iv) la calificación crediticia, solvencia o reputación de los terceros con los que el Tenant decida operar; (v) la liquidación, pago o reclamación de saldos entre el Tenant y dichos terceros.

4.3. Aislamiento lógico multitenant. El Servicio opera en arquitectura multitenant con segregación lógica de datos por Tenant. Cada Tenant es soberano en su espacio, no pudiendo acceder DataGrowt al contenido material del mismo salvo en los supuestos tasados de mantenimiento técnico, seguridad, requerimiento legítimo de autoridad o necesidad operativa documentada, y siempre con observancia del principio de minimización y confidencialidad reforzada.

Cláusula 5. Ajeneidad del Operador a las relaciones comerciales del Tenant

5.1. Exención total de responsabilidad inter-partes. El Tenant declara, reconoce y acepta de forma expresa, irrevocable e inequívoca que DataGrowt es un tercero absolutamente ajeno a cualquier relación, negocio jurídico, controversia, deuda, incumplimiento, daño o perjuicio que pudiera surgir, generarse o derivarse entre el Tenant y sus Publishers, entre el Tenant y sus Advertisers, entre Publishers y Advertisers entre sí cuando interactúen a través del Tenant, o entre el Tenant y cualquier lead, contacto, suscriptor o destinatario de comunicaciones.

5.2. Indemnidad reforzada. El Tenant se obliga a mantener indemne a DataGrowt frente a cualesquiera reclamaciones —judiciales, extrajudiciales, administrativas, arbitrales o reputacionales— iniciadas por Publishers, Advertisers, leads, suscriptores, autoridades de control, competidores o cualquier tercero, que tengan su origen, directo o indirecto, en: (i) el uso que el Tenant haga de la Plataforma; (ii) los contenidos, ofertas o comunicaciones que distribuya; (iii) las decisiones comerciales que adopte; (iv) la veracidad o licitud de los datos que cargue; (v) la concurrencia de bases de licitud para el tratamiento; (vi) el cumplimiento de obligaciones tributarias, mercantiles o sectoriales en su actividad de afiliación, marketing o captación.

5.3. No constitución de figuras jurídicas asimiladas. La relación entre el Operador y el Tenant no constituye, en ningún caso, contrato de agencia (Ley 12/1992), comisión mercantil (artículos 244 y siguientes del Código de Comercio), mandato (artículos 1.709 y siguientes del Código Civil), joint venture, cuenta en participación, sociedad civil, ni relación laboral, fiduciaria o de representación de ningún tipo.

5.4. Marca y reputación. El uso de la Plataforma no autoriza al Tenant a presentar a DataGrowt como partner comercial, garante, validador o avalista de su modelo de negocio ni a invocar la marca affiliatracker frente a terceros con finalidad distinta de la mera identificación de la herramienta tecnológica utilizada.

CAPÍTULO III. CLÁUSULA REFORZADA DE INTELIGENCIA ARTIFICIAL — RÉGIMEN HUMAN-IN-THE-LOOP

Cláusula 6. Calificación jurídica y técnica de los Agentes/Cerebro

6.1. Naturaleza estrictamente asistencial. Los componentes algorítmicos integrados en la unidad transversal denominada Agentes/Cerebro son, a todos los efectos contractuales y normativos —incluido el Reglamento (UE) 2024/1689 sobre Inteligencia Artificial—, sistemas de IA de propósito asistencial, diagnóstico y propositivo, expresamente diseñados, configurados y desplegados para operar bajo control humano significativo, continuo y trazable.

6.2. Carencia absoluta de autonomía. Los Agentes IA carecen, por diseño técnico y por estipulación contractual expresa, de toda capacidad de autodespliegue, autoejecución, autoenvío, autoremitencia, automatización ciega o ejecución autónoma de actos jurídicos, comerciales, comunicacionales o de tratamiento sustantivo. No producen, por sí mismos, efectos jurídicos frente a terceros ni desencadenan, por sí solos, comunicaciones comerciales, envíos masivos, mensajes a destinatarios externos, modificación de bases de datos productivas o ejecución de campañas.

6.3. Función exclusiva. La función de los Agentes IA queda limitada, de forma taxativa y cerrada, a las siguientes operaciones internas: (i) sugerir borradores, plantillas y propuestas de contenido; (ii) realizar análisis estadístico, scoring o segmentación de leads; (iii) calcular o estimar métricas de email marketing o conversiones; (iv) prediseñar plantillas de diseño web, landing pages o creatividades; (v) emitir diagnósticos o recomendaciones tácticas de optimización; (vi) asistir en la redacción de comunicaciones de seguimiento.

Cláusula 7. Régimen obligatorio de invocación manual y Validación Consciente

7.1. Invocación manual por clic. Toda funcionalidad de los Agentes/Cerebro exige, como condición técnica y jurídica de activación, una acción positiva, expresa, manual y deliberada del Usuario Autorizado, materializada mediante clic, pulsación, comando o equivalente en la interfaz habilitada al efecto. No existe —y no podrá habilitarse contractualmente, salvo modificación expresa, escrita y firmada— ningún flujo de ejecución de IA disparado por mero paso del tiempo, evento del sistema o automatismo cron sin trazabilidad de invocación humana.

7.2. Doble paso obligatorio: Generar y Validar. El flujo operativo de cualquier Output IA se descompone, sin excepción, en dos actos jurídicos diferenciados:

• (a) Generación asistida. El Usuario invoca el Agente y obtiene un Output IA en un espacio de previsualización, sin efecto frente a terceros.
• (b) Validación Consciente. El Usuario revisa el Output, ejerce su juicio profesional, y —solo si lo estima procedente— ejecuta una acción expresa de validación (envío, publicación, guardado en producción, exportación), momento en que el Output abandona la órbita asistencial y se incorpora plenamente a la esfera jurídica del Tenant como acto propio.

7.3. Aplicación específica. El régimen del apartado anterior se aplica, sin que la enumeración sea exhaustiva, a: (i) Correos de seguimiento y secuencias de email; (ii) Análisis y scoring de leads; (iii) Métricas, dashboards e informes de email marketing; (iv) Plantillas y prediseños de páginas web, landing o creatividades; (v) Mensajes salientes a terceros por cualquier canal integrado.

7.4. Trazabilidad probatoria. La Plataforma registrará, en logs inalterables o equivalentes razonables del estado del arte, cada acto de invocación y cada acto de Validación Consciente, incluyendo identificador de Usuario, timestamp, hash del Output y resultado de la acción. Dichos registros constituirán prueba preconstituida a favor del Operador frente a cualquier alegación de actuación autónoma de la IA.

Cláusula 8. Imputación jurídica íntegra de los Outputs al Tenant

8.1. Adopción como acto propio. El Tenant reconoce, asume y se obliga a aceptar contractualmente que, una vez ejecutada la Validación Consciente, todo Output IA queda jurídicamente imputado al Tenant en su totalidad, como si hubiera sido redactado, diseñado, calculado o decidido por un empleado humano del propio Tenant, sin que pueda invocar frente a DataGrowt, frente a terceros, frente a autoridades de control o frente a tribunales la condición algorítmica del origen del contenido como causa de exoneración, mitigación, suspensión o reducción de su responsabilidad civil, mercantil, administrativa, penal o reputacional.

8.2. Revisión profesional obligatoria. Es obligación esencial y permanente del Tenant —y la asume como elemento estructural del Contrato— revisar críticamente, verificar materialmente y validar profesionalmente cada Output IA antes de su Validación, especialmente en lo relativo a: (i) veracidad fáctica y ausencia de hallucinations; (ii) cumplimiento de la normativa publicitaria, sectorial, fiscal y de competencia desleal; (iii) respeto de los derechos de propiedad intelectual e industrial de terceros; (iv) inexistencia de contenidos discriminatorios, engañosos o ilícitos; (v) cumplimiento del régimen RGPD aplicable al destinatario.

8.3. Exoneración explícita del Operador. DataGrowt no garantiza, ni puede razonablemente garantizar, la corrección, exactitud, completitud, actualidad o licitud específica de los Outputs IA en relación con el contexto comercial concreto del Tenant. Los Outputs se prestan "tal cual" (as is) y "según disponibilidad" (as available), sin garantía implícita de adecuación a un propósito particular, conforme a la vendor neutrality admitida en el tráfico jurídico B2B.

Cláusula 9. Cumplimiento del Reglamento (UE) 2024/1689 (AI Act)

9.1. Clasificación. A juicio diligente del Operador, la Plataforma no constituye, en su configuración actual y bajo el régimen HITL aquí pactado, un sistema de IA de alto riesgo en los términos del Anexo III del AI Act, al limitarse a funciones de productividad asistencial bajo control humano efectivo. No obstante, ambas Partes reconocen que la calificación pudiera variar según el uso material que el Tenant haga del Servicio.

9.2. Obligación de uso conforme. El Tenant se obliga a no utilizar los Agentes IA para fines prohibidos por el artículo 5 del AI Act (manipulación subliminal, social scoring indebido, identificación biométrica remota no autorizada, etc.) ni para finalidades clasificables como de alto riesgo sin haber implementado, por su cuenta y riesgo, los controles, evaluaciones de impacto, registros y supervisión humana cualificada exigidos por el referido Reglamento.

9.3. Transparencia. El Operador informa de que existe interacción con un sistema de IA en los puntos de la interfaz donde dicha interacción se produce, cumpliendo así la obligación de transparencia del artículo 50 del AI Act. La transmisión de dicha información a los destinatarios finales —cuando el Output IA salga de la órbita interna del Tenant— corresponde al Tenant como Responsable.

CAPÍTULO IV. RÉGIMEN ESPECÍFICO POR MÓDULO OPERATIVO

Cláusula 10. Módulo CRM Cloud

10.1. Objeto del módulo. CRM Cloud es el módulo destinado a la creación y gestión del flujo de contactos comerciales, prospectos, cuentas, oportunidades, órdenes de compra a clientes y pedidos a proveedores, integrados en un único entorno unificado. Incorpora herramientas auxiliares de enriquecimiento de información a partir de fuentes públicamente accesibles (OSINT).

10.1.bis Funciones de IA invocables en CRM Cloud (sujetas íntegramente al régimen HITL del Capítulo III). El Tenant, mediante invocación manual expresa, podrá utilizar las siguientes funcionalidades asistenciales:

• (i) Seguimiento de inactividad. Alerta meramente informativa que computa el tiempo transcurrido desde el último contacto con una cuenta y notifica al Usuario. No genera, por sí sola, ninguna comunicación saliente.
• (ii) Sugerencia de correos de seguimiento. Análisis del histórico de mensajes de la cuenta para producir un borrador de comunicación, que se entrega al Usuario en estado de previsualización. El envío se subordina a la Validación Consciente del Usuario en los términos de la cláusula 7.
• (iii) Investigación OSINT. En el alta o enriquecimiento de la ficha de empresa o contacto, el Agente podrá consultar fuentes públicas de Internet y precargar campos. La incorporación efectiva al CRM de los datos hallados queda subordinada a la revisión y aceptación del Usuario, en los términos de la cláusula 10.3.

10.2. Responsabilidad de carga de datos. El Tenant es único Responsable del Tratamiento sobre los contactos, leads, cuentas y registros que cargue, importe o sincronice en su CRM, garantizando ostentar base de licitud válida (artículo 6 RGPD) para cada tratamiento y haber cumplido —cuando proceda— las obligaciones de información del artículo 14 RGPD para datos no obtenidos directamente del interesado.

10.3. Régimen específico OSINT.

• (a) Las utilidades OSINT integradas en CRM Cloud constituyen herramientas instrumentales de consulta y agregación de información ya públicamente disponible. El Operador no garantiza la exactitud, actualidad o licitud específica de las fuentes consultadas.
• (b) El Tenant asume íntegra y exclusivamente la responsabilidad de: (i) verificar la legitimidad del tratamiento de la información recabada vía OSINT, particularmente cuando dicha información incluya datos personales; (ii) realizar el juicio de ponderación de interés legítimo cuando proceda invocarlo como base de licitud; (iii) cumplir el deber de información sobreviniente del artículo 14 RGPD; (iv) abstenerse de utilizar las herramientas OSINT para finalidades incompatibles con el principio de limitación de la finalidad o que puedan vulnerar derechos de terceros, incluyendo la prohibición de elaboración de perfiles invasivos o de tratamientos masivos sin base jurídica clara.
• (c) El uso de OSINT con finalidad de due diligence mercantil sobre personas jurídicas se entiende preferentemente al amparo del interés legítimo, lo que no exime al Tenant de las obligaciones del apartado (b).

10.4. Exoneración del Operador. DataGrowt no responde de: (i) la exactitud material de los datos enriquecidos vía OSINT; (ii) las consecuencias del contacto que el Tenant inicie con personas identificadas mediante dichas herramientas; (iii) las reclamaciones de derechos por parte de los interesados, que se canalizarán hacia el Tenant en su condición de Responsable.

Cláusula 11. Módulo Affiliation Cloud — Lead Brokerage / CPL — Régimen tripartito de acceso

11.1. Objeto del módulo. Affiliation Cloud es la unidad funcional especializada en Lead Brokerage / CPL (Cost Per Lead), dedicada a la orquestación técnica de programas de afiliación, captación e intermediación de leads, tracking de conversiones, gestión de campañas y liquidación lógica de comisiones entre los actores económicos del Tenant. Los Publishers inyectan los registros (leads fríos o calientes) a través de API, mediante un enlace único generado por el Usuario de la cuenta maestra (Tenant).

11.1.bis Funciones de IA en Affiliation Cloud (régimen HITL). El módulo Agentes/Cerebro podrá ofrecer al Tenant —siempre bajo invocación expresa— funcionalidades de analítica predictiva sobre las métricas de los registros enviados, con el objeto de generar reportes personalizados (por ejemplo, qué campañas convierten mejor para un producto determinado). Estos reportes tienen valor exclusivamente informativo y no constituyen recomendación financiera, inversora ni vinculante.

11.2. Tres perfiles de acceso jurídicamente separados. El módulo opera con tres niveles de acceso, lógicamente segregados y jurídicamente diferenciados:

• (a) Perfil "Tenant" (Administrador del programa). Único interlocutor contractual de DataGrowt. Ostenta la totalidad de los privilegios administrativos, configura el programa de afiliación, define las reglas económicas, las creatividades, los trackings y los criterios de aceptación de Publishers y Advertisers. Es Responsable del Tratamiento sobre la totalidad de los datos personales del módulo y asume las obligaciones de información a los participantes.
• (b) Perfil "Publisher". Credencial subordinada generada por el Tenant para que un tercero afiliado acceda a las funcionalidades operativas que el Tenant decida habilitarle (paneles de campaña, materiales, estadísticas propias). El Publisher no es parte del Contrato entre DataGrowt y el Tenant; su relación contractual se circunscribe a la que mantenga directamente con el Tenant, que será único responsable de aceptarlo, vetarlo, suspenderlo, abonarle comisiones, retenerle pagos o reclamarle incumplimientos.
• (c) Perfil "Advertiser". Credencial subordinada generada por el Tenant para que un anunciante acceda a la información de su campaña, validar conversiones, supervisar trackings o aportar materiales. El Advertiser tampoco es parte del Contrato entre DataGrowt y el Tenant; sus términos con el Tenant son materia exclusivamente bilateral entre ambos.

11.3. Exención total de responsabilidad triangular. DataGrowt no responde, bajo ningún concepto, de: (i) la veracidad de las conversiones reportadas; (ii) los litigios por fraude de tráfico, click fraud, cookie stuffing, typosquatting u otras prácticas indebidas; (iii) los impagos del Advertiser al Tenant ni del Tenant al Publisher; (iv) las disputas sobre interpretación de los términos de campaña; (v) la cualificación fiscal de las comisiones; (vi) la observancia por Publishers y Advertisers de la normativa publicitaria, fiscal, sectorial o de protección al consumidor de la jurisdicción del destinatario final.

11.4. Sistema antifraude. El Operador podrá ofrecer —cuando así lo prevea el plan contratado— herramientas asistenciales de detección de patrones anómalos. Estas herramientas tendrán naturaleza meramente informativa y no relevarán al Tenant de la diligencia debida en el control de su programa, ni convertirán al Operador en garante de la integridad del tráfico.

Cláusula 12. Módulo Marketing o Delivery Cloud — Tolerancia cero al Spam y analítica directa

12.1. Objeto. Marketing o Delivery Cloud (en lo sucesivo, "Marketing Cloud") es la infraestructura de envío masivo de email marketing, e incluye la subida de listas de contactos, las funcionalidades de segmentación, la creación y disparo de campañas, las plantillas de comunicación, los workflows de nutrición y la analítica directa (no inferida) sobre el comportamiento de los destinatarios.

12.1.bis Funciones de IA en Marketing Cloud (régimen HITL). Bajo invocación manual del Usuario, los Agentes IA podrán operar como herramienta de diagnóstico y mejora que analiza exclusivamente métricas directas (cantidad enviada vs. cantidad abierta vs. cantidad clicada) para sugerir cambios en las líneas de asunto o en las horas de envío de mejor rendimiento. Estas sugerencias no se aplicarán a campañas en producción sin Validación Consciente del Usuario.

12.2. Cumplimiento LSSI-CE y RGPD por el Tenant. El Tenant garantiza, bajo su exclusiva responsabilidad, que cada comunicación comercial electrónica emitida a través del módulo cumple con: (i) el artículo 21 LSSI-CE (consentimiento previo expreso o relación contractual previa cualificada con productos/servicios similares y posibilidad efectiva de oposición); (ii) el artículo 22 LSSI-CE sobre uso de cookies y dispositivos de almacenamiento o recuperación; (iii) los artículos 6, 7, 13 y 21 RGPD; (iv) los artículos 21 y 22 LOPDGDD; (v) los preceptos sobre identificación del remitente, etiquetado "PUBLI" o equivalente y mecanismo gratuito de baja en cada envío.

12.3. Tolerancia cero al Spam.

• (a) Se prohíbe terminantemente al Tenant utilizar Marketing Cloud para el envío de comunicaciones comerciales no solicitadas o Spam según la definición de la cláusula 2.12.
• (b) El Operador implementará controles técnicos razonables (umbrales de envío, monitorización de tasas de queja, listas de supresión global, validación SPF/DKIM/DMARC) y se reserva el derecho a suspender de forma inmediata, total o parcialmente, el módulo ante indicios fundados de incumplimiento, sin que dicha suspensión genere derecho indemnizatorio alguno a favor del Tenant.
• (c) Las listas de bajas y supresión son inviolables. La reactivación de contactos previamente dados de baja constituirá incumplimiento esencial del Contrato.

12.4. Analítica directa. Las métricas y analítica proporcionadas son resultado del procesamiento directo de eventos del propio módulo (aperturas, clics, rebotes, bajas). DataGrowt no responde de la interpretación comercial que el Tenant realice de tales métricas ni de las decisiones de negocio que adopte sobre la base de las mismas.

12.5. Imputación de responsabilidad regulatoria. Las sanciones de la AEPD u otras autoridades competentes derivadas de denuncias por Spam, comunicaciones ilícitas o cookies no conformes recaerán íntegramente sobre el Tenant en su condición de Responsable, sin perjuicio del derecho de repetición de DataGrowt si fuera erróneamente identificada como corresponsable.

Cláusula 13. Módulo Lead Gen Cloud — Constructor visual, formularios y bases de licitud

13.1. Objeto. Lead Gen Cloud es un constructor visual de páginas web y formularios de registro destinado a la captación directa de usuarios del público y a su posterior distribución o venta vía API a Advertisers. Permite la creación, despliegue, integración y gestión de formularios de captación de leads, landing pages y mecanismos de recogida de datos vinculados.

13.1.bis Funciones de IA en Lead Gen Cloud (régimen HITL). Los Agentes IA podrán actuar, bajo invocación expresa del Usuario, como copiloto de diseño estructural y estético, sugiriendo maquetaciones, plantillas, paletas o elementos visuales. Las sugerencias se generan en estado de borrador y exigen Validación Consciente para su publicación o despliegue efectivo.

13.2. Diseño normativo del formulario por el Tenant. El Tenant es único responsable de la configuración jurídicamente conforme de cada formulario, incluyendo de modo no limitativo:

• (a) Cláusula informativa por capas (artículos 13 RGPD y 11 LOPDGDD): identificación del Responsable, finalidades, base jurídica, destinatarios, transferencias internacionales, plazos, derechos del interesado y vía para ejercitarlos.
• (b) Mecanismo de consentimiento granular, libre, específico, informado e inequívoco cuando esa sea la base de licitud, evitando casillas premarcadas y consentimientos agrupados.
• (c) Diferenciación clara entre tratamientos necesarios para la prestación, comunicaciones comerciales, perfilado y cesión a terceros.
• (d) Verificación de edad cuando el destino del formulario pueda incluir menores, con el régimen reforzado del artículo 7 LOPDGDD.
• (e) Política de privacidad y, en su caso, política de cookies accesibles desde el propio formulario.

13.3. Bases de licitud. El Tenant declara y garantiza que dispondrá de la base de licitud aplicable a cada finalidad antes de cualquier tratamiento ulterior de los datos recogidos. El Operador, en su carácter instrumental, no audita ni valida dicha base, limitándose a almacenar la prueba documental que el propio Tenant genere (logs de aceptación, snapshots del formulario en el momento del consentimiento, IP y timestamp).

13.4. Responsabilidad por contenido del formulario. Cualquier sanción, reclamación o requerimiento por parte de autoridades de control, interesados o terceros derivada de la insuficiencia, opacidad, falsedad, inadecuación o incumplimiento normativo del contenido del formulario recaerá íntegramente sobre el Tenant.

13.5. Integración con CRM y Marketing Cloud. El flujo de un lead desde Lead Gen Cloud hacia los demás módulos exige Validación Consciente del Tenant respecto de la base de licitud aplicable para cada tratamiento posterior; en particular, el simple alojamiento de un lead en CRM no habilita, por sí solo, su utilización en campañas de Marketing Cloud sin el consentimiento o base jurídica específica.

CAPÍTULO V. OBLIGACIONES Y PROHIBICIONES DEL TENANT

Cláusula 14. Obligaciones generales del Tenant

14.1. Veracidad y mantenimiento de la información de alta. El Tenant garantiza la veracidad, exactitud, integridad, vigencia y actualidad de la totalidad de los datos identificativos, fiscales, mercantiles, técnicos y de contacto que comunique al Operador en el proceso de alta y a lo largo de la vida del Contrato. Se obliga a comunicar cualquier modificación sustancial —incluyendo cambios de denominación social, NIF, domicilio fiscal, representante legal, datos de facturación, dirección postal o de notificaciones electrónicas— en un plazo no superior a diez (10) días naturales desde su efectividad. La inexactitud, falsedad u obsolescencia de la información facilitada facultará al Operador para suspender el Servicio hasta su regularización, sin que ello genere derecho indemnizatorio alguno a favor del Tenant.

14.2. Custodia diligente de credenciales y autenticación multifactor (MFA) obligatoria.

• (a) El Tenant es único responsable de la custodia, integridad y confidencialidad de las credenciales, contraseñas, tokens de API, claves OAuth y, en general, cualesquiera mecanismos de autenticación habilitados para él y para sus Usuarios Autorizados. Las acciones ejecutadas con dichas credenciales se reputarán, en todo caso, realizadas por el Tenant.
• (b) MFA obligatoria. El Tenant deberá activar y mantener operativa, sin posibilidad de exención, la autenticación multifactor (MFA) sobre la cuenta administradora principal y sobre todas las cuentas con privilegios de modificación, exportación, gestión de Publishers/Advertisers, configuración de envíos masivos, gestión de API o acceso a logs de seguridad. La desactivación voluntaria de la MFA donde sea técnicamente exigida constituirá incumplimiento esencial. El Operador podrá imponer requisitos adicionales (longitud y complejidad mínimas de contraseña, rotación periódica, bloqueo por intentos fallidos, restricciones por IP) acordes con el estado del arte.
• (c) Notificación inmediata de incidentes de credencial. El Tenant comunicará al Operador, sin demora injustificada y siempre dentro de las veinticuatro (24) horas siguientes a su conocimiento, cualquier sospecha o constancia de pérdida, sustracción, divulgación o uso no autorizado de sus credenciales, asumiendo la responsabilidad por las operaciones ejecutadas con dichas credenciales hasta el momento efectivo de la notificación al Operador y su bloqueo.

14.3. Cumplimiento normativo integral en la actividad del Tenant. El Tenant garantiza el cumplimiento íntegro y diligente, en su actividad y en el uso de la Plataforma, de cuanta normativa le resulte aplicable, incluyendo —de modo no limitativo— el RGPD, la LOPDGDD, la LSSI-CE, el Reglamento (UE) 2024/1689 (AI Act), la normativa sectorial de publicidad y competencia desleal, la legislación tributaria, mercantil, laboral y de defensa del consumidor cuando proceda, así como la regulación específica del país de residencia o establecimiento de los interesados destinatarios de sus comunicaciones o destinatarios de sus campañas. El Tenant se obliga a obtener y mantener vigentes todas las autorizaciones, licencias, registros o inscripciones administrativas que su actividad requiera.

14.4. Pago puntual de la contraprestación. El Tenant abonará puntualmente las cuotas de suscripción, los servicios adicionales y los desarrollos contratados, en los importes, plazos y condiciones que figuren en la Orden de Servicio o en el plan vigente. El impago dará lugar al devengo de intereses moratorios al tipo legal incrementado en los términos del artículo 7 de la Ley 3/2004, de 29 de diciembre, por la que se establecen medidas de lucha contra la morosidad en las operaciones comerciales, así como al derecho del Operador a suspender o resolver el Contrato conforme al Capítulo VIII.

14.5. Prohibición absoluta de ingeniería inversa, descompilación y vulneración de la arquitectura técnica.

• (a) Queda terminantemente prohibido al Tenant —y a sus Usuarios Autorizados, contratistas, asesores externos y cualesquiera terceros que actúen por su cuenta o bajo su dirección— realizar, intentar o permitir cualquier acto de ingeniería inversa, descompilación, desensamblaje, traducción inversa, derivación del código fuente, replicación funcional, reverse-engineering algorítmico o cualquier técnica equivalente sobre la Plataforma, sus módulos, sus modelos de IA, sus API, sus mecanismos de tracking, sus sistemas antifraude o sus utilidades OSINT, salvo lo expresa y estrictamente permitido por las normas imperativas del Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el texto refundido de la Ley de Propiedad Intelectual, en relación con la interoperabilidad mínima imprescindible.
• (b) Queda igualmente prohibida la vulneración, elusión o intento de elusión de cualesquiera medidas tecnológicas de seguridad, autenticación, autorización, aislamiento multitenant, rate limits, captchas o cuotas técnicas; el acceso o intento de acceso a recursos de otros Tenants; la realización de crawling, scraping o extracción masiva no autorizada del entorno del Operador; la ejecución de pruebas de penetración, fuzzing o ataques sin autorización escrita y específica del Operador; la inyección de código, malware, exploits o cargas maliciosas; y, en general, cualquier conducta tipificable como ataque informático en el sentido de la legislación penal aplicable.
• (c) El Tenant no podrá subarrendar, prestar, ceder, sublicenciar, revender, white-labelizar sin autorización expresa, ofrecer en régimen de servicio gestionado a terceros, ni transferir de cualquier forma su cuenta o licencias de uso, salvo pacto expreso, escrito y firmado con el Operador.

14.6. Prohibición drástica de listas adquiridas, alquiladas o extraídas ilícitamente (anti-scraping ajeno).

• (a) El Tenant declara, garantiza y se obliga, como condición esencial del Contrato y elemento estructural del mismo, a no cargar, importar, sincronizar, procesar ni utilizar a través de la Plataforma —y en particular a través de los módulos CRM Cloud, Marketing/Delivery Cloud, Affiliation Cloud y Lead Gen Cloud— ninguna lista, base de datos, fichero o conjunto de contactos personales que: (i) haya sido adquirido, comprado, alquilado o intercambiado de terceros sin base de licitud específica para los nuevos tratamientos previstos; (ii) provenga de scraping de redes sociales, directorios web, plataformas profesionales o cualquier sitio de Internet sin consentimiento de los interesados o sin otra base jurídica válida; (iii) haya sido filtrada, sustraída u obtenida ilícitamente, con independencia de su accesibilidad fáctica; (iv) carezca de la prueba documental del consentimiento o de la legitimación pertinente conforme al artículo 6 RGPD; (v) incluya contactos que hayan ejercitado previamente derechos de oposición o supresión frente al Tenant o frente a terceros cedentes.
• (b) La utilización indebida de listas en los términos del apartado anterior constituirá incumplimiento esencial y facultará al Operador a la suspensión inmediata del módulo afectado, al bloqueo de envíos y a la resolución unilateral del Contrato, conforme al Capítulo VIII, así como al ejercicio de las acciones de repetición que procedan.
• (c) Para evitar dudas: la mera disponibilidad pública de un dato no constituye, por sí sola, base de licitud para su tratamiento con fines comerciales. El juicio de licitud corresponde al Tenant, quien deberá poder acreditarlo documentalmente ante el Operador, las autoridades de control o terceros legitimados.

14.7. Cumplimiento de la Política de Uso Aceptable (AUP). El Tenant se obliga a cumplir, y a procurar el cumplimiento por sus Usuarios Autorizados, de la Política de Uso Aceptable (AUP) que se incorpora como Anexo III, susceptible de actualización razonable por el Operador conforme a la cláusula 35.

14.8. Colaboración en caso de incidente. El Tenant cooperará lealmente con el Operador en la investigación, contención y respuesta a cualquier incidente de seguridad, abuso o fraude detectado en su espacio o en el conjunto de la Plataforma cuando le afecte, facilitando información razonable, logs internos cuando los conserve y datos de contacto operativo.

Cláusula 15. Prohibiciones expresas

Sin perjuicio de las prohibiciones específicas dispersas a lo largo del Contrato, se prohíbe expresamente al Tenant —con carácter no limitativo— lo siguiente:

15.1. Actividades ilícitas, fraudulentas o contrarias al orden público. Utilizar la Plataforma para finalidades ilícitas; para actividades fraudulentas; contrarias a la buena fe negocial, a la moral, al orden público o a derechos fundamentales de terceros; para la promoción del odio, la discriminación o la violencia; para la suplantación de identidad; para esquemas piramidales, cold-call frauds, romance scams, falsa publicidad sanitaria o financiera, criptoactivos no regulados o cualesquiera prácticas tipificadas como delito, infracción administrativa grave o competencia desleal.

15.2. Envío de Spam y comunicaciones engañosas. Utilizar Marketing/Delivery Cloud para enviar Spam según la definición de la cláusula 2.12, comunicaciones engañosas, phishing, smishing, spoofing, suplantación de remitente, asuntos engañosos, encabezados falsificados o cualesquiera prácticas que vulneren los artículos 21 y 22 LSSI-CE o normas análogas en otras jurisdicciones.

15.3. Carga de contenidos ilícitos. Cargar, almacenar, transmitir, distribuir o vincular contenidos ilícitos; lesivos de derechos de propiedad intelectual, industrial, know-how, secretos empresariales o derechos de imagen de terceros; malware, virus, spyware, ransomware o cargas maliciosas de cualquier naturaleza; material que infrinja la normativa de protección al menor; o materiales sujetos a restricciones de exportación sin las autorizaciones procedentes.

15.4. Usos prohibidos de la Inteligencia Artificial — Artículo 5 del AI Act. Queda terminantemente prohibido al Tenant emplear los Agentes/Cerebro, o integrar a través de la Plataforma sistemas de IA de terceros, para alguna de las prácticas prohibidas por el artículo 5 del Reglamento (UE) 2024/1689, incluyendo —sin carácter limitativo—:

• (i) Técnicas subliminales que escapen a la conciencia del destinatario y que tengan por objeto o efecto alterar materialmente su comportamiento causándole un perjuicio significativo;
• (ii) Explotación de vulnerabilidades derivadas de la edad, discapacidad o situación socioeconómica específica con el efecto de distorsionar el comportamiento del destinatario;
• (iii) Social scoring o evaluación o clasificación de personas físicas basada en su comportamiento social o características personales para fines lesivos o desproporcionados;
• (iv) Evaluación predictiva del riesgo de comisión de delitos basada exclusivamente en perfiles o rasgos de personalidad;
• (v) Creación o ampliación de bases de reconocimiento facial mediante scraping no selectivo de Internet o circuitos de videovigilancia;
• (vi) Inferencia de emociones de personas físicas en contextos laborales y educativos, salvo excepciones tasadas;
• (vii) Categorización biométrica que infiera categorías especiales del artículo 9 RGPD;
• (viii) Identificación biométrica remota en tiempo real en espacios públicos con fines policiales fuera del régimen excepcional del AI Act.

15.5. Usos de IA en supuestos de alto riesgo sin medidas de cumplimiento. Utilizar los Agentes/Cerebro o sistemas integrados para finalidades clasificables como de alto riesgo conforme al Anexo III del AI Act (decisiones automatizadas con efectos jurídicos significativos sobre personas físicas en materias críticas: empleo, crédito, servicios esenciales, etc.) sin haber implementado por su cuenta y riesgo, y previa Validación Consciente, los controles, evaluaciones, registros y supervisión humana cualificada exigidos por el referido Reglamento.

15.6. Subarriendo, reventa o servicios gestionados sin autorización. Subarrendar, ceder, sublicenciar, comercializar, prestar como servicio gestionado, integrar en una oferta white-label o explotar comercialmente la Plataforma frente a terceros, sin autorización expresa, escrita, individualizada y firmada del Operador.

15.7. Uso abusivo de recursos. Realizar usos abusivos o desproporcionados de la infraestructura (consumo excesivo, brute-force, envíos masivos automatizados fuera de los límites razonables, queries abusivas a la API, almacenamiento no funcional) que perjudiquen la calidad de servicio para otros Tenants o la integridad operativa de la Plataforma.

15.8. Manipulación de métricas y tráfico. En Affiliation Cloud, generar tráfico falso, fake leads, bots, click-farms, cookie stuffing, typosquatting, URL injection, suplantación de campañas, falsificación de conversiones o cualquier otra práctica fraudulenta. La detección de tales conductas dará lugar a la resolución unilateral inmediata conforme al Capítulo VIII.

15.9. Carácter abierto del catálogo. El catálogo de prohibiciones es no exhaustivo. Cualquier conducta análoga en gravedad o en lesividad a las descritas se entenderá igualmente prohibida y producirá los mismos efectos contractuales.

CAPÍTULO VI. PROPIEDAD INTELECTUAL E INDUSTRIAL

Cláusula 16. Titularidad de la Plataforma y licencia de uso al Tenant

16.1. Soberanía absoluta del Operador. DataGrowt es única y exclusiva titular —por sí o, en su caso, por sus licenciantes— de la totalidad de los derechos de propiedad intelectual, industrial y de know-how sobre la Plataforma affiliatracker, incluyendo, sin carácter limitativo:

• (a) El código fuente y el código objeto de la totalidad de los módulos (CRM Cloud, Affiliation Cloud, Marketing/Delivery Cloud, Lead Gen Cloud) y de la unidad transversal Agentes/Cerebro;
• (b) Los algoritmos, modelos entrenados, pesos, embeddings, prompts de sistema, esquemas de orquestación y arquitecturas de IA propios o derivados;
• (c) Las interfaces gráficas, mockups, identidad visual, iconografía, tipografías propias, esquemas de UX y look & feel;
• (d) Las APIs, endpoints, esquemas de tracking, pixels, librerías cliente, SDKs y documentación técnica asociada;
• (e) Las bases de datos estructurales (no las cargadas por el Tenant) y los esquemas relacionales o vectoriales que las soportan;
• (f) Las marcas, nombres comerciales, dominios, logos y signos distintivos asociados a "affiliatracker", "DataGrowt" y derivados, con independencia de su efectivo registro vigente o en trámite;
• (g) El know-how operativo, los manuales internos, las metodologías y la documentación contractual estandarizada.

16.2. Reserva amplia de derechos. Cualquier derecho no expresamente concedido por el presente Contrato al Tenant se entiende expresamente reservado al Operador o a sus licenciantes legítimos.

16.3. Licencia limitada al Tenant. Sujeto al cumplimiento del Contrato y al pago de la contraprestación, el Operador concede al Tenant una licencia limitada, no exclusiva, no transferible, intransferible, no sublicenciable, revocable, geográficamente mundial y limitada temporalmente a la vigencia de la suscripción, para acceder y utilizar la Plataforma exclusivamente con la finalidad de la operación interna del propio Tenant y conforme al plan contratado.

16.4. Prohibiciones derivadas. La licencia no autoriza al Tenant a: (i) copiar, modificar, traducir, adaptar o crear obras derivadas de la Plataforma, salvo lo estrictamente permitido por norma imperativa; (ii) extraer datos estructurales, modelos, embeddings o cualesquiera elementos protegidos; (iii) eliminar o alterar avisos de copyright, marcas o atribuciones; (iv) utilizar la Plataforma para construir un servicio competidor, entrenar modelos competidores o realizar benchmarking público comparativo.

Cláusula 17. Datos del Tenant — Titularidad y licencia operativa recíproca

17.1. Titularidad del Tenant sobre sus Datos. El Tenant conserva la plena titularidad de los Datos del Tenant —incluyendo los contactos del CRM, los leads, las creatividades cargadas, las listas de destinatarios, las configuraciones, los textos de campaña, las plantillas personalizadas, los registros de Publishers/Advertisers y los datos derivados que cargue o genere su actividad—.

17.2. Licencia operativa recíproca al Operador. Para hacer técnicamente posible la prestación del Servicio, el Tenant concede al Operador una licencia limitada, no exclusiva, mundial, gratuita y revocable con la terminación del Contrato, para alojar, copiar, transmitir, mostrar, indexar internamente, replicar para backup, procesar y comunicar dichos Datos del Tenant, única y exclusivamente con la finalidad de prestar el Servicio, cumplir obligaciones legales y permitir las funcionalidades contratadas.

17.3. Sin uso comercial autónomo. El Operador no utilizará los Datos del Tenant para fines comerciales propios, ni los cederá a terceros con fines comerciales propios, salvo lo expresamente autorizado en este Contrato o por instrucción documentada del Tenant.

Cláusula 18. Cláusula de Aprendizaje Algorítmico Automatizado — Metadatos anonimizados

18.1. Naturaleza de la cláusula. Con el objeto de entrenar, calibrar, validar, mejorar y mantener los modelos de inteligencia artificial integrados en los Agentes/Cerebro, así como la heurística operativa y la calidad técnica de la Plataforma, el Tenant otorga al Operador, mediante la aceptación del presente Contrato, una licencia operativa, perpetua, mundial, no exclusiva, gratuita, irrevocable y sublicenciable a sus subencargados estrictamente para esta finalidad, sobre los metadatos y métricas operativas de rendimiento generados como consecuencia del uso de la Plataforma, en los términos taxativamente definidos a continuación.

18.2. Objeto material — Metadatos elegibles. La licencia se circunscribe exclusivamente a:

• (a) Métricas agregadas de rendimiento del módulo Marketing/Delivery (tasas medias de apertura, de clic, de rebote, de baja por franja horaria y por sector, sin identificación del Tenant ni del destinatario);
• (b) Patrones técnicos de uso de funcionalidades (frecuencia de invocación de Agentes, latencias, tasas de aceptación de Outputs, ratios de éxito de envíos, tipos de errores);
• (c) Estadísticas de campañas y conversiones del módulo Affiliation, expresadas en agregados por verticales, sin atribución al Tenant ni a Publishers/Advertisers concretos;
• (d) Patrones de calidad del prompt-engineering interno y de respuesta de los modelos, sin contenido específico;
• (e) Telemetría técnica de la Plataforma, crash reports, métricas de seguridad agregadas.

18.3. Anonimización irreversible — Condición esencial. Toda explotación de metadatos al amparo de esta cláusula se realizará única y exclusivamente sobre datos sometidos a un proceso de anonimización irreversible conforme al estado del arte y a las directrices del Grupo de Trabajo del Artículo 29 (Dictamen 05/2014 sobre técnicas de anonimización) y del EDPB, de tal forma que:

• (i) Sea técnicamente imposible, con medios razonables, reidentificar al Tenant, a sus Usuarios Autorizados, a sus Publishers, a sus Advertisers o a los interesados finales;
• (ii) Se eliminen, generalicen, perturben o pseudonimicen de forma irreversible los identificadores directos e indirectos;
• (iii) Las agregaciones tengan un k-anonimato suficiente o medida equivalente que prevenga inferencias singulares;
• (iv) Se documenten las técnicas aplicadas y se sometan a revisión periódica.

18.4. Contenido explícitamente excluido. Quedan expresamente fuera de la licencia y no podrán emplearse para entrenamiento bajo ningún concepto:

• (a) El contenido sustantivo de las comunicaciones, leads, fichas de contacto, campañas, textos cargados por el Tenant o respuestas generadas por la IA con datos identificables del Tenant;
• (b) Las listas de contactos y los datos personales en bruto de los interesados;
• (c) Las creatividades, plantillas, copys y materiales desarrollados por el Tenant;
• (d) Las credenciales, claves API, tokens y, en general, secretos del Tenant;
• (e) Cualquier dato que permita reidentificación del Tenant o de sus stakeholders.

18.5. Finalidad estrictamente delimitada. La utilización de los metadatos al amparo de esta cláusula se circunscribe a:

• (i) Entrenamiento y fine-tuning de modelos propios de la Plataforma;
• (ii) Evaluación, benchmark interno y mejora de la calidad de los Agentes;
• (iii) Análisis estadístico para optimización del producto;
• (iv) Investigación interna y publicación, en su caso, de informes agregados del sector (siempre y exclusivamente sobre datos anonimizados);
• (v) Mantenimiento y seguridad de la Plataforma.

Queda prohibido al Operador comercializar dichos metadatos como producto autónomo de datos identificables ni utilizarlos para construir productos competidores con el Tenant.

18.6. Compatibilidad con el RGPD. La presente cláusula opera sobre datos efectivamente anonimizados y, por tanto, fuera del ámbito material del RGPD conforme al Considerando 26 del mismo. No obstante, durante la fase previa al anonimato irreversible —tratamiento del dato personal en bruto— rige íntegramente el DPA (Anexo II).

18.7. Derecho de oposición razonada. El Tenant podrá ejercer ante el Operador, por escrito motivado dirigido a legal@affiliatracker.com, una oposición razonada al uso de determinados metadatos cuando concurran razones legítimas. El Operador valorará la solicitud y, en su caso, aplicará las medidas técnicas oportunas, sin perjuicio de mantener el funcionamiento técnico imprescindible de la Plataforma.

Cláusula 19. Marcas, signos distintivos y referencias comerciales

19.1. Uso restringido por el Tenant. El uso de las marcas, logos, dominios y signos distintivos del Operador por parte del Tenant queda limitado a la mera identificación de la herramienta tecnológica utilizada, en condiciones no engañosas. El Tenant no podrá: (i) registrar nombres de dominio, redes sociales, marcas o signos confusoramente similares; (ii) sugerir patrocinio, asociación o aval del Operador respecto de su modelo de negocio; (iii) utilizar las marcas en publicidad comparativa.

19.2. Referencia comercial del Operador — Customer logo right. El Operador podrá, salvo oposición escrita y motivada del Tenant, incluir el nombre comercial y logotipo del Tenant en su listado público de clientes, página web y materiales comerciales, en condiciones razonables y respetuosas con la imagen del Tenant. Esta inclusión es revocable a primer requerimiento.

19.3. Casos de uso anonimizados (case studies). La publicación de casos de uso, métricas o testimonios identificables exigirá autorización previa, escrita y específica del Tenant para cada caso.

CAPÍTULO VII. LÍMITES DE RESPONSABILIDAD Y TECHOS INDEMNIZATORIOS

Cláusula 20. Régimen general de responsabilidad y exclusiones esenciales

20.1. Responsabilidad limitada del Operador. La responsabilidad del Operador frente al Tenant se circunscribe estrictamente a los daños directos, ciertos, efectivamente probados, previsibles al momento de la celebración del Contrato y materialmente acreditados que sean consecuencia directa y exclusiva de un incumplimiento doloso o culposo de las obligaciones contractuales esenciales asumidas en el presente Contrato.

20.2. Exclusión expresa de daños no resarcibles. Salvo en los supuestos del artículo 1.107 párrafo segundo del Código Civil para los casos de dolo, queda expresa, inequívoca e irrevocablemente excluida del régimen de resarcimiento del Operador, en todo caso, toda responsabilidad por:

• (a) Daños indirectos y consecuenciales;
• (b) Lucro cesante (incluyendo, sin limitación, oportunidades comerciales no materializadas, ingresos no obtenidos, márgenes esperados);
• (c) Pérdida de oportunidad comercial, contractual o reputacional;
• (d) Daño emergente derivado de decisiones de negocio del Tenant adoptadas sobre la base de la Plataforma o de los Outputs IA;
• (e) Pérdida o corrupción de datos del Tenant cuando ésta sea imputable al propio Tenant, a sus Usuarios Autorizados, a sus configuraciones, a sus Publishers, a sus Advertisers o a integraciones de terceros activadas por el Tenant;
• (f) Daño reputacional o de imagen del Tenant;
• (g) Sanciones administrativas impuestas al Tenant por su propio incumplimiento normativo;
• (h) Cualquier perjuicio derivado de interrupciones razonables del Servicio dentro de los SLA pactados o por mantenimiento programado adecuadamente anunciado;
• (i) Cualquier perjuicio derivado de decisiones autónomas adoptadas por el Tenant tras la Validación Consciente de Outputs IA conforme al Capítulo III;
• (j) Cualquier perjuicio derivado de la actuación de terceros integrados por el Tenant (proveedores de IA, plataformas de pago, ESP externos, CDPs, trackers de terceros, etc.).

20.3. Garantías y servicio "tal cual". La Plataforma se presta "tal cual" (as is) y "según disponibilidad" (as available). Sin perjuicio de los SLA expresamente contratados, el Operador no garantiza la ausencia absoluta de errores, la idoneidad para un propósito particular concreto del Tenant ni la consecución de resultados comerciales específicos. Las garantías legales imperativas mínimas permanecen incólumes en lo que resulten aplicables a una relación B2B.

Cláusula 21. Techo Indemnizatorio Agregado Máximo

21.1. Techo agregado de doce (12) meses. Sin perjuicio de las exclusiones del apartado anterior, y bajo cualquier teoría jurídica —contractual, extracontractual, quasi-ex contractu o cualquier otra—, la responsabilidad agregada del Operador frente al Tenant por cualesquiera reclamaciones, daños, perjuicios, costes, gastos, sanciones o indemnizaciones derivadas del Contrato o relacionadas con él no excederá, en ningún caso, del importe efectivamente abonado por el Tenant en concepto de cuotas de suscripción al Servicio durante los doce (12) meses inmediatamente anteriores al hecho generador de la reclamación o, en caso de hechos continuados, anteriores a su primera manifestación o detección.

21.2. Subtecho por evento. En el supuesto de una pluralidad de eventos generadores, el techo del apartado anterior actuará como límite agregado anual unitario y no acumulativo, con independencia del número de reclamaciones, demandantes o teorías de imputación invocadas.

21.3. Naturaleza esencial del límite. Las Partes reconocen expresamente que el régimen del presente Capítulo VII constituye elemento esencial del equilibrio económico del Contrato, ha sido considerado e individualmente negociado en la fijación del precio del Servicio, y que sin él el Operador no habría contratado en las presentes condiciones. La sustitución judicial o arbitral del techo aquí pactado por otro superior se entiende excluida por la voluntad de las Partes.

21.4. Carácter unitario. Cuando varias entidades del grupo del Tenant operen bajo la misma cuenta o cuentas vinculadas, el techo se aplicará de forma unitaria y conjunta al grupo, no pudiendo multiplicarse por entidades.

21.5. Excepciones tasadas al techo. El techo no será de aplicación, conforme al artículo 1.102 del Código Civil y al artículo 1.107 in fine del mismo, a los supuestos de dolo o culpa grave del Operador debidamente acreditados en sede judicial firme, ni a las obligaciones de indemnidad del Tenant frente al Operador, que se rigen por su régimen propio.

Cláusula 22. Fuerza mayor, caso fortuito e infraestructura cloud subyacente

22.1. Definición. Constituirá supuesto de fuerza mayor o caso fortuito, exonerando al Operador del cumplimiento o, en su caso, mitigando éste, cualquier acontecimiento ajeno a su esfera de control razonable, imprevisible o, siendo previsible, inevitable, que impida o dificulte sustancialmente la prestación del Servicio.

22.2. Catálogo no exhaustivo. Se incluyen, sin carácter limitativo:

• (a) Catástrofes naturales, terremotos, inundaciones, incendios, tempestades, fenómenos meteorológicos extremos;
• (b) Conflictos armados, guerras, actos terroristas, disturbios civiles, lockdowns sanitarios, pandemias o estados de alarma;
• (c) Huelgas generales o sectoriales ajenas al personal del Operador;
• (d) Actos de autoridad de naturaleza imperativa que impongan, suspendan o impidan la operativa;
• (e) Apagones eléctricos, fallos generalizados de telecomunicaciones, interrupciones de la red pública;
• (f) Ataques informáticos masivos no atribuibles al Operador (DDoS de gran magnitud, zero-days no parcheables al tiempo del ataque) y siempre que el Operador hubiera adoptado las medidas razonables de protección;
• (g) Caídas, indisponibilidades, degradaciones, incidentes o fallos de los proveedores cloud de infraestructura subyacente (IaaS/PaaS) —en particular, pero sin limitación, Amazon Web Services, Google Cloud, Microsoft Azure y otros equivalentes—, así como de proveedores transversales de DNS, CDN, ESP, identidad o terceros esenciales no controlados por el Operador. La adopción razonable de medidas de redundancia comercialmente disponibles agotará la diligencia debida del Operador a este respecto.

22.3. Notificación y mitigación. El Operador notificará al Tenant la situación de fuerza mayor en cuanto sea razonablemente posible y desplegará esfuerzos comercialmente razonables para mitigar sus efectos y restablecer el Servicio.

22.4. Duración prolongada. Si la situación de fuerza mayor se extendiera por un periodo superior a sesenta (60) días naturales consecutivos impidiendo sustancialmente el Servicio, cualquiera de las Partes podrá resolver el Contrato sin penalización, mediante notificación escrita, con liquidación pro rata temporis de las cantidades abonadas.

Cláusula 23. Indemnidad reforzada del Tenant frente al Operador

23.1. Remisión y refuerzo. En desarrollo y refuerzo de la cláusula 5.2, el Tenant se obliga a mantener indemne, defender por su cuenta —siempre que el Operador lo elija— y, en su caso, reembolsar al Operador de cualesquiera reclamaciones, demandas, expedientes administrativos, sanciones, multas, intereses, costas judiciales, honorarios de abogado y procurador, indemnizaciones, daños y costes razonables (incluyendo gestión interna de crisis y comunicación) derivados de:

• (a) El uso indebido o ilícito que el Tenant, sus Usuarios Autorizados, Publishers o Advertisers hagan de la Plataforma;
• (b) La violación de la normativa de protección de datos (RGPD/LOPDGDD), de servicios de la sociedad de la información (LSSI-CE), de IA (AI Act) o de cualquier otra que le resulte aplicable;
• (c) La ausencia o insuficiencia de base de licitud sobre los datos cargados o procesados, en particular los leads inyectados en Affiliation Cloud;
• (d) Las decisiones comerciales adoptadas a partir de Outputs IA tras su Validación Consciente;
• (e) Las infracciones de derechos de propiedad intelectual o industrial de terceros cometidas mediante la Plataforma;
• (f) Las disputas, deudas o incumplimientos entre el Tenant y sus Publishers, Advertisers, leads o destinatarios;
• (g) Las integraciones de terceros activadas por el Tenant fuera del ámbito controlado por el Operador.

23.2. Procedimiento. Recibida una reclamación que active la indemnidad, el Operador la notificará al Tenant sin demora indebida. El Tenant asumirá la dirección material de la defensa, salvo que el Operador prefiera defenderse por sí mismo, en cuyo caso el Tenant cooperará lealmente y asumirá los costes razonables. Ninguna transacción que reconozca responsabilidad del Operador o le imponga obligaciones distintas del pago monetario podrá celebrarse sin su consentimiento escrito.

23.3. Compensación. El Operador podrá compensar los importes adeudados por el Tenant en virtud de esta cláusula con cualesquiera créditos del Tenant frente al Operador, en los términos de los artículos 1.195 y siguientes del Código Civil.

CAPÍTULO VIII. DURACIÓN, SUSPENSIÓN Y RESOLUCIÓN CONTRACTUAL

Cláusula 24. Duración, renovación automática y baja anticipada

24.1. Duración inicial. El Contrato producirá efectos desde la activación de la cuenta del Tenant y se extenderá por el periodo de suscripción contratado en la Orden de Servicio (con carácter general: mensual o anual).

24.2. Renovación automática por períodos sucesivos. Llegado el término del periodo inicial, el Contrato se renovará automáticamente por periodos sucesivos de duración equivalente al inicial (mensual o anual, según corresponda), salvo que cualquiera de las Partes notifique a la otra su voluntad de no renovar con una antelación mínima de:

• (a) Treinta (30) días naturales respecto a la fecha de renovación para suscripciones anuales;
• (b) Quince (15) días naturales respecto a la fecha de renovación para suscripciones mensuales (salvo que el plan disponga lo contrario).

24.3. Cauce de la notificación de baja. La notificación de no renovación se efectuará a través de los canales habilitados a tal efecto (área administrativa del Tenant, formulario específico o correo electrónico a billing@affiliatracker.com con identificación inequívoca del titular), constituyendo el sistema interno prueba preconstituida de la fecha y autoría de la solicitud.

24.4. Cuotas devengadas e irrenunciables. Las cuotas correspondientes al periodo en curso al momento de la baja serán plenamente exigibles y no reembolsables, sin perjuicio de la cláusula 24.5.

24.5. Modificaciones de precio. El Operador podrá actualizar la lista de precios para los periodos de renovación, comunicándolo con una antelación mínima de sesenta (60) días naturales respecto al inicio del nuevo periodo. De no aceptarlo, el Tenant podrá causar baja conforme al apartado 24.2 sin penalización adicional.

Cláusula 25. Suspensión preventiva del Servicio

25.1. Supuestos habilitantes. El Operador podrá, mediante decisión motivada, suspender total o parcialmente el Servicio, de forma inmediata o con preaviso razonable según las circunstancias, en los siguientes supuestos:

• (a) Riesgo de seguridad detectado en la cuenta del Tenant o en la Plataforma;
• (b) Sospecha fundada de incumplimientos de la cláusula 14, 15 o del Capítulo III;
• (c) Requerimiento legítimo de autoridad competente;
• (d) Indicios de Spam, fraude de tráfico o inyección de leads ilícitos;
• (e) Impago transcurrido el plazo de regularización;
• (f) Mantenimientos críticos no diferibles;
• (g) Investigación interna de un incidente que afecte al Tenant.

25.2. Régimen. La suspensión preventiva conserva los datos del Tenant durante la misma. Si tras la investigación o regularización se concluye la corrección del Tenant, el Servicio se restablecerá sin coste adicional. Si la suspensión deriva en resolución, regirá el régimen del periodo de gracia (cláusula 27).

25.3. Indemnización. La suspensión motivada al amparo de esta cláusula no genera derecho a indemnización ni reembolso a favor del Tenant.

Cláusula 26. Resolución unilateral inmediata por uso indebido tasado

26.1. Naturaleza. Sin perjuicio de las facultades generales de resolución por incumplimiento del artículo 1.124 del Código Civil, las Partes pactan, conforme al principio de autonomía de la voluntad (artículo 1.255 del Código Civil), un régimen de resolución unilateral inmediata, sin preaviso, sin derecho a reembolso de cuotas devengadas y sin indemnización a favor del Tenant, aplicable a los supuestos taxativos siguientes, calificados ab initio como incumplimientos esenciales:

• (i) Spam masivo en Marketing/Delivery Cloud. Envío de comunicaciones comerciales no solicitadas, infracción reiterada del artículo 21 LSSI-CE, superación grave de los umbrales técnicos de queja o detección de uso de listas adquiridas, alquiladas o extraídas por scraping en los términos prohibidos de la cláusula 14.6.
• (ii) Inyección de fake leads o tráfico fraudulento en Affiliation Cloud. Inyección de leads falsos, bots, click-farms, cookie stuffing, falsificación de conversiones o cualquier conducta fraudulenta atribuible al Tenant o a sus Publishers, conforme al régimen de la cláusula 15.8.
• (iii) Impago prolongado de la contraprestación transcurridos quince (15) días naturales desde el requerimiento de regularización del Operador, salvo que el Tenant acredite causa justificada y oponible.
• (iv) Violaciones de seguridad imputables al Tenant que pongan en riesgo el entorno multitenant, la integridad de la Plataforma o los datos de otros Tenants (vulneración de credenciales, intentos de elusión de aislamiento, ingeniería inversa, ataque informático).
• (v) Uso prohibido de la IA en alguno de los supuestos del artículo 5 del AI Act (cláusula 15.4) o uso reiterado para finalidades de alto riesgo sin las medidas de cumplimiento exigibles.
• (vi) Conductas ilícitas graves del Tenant tipificables como delito o infracción muy grave, debidamente acreditadas por indicios fundados.
• (vii) Insolvencia, concurso o cese de actividad del Tenant, en los términos legalmente admisibles.
• (viii) Suplantación identitaria o fraude en el alta, falsedad relevante en los datos de contratación.

26.2. Efectos económicos. La resolución por los supuestos del apartado anterior conlleva:

• (a) Pérdida del derecho del Tenant a reembolso de cuotas devengadas o anticipadas;
• (b) Exigibilidad inmediata de cantidades pendientes;
• (c) Aplicación, en su caso, del Capítulo VII (límites e indemnidad);
• (d) Activación del régimen de portabilidad y supresión (cláusula 27).

26.3. Resolución por incumplimiento ordinario. Para incumplimientos esenciales no taxados en el apartado 26.1, regirá el régimen general del artículo 1.124 del Código Civil, con requerimiento previo y plazo razonable de subsanación cuando proceda.

26.4. Resolución a iniciativa del Tenant por incumplimiento del Operador. El Tenant podrá resolver el Contrato por incumplimiento esencial del Operador, previo requerimiento escrito y plazo razonable de subsanación, conforme al artículo 1.124 del Código Civil y a los términos del SLA contratado.

Cláusula 27. Periodo de gracia para portabilidad y supresión NIST SP 800-88

27.1. Periodo de gracia para portabilidad. Resuelto el Contrato por cualquier causa —salvo en supuestos de fraude grave o requerimiento de autoridad que ordene lo contrario—, el Operador habilitará un periodo de gracia de treinta (30) días naturales, computados desde la fecha efectiva de resolución, durante el cual el Tenant podrá:

• (a) Exportar los Datos del Tenant en formatos estructurados y de uso común (CSV, JSON o equivalente);
• (b) Acceder a las funcionalidades imprescindibles de portabilidad;
• (c) Recibir asistencia razonable, dentro del plan contratado, para la migración de datos.

27.2. Excepción para supuestos de uso indebido tasado. En los supuestos del artículo 26.1.(i), (ii), (iv), (v), (vi) y (viii), el Operador podrá modular técnicamente el periodo de gracia, limitándolo a un acceso restringido a exportaciones específicas y bajo supervisión, cuando el riesgo de continuidad del fraude o de afectación a terceros lo justifique. El Tenant conserva en todo caso el derecho de portabilidad básico.

27.3. Supresión segura conforme a estándar NIST SP 800-88. Transcurrido el periodo de gracia —o antes, a solicitud expresa, escrita y documentada del Tenant—, el Operador procederá al borrado seguro y certificable de los Datos del Tenant y de sus copias, conforme al estándar NIST Special Publication 800-88 Rev. 1 ("Guidelines for Media Sanitization") en su versión vigente, o equivalente reconocido, mediante técnicas de clear, purge o destroy según el soporte de que se trate, incluyendo:

• (a) Sobreescritura criptográfica o por patrones de los datos en producción;
• (b) Invalidación criptográfica de las copias cifradas;
• (c) Eliminación de los datos en backups tras agotar sus ciclos naturales de rotación, los cuales serán comunicados al Tenant a petición.

27.4. Bloqueo legal. Conforme al artículo 32 LOPDGDD, podrán mantenerse bloqueados, no accesibles para tratamiento ordinario, aquellos datos cuya conservación venga impuesta por norma legal imperativa (obligaciones contables del artículo 30 del Código de Comercio durante seis años; obligaciones fiscales conforme a la Ley General Tributaria; defensa frente a posibles reclamaciones durante los plazos de prescripción aplicables; otras normas sectoriales), durante el plazo legalmente exigido, transcurrido el cual se suprimirán.

27.5. Certificación de borrado. El Operador emitirá, a petición razonable del Tenant, una certificación electrónica de borrado identificando alcance, fecha y método, sin desvelar información que comprometa la seguridad técnica del Operador.

Cláusula 28. Supervivencia y disposiciones post-resolución

28.1. Supervivencia. Sobrevivirán a la resolución del Contrato, por su propia naturaleza o por exigencia legal, las cláusulas relativas a: definiciones (en cuanto sean necesarias); propiedad intelectual e industrial (Capítulo VI); cláusula de Aprendizaje Algorítmico Automatizado respecto de los metadatos ya anonimizados antes de la resolución (cláusula 18); confidencialidad (cláusula 31); límites e indemnidad (Capítulo VII); cláusulas del DPA en materia de borrado, bloqueo, asistencia y notificación de brechas que subsistan; ley aplicable y fuero (Capítulo X); y, en general, cualesquiera cláusulas cuya supervivencia resulte necesaria para la efectividad del acervo contractual.

28.2. No reactivación automática. Resuelto el Contrato, su reactivación requerirá nueva contratación, sin perjuicio de la posibilidad de que el Operador deniegue futuras contrataciones en supuestos de incumplimiento previo grave.

28.3. Liquidación de cuentas. Las Partes practicarán, dentro de los treinta (30) días naturales siguientes a la resolución, la liquidación final de las cantidades pendientes, sin perjuicio de los derechos de retención y compensación legalmente admisibles.

CAPÍTULO IX. PROTECCIÓN DE DATOS, SEGURIDAD Y CONFIDENCIALIDAD (REMISIÓN)

Cláusula 29. Remisión a Política de Privacidad y DPA

La regulación detallada del tratamiento de datos personales se contiene en la Política de Privacidad y, para tratamientos realizados por DataGrowt como Encargado, en el Anexo DPA, ambos documentos parte integrante del presente Contrato.

Cláusula 30. Medidas de seguridad (remisión a documento técnico anexo)

Cláusula 31. Confidencialidad y secreto profesional

CAPÍTULO X. LEY APLICABLE, FUERO Y DISPOSICIONES FINALES

Cláusula 32. Ley aplicable

32.1. El presente Contrato se rige, en su interpretación, validez, cumplimiento y resolución, por la legislación española, integrada por la normativa de la Unión Europea directamente aplicable, incluyendo —sin carácter limitativo— el Código Civil, el Código de Comercio, la Ley 34/2002 LSSI-CE, el Reglamento (UE) 2016/679 RGPD, la Ley Orgánica 3/2018 LOPDGDD, el Reglamento (UE) 2024/1689 AI Act y las normas sectoriales aplicables.

Cláusula 33. Sumisión expresa de fuero

33.1. Para la resolución de cuantas controversias, discrepancias, reclamaciones o pretensiones puedan suscitarse en relación con la existencia, validez, interpretación, ejecución o resolución del presente Contrato, las Partes, con renuncia expresa, formal e irrevocable a cualquier otro fuero que pudiera corresponderles —sea por razón de domicilio, lugar de cumplimiento o sumisión legal—, se someten expresamente a la jurisdicción exclusiva de los Juzgados y Tribunales de la ciudad de Valencia (España).

33.2. La presente cláusula de sumisión expresa de fuero se entiende pactada al amparo del artículo 55 de la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil, y con pleno conocimiento de las consecuencias procesales que de ella se derivan.

Cláusula 34. Mediación previa potestativa

Cláusula 35. Modificación unilateral motivada del Contrato con preaviso

Cláusula 36. Cesión del Contrato

Cláusula 37. Notificaciones (correo electrónico legal@affiliatracker.com como canal oficial)

Cláusula 38. Idioma vinculante (castellano)

Cláusula 39. Nulidad parcial y conservación del Contrato

Cláusula 40. Integridad documental

40.1. El presente Contrato, junto con la Orden de Servicio, la Política de Privacidad, el Anexo DPA, la AUP y los documentos técnicos a los que aquéllos remitan, constituyen la totalidad del acuerdo entre las Partes, dejando sin efecto cualesquiera entendimientos previos, verbales o escritos, sobre el mismo objeto.

ANEXOS (REMISIÓN)

• Anexo I — Política de Privacidad
• Anexo II — Anexo de Encargado de Tratamiento (DPA) — artículo 28 RGPD
• Anexo III — Política de Uso Aceptable (AUP)
• Anexo IV — Subencargados autorizados y transferencias internacionales
• Anexo V — Medidas técnicas y organizativas de seguridad (artículo 32 RGPD)
• Anexo VI — Política de Cookies
• Anexo VII — Política específica de uso de los Agentes/Cerebro (extensión técnica del Capítulo III)

Aceptación. La marcación de la casilla habilitada o la utilización efectiva de la Plataforma manifiestan la aceptación íntegra, expresa y sin reservas del presente Contrato por parte del Tenant, debidamente representado por persona con poderes suficientes para obligarle.

Por DataGrowt Systems, S.L.
D. Jose Luis Herrera Loaiza — Administrador Único
Valencia, España

PREÁMBULO

El presente Acuerdo de Encargo de Tratamiento de Datos Personales (en adelante, el "DPA" o el "Acuerdo") regula, de conformidad con el artículo 28 del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante, "RGPD"), la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (en adelante, "LOPDGDD") y demás normativa española y europea aplicable, las condiciones, garantías y obligaciones bajo las cuales DATAGROWT SYSTEMS, S.L., en su condición técnica de Encargado del Tratamiento, prestará a el Tenant —en su condición de Responsable del Tratamiento— los servicios instrumentales de tratamiento de datos personales necesarios para la ejecución del Contrato principal y la prestación de la Plataforma affiliatracker.

El presente DPA se concierta como anexo integrado, inseparable y vinculante del Contrato y se interpretará armónicamente con los Términos y Condiciones de Uso (ToS v2.0). En caso de contradicción entre el ToS y el presente DPA en materias estricta y específicamente referidas a la protección de datos personales, prevalecerá el contenido del presente DPA. En el resto de materias, prevalecerá el ToS.

La aceptación del Contrato principal por el Tenant —por click-wrap, browse-wrap, ejecución del Servicio o firma expresa— supone la aceptación íntegra, expresa e inequívoca del presente DPA, sin necesidad de firma adicional, de conformidad con los principios de equivalencia funcional admitidos en la Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza, y el Reglamento (UE) 910/2014 (eIDAS).

CLÁUSULA 1. PARTES INTERVINIENTES

1.1. Responsable del Tratamiento ("Responsable" o "Tenant")

1.2. Encargado del Tratamiento ("Encargado" o "DataGrowt")

1.3. Naturaleza de la relación

Las Partes declaran y reconocen, sin reservas, que la presente relación de encargo es una relación técnica accesoria a la prestación del Servicio instrumental SaaS multitenant, en la que el Encargado actúa única y exclusivamente por cuenta y conforme a las instrucciones documentadas del Responsable, sin determinar los fines ni los medios esenciales del tratamiento. La concurrencia de cualquier elemento que pudiera reinterpretar este encargo como corresponsabilidad (artículo 26 RGPD), responsabilidad propia o cesión de datos del Responsable al Encargado se rechaza expresamente por las Partes, salvo previsión legal imperativa en contrario.

CLÁUSULA 2. OBJETO Y ÁMBITO DE APLICACIÓN

2.1. Objeto

El presente DPA tiene por objeto regular el tratamiento de datos personales que DataGrowt llevará a cabo, en nombre y por cuenta del Tenant, única y exclusivamente con la finalidad de prestar los servicios instrumentales del SaaS affiliatracker contratados (módulos CRM Cloud, Affiliation Cloud, Marketing/Delivery Cloud y Lead Gen Cloud, así como la unidad transversal Agentes/Cerebro bajo régimen Human-in-the-Loop) y sus servicios accesorios de mantenimiento, soporte, almacenamiento, copia de seguridad, monitorización de seguridad y portabilidad.

2.2. Ámbito territorial y normativo

El presente Acuerdo se rige por la legislación española y de la Unión Europea aplicable y resulta de aplicación a todo tratamiento de datos personales realizado por el Encargado en el contexto de la prestación del Servicio, con independencia del lugar físico de los servidores siempre que dichos servidores se ubiquen en el Espacio Económico Europeo (EEE) o en países que dispongan de decisión de adecuación, salvo lo expresamente pactado en la cláusula 9 sobre transferencias internacionales.

2.3. Limitación de la finalidad — Cláusula esencial

El Encargado se obliga a tratar los datos personales única, exclusiva y limitadamente para la prestación del Servicio y conforme a las instrucciones documentadas del Responsable, comprometiéndose a no utilizarlos con fin distinto —y en particular a no destinarlos a finalidades propias, comerciales, publicitarias, de elaboración de perfiles de mercado, de entrenamiento de modelos propios identificables o de cesión a terceros distintos de los subencargados autorizados— salvo que disposición legal imperativa de la Unión Europea o de un Estado miembro le obligue, en cuyo caso lo notificará previamente al Responsable, salvo prohibición legal expresa.

2.4. Sumisión a instrucciones documentadas

Constituyen instrucciones documentadas del Responsable, a los efectos del artículo 28.3.a) RGPD:
- (a) el Contrato principal (ToS v2.0) y el presente DPA;
- (b) la Orden de Servicio y los planes de servicio elegidos;
- (c) las configuraciones, parametrizaciones y acciones que el Tenant ejecute o sus Usuarios Autorizados ejecuten en el panel de administración de la Plataforma (que tendrán valor de instrucción documentada del Responsable);
- (d) las comunicaciones escritas dirigidas a dpo@affiliatracker.com mediante canales habilitados, con identificación inequívoca del remitente.

Si el Encargado considera que una instrucción del Responsable infringe el RGPD, la LOPDGDD u otra normativa aplicable, lo informará inmediatamente al Responsable, suspendiendo entretanto su ejecución de buena fe, sin que ello genere responsabilidad por mora ni incumplimiento.

CLÁUSULA 3. ESPECIFICACIÓN DEL TRATAMIENTO

A los efectos del artículo 28.3 RGPD, se especifican a continuación los elementos esenciales del tratamiento:

3.1. Naturaleza y finalidad del tratamiento

3.2. Categorías de datos personales tratados

Se tratarán, con carácter no limitativo y conforme al uso efectivo que el Responsable haga del Servicio, las siguientes categorías:

• (i) Datos identificativos y de contacto: nombre, apellidos, denominación social, NIF/CIF, dirección postal y profesional, dirección de correo electrónico, número de teléfono fijo o móvil.
• (ii) Datos de tráfico técnico: dirección IP, user agent, identificadores de dispositivo, cookies y tecnologías similares, logs de navegación y de eventos.
• (iii) Datos de consentimiento y prueba: timestamp de aceptación, IP de origen, versión del texto informativo, snapshot del formulario, hash del registro probatorio.
• (iv) Datos comerciales o de relación profesional: cargo, departamento, sector, datos relativos a oportunidades comerciales, históricos de interacción, anotaciones libres introducidas por los Usuarios Autorizados del Tenant.
• (v) Datos de campañas y marketing: aperturas, clics, rebotes, bajas, segmentaciones y métricas directas de comportamiento.
• (vi) Datos de afiliación y conversión: identificador del Publisher de origen, identificador del Advertiser destinatario, datos de lead inyectado vía API, metadatos de campaña, eventos de conversión.
• (vii) Datos derivados de OSINT que el Tenant decida incorporar tras la asistencia del Agente IA y previa Validación Consciente.
• (viii) Datos de inicio de sesión y administración: usuarios, credenciales cifradas, registros de acceso a la Plataforma.

3.3. Prohibición ab initio de categorías especiales

El Responsable se compromete a no introducir, importar ni tratar a través de la Plataforma, sin previo acuerdo escrito específico con el Encargado, categorías especiales de datos (artículo 9 RGPD: origen racial o étnico, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, biométricos para identificación unívoca, datos de salud, vida u orientación sexual), datos relativos a condenas e infracciones penales (artículo 10 RGPD) ni datos de menores salvo cuando concurra y se acredite el régimen específico del artículo 7 LOPDGDD. La introducción indebida de tales datos por el Tenant constituirá incumplimiento esencial del Contrato y eximirá al Encargado de cualquier responsabilidad derivada de su tratamiento ulterior.

3.4. Colectivos de interesados afectados

• (i) Leads y prospectos captados por el Tenant a través de Lead Gen Cloud.
• (ii) Contactos comerciales gestionados en CRM Cloud (clientes, proveedores, oportunidades).
• (iii) Destinatarios de comunicaciones de email marketing emitidas desde Marketing/Delivery Cloud.
• (iv) Publishers y Advertisers participantes en el programa de afiliación del Tenant (Affiliation Cloud), y leads inyectados vía API por dichos Publishers.
• (v) Usuarios Autorizados que el Tenant designe para operar la Plataforma.
• (vi) Representantes legales y personas de contacto del Tenant en su relación con el Encargado.

3.5. Duración del tratamiento

El tratamiento se extenderá durante toda la vigencia del Contrato principal, sus prórrogas y el periodo de gracia para devolución o borrado regulado en la cláusula 11, sin perjuicio de los bloqueos legales aplicables.

CLÁUSULA 4. OBLIGACIONES DEL ENCARGADO

DataGrowt se obliga, conforme al artículo 28.3 RGPD y normativa concordante, a lo siguiente:

4.1. Sujeción estricta a instrucciones documentadas

Tratar los datos personales únicamente conforme a las instrucciones documentadas del Responsable, incluso en lo relativo a transferencias internacionales, salvo obligación impuesta por el Derecho de la Unión o de un Estado miembro al que esté sujeto el Encargado, en cuyo caso informará al Responsable de tal exigencia legal antes del tratamiento, salvo prohibición de notificación.

4.2. Deber de confidencialidad

Garantizar que las personas autorizadas para tratar datos personales bajo su responsabilidad (empleados, colaboradores y, en su caso, contratistas) se hayan comprometido por escrito a respetar la confidencialidad —obligación que persistirá incluso tras la finalización de la relación laboral o contractual— o estén sujetas a una obligación legal equivalente. El Encargado podrá acreditar este compromiso mediante cláusulas contractuales, declaraciones específicas o políticas internas vinculantes.

4.3. Aislamiento lógico estricto entre Tenants

Mantener, como obligación esencial y permanente, el aislamiento lógico riguroso entre los espacios de los distintos Tenants de la Plataforma, mediante mecanismos técnicos de segregación (identificadores únicos de Tenant, controles de acceso, validaciones de pertenencia en cada operación, row-level security o equivalentes), de modo que ningún Tenant tenga acceso, en condiciones normales de operación, a los datos de otro Tenant.

4.4. Medidas técnicas y organizativas (artículo 32 RGPD)

Adoptar e implementar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, considerando el estado de la técnica, los costes de aplicación y la naturaleza, alcance, contexto y fines del tratamiento, así como los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas. Las medidas concretas y vigentes se describen en el Apéndice 2 del presente DPA y podrán evolucionar conforme avance el estado del arte, sin que ello degrade el nivel de protección comprometido.

4.5. Asistencia al Responsable

Asistir al Responsable —teniendo en cuenta la naturaleza del tratamiento y la información de que disponga— mediante medidas técnicas y organizativas apropiadas, en el cumplimiento de las obligaciones de:

• (a) Atención a los derechos de los interesados (cláusula 7).
• (b) Seguridad del tratamiento (artículo 32 RGPD).
• (c) Notificación de violaciones de seguridad a la autoridad de control (artículo 33 RGPD) y a los interesados (artículo 34 RGPD).
• (d) Evaluaciones de impacto en la protección de datos (artículo 35 RGPD).
• (e) Consultas previas a la autoridad de control (artículo 36 RGPD).

Repercusión de costes. La asistencia ordinaria está incluida en el precio del Servicio. Cuando la asistencia exija desarrollos a medida, integraciones específicas, dedicación de horas técnicas extraordinarias o servicios profesionales no estandarizados, el Encargado podrá repercutir al Responsable los costes razonables documentados, previa comunicación y conformidad de éste; en caso de divergencia, prestará la asistencia mínima legalmente exigible.

4.6. Puesta a disposición de información y auditorías

Poner a disposición del Responsable, previa solicitud razonable y por escrito, la información necesaria para demostrar el cumplimiento de las obligaciones del artículo 28 RGPD, en forma de:

• (a) Documentación técnica y descriptiva de las medidas de seguridad (Apéndice 2).
• (b) Certificaciones y/o auditorías independientes de las que disponga el Encargado.
• (c) Permitir auditorías —incluidas inspecciones— por parte del Responsable o de un auditor externo independiente sometido a deber de confidencialidad equivalente, con un preaviso mínimo de treinta (30) días naturales, no más de una (1) vez al año salvo causa justificada (en particular, sospecha fundada de brecha relevante o requerimiento de autoridad), en horario laboral, sin perturbar significativamente la operación, en remoto siempre que sea posible y a costa exclusiva del Responsable.

4.7. Registro de actividades del Encargado

Mantener un Registro de Actividades del Tratamiento conforme al artículo 30.2 RGPD, que se pondrá a disposición de la autoridad de control y, motivadamente, del Responsable.

4.8. Designación de Delegado de Protección de Datos

DataGrowt mantiene designado un Delegado de Protección de Datos (DPO) accesible en dpo@affiliatracker.com, conforme al artículo 37 RGPD, con independencia funcional para el ejercicio de sus competencias.

CLÁUSULA 5. NOTIFICACIÓN DE BRECHAS DE SEGURIDAD (Art. 33 RGPD)

5.1. Plazo de notificación

El Encargado notificará al Responsable —sin dilación indebida y, en cualquier caso, en un plazo máximo de cuarenta y ocho (48) horas y, en ningún caso, superior a setenta y dos (72) horas desde que tenga constancia efectiva de cualquier violación de la seguridad de los datos personales que afecte a Datos del Responsable— por los canales habilitados (correo electrónico al contacto del DPO del Tenant si lo hubiere designado, y al administrador principal de la cuenta).

5.2. Contenido mínimo de la notificación

La notificación incluirá, en la medida en que la información esté disponible al momento, y con carácter sucesivo en caso de no estarlo:

• (a) Naturaleza de la violación, categorías y número aproximado de interesados y registros afectados.
• (b) Hechos relevantes, fecha o periodo de la brecha y fecha de su detección.
• (c) Datos de contacto del DPO o punto de contacto técnico.
• (d) Consecuencias probables.
• (e) Medidas adoptadas o propuestas para poner remedio, contener y mitigar los efectos.
• (f) Si procede, recomendaciones para el Responsable.

5.3. Naturaleza del cómputo

El cómputo del plazo se inicia desde la constancia efectiva del Encargado, entendida como conocimiento razonable y confirmado por el equipo técnico responsable, y no por meras alertas no validadas, falsos positivos o eventos sin confirmar.

5.4. Responsabilidad de la notificación a la autoridad

La notificación a la Agencia Española de Protección de Datos (AEPD) —u otra autoridad de control competente— en el plazo de 72 horas del artículo 33 RGPD, y la comunicación a los interesados del artículo 34 RGPD, corresponden al Responsable del Tratamiento, prestando el Encargado la asistencia razonable en los términos de la cláusula 4.5.

5.5. Cooperación

El Encargado cooperará de buena fe con el Responsable en la gestión del incidente, sin que ello implique reconocimiento de culpa o causalidad en su esfera, y se reservará el derecho a documentar de forma autónoma el incidente para sus propios fines de defensa legal y de cumplimiento.

CLÁUSULA 6. SUBENCARGADOS DE TRATAMIENTO

6.1. Autorización general previa

El Responsable autoriza con carácter general, conforme al artículo 28.2 RGPD, al Encargado a recurrir a subencargados de tratamiento para la prestación del Servicio, en particular:

• (a) Proveedores de infraestructura cloud sitos en el Espacio Económico Europeo (EEE), tales como Amazon Web Services EMEA SARL, Google Cloud EMEA Limited, Microsoft Ireland Operations Limited y otros proveedores equivalentes, con datacenters preferentemente situados en regiones de la Unión Europea.
• (b) Proveedores de servicios técnicos accesorios: monitorización, transaccionales de correo, sistemas antifraude, content delivery networks, copias de seguridad cifradas, telemetría y servicios de soporte.

6.2. Listado vigente y comunicación de cambios

La lista actualizada de subencargados autorizados se publicará en la sección de transparencia de la Plataforma o en documento accesible al Responsable. El Encargado comunicará al Responsable —con una antelación mínima de treinta (30) días naturales— cualquier cambio previsto en la incorporación o sustitución de subencargados, mediante notificación electrónica o publicación en el área correspondiente.

6.3. Derecho de oposición motivada

El Responsable podrá oponerse, en el referido plazo y por motivos legítimos y debidamente justificados vinculados a la protección de datos, a la incorporación o sustitución de un subencargado. La oposición sin motivos justificados, o cuyo efecto sea impedir al Encargado la prestación del Servicio en condiciones razonables, facultará al Encargado a:

• (i) Proponer una alternativa razonable; o
• (ii) En su defecto, considerar resuelto el Contrato por imposibilidad sobrevenida no imputable, con liquidación pro rata temporis y sin penalización para ninguna de las Partes.

6.4. Cadena de responsabilidad

El Encargado impondrá a sus subencargados, mediante contrato escrito o instrumento jurídico equivalente, las mismas obligaciones en materia de protección de datos que las estipuladas en el presente DPA, en particular en cuanto a garantías técnicas y organizativas suficientes, conforme al artículo 28.4 RGPD. El Encargado responderá frente al Responsable del incumplimiento por sus subencargados de las obligaciones de protección de datos.

CLÁUSULA 7. EJERCICIO DE DERECHOS DE LOS INTERESADOS (ARCO+)

7.1. Canalización al Responsable

Los derechos de los interesados (acceso, rectificación, supresión, oposición, limitación, portabilidad, decisiones automatizadas e información — "ARCO+") se ejercitan frente al Responsable del Tratamiento. El Encargado, si recibiera directamente una solicitud, se abstendrá de responder y trasladará la solicitud al Responsable dentro de las 72 horas siguientes a su recepción, sin perjuicio de informar al interesado de la persona competente para resolver.

7.2. Asistencia técnica

El Encargado pondrá a disposición del Responsable, dentro de las funcionalidades estándar de la Plataforma, las herramientas necesarias para localizar, exportar, rectificar, suprimir o limitar el tratamiento de datos de interesados concretos (búsquedas, exports, bulk delete, opt-out lists, etc.). Cuando el ejercicio requiera desarrollo a medida, intervención manual extensa o servicios profesionales adicionales, su coste se repercutirá conforme a la cláusula 4.5.

CLÁUSULA 8. CLÁUSULA REFORZADA DE OSINT, AGENTES IA Y RÉGIMEN HUMAN-IN-THE-LOOP

8.1. OSINT en CRM Cloud

8.1.1. El procesamiento de información obtenida por las utilidades OSINT (consulta de fuentes públicamente accesibles) en CRM Cloud se realiza única y exclusivamente bajo orden expresa del Responsable, materializada en la activación manual de la utilidad por parte de un Usuario Autorizado del Tenant.

8.1.2. Responsabilidad exclusiva del Tenant. El Responsable es único responsable de:

• (i) Determinar la base de licitud (artículo 6 RGPD) aplicable al tratamiento ulterior de los datos OSINT recopilados;
• (ii) Cumplir el deber de información del artículo 14 RGPD respecto de los interesados cuyos datos no se obtuvieron directamente de ellos;
• (iii) Realizar, cuando proceda, el juicio ponderado de interés legítimo y dejar constancia del mismo;
• (iv) Evitar el uso de OSINT para perfilados invasivos o tratamientos masivos sin base jurídica clara.

8.1.3. Exoneración del Encargado. DataGrowt actúa como mera pasarela técnica de consulta y agregación, sin determinar fines ni medios sustantivos del tratamiento de los datos OSINT, sin garantizar la exactitud de las fuentes y sin responder de las consecuencias del uso comercial que el Responsable haga de la información hallada.

8.2. Agentes/Cerebro — Régimen HITL

8.2.1. Tratamiento bajo control humano. Los Agentes IA integrados en la unidad Agentes/Cerebro son invocados manualmente por el Usuario Autorizado del Responsable y operan exclusivamente sobre datos personales del propio Tenant para producir Outputs IA en estado de borrador, sin transmisión automática a terceros.

8.2.2. No entrenamiento con datos del Tenant. Salvo consentimiento expreso, separado y revocable del Responsable, el Encargado no utilizará los datos personales del Tenant para entrenar modelos de inteligencia artificial generales propios o de terceros. Cuando el Encargado utilice métricas agregadas para mejoras de servicio, estas se someterán a un proceso de anonimización irreversible previo conforme al estado del arte.

8.2.3. Integraciones de IA de terceros activadas por el Tenant. Cuando el Responsable decida integrar APIs de terceros para enriquecer la funcionalidad de la Plataforma (por ejemplo, modelos generativos como los proporcionados por OpenAI, Anthropic, Google, Mistral u otros), el flujo de datos personales hacia dichos terceros se realiza bajo decisión soberana y exclusiva responsabilidad del Tenant, quien deberá:

• (i) Suscribir directamente con el proveedor de IA el correspondiente acuerdo de encargo o relación contractual;
• (ii) Realizar la Evaluación de Impacto en la Protección de Datos (artículo 35 RGPD) si fuera procedente;
• (iii) Obtener las Cláusulas Contractuales Tipo (SCCs) aprobadas por la Comisión Europea (Decisión de Ejecución (UE) 2021/914) en caso de transferencia internacional fuera del EEE;
• (iv) Implementar las medidas suplementarias que la jurisprudencia Schrems II y las directrices del Comité Europeo de Protección de Datos (EDPB) exijan.

8.2.4. Output IA imputado al Tenant. Una vez validado conscientemente, el Output IA queda jurídicamente imputado al Responsable, conforme al Capítulo III del ToS v2.0 (cláusulas 6 a 9). El Encargado no responde de la corrección material, licitud sectorial, idoneidad ni consecuencias del Output adoptado por el Tenant.

CLÁUSULA 9. ESCUDO DE RESPONSABILIDAD EN LA INYECCIÓN DE LEADS — AFFILIATION CLOUD

9.1. Configuración técnica

En el módulo Affiliation Cloud (Lead Brokerage / CPL), los Publishers contratados directamente por el Responsable inyectan registros de leads —fríos o calientes— mediante API, a través de un enlace único generado por el Tenant. El Encargado se limita a recibir, almacenar y enrutar técnicamente dichos registros conforme a la configuración del Responsable.

9.2. Garantía contractual del Tenant — Cláusula drástica

El Responsable declara, garantiza y se obliga —de forma irrevocable, esencial y como condición estructural del Contrato— que dispone, respecto de cada lead inyectado vía API por sus Publishers, de:

• (i) Base de consentimiento explícito, específico, informado, libre, inequívoco, verificable y revocable (artículos 6.1.a) y 7 RGPD), o cualquier otra base de licitud válida que cubra el tratamiento posterior previsto;
• (ii) Cláusula informativa por capas previa a la captación, conforme al artículo 13 RGPD;
• (iii) Identificación de las cesiones a Advertisers y de las finalidades comerciales subsiguientes, cuando estas sean previsibles al momento de la captación;
• (iv) Prueba documental conservada (logs, snapshots, IP, timestamp) susceptible de ser exhibida a la AEPD o a cualquier otra autoridad competente.

9.3. Pasarela técnica del Encargado

DataGrowt actúa única y exclusivamente como pasarela técnica de transporte, recepción, almacenamiento y enrutamiento de leads, sin validar, auditar ni verificar la efectiva existencia, suficiencia o licitud de la base de consentimiento de los leads inyectados. El Encargado no participa en la captación, no diseña los formularios ni se constituye en garante de las prácticas de los Publishers del Responsable.

9.4. Indemnidad reforzada

Si un lead inyectado careciese de base de licitud válida —y de ello derivasen inspecciones, requerimientos, expedientes sancionadores o resoluciones de la AEPD u otra autoridad competente, reclamaciones de interesados, comunicaciones a la autoridad por terceros, indemnizaciones civiles o cualquier otra consecuencia adversa—, el Responsable asumirá íntegra y exclusivamente toda responsabilidad, obligándose a mantener indemne a DataGrowt y a reembolsarle, en su caso, los costes razonables de defensa jurídica, multas erróneamente impuestas y daños reputacionales acreditados.

9.5. Suspensión preventiva

Ante indicios fundados de inyección masiva de leads sin base de licitud, el Encargado podrá suspender preventivamente la recepción de leads a través de la API afectada, sin que dicha suspensión genere derecho indemnizatorio alguno a favor del Responsable, y previa o coetánea comunicación al mismo.

CLÁUSULA 10. TRANSFERENCIAS INTERNACIONALES DE DATOS

10.1. Principio de tratamiento dentro del EEE

El Encargado tratará los datos personales del Responsable prioritariamente dentro del Espacio Económico Europeo (EEE) y se servirá de subencargados con infraestructura europea siempre que sea técnicamente viable.

10.2. Excepciones y régimen

Cuando, por necesidades técnicas (soporte 24/7, redundancia geográfica, integraciones específicas) o por decisión configurativa del Responsable, hubiera de producirse una transferencia internacional de datos a un país tercero o a una organización internacional fuera del EEE sin decisión de adecuación, las Partes garantizarán que se aplique uno de los siguientes mecanismos:

• (i) Cláusulas Contractuales Tipo (SCCs) aprobadas por la Comisión Europea — Decisión de Ejecución (UE) 2021/914, en el módulo que corresponda;
• (ii) Normas Corporativas Vinculantes (BCRs) aprobadas;
• (iii) Códigos de conducta o mecanismos de certificación aprobados con compromisos vinculantes;
• (iv) Supuestos del artículo 49 RGPD interpretados restrictivamente.

10.3. Integraciones de IA de terceros — Asunción por el Tenant

Conforme a la cláusula 8.2.3, cuando la transferencia internacional derive de integraciones de IA de terceros activadas por el Tenant (verbi gratia, OpenAI Inc., Anthropic PBC u otros), corresponderá al Responsable la suscripción de las SCCs y la implementación de las medidas suplementarias post-Schrems II. El Encargado prestará asistencia razonable, repercutiendo costes conforme a la cláusula 4.5.

10.4. Medidas suplementarias

Las Partes implementarán, cuando proceda, medidas suplementarias técnicas, organizativas y contractuales conforme a las Recomendaciones 01/2020 del EDPB, en particular cifrado robusto, pseudonimización, evaluaciones jurídicas del país destino y obligaciones reforzadas de transparencia ante requerimientos de autoridades extranjeras.

CLÁUSULA 11. DURACIÓN, DEVOLUCIÓN Y SUPRESIÓN DE LOS DATOS

11.1. Duración del encargo

El presente DPA se mantendrá vigente durante toda la duración del Contrato principal, sus prórrogas y el periodo de gracia regulado en el apartado siguiente.

11.2. Periodo de gracia para devolución o portabilidad

A la terminación del Contrato —por cualquier causa— el Encargado pondrá a disposición del Responsable, durante un periodo de gracia de treinta (30) días naturales, las funcionalidades de exportación y portabilidad de datos en formatos estructurados y de uso común (CSV, JSON o equivalente). Transcurrido dicho plazo sin que el Responsable haya completado la exportación, los datos quedarán sujetos al borrado seguro.

11.3. Borrado seguro

Finalizado el periodo de gracia —o antes, si el Responsable así lo solicita expresamente—, el Encargado procederá al borrado seguro y certificable de los datos personales del Responsable y de sus copias, conforme a estándares de la industria (por ejemplo, NIST SP 800-88 o equivalentes), incluidos los datos alojados en sistemas de copia de seguridad una vez expirados sus ciclos naturales de rotación, los cuales serán comunicados al Responsable a petición.

11.4. Excepción de bloqueo legal

Conforme al artículo 32 LOPDGDD, el Encargado podrá conservar bloqueados —es decir, accesibles únicamente para atender requerimientos de autoridades, jueces o tribunales— aquellos datos cuya conservación venga impuesta por norma legal imperativa española o de la Unión Europea (en particular, obligaciones fiscales, mercantiles, laborales, anti-money laundering, o de defensa frente a posibles reclamaciones durante los plazos de prescripción aplicables). El bloqueo se mantendrá durante el periodo legalmente exigido, transcurrido el cual los datos serán suprimidos.

11.5. Certificación

El Encargado emitirá, a petición razonable del Responsable, una certificación electrónica de borrado que identifique el alcance, fecha y método de la supresión, sin que ello incluya información que comprometa la seguridad técnica de DataGrowt.

CLÁUSULA 12. RESPONSABILIDAD, INDEMNIDAD Y LÍMITES

12.1. Régimen de responsabilidad RGPD

Cada Parte responderá conforme al artículo 82 RGPD por el incumplimiento de sus respectivas obligaciones. El Encargado responderá del incumplimiento de obligaciones específicamente impuestas a los encargados por el RGPD y de las instrucciones lícitas del Responsable.

12.2. Indemnidad recíproca y reforzada hacia el Encargado

Sin perjuicio del régimen del apartado anterior, el Responsable mantendrá indemne al Encargado frente a cualesquiera multas, sanciones, indemnizaciones, costes y daños derivados de:

• (a) La introducción de datos sin base de licitud por el Responsable, sus Usuarios Autorizados o sus Publishers;
• (b) El incumplimiento del deber de información del Responsable frente a sus interesados;
• (c) La adopción y Validación Consciente de Outputs IA que resulten ilícitos, falsos o lesivos;
• (d) El uso de OSINT contrario a las cláusulas 8.1 y siguientes;
• (e) La inyección de leads sin consentimiento (cláusula 9);
• (f) La activación de integraciones de IA de terceros sin SCCs o medidas suplementarias (cláusula 10.3).

12.3. Remisión al techo indemnizatorio del Contrato

Sin perjuicio del régimen erga omnes del artículo 82 RGPD frente a interesados, en las relaciones inter partes regirá el techo indemnizatorio del Capítulo VII del ToS v2.0, dejando a salvo los supuestos de dolo o culpa grave.

CLÁUSULA 13. RÉGIMEN FRENTE A AUTORIDADES DE CONTROL Y REQUERIMIENTOS JUDICIALES

13.1. Información mutua

Las Partes se informarán recíprocamente, sin dilación, de cualquier requerimiento, inspección o procedimiento iniciado por autoridades de control en relación con el tratamiento objeto de este DPA, salvo prohibición legal expresa, con el fin de articular una defensa coordinada cuando ello sea posible y procedente.

13.2. Requerimientos de autoridades extranjeras

El Encargado no transmitirá datos personales a autoridades de terceros países sin base jurídica suficiente (tratado internacional, mecanismo de cooperación o autorización judicial competente), notificando previamente al Responsable salvo prohibición expresa, en línea con el artículo 48 RGPD.

CLÁUSULA 14. DISPOSICIONES FINALES

14.1. Modificaciones

El presente DPA podrá modificarse para adaptarse a nuevas exigencias regulatorias, criterios de la AEPD/EDPB o resoluciones judiciales europeas relevantes (incluida la evolución post-Schrems), notificando los cambios al Responsable con preaviso razonable.

14.2. Idioma vinculante y traducciones

La versión vinculante es la castellana. Cualesquiera traducciones tienen carácter informativo.

14.3. Ley aplicable y jurisdicción

El presente DPA se rige por la legislación española y de la Unión Europea aplicable. Para la resolución de cualesquiera controversias derivadas del mismo, las Partes se someten expresamente, con renuncia a cualquier otro fuero, a los Juzgados y Tribunales de la ciudad de Valencia (España), en armonía con la cláusula 33 del ToS v2.0.

14.4. Integridad y prevalencia documental

En materia exclusiva de protección de datos personales, el presente DPA prevalece sobre el resto del Contrato. En el resto de materias, prevalece el ToS v2.0.

14.5. Aceptación

La aceptación del Contrato principal por el Responsable comporta, sin necesidad de firma manuscrita adicional, la aceptación íntegra del presente DPA, conforme a los principios de equivalencia funcional, click-wrap y browse-wrap admitidos en Derecho.

APÉNDICE 1 — DESCRIPCIÓN DETALLADA DEL TRATAMIENTO

APÉNDICE 2 — MEDIDAS TÉCNICAS Y ORGANIZATIVAS DE SEGURIDAD (ART. 32 RGPD)

Sin perjuicio de la evolución conforme al estado del arte, el Encargado adopta, como mínimo, las medidas que se relacionan a continuación.

A. Confidencialidad e integridad.
- Cifrado de datos en tránsito (TLS 1.2+) y en reposo (AES-256 o equivalente).
- Gestión de claves criptográficas con rotación periódica.
- Política de control de accesos basada en roles (RBAC) y privilegio mínimo.
- Autenticación reforzada (MFA) para administradores y operadores.

B. Aislamiento lógico multitenant.
- Separación lógica de datos por tenant_id con validación en cada operación.
- Pruebas periódicas de no fuga entre tenants.

C. Disponibilidad y resiliencia.
- Copias de seguridad cifradas con plan de retención documentado.
- Plan de continuidad de negocio y recuperación ante desastres con RTO/RPO definidos.
- Monitorización 24/7 de seguridad e infraestructura.

D. Gestión de incidentes.
- Procedimiento documentado de detección, contención, erradicación, recuperación y lessons learned.
- Cumplimiento del régimen de notificación de la cláusula 5.

E. Personal.
- Compromiso escrito de confidencialidad de empleados y colaboradores.
- Formación periódica en protección de datos y seguridad.
- Política de fin de empleo con revocación inmediata de accesos.

F. Gestión de subencargados.
- Evaluación previa de proveedores.
- Acuerdos contractuales con cláusulas RGPD equivalentes.
- Revisión periódica de cumplimiento.

G. Seguridad del desarrollo.
- Ciclo de vida seguro (S-SDLC).
- Revisiones de código, análisis estático y dinámico, vulnerability scanning.
- Gestión de vulnerabilidades y parcheo.

H. Privacidad por diseño y por defecto (art. 25 RGPD).
- Minimización de datos en formularios estándar.
- Configuraciones de privacidad seguras por defecto.
- Régimen HITL como diseño nativo para los Agentes/Cerebro.

I. Pruebas y auditoría.
- Pruebas de penetración periódicas por terceros.
- Revisión interna anual del SGSI.
- Soporte documental para auditorías del Responsable conforme a la cláusula 4.6.

APÉNDICE 3 — LISTADO DE SUBENCARGADOS AUTORIZADOS (PLANTILLA)

El listado vigente se publica en la sección de transparencia de la Plataforma y se notifica conforme a la cláusula 6.2.

Aceptación. La activación de la cuenta y la utilización efectiva de la Plataforma por parte del Tenant manifiestan su aceptación íntegra, expresa y sin reservas del presente Acuerdo de Encargo de Tratamiento de Datos Personales (DPA), en su condición de Responsable del Tratamiento.

Por DATAGROWT SYSTEMS, S.L. (Encargado del Tratamiento)
D. Jose Luis Herrera Loaiza — Administrador Único
Valencia, España

Por el TENANT (Responsable del Tratamiento)
Aceptación vía click-wrap / activación de cuenta conforme al Contrato principal.

PREÁMBULO

El presente documento (en adelante, la "AUP", la "Política de Uso Aceptable" o la "Política") constituye el Anexo III de los Términos y Condiciones de Uso de la Plataforma affiliatracker en su versión 2.0 (en adelante, los "Términos" o el "Contrato"), titularidad de DATAGROWT SYSTEMS, S.L. (en adelante, "DataGrowt", el "Operador" o el "Prestador del Servicio"), y se incorpora a estos por remisión expresa de la cláusula 14.7 del propio Contrato, conforme a la cual su cumplimiento íntegro constituye obligación esencial del Tenant.

La AUP desarrolla, de modo técnico y operativo, las prohibiciones, restricciones y deberes de conducta que el Tenant —y, de forma refleja, sus Usuarios Autorizados, sus Publishers y sus Advertisers— deben observar en el uso material de la Plataforma, con la finalidad estructural de:

(i) Preservar la integridad técnica, la seguridad operativa y la estabilidad del entorno Software-as-a-Service multitenant;
(ii) Garantizar el aislamiento lógico entre Tenants y la confidencialidad cruzada;
(iii) Prevenir el fraude publicitario y de tráfico en el módulo Affiliation Cloud;
(iv) Combatir el Spam, el phishing y las prácticas abusivas en el módulo Marketing/Delivery Cloud;
(v) Salvaguardar la reputación de las direcciones IP, los dominios de envío y los identificadores técnicos del Operador;
(vi) Asegurar el cumplimiento por el Tenant de la normativa española y europea aplicable (RGPD, LOPDGDD, LSSI-CE, AI Act, normativa sectorial publicitaria) en su esfera operativa propia.

La aceptación del Contrato principal por el Tenant —por click-wrap, browse-wrap, ejecución del Servicio o por cualquier otro medio admitido en Derecho— supone la aceptación íntegra, expresa, inequívoca e irrevocable de la presente AUP, sin necesidad de firma adicional, conforme a los principios de equivalencia funcional admitidos en la Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza, y al Reglamento (UE) 910/2014 (eIDAS).

En caso de contradicción entre el ToS y la presente AUP en materias estricta y específicamente referidas a usos prohibidos, umbrales técnicos de envío, protocolo de contención técnica o restricciones operativas, prevalecerá el contenido de la presente AUP por su carácter de norma técnica especializada. En el resto de materias prevalecerá el ToS y, en lo relativo a protección de datos personales, el DPA (Anexo II).

CAPÍTULO I. OBJETO, NATURALEZA JURÍDICA Y ÁMBITO DE APLICACIÓN

Cláusula 1. Objeto

1.1. La presente Política tiene por objeto definir, con rango contractual vinculante, las reglas técnicas, de seguridad, de calidad y de conducta que el Tenant —y, por extensión, sus Usuarios Autorizados, Publishers y Advertisers en los términos que se desarrollan en la cláusula 3— se obliga a observar en el uso material de la Plataforma affiliatracker y de cada uno de sus módulos (CRM Cloud, Affiliation Cloud, Marketing/Delivery Cloud, Lead Gen Cloud y la unidad transversal Agentes/Cerebro).

1.2. Su finalidad esencial es proteger la integridad técnica, la seguridad operativa, la reputación de los activos digitales del Operador, la calidad del Servicio prestado al conjunto de Tenants y el cumplimiento normativo del ecosistema, mediante un catálogo tasado, ejemplificativo y abierto de conductas prohibidas, restringidas o sujetas a umbrales técnicos.

1.3. La presente AUP no sustituye, modifica ni atenúa las obligaciones generales asumidas por el Tenant en el Contrato principal, en el DPA (Anexo II) o en la Política de Privacidad (Anexo I), sino que las complementa, desarrolla y refuerza en el plano operativo, técnico y de seguridad.

Cláusula 2. Naturaleza jurídica y carácter vinculante

2.1. Norma técnica contractual. La AUP ostenta naturaleza de norma técnica de carácter contractual, integrada en el bloque obligacional del Contrato, cuya inobservancia constituye, conforme a la cláusula 14.7 del ToS, incumplimiento esencial susceptible de activar el régimen de suspensión cautelar y resolución unilateral inmediata previsto en el Capítulo VIII del ToS y desarrollado en el Capítulo V de la presente Política.

2.2. Sumisión incondicional. El acceso, la activación de una cuenta o el simple uso de la Plataforma —aun en régimen de prueba, demostración, trial gratuito, freemium, sandbox o entorno de evaluación— implica la sumisión incondicional, automática y sin reservas del usuario a la totalidad de las normas técnicas contenidas en este documento.

2.3. Carácter unilateral instructivo. La presente Política se concibe como instrucción técnica unilateral del Operador en su condición de titular de la infraestructura, sin que su contenido deba ser objeto de negociación particularizada con cada Tenant. El Operador se reserva el derecho a actualizarla razonablemente conforme al procedimiento de la cláusula 35 del ToS para adaptarla a la evolución del estado del arte, a la jurisprudencia, a los pronunciamientos de la AEPD, del EDPB o de la Comisión Europea, o a la aparición de nuevas amenazas técnicas o de fraude.

2.4. Interpretación finalista pro-Operador. Cualquier duda interpretativa sobre el alcance de una restricción técnica o de un umbral cuantitativo se resolverá conforme al principio de protección máxima de la integridad del Servicio, de la seguridad multitenant y de la reputación de los activos digitales del Operador, en línea con el principio de "defense in depth" propio del estado del arte de la ciberseguridad.

Cláusula 3. Ámbito subjetivo — Vinculación directa y vinculación refleja

3.1. Vinculación directa del Tenant. Quedan vinculados de modo directo, principal y solidario por la presente AUP:

• (a) El Tenant, en su condición de titular contractual de la cuenta y de Responsable del Tratamiento;
• (b) La totalidad de Usuarios Autorizados a los que el Tenant haya conferido credenciales de acceso, con independencia de su rol funcional (administrador, operador, analista, comercial, integrador técnico, manager de campaña, etc.);
• (c) Cualesquiera contratistas, asesores externos, consultores, integradores tecnológicos o partners técnicos que el Tenant habilite para operar en su nombre dentro de su espacio lógico.

Las acciones, omisiones, configuraciones e incumplimientos de los sujetos enumerados se imputan íntegramente al Tenant como acto propio, sin posibilidad de invocar frente al Operador la conducta independiente de tales sujetos como causa de exoneración, mitigación o reparto de responsabilidad.

3.2. Vinculación refleja de Publishers y Advertisers. Los Publishers y Advertisers que accedan al entorno técnico de la Plataforma mediante credenciales subordinadas generadas por el Tenant (perfiles definidos en la cláusula 11.2 del ToS) quedan vinculados de forma refleja, indirecta y derivada a las normas técnicas de la presente AUP en cuanto a:

• (a) Las restricciones de seguridad e integridad del Capítulo II;
• (b) Las prohibiciones de fraude de tráfico del Capítulo III;
• (c) Las prohibiciones antispam y de contenido del Capítulo IV en lo que resulte aplicable a su perfil operativo.

El Tenant es único y exclusivo responsable ante el Operador de:

• (i) Trasladar contractualmente las obligaciones materiales de la presente AUP a sus Publishers y Advertisers mediante los acuerdos bilaterales correspondientes (términos de programa de afiliación, acuerdos con anunciantes, condiciones de campaña);
• (ii) Vigilar diligentemente su cumplimiento y reaccionar contra las desviaciones detectadas;
• (iii) Asumir frente al Operador las consecuencias de cualquier incumplimiento ejecutado materialmente por un Publisher o Advertiser bajo su esfera de control, en virtud del principio culpa in eligendo y culpa in vigilando.

3.3. Exclusión expresa de relación contractual triangular. Bajo ningún concepto se entenderá que la vinculación refleja de Publishers o Advertisers genera relación contractual directa alguna entre dichos terceros y el Operador. La relación contractual del Operador es exclusivamente con el Tenant, conforme a la cláusula 11.2.(b) y (c) del ToS.

Cláusula 4. Ámbito material y objetivo

4.1. Ámbito material. La AUP se aplica a la totalidad del uso material de la Plataforma, incluyendo —sin carácter limitativo—:

• (a) El acceso a paneles, interfaces gráficas, dashboards y consolas administrativas;
• (b) La invocación de APIs, endpoints, webhooks, postbacks y pixels de tracking;
• (c) La carga, importación, sincronización, modificación, exportación o eliminación de Datos del Tenant;
• (d) La configuración de campañas, workflows, secuencias, formularios, landings y creatividades;
• (e) La invocación de los Agentes/Cerebro y la Validación Consciente de Outputs IA;
• (f) El envío de comunicaciones electrónicas a través del módulo Marketing/Delivery Cloud;
• (g) La gestión de programas de afiliación y de tracking de conversiones en Affiliation Cloud;
• (h) Las integraciones nativas o vía API con terceros (ESPs, CDPs, trackers, plataformas de pago, redes publicitarias, MTAs externos).

4.2. Ámbito territorial. La presente Política se aplica con independencia del territorio físico desde el que se acceda al Servicio, alcanzando a todo uso material de la Plataforma desde cualquier punto geográfico, sin perjuicio de la sumisión a la jurisdicción y a la ley aplicable definidas en el Capítulo X del ToS.

4.3. Ámbito temporal. La AUP se aplica desde el momento de la activación de la cuenta —incluyendo la fase de trial, demo o evaluación— hasta la extinción efectiva de la relación contractual y de la migración o supresión de los Datos del Tenant conforme al protocolo de cesación regulado en el Contrato principal.

CAPÍTULO II. RESTRICCIONES DE SEGURIDAD E INTEGRIDAD DEL SISTEMA

Cláusula 5. Principio general de inviolabilidad técnica del entorno multitenant

5.1. La Plataforma constituye una infraestructura técnica crítica compartida entre múltiples Tenants en arquitectura multitenant, cuya integridad, confidencialidad, disponibilidad y resiliencia constituyen presupuestos esenciales del Servicio. Toda conducta —activa u omisiva— que comprometa, intente comprometer o pueda razonablemente comprometer dicha integridad, queda terminantemente prohibida y será calificada, a todos los efectos contractuales, como incumplimiento esencial cualificado.

5.2. El Tenant reconoce que la Plataforma se diseña conforme al estado del arte en ciberseguridad, aplicando los principios de mínimo privilegio, segregación lógica por tenant, defense in depth, zero trust en componentes críticos, cifrado en tránsito y en reposo, monitorización continua y trazabilidad reforzada, y se obliga a no realizar acto alguno que persiga, directa o indirectamente, eludir, debilitar o reconfigurar dichos mecanismos.

Cláusula 6. Prohibición absoluta de pruebas de intrusión, pentesting y escaneo no autorizado

6.1. Prohibición taxativa. Queda terminantemente prohibido, sin necesidad de calificación adicional, que el Tenant, sus Usuarios Autorizados o cualquier tercero que actúe por su cuenta o bajo su dirección, realicen, intenten realizar, ordenen, faciliten o consientan, sin autorización previa, expresa, escrita, específica e individualizada del Operador —emitida por la dirección legal@affiliatracker.com— cualquiera de las siguientes conductas:

• (a) Escaneo de vulnerabilidades, automatizado o manual, mediante herramientas tales como Nessus, Qualys, OpenVAS, Burp Suite, Acunetix, Nikto, Nmap, Masscan o equivalentes, sobre cualquier activo técnico del Operador, sus dominios, subdominios, rangos de IP, puertos abiertos, APIs o interfaces expuestas;
• (b) Pruebas de penetración (penetration testing, red teaming, blue teaming, purple teaming, adversary emulation), en cualquiera de sus modalidades (black box, gray box, white box);
• (c) Fuzzing de APIs, endpoints, parámetros de entrada, headers HTTP, cookies o cualesquiera mecanismos de entrada de datos;
• (d) Ataques o pruebas de denegación de servicio distribuida o no distribuida (DDoS, DoS, slowloris, amplification attacks, resource exhaustion, connection flooding);
• (e) Ingeniería social dirigida a empleados, contratistas, soporte técnico, partners o ingenieros del Operador, incluyendo phishing, vishing, smishing o pretexting;
• (f) Brute force, credential stuffing, password spraying o ataques de diccionario sobre cualquier mecanismo de autenticación;
• (g) Enumeración de cuentas, recursos, identificadores internos, IDs de Tenant, IDs de campaña o cualesquiera artefactos lógicos del entorno;
• (h) Captura de tráfico (sniffing) en redes del Operador o entre el cliente y el Servicio cuando ello implique elusión del cifrado, ataques man-in-the-middle o degradación de protocolos de seguridad;
• (i) Cualquier modalidad de prueba de seguridad no autorizada, aun cuando se realice con finalidades académicas, de investigación, divulgativas o de bug bounty informal.

6.2. Programa de divulgación responsable. El Operador podrá habilitar, de forma opcional y sin obligación, un programa formal de divulgación responsable de vulnerabilidades (responsible disclosure / bug bounty) cuyos términos específicos, alcance, activos elegibles, exclusiones, mecanismos de reporte y régimen de recompensas (si las hubiera) se publicarán, en su caso, en un documento separado. Únicamente la observancia estricta de dicho programa, en sus términos publicados y previo registro formal, exime al notificante de las prohibiciones del apartado 6.1.

6.3. Régimen de excepción para auditorías legítimas del Tenant. Si el Tenant requiriera, por razones de cumplimiento normativo propio (ENS, ISO 27001, SOC 2, PCI-DSS, due diligence de cliente final), realizar un ejercicio de auditoría de seguridad que incluyera técnicas susceptibles de afectar al entorno del Operador, deberá solicitar autorización previa, escrita y específica con una antelación mínima de treinta (30) días naturales, indicando: (i) alcance técnico exacto; (ii) ventana temporal propuesta; (iii) identidad y certificaciones del equipo auditor; (iv) IPs de origen; (v) controles de contención previstos. La autorización del Operador, si se concede, podrá quedar condicionada a la suscripción de un Letter of Authorization específico, a la coordinación con su equipo de seguridad, a la limitación a entornos sandbox y a la asunción por el Tenant de costes adicionales de monitorización.

6.4. Consecuencias jurídicas reforzadas. La realización no autorizada de cualquiera de las conductas descritas en el apartado 6.1 podrá, además de constituir incumplimiento esencial del Contrato, dar lugar a la interposición de denuncias o querellas penales por presuntos delitos de descubrimiento y revelación de secretos (artículos 197 y siguientes del Código Penal), daños informáticos (artículo 264 del Código Penal), acceso ilegal a sistemas informáticos (artículo 197 bis del Código Penal), interceptación de transmisiones (artículo 197 ter del Código Penal) o daños a datos o sistemas (artículo 264 bis del Código Penal), así como a las acciones civiles de reclamación de daños y perjuicios procedentes.

Cláusula 7. Prohibición de elusión del aislamiento lógico multitenant y de la row-level security

7.1. Inviolabilidad de la frontera lógica entre Tenants. El Tenant reconoce que la Plataforma implementa, por diseño, mecanismos técnicos de segregación lógica estricta entre los espacios de los distintos Tenants, incluyendo —sin carácter limitativo— Row-Level Security (RLS) a nivel de motor de base de datos, namespacing de identificadores, scoping de tokens y claims OAuth/JWT por tenant_id, segregación de almacenamiento de objetos, segregación de colas, queues y workers, y mecanismos de control de acceso basado en políticas (PBAC) reforzado.

7.2. Prohibiciones específicas. Queda absolutamente prohibido:

• (a) Intentar acceder, leer, enumerar, inferir, listar, copiar, exfiltrar, modificar, sobrescribir, eliminar o de cualquier forma manipular datos, recursos, identificadores, métricas, configuraciones, logs o cualesquiera artefactos lógicos pertenecientes a un Tenant distinto del propio;
• (b) Realizar manipulación de parámetros (parameter tampering), path traversal, IDOR (Insecure Direct Object Reference), modificación de cabeceras o de identificadores en peticiones API, alteración de claims de tokens, manipulación de cookies de sesión o cualquier técnica equivalente orientada a acceder a recursos no autorizados;
• (c) Realizar inyecciones de cualquier naturaleza dirigidas a comprometer la segregación: SQL injection, NoSQL injection, LDAP injection, OS command injection, server-side template injection, server-side request forgery (SSRF), XPath injection, XML external entity (XXE), inyección en colas de mensajería o en event buses;
• (d) Intentar evadir, eludir, debilitar, desactivar, sortear, bypassing o reconfigurar, por cualquier técnica, las políticas RLS, los guards de aplicación, los middlewares de autorización, los interceptors de API o los audit hooks del sistema;
• (e) Realizar ataques de canal lateral (side-channel attacks), análisis de tiempos (timing attacks), análisis de tamaño de respuesta o cualesquiera técnicas inferenciales destinadas a deducir la existencia o el contenido de recursos de otros Tenants;
• (f) Realizar ataques de confusión de roles (confused deputy) o de escalada de privilegios (vertical u horizontal) dentro del propio espacio o entre espacios;
• (g) Realizar abuso de funcionalidades multi-cuenta (creación masiva de Tenants instrumentales, uso de cuentas trial en cascada, account farming) con finalidad de reconocimiento, fraude o elusión de cuotas técnicas.

7.3. Indicios fundados y carga de la prueba. Bastará la concurrencia de indicios técnicos fundados —evidenciados, por ejemplo, en logs de aplicación, sistemas WAF, IDS/IPS, EDR, monitorización SIEM o análisis forense interno— para activar el protocolo de contención del Capítulo V, sin que ello exija acreditación judicial previa ni resolución administrativa firme. La carga de demostrar la inocuidad de la conducta detectada corresponderá al Tenant, en correspondencia con el principio de quien crea el riesgo controla la prueba.

Cláusula 8. Prohibición de inyección de malware, exploits, payloads maliciosos y código hostil

8.1. Prohibición taxativa. Queda estrictamente prohibido introducir, almacenar, ejecutar, transmitir, distribuir, intentar distribuir, vincular o de cualquier modo incorporar en la Plataforma, en sus módulos, en sus interfaces, en sus almacenes o en las comunicaciones que canalice:

• (a) Software malicioso de cualquier naturaleza: virus, gusanos, troyanos, rootkits, bootkits, backdoors, spyware, adware, keyloggers, ransomware, wipers, cryptojackers, banking trojans, RAT (Remote Access Trojans), info-stealers;
• (b) Exploits dirigidos a vulnerabilidades del Servicio, de sus dependencias, de los navegadores de los destinatarios, de los clientes de correo o de cualquier sistema receptor;
• (c) Payloads maliciosos entregados a través de campañas de Marketing/Delivery Cloud, formularios de Lead Gen Cloud, creatividades de Affiliation Cloud o postbacks de tracking;
• (d) Scripts maliciosos insertados en landing pages, formularios, plantillas de email, creatividades HTML o pixels de tracking: cross-site scripting (XSS reflejado, almacenado o basado en DOM), cross-site request forgery (CSRF), clickjacking, iframe injection, form jacking o cualquier técnica equivalente;
• (e) Cargas ofuscadas mediante codificación, cifrado, packers, técnicas anti-análisis o steganografía destinadas a evadir la detección por motores antimalware o por el equipo de seguridad del Operador;
• (f) Enlaces a recursos externos que distribuyan, alojen o redirijan a contenidos de las categorías anteriores, incluyendo cadenas de redirección, acortadores instrumentales con finalidad evasiva y cloaking dinámico;
• (g) Artefactos dual-use (herramientas legítimas utilizadas con finalidad maliciosa: frameworks de pruebas de seguridad ofensivas como Metasploit, Cobalt Strike, Sliver, Mythic, Empire, etc., cuando se desplieguen sin autorización contra activos del Operador o de terceros).

8.2. Detección automatizada y reserva técnica. El Operador implementa controles automatizados de detección (motores antimalware, URL reputation scanning, attachment sandboxing, análisis de contenido HTML, análisis de URLs en tiempo de envío, detección heurística de patrones de phishing) y se reserva el derecho a bloquear, poner en cuarentena o eliminar unilateralmente cualquier contenido, envío, archivo, landing o creatividad que active dichos controles, sin que ello genere derecho indemnizatorio alguno a favor del Tenant ni constituya renuncia a la imputación íntegra del incidente al propio Tenant.

8.3. Notificación obligatoria de hallazgos involuntarios. Si el Tenant detectare que, por error involuntario o por la actuación de un tercero, se ha introducido en la Plataforma cualquiera de los artefactos descritos en el apartado 8.1, vendrá obligado a notificar de inmediato al Operador (legal@affiliatracker.com y, en su caso, security@affiliatracker.com), siempre dentro de las veinticuatro (24) horas siguientes a su conocimiento, sin que ello le exonere de las responsabilidades subsiguientes pero atemperando, en su caso, el régimen sancionador contractual aplicable.

Cláusula 9. Prohibición de uso abusivo de recursos técnicos

9.1. Uso proporcionado. El Tenant se obliga a utilizar la Plataforma de forma razonable, proporcionada y conforme al estado del arte del sector, ajustándose a los límites técnicos del plan contratado y a las cuotas operativas razonables.

9.2. Conductas específicamente prohibidas. Queda prohibido:

• (a) Consumo desproporcionado de almacenamiento, cómputo, ancho de banda, queries a base de datos, llamadas a API o tokens de Agentes/Cerebro fuera de los límites del plan contratado o de cualquier fair use razonable;
• (b) Saturación intencionada de colas, workers, queues de envío, event buses o cualquier subsistema técnico del Operador;
• (c) Uso de la Plataforma como infraestructura de cómputo o almacenamiento genérico desligado de su finalidad funcional (uso como CDN, como file hosting, como backup genérico, como proxy abusivo);
• (d) Bucles automatizados infinitos, retry storms sin backoff razonable, integraciones mal diseñadas que generen cargas anómalas, o polling abusivo a APIs por encima de los límites publicados;
• (e) Generación intencionada de errores reiterados con finalidad de exploración del sistema o de reconocimiento de comportamiento interno;
• (f) Almacenamiento no funcional (carga de archivos sin propósito operativo, padding artificial de bases de datos para inflar contadores, simulación de actividad).

9.3. Rate limits y políticas de cuotas. El Operador podrá publicar y aplicar, mediante mecanismos técnicos (rate limiters, quotas, throttling, backpressure), límites cuantitativos a la frecuencia y volumen de uso, cuya elusión —mediante rotación de IPs, user-agents, tokens, cuentas instrumentales o cualesquiera otras técnicas— queda terminantemente prohibida.

Cláusula 10. Prohibición de scraping, extracción masiva y construcción de servicios derivados

10.1. Queda prohibido al Tenant —y a los terceros bajo su esfera de control— realizar:

• (a) Crawling o scraping masivo de las interfaces gráficas, paneles, documentación técnica accesible, endpoints internos no documentados o cualesquiera otros recursos del Operador;
• (b) Extracción sistemática de datos estructurales, esquemas, identificadores internos, listas de Tenants, métricas globales o cualesquiera artefactos pertenecientes al Operador;
• (c) Replicación funcional de la Plataforma o de cualquiera de sus módulos, ya sea por reverse engineering algorítmico, observación funcional sistemática, benchmarking destinado a clonación, o por cualquier otra técnica equivalente;
• (d) Construcción de servicios derivados, competidores o sustitutivos sobre la base de la observación del Servicio o del entrenamiento de modelos propios con datos extraídos de la Plataforma;
• (e) Publicación de comparativas técnicas no consentidas, benchmarks públicos, ingeniería inversa divulgada o estudios estructurales del Servicio sin autorización previa expresa.

10.2. La prohibición del apartado anterior se complementa y refuerza recíprocamente con la cláusula 14.5 y la cláusula 16.4 del ToS.

Cláusula 11. Higiene técnica obligatoria del Tenant

11.1. Mantenimiento de credenciales. El Tenant se obliga a mantener actualizados, vigentes y conformes con el estado del arte los siguientes elementos de su esfera de control:

• (a) Contraseñas robustas (mínimo doce caracteres, combinación de tipologías) con rotación razonable;
• (b) Autenticación multifactor (MFA) activa en todas las cuentas con privilegios elevados, conforme a la cláusula 14.2.(b) del ToS;
• (c) Tokens de API custodiados en gestores de secretos, jamás expuestos en repositorios públicos, logs de cliente, ficheros de configuración versionados sin cifrar, comunicaciones por canales inseguros (ticketing público, foros, redes sociales) o documentos compartidos sin control de acceso;
• (d) Revocación inmediata de credenciales de exempleados, excontratistas o exintegradores;
• (e) Segregación de funciones entre cuentas técnicas, cuentas humanas y cuentas de servicio.

11.2. Mantenimiento del stack del Tenant. El Tenant es responsable de la higiene de seguridad de su propio entorno técnico (estaciones de trabajo, dispositivos móviles, navegadores, redes corporativas, sistemas de correo, infraestructuras on-premise o cloud) desde el que accede a la Plataforma. Cualquier compromiso técnico del entorno del Tenant —malware en estación, phishing sobre un Usuario Autorizado, exposición de tokens, vulnerabilidad en integración propia— le será imputable íntegramente, sin posibilidad de trasladar consecuencias al Operador.

11.3. Notificación de incidentes propios. El Tenant comunicará al Operador, en el plazo máximo de veinticuatro (24) horas desde su conocimiento, cualquier incidente de seguridad que afecte —o pueda razonablemente afectar— a la Plataforma, conforme a la cláusula 14.2.(c) del ToS y, en lo aplicable a datos personales, a la cláusula 9 del DPA (Anexo II).

CAPÍTULO III. REGLAMENTO ESPECÍFICO CONTRA EL FRAUDE DE TRÁFICO — MÓDULO AFFILIATION CLOUD

Cláusula 12. Principio general de integridad del tráfico publicitario

12.1. La actividad de Lead Brokerage / CPL canalizada a través del módulo Affiliation Cloud descansa, como condición estructural de su utilidad y de su sostenibilidad, en la veracidad, autenticidad y trazabilidad de cada interacción, conversión, click, lead y postback generado dentro del programa del Tenant.

12.2. El Tenant —y, de forma refleja conforme a la cláusula 3.2, sus Publishers y Advertisers— se obliga a operar el módulo con integridad reforzada, absteniéndose de toda práctica que vicie, falsee, manipule, infle o degrade artificialmente las métricas, las conversiones o el tráfico orquestado.

12.3. Las prohibiciones contenidas en el presente Capítulo desarrollan, sin agotar, la prohibición general del apartado 15.8 del ToS, y constituyen su catálogo técnico de referencia.

Cláusula 13. Catálogo tasado y abierto de prácticas fraudulentas prohibidas

13.1. Fraude de generación artificial de tráfico y leads. Queda absolutamente prohibido:

• (a) Generación de fake leads mediante: formularios completados por bots, scripts automatizados, headless browsers (Puppeteer, Playwright, Selenium, etc. usados con finalidad fraudulenta), emuladores móviles, granjas de dispositivos virtuales, click-farms humanas remuneradas, crowd-sourcing fraudulento o servicios externos especializados en inflar conversiones;
• (b) Carga de leads sintéticos generados por modelos de lenguaje, datasets ficticios o catálogos comerciales de leads ya quemados;
• (c) Reciclaje de leads previamente vendidos, ya entregados o ya rechazados, presentados como nuevos a un Advertiser distinto;
• (d) Uso de datos personales inventados, robados, filtrados o intercambiados ilícitamente para construir registros que aparenten conversión auténtica;
• (e) Cualquier técnica de inflado artificial del volumen o de la calidad aparente de los leads entregados.

13.2. Manipulación del tracking y de las APIs. Queda absolutamente prohibido:

• (a) Cookie stuffing: inyección encubierta de cookies de afiliación en navegadores de usuarios que no han realizado ninguna acción comercial efectiva, mediante iframes invisibles, redirects forzados, JavaScript oculto o cualquier técnica equivalente;
• (b) Typosquatting: registro y uso de dominios visualmente confundibles con los del Advertiser, del Tenant o de terceros, para capturar tráfico erróneo y atribuirlo fraudulentamente a un programa;
• (c) URL hijacking, brand bidding no autorizado en buscadores, publicidad sobre marca del Advertiser sin licencia escrita, y suplantación de canales de marca;
• (d) Inyección de scripts en postbacks, manipulación de parámetros de callback (sid, clickid, transaction_id, amount, currency, status), suplantación de eventos de conversión, replay de postbacks legítimos antiguos, o fabricación de postbacks desde infraestructuras controladas por el Publisher;
• (e) Manipulación de APIs de tracking del Operador: peticiones falsificadas, alteración de cabeceras de origen, spoofing de IPs, spoofing de user-agent, modificación de marcas temporales o de identificadores de conversión;
• (f) Simulación fraudulenta de conversiones: pixel firing sin actividad económica subyacente, ejecución masiva de eventos sintéticos, coordinated bot conversions, manipulación de embudos para aparentar la culminación de una acción de pago, alta, descarga o suscripción que materialmente no se ha producido;
• (g) Atribución fraudulenta: manipulación de la ventana de atribución, last-click hijacking, robo de conversiones legítimas de otros canales o de tráfico orgánico del Advertiser;
• (h) Falsificación de geolocalización mediante VPNs, proxies residenciales o botnets distribuidas para hacer pasar tráfico de una geografía como originado en otra.

13.3. Conductas asociadas igualmente prohibidas. Quedan asimismo prohibidas, por su carácter instrumental al fraude:

• (a) Incentivized traffic (incentivación de leads mediante recompensa) cuando no esté expresamente autorizada por el Advertiser y declarada al Operador;
• (b) Misleading creatives: creatividades engañosas, falsas, no autorizadas por el Advertiser o que falseen las condiciones del producto;
• (c) Forced clicks, ventanas modales engañosas, falsos botones de cierre, pop-unders abusivos, malvertising;
• (d) Pre-pop o pre-fill fraudulento de formularios con datos no proporcionados conscientemente por el usuario final;
• (e) Re-attribution fraudulenta entre Publishers mediante intercambio de IDs;
• (f) Acuerdos colusorios entre dos o más Publishers para inflar artificialmente métricas o repartirse beneficios fraudulentos del programa.

13.4. Catálogo abierto. La enumeración del presente catálogo es no exhaustiva. Cualquier conducta análoga en gravedad o en lesividad que afecte a la integridad del tracking, la veracidad de los leads o la confianza del programa, se entenderá igualmente prohibida y producirá los mismos efectos contractuales.

Cláusula 14. Obligaciones específicas del Tenant en la gobernanza de su programa

14.1. Diligencia debida sobre Publishers. El Tenant se obliga a aplicar un régimen de Know Your Publisher (KYP) razonable que incluya, al menos:

• (a) Verificación de identidad del Publisher (persona física o jurídica, NIF/VAT, datos fiscales, datos de contacto);
• (b) Aprobación previa de los canales declarados por cada Publisher (dominios, handles, listas de email, traffic sources);
• (c) Aceptación contractual expresa por el Publisher de las prohibiciones del presente Capítulo y de las normas técnicas del programa;
• (d) Régimen de auditoría y suspensión del propio Tenant sobre sus Publishers;
• (e) Listas de exclusión (blacklists) de Publishers reincidentes o sancionados en programas previos.

14.2. Diligencia debida sobre Advertisers. El Tenant se obliga a verificar la legitimidad mercantil y normativa de los Advertisers cuyas ofertas comercialice a través del programa, absteniéndose de canalizar campañas de actividades prohibidas, no reguladas o gravemente lesivas (cláusula 18 de la presente AUP).

14.3. Calidad mínima del tráfico. El Tenant se obliga a mantener estándares razonables de calidad en el tráfico canalizado por su programa, vigilando indicadores tales como tasa de aprobación de leads, tasa de validación por el Advertiser, chargeback rate, ratio de reclamaciones por false positives, ratio de fraude reportado y métricas equivalentes.

14.4. Cooperación en investigaciones. El Tenant cooperará lealmente con el Operador en cualquier investigación de fraude que el Operador inicie de oficio o a instancia razonable de terceros (Advertisers afectados, autoridades de defensa del consumidor, plataformas publicitarias), facilitando logs internos, postbacks originales, IDs de transacción y demás información que conste en su esfera.

Cláusula 15. Sistema antifraude del Operador y reserva de medidas técnicas

15.1. El Operador podrá implementar —cuando así lo prevea el plan contratado, y siempre con naturaleza meramente asistencial— herramientas técnicas de detección de patrones anómalos, fingerprinting de dispositivos, análisis de IPs de riesgo, scoring automatizado de leads, detección de bots y filtrado de geolocalización inconsistente.

15.2. La existencia de estas herramientas no convierte al Operador en garante de la integridad del tráfico, no transmuta la naturaleza instrumental del Servicio en posición sustantiva del Operador, y no exonera al Tenant de su responsabilidad principal en la gobernanza diligente del programa.

15.3. El Operador se reserva el derecho a suspender cautelarmente, total o parcialmente, postbacks, conversiones, integraciones API o credenciales de Publishers concretos cuando concurran indicios fundados de fraude, conforme al Capítulo V de la presente AUP.

CAPÍTULO IV. REGLAMENTO ESPECÍFICO ANTISPAM Y CALIDAD DE LISTAS — MÓDULO MARKETING / DELIVERY CLOUD

Cláusula 16. Tolerancia cero al Spam y a la entrega de comunicaciones ilícitas

16.1. La protección de la reputación de las direcciones IP, dominios de envío, MTA shared pools y seedlists del Operador constituye un activo crítico cuya degradación supondría un daño desproporcionado e irreparable para el conjunto de Tenants. El Operador adopta, por ello, una política de tolerancia cero frente al Spam, al phishing, a la entrega de comunicaciones ilícitas y al uso de listas de baja calidad.

16.2. La presente cláusula desarrolla, en términos técnicos y cuantificables, la prohibición general del apartado 12.3 del ToS y de las cláusulas 14.6 y 15.2 del mismo, y prevalece, en caso de conflicto, sobre cualquier criterio comercial divergente.

Cláusula 17. Prohibición absoluta de listas no consentidas

17.1. Prohibiciones cualificadas. Queda terminantemente prohibido cargar, importar, sincronizar, procesar, enviar o de cualquier modo utilizar a través de Marketing/Delivery Cloud (y, en lo aplicable, de los demás módulos):

• (a) Listas compradas a data brokers, list vendors o intermediarios de datos, con independencia de la jurisdicción de origen y de las representaciones contractuales que dichos terceros formulen;
• (b) Listas alquiladas para campañas puntuales, co-registration sin consentimiento granular específico para la finalidad de envío del Tenant, intercambios de listas entre operadores, whitelabel mailings contratados a terceros que no acrediten consentimiento documentado;
• (c) Listas recolectadas mediante web scraping de redes sociales, plataformas profesionales, directorios públicos, whois, Yellow Pages digitales, foros, bases de datos abiertas o cualquier fuente accesible vía rastreo automatizado, cuando no concurra base de licitud específica para el envío comercial;
• (d) Bases de datos filtradas, sustraídas, obtenidas ilícitamente o procedentes de brechas de seguridad de terceros, con independencia de su accesibilidad fáctica en mercados secundarios o foros de la dark web;
• (e) Listas agregadas a partir de fuentes mixtas sin posibilidad de acreditar el consentimiento o la base jurídica para cada contacto individualizadamente;
• (f) Contactos ya dados de baja previamente —ya sea por el propio Tenant, por terceros cedentes, por listas globales de supresión del Operador, o por ejercicio de derechos RGPD del interesado—. La reactivación de contactos en supresión constituye incumplimiento esencial cualificado;
• (g) Listas obtenidas por adquisición de empresas, fusiones, escisiones o sucesiones empresariales sin haber verificado y, en su caso, renovado la base de licitud para la finalidad de marketing en cabeza del Tenant.

17.2. Carga de prueba documental. El Tenant deberá poder acreditar documentalmente, en cualquier momento y a primer requerimiento del Operador o de las autoridades de control, la base de licitud (consentimiento, relación contractual previa cualificada con productos/servicios similares, o cualquier otra base del artículo 6 RGPD) aplicable a cada contacto cargado, así como el cumplimiento de las obligaciones de información de los artículos 13 y 14 RGPD.

Cláusula 18. Contenidos prohibidos en las comunicaciones

18.1. Queda prohibido enviar a través del módulo, con independencia del carrier de salida y de la categoría jurídica del destinatario, comunicaciones cuyo contenido —textual, gráfico, enlazado o derivado— se refiera, promueva, facilite o se relacione con:

• (a) Phishing, spear phishing, whaling, credential harvesting, suplantación de marcas, instituciones financieras, organismos públicos, empresas tecnológicas, exchanges o cualesquiera entidades de confianza;
• (b) Ingeniería social dirigida a obtener credenciales, datos bancarios, OTPs, claves de recuperación, códigos MFA o información sensible del destinatario;
• (c) Apuestas, juego, casino, póker o lotería no reguladas por la autoridad competente del país del destinatario, o sin disponer de la licencia preceptiva (en España, autorización de la Dirección General de Ordenación del Juego);
• (d) Pornografía, contenido sexual explícito no solicitado, servicios de escort, contenido erótico no consentido por el destinatario, y, en términos absolutos, cualquier contenido sexual que afecte directa o indirectamente a menores, supuesto que se considerará causa de resolución unilateral inmediata y de comunicación a las autoridades penales competentes;
• (e) Esquemas piramidales, sistemas Ponzi, get rich quick, oportunidades de inversión engañosas, criptoactivos no regulados promocionados con prácticas prohibidas por la normativa CNMV, ICOs encubiertos, NFTs fraudulentos, rug pulls o cualesquiera ofertas financieras sin habilitación;
• (f) Medicamentos sujetos a receta médica comercializados fuera del canal farmacéutico autorizado, fármacos no autorizados en la UE, falsificaciones farmacéuticas, productos de dopaje, sustancias estupefacientes, psicotrópicos, research chemicals o sustancias sometidas a fiscalización internacional;
• (g) Productos sanitarios sin marcado CE, sin las autorizaciones de la AEMPS o equivalentes, terapias no acreditadas, pseudoterapias o productos con alegaciones de salud falsas o no autorizadas;
• (h) Armas, munición, explosivos, artículos de doble uso, productos sometidos a régimen de control de exportación, materiales radiactivos o precursores químicos;
• (i) Discurso de odio, contenidos discriminatorios por razón de raza, etnia, origen, religión, género, orientación sexual, identidad de género, discapacidad, edad o cualesquiera otras circunstancias protegidas;
• (j) Contenidos contrarios al orden público, a la dignidad humana, apología del terrorismo, glorificación de la violencia, contenido que incite a la autolesión, al suicidio o a trastornos alimentarios;
• (k) Productos falsificados, infractores de derechos de propiedad intelectual o industrial de terceros (réplicas, knock-offs, piracy software, contenidos audiovisuales sin licencia);
• (l) Cualquier otra actividad ilícita, fraudulenta o gravemente lesiva según las normas de la jurisdicción de origen, de tránsito o de destino de la comunicación.

18.2. La utilización de técnicas de evasión —ofuscación textual, sustitución por caracteres similares (homoglyphs), imágenes como medio único de transmisión del mensaje sin texto alternativo, redirecciones múltiples, cloaking, contenido condicional según user-agent o IP— para canalizar contenidos del catálogo anterior constituirá una agravante del incumplimiento.

Cláusula 19. Umbrales técnicos cuantitativos de calidad de envío — Régimen de suspensión automatizada

19.1. Carácter contractualmente vinculante de los umbrales. Los umbrales técnicos descritos en el presente artículo constituyen estándares mínimos de calidad de envío cuyo incumplimiento, una vez verificado por los sistemas de monitorización del Operador, activa automáticamente las medidas técnicas de contención descritas en el Capítulo V, sin necesidad de notificación previa ni de procedimiento contradictorio adicional al previsto en la propia notificación post-suspensión.

19.2. Umbral de tasa de rebote duro (Hard Bounce Rate). Se fija como umbral máximo aceptable una tasa de rebote duro del cinco por ciento (5%) computada sobre el volumen total enviado en una ventana móvil de los últimos siete (7) días naturales o, alternativamente, sobre las últimas mil (1.000) entregas procesadas, prevaleciendo el criterio que primero se active. La superación de este umbral indicará calidad insuficiente de la lista (direcciones inexistentes, dominios extintos, listas obsoletas o adquiridas), y desencadenará la suspensión del envío.

19.3. Umbral de tasa de quejas por Spam (Spam Complaint Rate). Se fija como umbral máximo aceptable una tasa de quejas por Spam del cero coma uno por ciento (0,1%), computada sobre el volumen entregado en idéntica ventana temporal o muestral. La tasa se calcula tomando como numerador las quejas formales recibidas a través de feedback loops de los principales proveedores de email (Gmail Postmaster, Microsoft SNDS/JMRP, Yahoo CFL, AOL FBL, Comcast, etc.) y como denominador el volumen efectivamente entregado.

19.4. Umbral de tasa de bajas inusual (Unsubscribe Rate). Una tasa de bajas superior al dos por ciento (2%) en una campaña singular o al uno por ciento (1%) sostenido en una ventana móvil de quince (15) días naturales se considerará anomalía indicativa de calidad insuficiente de la lista o de inadecuación del contenido, y activará controles reforzados de revisión técnica.

19.5. Umbrales de spamtraps y unknown user combinados. El registro de más de tres (3) impactos en spamtraps conocidas (sean pristine, recycled o typo traps) en una ventana de treinta (30) días naturales, así como una tasa de unknown user (550 5.1.1) superior al tres por ciento (3%), activará igualmente medidas de contención técnica reforzada.

19.6. Umbrales de engagement mínimo. Una tasa de apertura sostenida inferior al dos por ciento (2%) o una tasa de clic sostenida inferior al cero coma uno por ciento (0,1%) durante envíos sucesivos podrá ser indicio de listas frías, obsoletas o no consentidas, habilitando al Operador a requerir al Tenant un proceso de higiene técnica obligatoria (validación previa, double opt-in, supresión de inactivos prolongados).

19.7. Carácter dinámico de los umbrales. Los umbrales del presente artículo podrán ser actualizados unilateralmente por el Operador para adaptarlos al estado del arte del sector, a las políticas de los proveedores receptores, a los criterios de la Messaging, Malware and Mobile Anti-Abuse Working Group (M³AAWG), a las recomendaciones del RFC 5965 y normas técnicas posteriores, o a cualquier cambio normativo o reputacional relevante.

19.8. Política de warm-up obligatorio.* Para volúmenes significativos, el Tenant deberá observar la política de warm-up progresivo de envíos, IP/domain warming y gradual ramp-up* que el Operador publique en su documentación técnica vigente, absteniéndose de saltos volumétricos abruptos que comprometan la reputación de los activos compartidos.

Cláusula 20. Higiene obligatoria de listas y derecho de supresión global

20.1. Higiene activa de listas. El Tenant se obliga a:

• (a) Implementar mecanismos de doble opt-in cuando la base de licitud sea el consentimiento;
• (b) Realizar validación de calidad (sintaxis, MX, deliverability check) en el momento de la captación;
• (c) Eliminar direcciones inactivas prolongadas (sin apertura ni clic durante períodos superiores a seis [6] meses, salvo justificación operativa documentada);
• (d) Mantener listas de supresión específicas por Tenant para gestionar bajas, quejas y rebotes duros;
• (e) Respetar y propagar la lista de supresión global del Operador.

20.2. Inviolabilidad de las bajas. Las direcciones que hayan ejercitado el derecho de baja —por enlace de cancelación, respuesta a la comunicación, queja FBL, ejercicio formal de derechos RGPD o cualquier otro mecanismo idóneo— quedan definitivamente excluidas y no podrán ser reactivadas. Cualquier técnica de elusión (reimportación, modificación trivial de la dirección, regeneración mediante list-cleaning fraudulento) constituirá incumplimiento esencial cualificado.

20.3. Mecanismos de baja obligatorios. Cada comunicación deberá incluir, conforme a los artículos 21 y 22 LSSI-CE y al RFC 8058:

• (a) Enlace de baja directo, gratuito y operativo procesado en un plazo máximo de cuarenta y ocho (48) horas;
• (b) Cabeceras List-Unsubscribe y List-Unsubscribe-Post conforme al estado del arte;
• (c) Etiquetado "PUBLI" o equivalente cuando proceda;
• (d) Identificación clara del remitente y dirección física postal del Tenant.

Cláusula 21. Cumplimiento de protocolos técnicos de autenticación de email

21.1. El Tenant se obliga a:

• (a) Configurar correctamente los registros SPF (Sender Policy Framework) en los dominios de envío que utilice;
• (b) Habilitar DKIM (DomainKeys Identified Mail) con claves de longitud mínima de 2048 bits;
• (c) Publicar política DMARC (Domain-based Message Authentication, Reporting & Conformance), preferentemente con policy p=quarantine o p=reject en producción, y habilitar el reporting agregado;
• (d) Implementar, cuando proceda y según la criticidad, BIMI (Brand Indicators for Message Identification) y MTA-STS;
• (e) No utilizar dominios throwaway, recién registrados sin reputación o de mala reputación previa;
• (f) No realizar domain rotation abusiva destinada a evadir filtros antispam.

21.2. La negativa o incapacidad del Tenant a configurar correctamente los protocolos descritos podrá motivar la denegación de envíos desde su cuenta hasta su corrección.

CAPÍTULO V. CONSECUENCIAS DEL INCUMPLIMIENTO Y PROTOCOLO DE CONTENCIÓN

Cláusula 22. Principios rectores del régimen sancionador contractual

22.1. Proporcionalidad técnica. Las medidas de contención del Operador se aplicarán conforme al principio de proporcionalidad técnica atendiendo a la naturaleza, gravedad, persistencia y lesividad de la conducta detectada, así como al riesgo sistémico que represente para la integridad de la Plataforma, la reputación de los activos compartidos o los derechos de terceros.

22.2. Primacía de la contención sobre la deliberación. En supuestos de riesgo crítico, inminente o irreparable —ataque activo, fraude masivo, exfiltración de datos, degradación reputacional severa, vulneración del aislamiento multitenant, contenido manifiestamente ilícito en envío masivo— el Operador adoptará primero las medidas de contención técnica que minimicen el daño y, a posteriori, notificará al Tenant los hechos, las medidas adoptadas y las acciones requeridas para la regularización.

22.3. Reserva de acciones legales. Las medidas contractuales del presente Capítulo se entienden sin perjuicio del ejercicio de las acciones civiles, penales y administrativas que en cada caso correspondan al Operador, ni del derecho de comunicación a las autoridades competentes (AEPD, CNMC, Centro Criptológico Nacional, INCIBE-CERT, autoridades policiales o judiciales) cuando los hechos lo aconsejen.

Cláusula 23. Facultad de suspensión cautelar — Régimen general

23.1. Suspensión sin previo aviso. El Operador queda facultado, en su condición de titular de la infraestructura y guardián de la integridad del Servicio, para suspender cautelarmente y sin previo aviso, de modo total o parcial, el acceso del Tenant a la Plataforma, a uno o varios de sus módulos, a determinadas APIs, a postbacks, a credenciales específicas de Publishers/Advertisers, a integraciones con terceros o a cualesquiera funcionalidades, cuando concurra alguno de los siguientes supuestos:

• (a) Indicios fundados de incumplimiento de cualquier prohibición contenida en la presente AUP;
• (b) Activación automatizada de los umbrales técnicos de la cláusula 19;
• (c) Activación de sistemas de detección internos (WAF, IDS/IPS, EDR, SIEM, motores antimalware, motores antifraude) que reporten anomalías compatibles con incumplimiento;
• (d) Notificaciones razonables de terceros legitimados (autoridades, proveedores de email afectados, Advertisers reportando fraude, titulares de derechos lesionados, equipos de respuesta a incidentes);
• (e) Requerimiento de autoridad competente que ordene la suspensión;
• (f) Riesgo sistémico para la Plataforma, para la reputación de IPs/dominios compartidos, o para otros Tenants.

23.2. Modalidades de suspensión. La suspensión podrá adoptar, entre otras, las siguientes modalidades técnicas, individual o cumulativamente aplicadas:

• (a) Bloqueo total de la cuenta y de las sesiones activas;
• (b) Bloqueo selectivo de un módulo (p. ej., Marketing/Delivery) manteniendo otros;
• (c) Cuarentena de envíos (retención de las campañas en cola sin entrega efectiva);
• (d) Revocación de tokens de API o de credenciales específicas;
• (e) Bloqueo de IPs de origen desde las que se acceda al Servicio;
• (f) Suspensión de postbacks de Publishers concretos en Affiliation Cloud;
• (g) Aislamiento del tenant_id en una partición técnica restringida para análisis forense;
• (h) Bloqueo selectivo de creatividades, landings o contenidos específicos;
• (i) Forzado de procesos de validación adicional (validación de listas, double opt-in retroactivo, re-acreditación de bases de licitud).

23.3. Ausencia de derecho indemnizatorio del Tenant. La adopción de cualquiera de las medidas del presente artículo —cuando esté motivada en indicios fundados conforme a los apartados anteriores— no generará derecho indemnizatorio alguno a favor del Tenant, ni dará lugar a abono compensatorio, reembolso, descuento de cuotas o crédito a futuro, conforme a la cláusula 21 del ToS y al principio general de quien crea el riesgo soporta sus consecuencias.

23.4. Notificación post-suspensión y derecho de defensa contractual. Una vez aplicada la medida cautelar, el Operador notificará al Tenant —por los medios de contacto habituales y a la dirección legal designada en la Orden de Servicio— los hechos motivadores, las medidas adoptadas y la información requerida para iniciar el procedimiento de regularización. El Tenant dispondrá de un plazo razonable, no inferior a cinco (5) días hábiles, para presentar alegaciones, evidencias técnicas y un plan de subsanación, salvo que la naturaleza del incumplimiento exija plazos más breves o lo descarte por su irreversibilidad.

Cláusula 24. Activación automatizada — Casos de aplicación inmediata

24.1. La superación de los umbrales del Capítulo IV (Cláusula 19) y la detección de los siguientes patrones activarán medidas automatizadas e inmediatas de contención técnica, sin intervención humana previa, en los términos publicados en la documentación técnica del Operador:

• (a) Tasa de rebote duro superior al 5% → suspensión inmediata del envío hasta regularización;
• (b) Tasa de quejas por Spam superior al 0,1% → suspensión inmediata del envío y bloqueo cautelar de la lista activa;
• (c) Impactos en spamtraps conocidas → cuarentena de la cuenta y revisión forense de la procedencia de la lista;
• (d) Detección de carga masiva de leads con patrones de bot en Affiliation Cloud → suspensión de postbacks y bloqueo del Publisher implicado;
• (e) Detección de malware, exploits o payloads maliciosos → eliminación inmediata del artefacto y bloqueo de la cuenta;
• (f) Intento detectado de elusión del aislamiento multitenant → aislamiento técnico forzoso del Tenant y procedimiento sancionador agravado.

24.2. La activación automatizada operará como medida cautelar técnica reversible una vez acreditadas las acciones correctivas, sin perjuicio de las consecuencias contractuales subsiguientes (sanción, resolución, repetición).

Cláusula 25. Derecho de resolución unilateral inmediata sin indemnización

25.1. Resolución por incumplimiento esencial. Confirmado un incumplimiento esencial de la presente AUP —entendiéndose por tales, sin carácter limitativo, los descritos en los Capítulos II, III y IV—, el Operador queda facultado para resolver unilateralmente y de pleno derecho el Contrato principal y el conjunto de sus Anexos, conforme a la cláusula correspondiente del Capítulo VIII del ToS, mediante simple comunicación al Tenant con efectos inmediatos, sin necesidad de requerimiento previo ni interpelación judicial.

25.2. Pérdida de cuotas abonadas y sin derecho a reembolso. La resolución por causa imputable al Tenant acarreará:

• (a) La pérdida íntegra de las cuotas, importes y prepagos ya abonados, que el Operador hará suyos en concepto de cláusula penal compensatoria mínima de los daños sufridos, conforme al artículo 1.152 del Código Civil;
• (b) La inexigibilidad de reembolsos, descuentos o créditos de cualquier naturaleza;
• (c) El vencimiento anticipado de las cantidades pendientes de la suscripción contratada en su período actual;
• (d) La imposibilidad de invocar derecho de continuidad, grandfathering de planes, condiciones especiales pactadas o cualesquiera ventajas comerciales preexistentes.

25.3. Reclamación de daños y perjuicios — Cláusula penal cualificada por degradación reputacional. Adicionalmente al precio retenido, el Operador podrá reclamar al Tenant la totalidad de los daños y perjuicios causados, incluyendo —sin perjuicio de los techos generales de la cláusula 21 del ToS, que aquí se entienden no aplicables a la responsabilidad del Tenant frente al Operador—:

• (a) Daño emergente y lucro cesante efectivamente acreditados;
• (b) Costes técnicos de contención, análisis forense, mitigación y recuperación de la infraestructura afectada;
• (c) Costes de remediación reputacional sobre IPs y dominios degradados (procesos de delisting en blacklists como Spamhaus, SURBL, URIBL, Barracuda, Proofpoint; reingreso en whitelists; sustitución y warm-up de nuevos rangos; pérdida de reputación en Gmail Postmaster Tools, Microsoft SNDS, Yahoo y AOL);
• (d) Costes de respuesta a reclamaciones de terceros Tenants afectados por la degradación reputacional compartida;
• (e) Costes de defensa jurídica frente a procedimientos administrativos, judiciales o reclamaciones de terceros derivados o agravados por la conducta del Tenant;
• (f) Cuantificación pericial de la depreciación reputacional de la marca affiliatracker y de los activos digitales asociados, cuando proceda;
• (g) Indemnizaciones por pérdida de partners comerciales, contratos con ISPs, integraciones con proveedores estratégicos que se desvinculen como consecuencia directa o indirecta del incumplimiento.

Las Partes acuerdan que la presente cláusula penal es cumulativa con la indemnización efectiva de daños, conforme al artículo 1.152 párrafo segundo del Código Civil, dado el carácter cualificado del bien jurídico protegido (integridad técnica del Servicio y reputación del Operador frente a terceros).

25.4. Régimen reforzado en supuestos cualificados. Cuando el incumplimiento implique fraude doloso, envío de contenido manifiestamente ilícito (artículo 18.1.(d) y (e) en lo relativo a menores y a actividades delictivas), vulneración intencionada del aislamiento multitenant o ataque deliberado contra la infraestructura del Operador, las consecuencias del presente artículo se aplicarán en su grado máximo, sin posibilidad de atemperación contractual y con activación inmediata de las acciones penales correspondientes.

Cláusula 26. Régimen de cooperación con terceros legitimados y autoridades

26.1. Cooperación con proveedores afectados. El Operador podrá compartir, en lo estrictamente necesario y conforme al RGPD, información sobre incidentes con proveedores afectados (proveedores de email receptores, redes publicitarias, plataformas de pago, Advertisers reportantes) cuando ello sea preciso para la mitigación, contención o resolución del incidente, mediando interés legítimo del propio Operador (artículo 6.1.f RGPD) en la protección de su infraestructura y de terceros usuarios.

26.2. Comunicación a autoridades. En supuestos de presunto delito (fraude masivo, phishing, ransomware, distribución de contenidos ilícitos relativos a menores, ataques informáticos), el Operador podrá poner los hechos en conocimiento de las autoridades policiales, fiscales o judiciales competentes, conservando y aportando los logs, evidencias técnicas y elementos probatorios de que disponga.

26.3. Notificación a otras autoridades sectoriales. Cuando los hechos sean susceptibles de constituir infracción de la normativa de protección de datos, de competencia, de consumo o de juego no autorizado, el Operador podrá comunicarlos a la AEPD, la CNMC, las direcciones generales de consumo autonómicas, la Dirección General de Ordenación del Juego o las autoridades análogas competentes, sin perjuicio del derecho de defensa del Tenant en los procedimientos que en su caso se incoen.

26.4. Indemnidad del Operador frente a represalias. El Tenant se compromete a no iniciar acción alguna —contractual, extracontractual, reputacional o publicitaria— contra el Operador por las comunicaciones, cooperaciones y notificaciones realizadas de buena fe al amparo del presente artículo, asumiendo expresamente que tales actuaciones se enmarcan en el legítimo ejercicio de los derechos y deberes del Operador.

Cláusula 27. Reincidencia, listas internas de exclusión y KYC reforzado

27.1. Listas internas de exclusión. El Operador podrá mantener, con plena legitimidad amparada por su interés legítimo en la integridad del Servicio, listas internas de exclusión (denylists) de:

• (a) Tenants resueltos por incumplimiento esencial confirmado;
• (b) Personas físicas representantes de tales Tenants;
• (c) Dominios, IPs o rangos asociados a fraude reiterado;
• (d) Publishers/Advertisers reportados como fraudulentos.

27.2. Efectos sobre nuevas altas. El Operador podrá denegar la apertura de nuevas cuentas a entidades, personas o dominios incluidos en sus listas internas, así como aplicar procedimientos de Know Your Customer (KYC) reforzado —solicitando documentación adicional, certificaciones, garantías financieras o referencias comerciales— a tenores cuya actividad presente riesgo aumentado.

27.3. Período de exclusión. La exclusión de listas internas se mantendrá durante un período razonable y proporcionado a la gravedad del incumplimiento, no inferior a veinticuatro (24) meses en supuestos cualificados, sin perjuicio del derecho del afectado a solicitar su revisión motivada, que será resuelta por el Operador conforme a criterios de proporcionalidad y prevención de la reincidencia.

Cláusula 28. Trazabilidad probatoria y carácter de prueba preconstituida

28.1. La totalidad de los logs, registros técnicos, métricas, alerts de sistemas de detección, evidencias forenses y comunicaciones internas generados por el Operador en la detección, contención y gestión de un incumplimiento de la presente AUP, tendrán a todos los efectos contractuales y procesales la consideración de prueba preconstituida a favor del Operador, sin perjuicio de la libre valoración judicial.

28.2. El Tenant renuncia expresamente a impugnar genéricamente la validez probatoria de los logs y registros del Operador por su origen tecnológico unilateral, sin perjuicio de su derecho a aportar prueba en contrario en el caso concreto.

28.3. Los logs relevantes serán conservados por el Operador durante el plazo necesario para la finalidad probatoria, conforme a los plazos de conservación documentados en la Política de Privacidad (Anexo I) y en el DPA (Anexo II), y en cualquier caso por los plazos generales de prescripción de las acciones civiles y mercantiles aplicables.

CAPÍTULO VI. DISPOSICIONES FINALES

Cláusula 29. Integración con el bloque contractual

29.1. La presente AUP forma bloque inseparable con el ToS v2.0, el DPA (Anexo II), la Política de Privacidad (Anexo I), la Política de Cookies (Anexo VI) y demás Anexos del Contrato, y se interpretará armónicamente con ellos.

29.2. La declaración de nulidad de cualquier cláusula de la presente AUP no afectará a la validez de las restantes, conforme al principio de conservación del contrato (artículo 1.284 del Código Civil), procediendo su sustitución por la disposición legal aplicable o por la cláusula que, ajustándose al espíritu de la presente Política, mejor preserve el equilibrio contractual y la protección de los bienes jurídicos tutelados.

Cláusula 30. Actualización y versionado

30.1. La presente AUP podrá ser actualizada razonablemente por el Operador conforme a la cláusula 35 del ToS, comunicando al Tenant las modificaciones por los canales habituales con una antelación mínima de quince (15) días naturales antes de su entrada en vigor, salvo cuando la actualización venga impuesta por:

• (a) Modificaciones normativas imperativas;
• (b) Resoluciones administrativas o judiciales firmes;
• (c) Recomendaciones vinculantes de autoridades regulatorias;
• (d) Necesidades urgentes de seguridad técnica;
• (e) Aparición de nuevas amenazas o vectores de fraude no contemplados.

En tales casos, la actualización podrá ser inmediatamente exigible, sin perjuicio de su comunicación posterior al Tenant.

30.2. La continuación del uso de la Plataforma tras la fecha de entrada en vigor de la actualización constituirá aceptación tácita de la nueva versión de la AUP. El Tenant que no acepte las modificaciones podrá resolver el Contrato conforme al procedimiento previsto al efecto, sin penalización adicional a la propia liquidación de la suscripción en curso.

30.3. El historial de versiones y el control de cambios de la presente AUP se mantendrá accesible al Tenant a través del panel administrativo de la Plataforma o del legal hub del Operador, conforme al estándar de transparencia documental del propio Operador.

Cláusula 31. Ley aplicable y jurisdicción

31.1. La presente AUP se rige por la ley española y por la normativa de la Unión Europea aplicable, en idénticos términos a los previstos en el Capítulo X del ToS.

31.2. Las Partes se someten —con renuncia expresa a cualquier otro fuero que pudiera corresponderles— a los Juzgados y Tribunales de Valencia capital (España), conforme a la cláusula de sumisión expresa del ToS.

Cláusula 32. Idioma vinculante

La versión vinculante de la presente AUP es la redactada en lengua castellana. Cualesquiera traducciones a otros idiomas tendrán carácter meramente informativo y, en caso de discrepancia interpretativa, prevalecerá el texto original en castellano.

DISPOSICIÓN FINAL — CLÁUSULA DE COHERENCIA Y PRIMACÍA TÉCNICA

La presente Política de Uso Aceptable se concibe, redacta e interpreta bajo el principio rector de protección máxima de la integridad técnica del Servicio, de la seguridad multitenant, de la reputación de los activos digitales del Operador y de los derechos de terceros. En caso de duda interpretativa entre dos o más posibles entendimientos de una cláusula, prevalecerá aquel que mejor preserve dicho conjunto de bienes jurídicos, conforme al principio favor protectionis aplicado a la infraestructura crítica compartida.

Documento elaborado por el Equipo Legal & DPO de DataGrowt Systems, S.L.
Valencia (España), 18 de mayo de 2026.

Fin del Anexo III — Política de Uso Aceptable (AUP) — affiliatracker.