Adenda de Tratamiento de Datos

Última actualización: 15 de mayo de 2026

La presente ATD se incorpora por referencia a los Términos de Servicio para Empresas y entra en vigor cuando el Cliente acepta los Términos de Servicio para Empresas o utiliza por primera vez el Servicio después de la fecha indicada, lo que ocurra primero. El Cliente que requiera una copia firmada de esta ATD en papel membretado de la empresa podrá solicitarla escribiendo a privacy@easyweek.io. EasyWeek firmará la contraparte sin modificaciones al contenido de esta plantilla.

1. Definiciones

Los términos escritos con mayúscula inicial que no se definen en este APD tendrán el significado que les otorgan los Términos de Servicio para Empresas o la LFPDPPP. En particular:

• "LFPDPPP" — Ley Federal de Protección de Datos Personales en Posesión de los Particulares, y, en su caso, las demás disposiciones aplicables que la complementen o modifiquen.
• "Responsable", "Encargado", "Titular", "Datos Personales", "Vulneración de Seguridad", "Tratamiento", "Subencargado", "Autoridad Supervisora" — conforme a las definiciones de la LFPDPPP.
• "Datos Personales del Cliente" — Datos Personales que el Cliente o sus usuarios autorizados introducen o generan a través del Servicio y que EasyWeek trata en nombre del Cliente.
• "Cláusulas Contractuales Tipo" — los instrumentos contractuales para la transferencia internacional de datos personales a destinatarios ubicados en el extranjero, en los términos del artículo 36 de la LFPDPPP.

2. Roles

El Cliente es el Responsable de los Datos Personales del Cliente. EasyWeek es el Encargado del Tratamiento y procesa los Datos Personales del Cliente únicamente siguiendo instrucciones documentadas del Cliente y de conformidad con el presente DPA, los Términos de Servicio Empresariales y la legislación aplicable.

Las partes reconocen que EasyWeek actúa como Responsable respecto de categorías limitadas de datos personales que EasyWeek procesa para sus propios fines —por ejemplo, credenciales de acceso de usuarios autorizados, datos de facturación y telemetría de uso del Servicio. Dicho tratamiento se rige por la Política de Privacidad Empresarial, no por el presente DPA.

3. Objeto, duración y finalidad

El objeto, la naturaleza, la finalidad, la duración, las categorías de Datos Personales y las categorías de Titulares de Datos se describen en el Anexo I.

El APD estará vigente durante el tiempo que EasyWeek trate Datos Personales del Cliente en nombre del Cliente y subsistirá a la terminación de las Condiciones de Servicio Empresarial durante el tiempo que sea necesario para cumplir con la Sección 13.

4. Instrucciones del Cliente

El propio Servicio, la configuración aplicada por el Cliente a través de la interfaz de usuario y la API del Servicio, las Condiciones Comerciales de Servicio y el presente APD constituyen las instrucciones documentadas completas y definitivas del Cliente a EasyWeek en relación con el tratamiento de los Datos Personales del Cliente. Cualquier instrucción adicional o diferente requiere acuerdo por escrito y puede generar cargos adicionales.

EasyWeek informará al Cliente sin demora injustificada si, en su opinión, una instrucción infringe la LFPDPPP u otra disposición aplicable en materia de protección de datos personales, y podrá suspender la instrucción controvertida en espera de la confirmación escrita del Cliente.

5. Confidencialidad

EasyWeek garantiza que el personal autorizado para tratar los Datos Personales del Cliente se ha comprometido a mantener la confidencialidad (o está sujeto a una obligación legal de confidencialidad adecuada) y está vinculado por controles de acceso y principios de mínimo privilegio. El acceso a los Datos Personales del Cliente se limita al personal que lo necesita para operar o mejorar el Servicio.

6. Seguridad (MTOs)

EasyWeek implementa las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, tal como se establece en el Anexo II. EasyWeek podrá actualizar sus MTOs a lo largo del tiempo, siempre que no se reduzca el nivel de protección.

7. Subencargados del tratamiento

El Cliente otorga por medio del presente DPA una autorización general y por escrito a EasyWeek para contratar Subencargados del tratamiento. La lista de Subencargados del tratamiento aprobados a la fecha del presente DPA figura en el Anexo III y se mantiene actualizada en /business/subprocessors.

EasyWeek notificará al Cliente con al menos treinta (30) días de anticipación cualquier adición o sustitución prevista de Subencargados del tratamiento, mediante el centro de notificaciones dentro de la aplicación y, cuando el Cliente así lo haya suscrito, por correo electrónico. El Cliente podrá objetar por razones documentadas y razonables de protección de datos personales dentro de los treinta (30) días siguientes a la notificación. Si las partes no logran acordar una solución, el Cliente podrá rescindir los Términos de Servicio Empresariales respecto de la parte del Servicio que requiera el Subencargado del tratamiento impugnado, con reembolso proporcional de los cargos prepagados correspondientes al período restante.

EasyWeek impone obligaciones de protección de datos personales a cada Subencargado del tratamiento mediante contrato escrito, con un nivel de protección no menor al establecido en el presente DPA, de conformidad con lo dispuesto en los artículos 36 y 37 de la LFPDPPP en materia de transferencia internacional de datos. EasyWeek mantiene plena responsabilidad frente al Cliente por el cumplimiento de las obligaciones de sus Subencargados del tratamiento.

8. Transferencias internacionales

Los Datos Personales del Cliente se procesan principalmente en el Espacio Económico Europeo. Cuando los Datos Personales del Cliente se transfieren a un país fuera del EEE sin una decisión de adecuación de la Comisión Europea, las Cláusulas Contractuales Estándar (CCE) se aplican con las siguientes selecciones:

• Módulo Dos (Responsable a Encargado) se incorpora por referencia para las transferencias del Cliente (o su responsable del tratamiento en el EEE) a EasyWeek cuando EasyWeek procesa Datos Personales del Cliente en un tercer país.
• Módulo Tres (Encargado a Encargado) se incorpora por referencia para las transferencias posteriores de EasyWeek a Subencargados en un tercer país.
• Cláusula 7 (Cláusula de adhesión) está incluida.
• Cláusula 9(a) — Opción 2 (autorización general por escrito, aviso de 30 días) aplica.
• Cláusula 11(a) — el organismo independiente de resolución de controversias no está seleccionado.
• Cláusula 17 — la ley aplicable es la ley de Alemania.
• Cláusula 18 — los tribunales competentes son los de Düsseldorf, Alemania.
• El Anexo I de las CCE se integra por referencia al Anexo I de este APD.
• El Anexo II de las CCE se integra por referencia al Anexo II de este APD.
• El Anexo III de las CCE se integra por referencia al Anexo III de este APD.

En la medida en que el Cliente actúe como responsable del tratamiento conforme a la legislación mexicana, las transferencias internacionales de Datos Personales realizadas por el Cliente hacia EasyWeek se rigen por el artículo 36 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP). Las Cláusulas Contractuales Estándar descritas en el presente apartado constituyen el mecanismo contractual idóneo para acreditar el cumplimiento de dicho artículo.

Una Evaluación de Impacto de Transferencia que resume la evaluación de EasyWeek sobre las leyes del país de destino y cualquier medida técnica, contractual u organizativa complementaria está disponible previa solicitud a privacy@easyweek.io.

Para las transferencias al Reino Unido, se aplica el Adendo Internacional de Transferencia de Datos del Reino Unido a las CCE (emitido por la ICO y vigente desde el 21 de marzo de 2022). Para las transferencias a Suiza, las CCE se interpretan con las sustituciones requeridas por la FDPIC.

9. Solicitudes de los titulares de datos

El Servicio ofrece funcionalidades de autoservicio que permiten al Cliente atender las Solicitudes de los Titulares relativas a acceso, rectificación, cancelación, restricción, portabilidad y oposición. Cuando un Titular se ponga en contacto directamente con EasyWeek, EasyWeek remitirá la solicitud al Cliente sin demora indebida y no responderá al Titular más que para confirmar la recepción y encauzar la solicitud al Cliente.

EasyWeek asistirá al Cliente, teniendo en cuenta la naturaleza del tratamiento, mediante las medidas técnicas y organizativas adecuadas, en el cumplimiento de la obligación del Cliente de dar respuesta a las Solicitudes de los Titulares conforme a los arts. 16 a 22 de la LFPDPPP (derechos ARCO: Acceso, Rectificación, Cancelación y Oposición).

10. Violación de datos personales

EasyWeek notificará al Cliente sin dilación indebida y, en cualquier caso, dentro de las setenta y dos (72) horas siguientes a tener conocimiento de una Violación de Datos Personales que afecte los Datos Personales del Cliente. La notificación incluirá, como mínimo, la información requerida por la LFPDPPP en la medida en que sea conocida: la naturaleza de la Violación, las categorías y el número aproximado de Titulares de Datos y registros afectados, las consecuencias probables, así como las medidas adoptadas o propuestas.

EasyWeek adoptará medidas razonables para contener y remediar la Violación y para proporcionar al Cliente la información necesaria a fin de que éste pueda cumplir con sus propias obligaciones de notificación ante el INAI (https://home.inai.org.mx/) y ante los Titulares de Datos afectados.

11. EIPD y consulta previa

EasyWeek proporcionará al Cliente asistencia razonable en cualquier Evaluación de Impacto en la Protección de Datos (EIPD) o consulta previa que el Cliente esté obligado a llevar a cabo conforme a los artículos 22 y 23 de la LFPDPPP, en la medida en que dicha asistencia sea razonablemente necesaria y la información obre en poder de EasyWeek.

12. Auditoría

EasyWeek pondrá a disposición del Cliente toda la información necesaria para demostrar el cumplimiento del presente DPA, incluyendo:

• Copias actualizadas de las certificaciones e informes de auditoría más relevantes (como ISO 27001 cuando esté disponible, e informes SOC 2 tipo II de los Subencargados de Tratamiento pertinentes).
• Respuestas escritas a un cuestionario de seguridad razonable, una vez por período de doce meses, sin cargo alguno.

Cuando la información anterior no sea suficiente y el Cliente sea requerido por su Autoridad Supervisora (el INAI — Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales, https://home.inai.org.mx/, en el caso de titulares de datos en México) para llevar a cabo una auditoría in situ, el Cliente podrá realizar o encomendar a un auditor independiente la realización de una auditoría a expensas del Cliente, con un aviso escrito de al menos sesenta (60) días, durante el horario laboral, no más de una vez por período de doce meses (salvo que haya ocurrido una Violación de Datos Personales), bajo compromisos razonables de confidencialidad y sin interrumpir las operaciones comerciales de EasyWeek ni la seguridad de otros clientes. El alcance de la auditoría se limita a la verificación del cumplimiento de EasyWeek con el presente DPA.

13. Devolución y eliminación

Dentro de los treinta (30) días siguientes a la terminación de las Condiciones de Servicio para Empresas, el Cliente podrá exportar los Datos Personales del Cliente a través de las herramientas de exportación de autoservicio proporcionadas por el Servicio. Transcurrido este período de gracia de treinta días, EasyWeek eliminará o anonimizará los Datos Personales del Cliente en un plazo razonable y, en todo caso, dentro de los noventa (90) días siguientes, salvo en la medida en que EasyWeek esté obligado por la legislación aplicable a conservar la totalidad o parte de dichos datos (en cuyo caso, los datos conservados seguirán sujetos a las obligaciones de confidencialidad y seguridad del presente DPA).

Las copias de seguridad que contengan Datos Personales del Cliente se sobrescriben de forma rotatoria dentro del período de retención estándar de copias de seguridad y permanecen sujetas al presente DPA hasta su vencimiento.

14. Responsabilidad y disposiciones diversas

La responsabilidad de cada parte en virtud del presente Addendum de Procesamiento de Datos o en relación con él está sujeta a las limitaciones y exclusiones de responsabilidad establecidas en los Términos de Servicio para Empresas.

El presente Addendum de Procesamiento de Datos forma parte de los Términos de Servicio para Empresas. En caso de conflicto entre el presente Addendum de Procesamiento de Datos y los Términos de Servicio para Empresas en relación con el tratamiento de Datos Personales del Cliente, prevalecerá el presente Addendum de Procesamiento de Datos. En caso de conflicto entre el presente Addendum de Procesamiento de Datos y las Cláusulas Contractuales Estándar, prevalecerán las Cláusulas Contractuales Estándar.

El presente Addendum de Procesamiento de Datos se rige por las leyes de la República Federal de Alemania. Los tribunales de Düsseldorf, Alemania, tienen jurisdicción exclusiva, sin perjuicio de las protecciones obligatorias de los Titulares de Datos conforme a su residencia habitual, incluidas las disposiciones imperativas aplicables derivadas de la LFPDPPP para los titulares de datos con residencia habitual en México.

Anexo I – Descripción del tratamiento

Objeto El tratamiento necesario para prestar el Servicio Empresarial EasyWeek al Cliente.

Duración Por el plazo de vigencia de los Términos de Servicio Empresarial y cualquier periodo de conservación posterior a la terminación requerido para dar cumplimiento a la Sección 13.

Naturaleza y finalidad del tratamiento Alojamiento, almacenamiento, recuperación, organización, modificación, transmisión, eliminación, anonimización, análisis estadístico y demás operaciones de tratamiento necesarias para prestar los servicios de reserva en línea, gestión de relaciones con clientes, finanzas y facturación, automatización de marketing, creación de sitios web, recordatorios y notificaciones, publicación en el marketplace, funcionalidades asistidas por inteligencia artificial y funciones auxiliares.

Categorías de interesados

• Los clientes finales y clientes potenciales del Cliente
• Los empleados, trabajadores independientes, contratistas y demás usuarios autorizados del Cliente
• Los visitantes de las páginas de reserva en línea y los widgets integrados del Cliente
• Los remitentes y destinatarios de comunicaciones enrutadas a través del Servicio

Categorías de datos personales

• Datos de identificación (nombre, fotografía, género)
• Datos de contacto (correo electrónico, teléfono, domicilio)
• Credenciales de cuenta de los usuarios autorizados del Cliente
• Historial de reservas y citas
• Notas, archivos, fotografías y documentos cargados por el Cliente
• Datos de programa de lealtad, saldos de tarjetas de regalo, segmentos de clientes
• Contenido de comunicaciones (SMS, WhatsApp, cuerpo de correo electrónico, cuerpo de notificación push, chat en la aplicación)
• Datos financieros (registros de facturas, estado de pagos, últimos 4 dígitos de tarjetas de pago — los datos completos de tarjeta son procesados directamente por Stripe y no son almacenados por EasyWeek)
• Datos técnicos (dirección IP, identificador de dispositivo, navegador, idioma, marcas de tiempo)
• Cuando el Cliente decida registrarlos: notas relacionadas con la salud (en contextos de belleza, bienestar, medicina u odontología). El Cliente es responsable de asegurarse de contar con una base jurídica válida conforme al artículo 9 de la LFPDPPP antes de registrar dichos datos.

Frecuencia de las transferencias Continua.

Transferencias internacionales Los datos personales son transferidos a EasyWeek GmbH, con domicilio en Alemania, fuera del territorio nacional mexicano. Dichas transferencias internacionales se llevan a cabo de conformidad con el artículo 36 de la LFPDPPP, mediante cláusulas contractuales vinculantes que obligan al receptor a observar medidas de protección equivalentes a las exigidas por la ley mexicana. El Cliente, en su carácter de responsable, reconoce y acepta dicha transferencia internacional al suscribir el Acuerdo de Tratamiento de Datos.

Conservación Los datos personales del Cliente se conservan durante el tiempo que el Cliente instruya y conforme a lo descrito con mayor detalle en la Sección 13.

Anexo II – Medidas técnicas y organizativas

EasyWeek implementa al menos las siguientes medidas, las cuales podrá actualizar periódicamente siempre que el nivel de protección no se reduzca:

• Seudonimización y cifrado — TLS 1.3 para datos en tránsito en redes públicas; AES-256 para datos en reposo (almacenamiento en base de datos, almacenamiento de objetos, copias de seguridad); claves de cifrado por inquilino para campos sensibles cuando corresponda.
• Confidencialidad — control de acceso basado en roles con privilegio mínimo, autenticación multifactor requerida para todo acceso administrativo, cierre de sesión automático, controles de acceso basados en IP para los sistemas de producción, obligaciones de confidencialidad por escrito para todo el personal.
• Integridad — gestión de cambios, revisión de código, análisis automatizado de dependencias, artefactos de despliegue firmados, verificaciones de integridad en copias de seguridad.
• Disponibilidad y resiliencia — alojamiento de producción en centros de datos de Hetzner en Alemania con energía y red redundantes, orquestación con Kubernetes y recuperación automática, copias de seguridad diarias con replicación entre zonas, plan de recuperación ante desastres documentado con ejercicios anuales de simulación, página de estado en status.easyweek.io.
• Restauración — retención de copias de seguridad suficiente para restaurar el servicio tras un incidente físico o técnico; pruebas de restauración trimestrales.
• Pruebas y evaluación — prueba de penetración anual por terceros del entorno de producción, pruebas de seguridad de aplicaciones estáticas y dinámicas continuas en CI/CD, proceso de gestión de vulnerabilidades con SLA de remediación definidos.
• Segregación de redes — los entornos de producción, preproducción y desarrollo están lógica y físicamente separados; el acceso administrativo se realiza únicamente a través de hosts bastión.
• Registro y monitoreo — registros de auditoría centralizados para eventos de autenticación, autorización, cambios de configuración y exportación de datos, conservados durante al menos un año; monitoreo de información y eventos de seguridad con alertas sobre anomalías.
• Desarrollo seguro — SDLC con modelado de amenazas, revisión entre pares, análisis de secretos, cumplimiento de licencias y estándares de codificación alineados con OWASP.
• Gestión de proveedores — contratos por escrito con todos los Subencargados del Tratamiento que imponen obligaciones equivalentes; revisión periódica.
• Seguridad del personal — verificación de antecedentes cuando sea legal; capacitación en concienciación sobre seguridad y protección de datos al momento de la contratación y anualmente a partir de entonces.
• Gestión de incidentes — guardia de disponibilidad 24/7; manual de respuesta a incidentes documentado; notificación de brechas dentro de las 72 horas conforme a la Sección 10.
• Seguridad física — el acceso físico a las instalaciones de tratamiento está controlado por el Subencargado del Tratamiento que opera las instalaciones (Hetzner, Google Cloud) bajo controles certificados ISO 27001 / SOC 2.

Anexo III – Subencargados aprobados

La lista vigente de Subencargados de EasyWeek se publica y actualiza en /business/subprocessors. La lista disponible en dicha URL queda incorporada por referencia al presente APD y al Anexo III.