ATD mayo de 2026

2.1. A los efectos de este ATD y según las definiciones del RGPD, MyScript actúa como Encargado del Tratamiento y Usted actúa como Responsable del Tratamiento.

2.2. El Encargado del Tratamiento deberá:

• cumplir con todas las Leyes de Protección de Datos aplicables en el Tratamiento de Datos Personales de Usuario, y
• no tratar Datos Personales de Usuario si no es bajo instrucciones de Usted documentadas.

2.2. Por el presente, Usted instruye al Encargado del Tratamiento para que trate los Datos Personales de Usuario con el fin de proporcionar los Servicios.

El Encargado del Tratamiento tomará las medidas razonables para garantizar la fiabilidad de cualquier empleado, agente o contratista del Encargado del Tratamiento que pueda tener acceso a los Datos Personales de Usuario, garantizando en cada caso que el acceso esté limitado estrictamente a aquellas personas que necesiten acceder a los Datos Personales de Usuario relevantes para la prestación de los Servicios o para desempeñar su función dentro de la organización del Encargado del Tratamiento, así como para cumplir con las leyes aplicables en el contexto de los deberes de esa persona para con el Encargado del Tratamiento, garantizando que todas esas personas estén sujetas a compromisos de confidencialidad u obligaciones profesionales o legales de confidencialidad.

4.1. Responsabilidades de seguridad del Encargado del Tratamiento

4.1.1. Teniendo en cuenta el estado de la tecnología, los costes de implementación y la naturaleza, el alcance, el contexto y los fines del Tratamiento, así como el riesgo de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el Encargado del Tratamiento deberá, en relación con los Datos Personales de Usuario, implementar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado a dicho riesgo, incluyendo, según corresponda, las medidas a las que se hace referencia en el Artículo 32(1) del RGPD.

4.1.2. Al evaluar el nivel de seguridad adecuado, el Encargado del Tratamiento tendrá en cuenta, en particular, los riesgos que presenta el Tratamiento, en particular los derivados de una Violación de la Seguridad de los Datos Personales.

4.1.3. Las medidas de seguridad del Encargado del Tratamiento se detallan adicionalmente en el Anexo 2 de este ATD.

4.2. Sus responsabilidades de seguridad

Usted acepta que, sin perjuicio de las obligaciones del Encargado del Tratamiento en virtud de la Sección 4.1 (Medidas de Seguridad) y la Sección 7 (Violación de la Seguridad de los Datos Personales):

4.2.1. Usted es el único responsable de su uso del Servicio, incluyendo (i) asegurarse de haber obtenido todos los permisos necesarios de cualquier persona física cuyos Datos Personales se traten a través del Servicio, y (ii) mantener todas sus credenciales de inicio de sesión y contraseñas de forma segura y cambiarlas regularmente.

4.2.2. El Encargado del Tratamiento no tiene la obligación de proteger los Datos Personales de Usuario que Usted decida almacenar o transferir fuera de los sistemas del Encargado del Tratamiento (o de los Subencargados).

4.2.3. Usted es el único responsable de revisar las medidas de seguridad y evaluar por sí mismo si el Servicio, las medidas de seguridad, la información de seguridad adicional y los compromisos del Encargado del Tratamiento en virtud de esta Sección 4 (Seguridad de los Datos) satisfarán sus necesidades, incluido con respecto a cualquier obligación de seguridad de las leyes de protección de datos aplicables en su jurisdicción.

5.1. El Encargado del Tratamiento no transferirá Datos Personales de Usuario a terceros ni designará (ni divulgará Datos Personales de Usuario a) ningún Subencargado salvo que Usted lo requiera o autorice.

5.2. Por el presente, Usted autoriza a los Subencargados enumerados en el Anexo 1 de este ATD a recibir y tratar Datos Personales de Usuario según sea necesario para la prestación de los Servicios. El Encargado del Tratamiento le informará de cualquier cambio en el Anexo 1 antes del Tratamiento de cualquier Dato Personal de Usuario por parte de un nuevo Subencargado y Usted podrá dejar de utilizar los Servicios.

5.3. El Encargado del Tratamiento será responsable de los actos y omisiones de sus Subencargados en la misma medida en que lo sería si prestara los servicios de cada Subencargado directamente en virtud de los términos de este ATD y del Aviso Legal y las Condiciones de Uso.

6.1. Teniendo en cuenta la naturaleza del Tratamiento, el Encargado del Tratamiento le asistirá mediante la implementación de medidas técnicas y organizativas apropiadas, en la medida de lo posible, para el cumplimiento de sus obligaciones, tal como las entienda razonablemente el Encargado del Tratamiento, para responder a las solicitudes de ejercicio de los derechos del Interesado en virtud de las Leyes de Protección de Datos, a saber: derecho de acceso, derecho de rectificación, limitación del Tratamiento, supresión, portabilidad de los datos, oposición al Tratamiento o derecho a no ser objeto de decisiones individuales automatizadas (en adelante, “Solicitud del Interesado”).

6.2. El Encargado del Tratamiento deberá:

• notificarle a Usted sin demora si recibe una solicitud de un Interesado en virtud de cualquier Ley de Protección de Datos con respecto a Datos Personales de Usuario, y
• asegurarse de que no responde a dicha solicitud, si no es bajo Sus instrucciones documentadas o según exijan las leyes aplicables a las que está sujeto el Encargado del Tratamiento, en cuyo caso el Encargado del Tratamiento, en la medida en que las leyes aplicables lo permitan, Le informará de dicho requerimiento legal antes de que el Encargado del Tratamiento responda a la solicitud.

6.3. Teniendo en cuenta la naturaleza del Tratamiento, el Encargado del Tratamiento le asistirá mediante medidas técnicas y organizativas apropiadas, en la medida de lo posible, para el cumplimiento de su obligación de responder a una Solicitud del Interesado en virtud de las Leyes Europeas de Protección de Datos. Además, en la medida en que Usted, en su uso del Servicio, no tenga la capacidad de atender una Solicitud del Interesado, el Encargado del Tratamiento, previa solicitud por escrito de Usted, le proporcionará cooperación y asistencia razonables para facilitar su respuesta a dicha Solicitud del Interesado, en la medida en que el Encargado del Tratamiento esté legalmente autorizado a hacerlo y dicha respuesta sea requerida en virtud de las Leyes Europeas de Protección de Datos. En la medida en que lo permita la ley, Usted será responsable de cualquier coste derivado de la prestación de dicha asistencia por parte del Encargado del Tratamiento.

7.1. El Encargado del Tratamiento le notificará a Usted y a la Autoridad de Supervisión Competente sin demora indebida en cuanto tenga conocimiento de una Violación de la Seguridad de los Datos Personales que afecte a Datos Personales de Usuario, proporcionándole información suficiente para que Usted pueda cumplir con cualquier obligación de notificar o informar a los Interesados sobre dicha Violación de la Seguridad de los Datos Personales en virtud de las Leyes de Protección de Datos.

7.2. El Encargado del Tratamiento cooperará con Usted y adoptará las medidas comerciales razonables que Usted indique para ayudar en la investigación, mitigación y subsanación de cada una de dichas Violaciones de la Seguridad de los Datos Personales.

7.3. La(s) notificación(es) de cualquier Violación de Datos Personales se le entregarán mediante comunicación directa. Usted es el único responsable de garantizar que cualquier información de contacto, incluida la dirección de correo electrónico para notificaciones, proporcionada al Encargado del Tratamiento esté actualizada y sea válida.

7.4. El Encargado del Tratamiento no evaluará el contenido de los Datos Personales de Usuario con el fin de identificar información sujeta a requisitos legales específicos. Usted es el único responsable de cumplir con las leyes de notificación de incidentes aplicables y de cumplir cualquier obligación de notificación a terceros relacionada con cualquier Violación de la Seguridad de los Datos Personales.

7.5. La notificación o respuesta del Encargado del Tratamiento a una Violación de la Seguridad de los Datos Personales en virtud de esta Sección 7.1 (Violación de la Seguridad de los Datos Personales) no se interpretará como un reconocimiento por parte del Encargado del Tratamiento de ninguna culpa o responsabilidad con respecto a dicha Violación de la Seguridad de los Datos Personales.

El Encargado del Tratamiento le proporcionará asistencia razonable con cualquier evaluación de impacto de la protección de datos y consultas previas con las autoridades de supervisión u otras autoridades competentes en materia de privacidad de datos, que Usted considere razonablemente necesarias en virtud de los artículos 35 o 36 del RGPD o disposiciones equivalentes de cualquier otra Ley de Protección de Datos, en cada caso únicamente en relación con el Tratamiento de Datos Personales de Usuario por parte del Encargado del Tratamiento, y teniendo en cuenta la naturaleza del Tratamiento y la información disponible para el Encargado del Tratamiento.

9.1. Previa solicitud expresa de Usted o tras la eliminación de su cuenta por Usted mismo, el Encargado del Tratamiento eliminará los Datos Personales de Usuario que hayan sido tratados o estén siendo tratados por el Encargado del Tratamiento. La eliminación es definitiva y el Encargado del Tratamiento no conservará ninguna copia de dichos Datos Personales de Usuario.

9.2. Tras la finalización de los Servicios, el Encargado del Tratamiento deberá, con prontitud y en cualquier caso dentro de los 12 meses posteriores a la fecha de finalización de cualquier Servicio que implique el Tratamiento de Datos Personales de Usuario, eliminar y garantizar la eliminación de todas las copias (si las hubiera) de dichos Datos Personales de Usuario que hayan sido transferidos al Encargado del Tratamiento (o a cualquier Subencargado) durante la prestación del Servicio.

10.1. El Encargado del Tratamiento realizará auditorías de forma periódica y se asegurará de que todos los Subencargados hagan lo mismo, con el fin de garantizar el cumplimiento de este ATD y de sus obligaciones en virtud de las Leyes de Protección de Datos aplicables.

10.2. Con sujeción a esta Sección 10, el Encargado del Tratamiento pondrá a su disposición, previa solicitud y siempre que exista un acuerdo de confidencialidad adecuado, toda la información necesaria para demostrar el cumplimiento de este ATD, en relación con el Tratamiento de los Datos Personales de Usuario por parte del Encargado del Tratamiento y/o de los Subencargados.

10.3. Usted puede solicitar la realización de cualquier auditoría, incluida cualquier inspección, que tenga derecho a solicitar o encomendar en su propio nombre y en nombre de sus responsables del tratamiento cuando actúe como Encargado del Tratamiento, en virtud de la Ley de Protección de Datos aplicable, instruyendo al Encargado del Tratamiento para que lleve a cabo la auditoría descrita en la Sección 10.1.

10.4. Si desea modificar esta instrucción relativa a la auditoría, tiene derecho a solicitar dicho cambio enviando una notificación por escrito al Encargado del Tratamiento a legal@myscript.com. Si el Encargado del Tratamiento rechaza seguir cualquier solicitud y/o instrucción suya relativa a auditorías, incluidas inspecciones, Usted tendrá derecho a rescindir los Servicios de inmediato.

11.1. El Encargado del Tratamiento no podrá transferir, ni autorizar la transferencia de, Datos Personales de Usuario a países fuera de la UE y/o del EEE sin su consentimiento previo por escrito. Si los Datos Personales tratados en virtud de este ATD se transfieren desde un país dentro del Espacio Económico Europeo a un país fuera del Espacio Económico Europeo, las Partes garantizarán que los Datos Personales de Usuario estén adecuadamente protegidos. Para lograrlo, las Partes, salvo que se acuerde lo contrario, se basarán en decisiones de adecuación de la UE para países no pertenecientes a la UE y/o en cláusulas contractuales tipo aprobadas por la UE para la transferencia de Datos Personales.

11.2. En el Anexo 1 de este ATD se proporciona una lista de los Subencargados que reciben Datos Personales de Usuario, así como de los países en los que están ubicados. A efectos de la Sección 11.1 anterior, Usted consiente la transferencia de Datos Personales de Usuario a los Subencargados enumerados en el Anexo 1.

12.1. Duración

Este ATD entra en vigor tras su aceptación del Aviso Legal y las Condiciones de Uso y permanecerá vigente mientras el Encargado del Tratamiento le preste los Servicios.

12.2. Avisos

Todos los avisos y comunicaciones realizados en virtud de este ATD deberán hacerse por escrito y enviarse por correo electrónico a la dirección utilizada para crear una cuenta de MyScript en caso de que MyScript se ponga en contacto con Usted, y deberán enviarse a legal@myscript.com en caso de que Usted desee notificar a MyScript.

12.3. Ley y jurisdicción

Este ATD se rige por las leyes de Francia, excluyendo sus disposiciones sobre conflicto de leyes. Cualquier controversia que surja de o en relación con este ATD, que las Partes no puedan resolver amistosamente, se someterá a la jurisdicción exclusiva de los tribunales o autoridades competentes de Francia.

12.4. Divisibilidad

Si alguna disposición de este ATD fuera inválida o inaplicable, el resto de este ATD seguirá siendo válido y en vigor. La disposición inválida o inaplicable se (i) modificará según sea necesario para garantizar su validez y aplicabilidad, preservando en la mayor medida posible la intención de las Partes o, si ello no fuera posible, (ii) se interpretará como si la parte inválida o inaplicable nunca hubiera sido incluida.

12.5. Autoridad de Supervisión Competente

La Autoridad de Supervisión Competente a la que dirigirse en caso de reclamación, queja o solicitud es la Commission Nationale des Informations et des Libertés (CNIL) y puede contactarse a través de esta página (en francés).

13.1. Anexo 1 – Lista de Subencargados del Tratamiento

Funciones en la nube de las aplicaciones MyScript

Subencargado: AWS, proveedor de infraestructura en la nube con sede en la Unión Europea.

Subencargado: Freshdesk (Freshworks), que recibe y gestiona solicitudes de soporte que pueden incluir la transferencia de archivos (Contenido), con sede en la Unión Europea.

Subencargado: Brevo, proveedor de servicios de correo, con sede en la Unión Europea.

Reconocimiento de MyScript Cloud a través del portal para desarrolladores

Subencargado: AWS, proveedor de infraestructura en la nube con sede en Oregón, EE. UU. (con SCC en vigor).

Subencargado: Brevo, proveedor de servicios de correo, con sede en la Unión Europea.

13.2. Anexo 2 – Medidas de seguridad

El Encargado del Tratamiento implementará y mantendrá las siguientes medidas de seguridad técnicas y organizativas al tratar Datos Personales de Usuario por cuenta de Usted:

Controles de acceso físico

El Encargado del Tratamiento tomará las medidas razonables para impedir el acceso físico, como edificios protegidos y salas de servidores protegidas, para evitar que personas no autorizadas tengan acceso a Datos Personales de Usuario, o garantizar que los Subencargados del Tratamiento que operen centros de datos por su cuenta se adhieran a tales controles.

Controles de acceso al sistema

El Encargado del Tratamiento adoptará medidas razonables para evitar que los Datos Personales de Usuario se utilicen sin autorización. Estos controles variarán en función de la naturaleza del Tratamiento realizado y pueden incluir, entre otros, autenticación mediante contraseñas, combinada con autenticación multifactor cuando corresponda, procesos de autorización documentados, cortafuegos, procesos documentados de gestión de cambios y/o registro de accesos en varios niveles y actualizaciones automáticas de seguridad.

Controles de acceso a los datos

El Encargado del Tratamiento tomará las medidas razonables para garantizar que los Datos Personales de Usuario solo estén accesibles y puedan ser gestionados por personal debidamente autorizado, que el acceso directo a la consulta de la base de datos esté restringido y que los derechos de acceso a las aplicaciones estén establecidos y se apliquen para garantizar que las personas con derecho a usar un sistema de tratamiento de datos tengan acceso solo a los Datos Personales de Usuario para los que tengan privilegios de acceso, y que los Datos Personales de Usuario no se puedan leer, copiar, modificar ni eliminar sin autorización durante el Tratamiento.

Controles de transmisión

El Encargado del Tratamiento adoptará medidas razonables para garantizar que sea posible verificar y establecer a qué entidades se prevé la transferencia de Datos Personales de Usuario mediante instalaciones de transmisión de datos, de modo que dichos Datos Personales de Usuario no puedan ser leídos, copiados, modificados o eliminados sin autorización durante la transmisión o el transporte electrónico. Estas medidas incluyen el uso de conexiones de servidor seguras certificadas y la limitación del uso compartido de recursos de origen cruzado en todas las API.

Controles de entrada

El Encargado del Tratamiento adoptará medidas razonables para garantizar que sea posible verificar y establecer si los metadatos han sido introducidos en sistemas de tratamiento de datos, modificados o eliminados. El Encargado del Tratamiento utilizará las mejores prácticas del sector, incluidos protocolos criptográficos para la autenticación y el registro seguro de auditorías.

Copia de seguridad de los datos

Las copias de seguridad de las bases de datos del Servicio se realizan regularmente, están protegidas y cifradas en reposo para garantizar que los Datos Personales de Usuario estén protegidos contra la destrucción accidental o la pérdida. Se realizan instantáneas cada 12 horas (AWS). Se realizan copias de seguridad cifradas cada tres días en nuestros servidores.

13.3. Anexo 3 – Descripción de las actividades de tratamiento

Nombre: MyScript SAS

Dirección: 3 rue de la Rainière, 44339 Nantes Cedex 3, Francia

Nombre, cargo y datos de contacto de la persona de contacto: Emilie Fowell, DPO, legal@myscript.com

Actividades relevantes para los datos transferidos: Prestación de los Servicios

Función (responsable del tratamiento/encargado del tratamiento): Encargado del Tratamiento

13.3.1. Funciones en la nube de las aplicaciones MyScript

a. Categorías de interesados cuyos datos personales se transfieren

Puede enviar Datos Personales de Usuario a los Servicios, el alcance de los cuales lo determina y controla exclusivamente Usted.

b. Categorías de datos personales transferidos

Datos Personales de Usuario no estructurados contenidos en el contenido de MyScript Notes o MyScript Math enviados por Usted al Encargado del Tratamiento a través del Servicio para compartirlos con MyScript o almacenarlos mediante las funciones en la nube de las aplicaciones MyScript.

c. Categorías especiales de datos

MyScript no recopila ninguna categoría especial de datos (como origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, afiliación sindical, datos genéticos o biométricos, salud o vida sexual). Sin embargo, el contenido de los Datos Personales de Usuario no estructurados, como se describe anteriormente, es desconocido para MyScript.

d. Frecuencia de la transferencia

Los Datos Personales de Usuario no estructurados se transfieren a nuestros Subencargados del tratamiento enumerados en el Anexo 1 y de forma continua en función de la frecuencia con la que Usted utilice el Servicio.

e. Naturaleza del Tratamiento

La naturaleza del Tratamiento es la prestación de los Servicios.

f. Finalidad(es) de la transferencia de datos y del Tratamiento posterior

MyScript tratará los Datos Personales de Usuario según sea necesario para prestar los Servicios que Usted solicite.

g. El período durante el cual se conservarán los datos personales o, si no fuera posible, los criterios utilizados para determinar dicho período

Los Datos Personales de Usuario no estructurados se transfieren a los servidores del Encargado del Tratamiento durante el tiempo que Usted decida almacenar o compartirlos mediante las funciones en la nube de las aplicaciones MyScript. Si Usted elimina su cuenta de MyScript, todos los Datos Personales de Usuario se eliminan automáticamente de todos los puntos de almacenamiento.

h. Para transferencias a (Sub-) encargados del tratamiento, especifique también el objeto, la naturaleza y la duración del Tratamiento

El Subencargado tratará los Datos Personales de Usuario según sea necesario para prestar los Servicios. El Subencargado tratará los Datos Personales de Usuario mientras Usted tenga una cuenta de MyScript, salvo que se acuerde lo contrario por escrito o que Usted haya solicitado previamente la eliminación de los Datos Personales de Usuario. Las identidades de los Subencargados utilizados para la prestación de los Servicios y sus países de ubicación se enumeran en el Anexo 1 de este ATD.

13.3.2. Reconocimiento de MyScript Cloud a través del portal para desarrolladores

a. Categorías de interesados cuyos datos personales se transfieren

Puede enviar Datos Personales de Usuario a los Servicios, el alcance de los cuales lo determina y controla exclusivamente Usted.

b. Categorías de datos personales transferidos

• Datos Personales de Usuario no estructurados incluidos en documentos enviados por Usted al Encargado del Tratamiento a través del Servicio para transformarlos de notas manuscritas en texto de imprenta.
• Dirección IP del Usuario Final.

c. Categorías especiales de datos

MyScript no recopila ninguna categoría especial de datos (como origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, afiliación sindical, datos genéticos o biométricos, salud o vida sexual). Sin embargo, el contenido de los Datos Personales de Usuario no estructurados, como se describe anteriormente, es desconocido para MyScript.

d. Frecuencia de la transferencia (por ejemplo, si los datos se transfieren de forma puntual o continua)

Todas las categorías de datos enumeradas arriba se transfieren a nuestros Subencargados del tratamiento enumerados en el Anexo 1 y de forma continua en función del uso el Servicio.

e. Naturaleza del Tratamiento

La naturaleza del Tratamiento es la prestación de los Servicios.

f. Finalidad(es) de la transferencia de datos y del Tratamiento posterior

MyScript tratará los Datos Personales según sea necesario para prestar los Servicios.

g. El período durante el cual se conservarán los datos personales o, si no fuera posible, los criterios utilizados para determinar dicho período

Los Datos Personales de Usuario no estructurados se transfieren a los servidores del Encargado del Tratamiento durante el tiempo necesario para que tenga lugar el Tratamiento, luego se devuelven al Usuario Final y no son almacenados por el Encargado del Tratamiento. Las direcciones IP se conservan en registros durante 12 meses. Los Datos Personales de Usuario no estructurados no son almacenados por el Encargado del Tratamiento a menos que Usted lo solicite de forma específica y expresa por escrito.

h. Para transferencias a (Sub-) encargados del tratamiento, especifique también el objeto, la naturaleza y la duración del Tratamiento

El Subencargado tratará los Datos Personales de Usuario según sea necesario para prestar los Servicios. El Subencargado tratará los Datos Personales durante el tiempo que Usted utilice los Servicios, salvo que se acuerde lo contrario por escrito. Las identidades de los Subencargados utilizados para la prestación de los Servicios y sus países de ubicación se enumeran en el Anexo 1 de este ATD.