TÉRMINOS Y CONDICIONES

1. Definiciones e Interpretación

En este Acuerdo, salvo que el contexto exija lo contrario, los siguientes términos tendrán los significados que se indican a continuación:

• "Acuerdo" significa estos Términos y Condiciones, incluidos todos los anexos adjuntos, según se modifiquen en su caso.
• "Cliente" significa la institución educativa, proveedor de formación u organización que se suscribe a los Servicios prestados por KMPUS.
• "Responsable del Tratamiento" significa la persona física o jurídica que, sola o conjuntamente con otras, determina los fines y medios del tratamiento de Datos Personales. En el contexto de este Acuerdo, el Cliente actúa como Responsable del Tratamiento.
• "Encargado del Tratamiento" significa la persona física o jurídica que trata Datos Personales por cuenta del Responsable. En el contexto de este Acuerdo, KMPUS actúa como Encargado del Tratamiento.
• "Interesado" significa una persona física identificada o identificable cuyos Datos Personales se tratan en el marco de este Acuerdo, incluidos, entre otros, estudiantes, alumnos, padres, tutores y miembros del personal.
• "RGPD" significa el Reglamento General de Protección de Datos (UE) 2016/679 del Parlamento Europeo y del Consejo, complementado por la Ley de Protección de Datos de Irlanda de 2018 y cualquier legislación sucesora.
• "Datos Personales" significa cualquier información relativa a una persona física identificada o identificable, según se define en el artículo 4(1) del RGPD.
• "Datos de Categorías Especiales" significa datos personales que revelen origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos, datos relativos a la salud, o datos relativos a la vida sexual o la orientación sexual de una persona, según se define en el artículo 9 del RGPD.
• "Servicios" significa la plataforma de software de gestión escolar de KMPUS prestada como solución de Software como Servicio (SaaS), accesible en https://kmpus.io, incluidas todas las funciones, módulos, actualizaciones y soporte proporcionados en virtud de este Acuerdo.
• "Subencargado" significa cualquier tercero contratado por KMPUS para tratar Datos Personales por cuenta del Cliente.
• "Plataforma" significa la aplicación web de KMPUS y cualquier aplicación móvil, API e integración asociada.
• "Autoridad de Control" significa la Data Protection Commission (DPC) de Irlanda o cualquier otra autoridad de protección de datos competente según corresponda.
• "Violación" o "Violación de Datos Personales" significa una violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de Datos Personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

2. Contrato de Servicio

2.1 Alcance de los Servicios

Este Acuerdo regula la prestación de los servicios de software de gestión escolar de KMPUS al Cliente. La Plataforma proporciona un conjunto integral de herramientas para la administración educativa, incluyendo, entre otras, la gestión de matrículas y registros de estudiantes, el seguimiento y la elaboración de informes de asistencia, la evaluación académica y la calificación, la gestión de horarios, herramientas de comunicación para personal, estudiantes y padres, gestión documental, informes de cumplimiento y administración financiera.

2.2 Aceptación

Al aceptar esta propuesta, suscribirse a los Servicios o acceder a la Plataforma, el Cliente acepta estos Términos y Condiciones y reconoce comprender los requisitos de tratamiento de datos conforme al RGPD y a la Ley de Protección de Datos de Irlanda de 2018.

2.3 Naturaleza del Servicio

Los Servicios se prestan como una solución de Software como Servicio (SaaS) alojada en infraestructura de nube segura dentro de la Unión Europea. El Cliente accede a la Plataforma a través de Internet mediante navegadores web estándar. KMPUS conserva la propiedad de todos los derechos de propiedad intelectual sobre la Plataforma, y se concede al Cliente una licencia no exclusiva e intransferible para utilizar los Servicios durante la vigencia de este Acuerdo.

2.4 Modificaciones de los Servicios

KMPUS se reserva el derecho de modificar, mejorar o actualizar la Plataforma para mejorar su funcionalidad, seguridad o cumplimiento. Los cambios sustanciales que afecten al uso de los Servicios por parte del Cliente se comunicarán con una antelación razonable. Dichas modificaciones no disminuirán materialmente la funcionalidad principal disponible para el Cliente durante el período de suscripción.

3. Protección de Datos y Cumplimiento del RGPD

3.1 Relación entre Responsable y Encargado del Tratamiento

El Cliente actúa como Responsable del Tratamiento de todos los Datos Personales de estudiantes, alumnos, padres, tutores y personal tratados a través de la Plataforma. KMPUS actúa como Encargado del Tratamiento, tratando los Datos Personales únicamente por cuenta del Cliente y de acuerdo con sus instrucciones documentadas.

KMPUS no tratará Datos Personales para ningún fin distinto a la prestación de los Servicios establecidos en este Acuerdo, salvo que esté obligado a hacerlo en virtud del Derecho de la Unión Europea o de un Estado miembro al que KMPUS esté sujeto. En tal caso, KMPUS informará al Cliente de dicha obligación legal antes del tratamiento, salvo que la ley prohíba dicha comunicación por razones importantes de interés público.

3.2 Base Legal del Tratamiento

El tratamiento de Datos Personales se realiza en función de las siguientes bases legales conforme al RGPD:

• Intereses Legítimos (artículo 6(1)(f)): El tratamiento es necesario para los intereses educativos y administrativos legítimos del Cliente.
• Misión de Interés Público (artículo 6(1)(e)): Cuando el Cliente sea una institución educativa financiada con fondos públicos, el tratamiento puede ser necesario para el cumplimiento de una misión realizada en interés público.
• Necesidad Contractual (artículo 6(1)(b)): El tratamiento es necesario para la ejecución de un contrato del que el Interesado es parte, como un acuerdo de matrícula.
• Obligación Legal (artículo 6(1)(c)): El tratamiento es necesario para el cumplimiento de una obligación legal aplicable al Cliente.
• Consentimiento (artículo 6(1)(a)): Cuando no se apliquen las bases anteriores, el tratamiento podrá basarse en el consentimiento libre, específico, informado e inequívoco del Interesado.

Para Datos de Categorías Especiales, el tratamiento se basa en:

• Interés Público Esencial (artículo 9(2)(g)): Tratamiento necesario por razones de interés público esencial.
• Consentimiento Explícito (artículo 9(2)(a)): Cuando proceda, se ha obtenido el consentimiento explícito del Interesado o de su padre/tutor.

3.3 Categorías de Datos Personales Tratados

La Plataforma puede tratar las siguientes categorías de Datos Personales por cuenta del Cliente:

• Datos de estudiantes/alumnos: nombre completo, fecha de nacimiento, género, nacionalidad, número GNIB (cuando sea legalmente exigido), identificador de estudiante, registros de matrícula, registros de asistencia, resultados académicos y evaluaciones, registros disciplinarios, fotografías y datos de contacto.
• Datos de padres/tutores: nombre completo, datos de contacto (dirección, teléfono, correo electrónico), relación con el estudiante, información de contacto de emergencia y registros de comunicación.
• Datos del personal: nombre completo, identificador de empleado, datos de contacto, función y departamento, cualificaciones, registros de formación y registros de acceso al sistema.
• Datos de Categorías Especiales (cuando los proporcione el Cliente): información médica o de salud, datos de necesidades educativas especiales (NEE), información sobre discapacidad, afiliación religiosa y origen étnico cuando se recopilen para fines de igualdad o apoyo educativo.
• Datos técnicos: direcciones IP, tipo de navegador, marcas de tiempo de inicio de sesión, datos de sesión y analíticas de uso (anonimizadas cuando sea posible).

3.4 Principios del Tratamiento de Datos

KMPUS, en su calidad de Encargado del Tratamiento, se adhiere a los principios de protección de datos establecidos en el artículo 5 del RGPD: licitud, lealtad y transparencia; limitación de la finalidad; minimización; exactitud; limitación del plazo de conservación; integridad y confidencialidad.

3.5 Evaluaciones de Impacto de Protección de Datos (EIPD)

KMPUS asistirá al Cliente en la realización de Evaluaciones de Impacto relativas a la Protección de Datos cuando sean requeridas en virtud del artículo 35 del RGPD.

3.6 Registro de Actividades de Tratamiento

KMPUS mantiene un registro de todas las actividades de tratamiento realizadas por cuenta del Cliente, conforme al artículo 30(2) del RGPD. Dichos registros están a disposición de la Autoridad de Control cuando esta lo solicite.

3.7 Protección de Datos desde el Diseño y por Defecto

Conforme al artículo 25 del RGPD, KMPUS implementa la protección de datos desde el diseño y por defecto, incluyendo seudonimización y cifrado, controles de acceso basados en roles, configuraciones de privacidad por defecto que traten solo los datos mínimos necesarios y revisión periódica de las prácticas de recopilación.

4. Derechos del Interesado

KMPUS proporciona medidas técnicas y organizativas para ayudar al Cliente a cumplir con sus obligaciones respecto a los derechos del Interesado conforme a los artículos 15 a 22 del RGPD.

4.1 Derecho de Acceso (artículo 15)

Los Interesados tienen derecho a obtener del Cliente confirmación sobre si se están tratando o no Datos Personales que les conciernen y, en su caso, acceso a dichos Datos Personales. La Plataforma proporciona funcionalidad de exportación de datos para ayudar al Cliente a responder dentro del plazo legal de un mes.

4.2 Derecho de Rectificación (artículo 16)

Los Interesados tienen derecho a obtener la rectificación de los Datos Personales inexactos sin dilación indebida. La Plataforma permite al Cliente actualizar y corregir los Datos Personales directamente.

4.3 Derecho de Supresión (artículo 17)

Los Interesados tienen derecho a obtener la supresión de los Datos Personales en determinadas circunstancias. La Plataforma proporciona mecanismos para que el Cliente elimine registros individuales, y KMPUS se asegurará de que la supresión se ejecute en todos los sistemas, incluidas las copias de seguridad, dentro de los plazos especificados en la Sección 6.

4.4 Derecho a la Limitación del Tratamiento (artículo 18)

Los Interesados tienen derecho a obtener la limitación del tratamiento en determinadas circunstancias. La Plataforma admite la posibilidad de limitar el tratamiento de registros específicos conservando los datos.

4.5 Derecho a la Portabilidad de los Datos (artículo 20)

Los Interesados tienen derecho a recibir sus Datos Personales en un formato estructurado, de uso común y de lectura mecánica. La Plataforma admite la exportación de datos en formatos estándar como CSV y JSON.

4.6 Derecho de Oposición (artículo 21)

Los Interesados tienen derecho a oponerse al tratamiento de sus Datos Personales en determinadas circunstancias. El Cliente es responsable de evaluar las solicitudes de oposición e instruir a KMPUS en consecuencia.

4.7 Decisiones Automatizadas (artículo 22)

La Plataforma no realiza decisiones automatizadas, incluida la elaboración de perfiles, que produzcan efectos jurídicos sobre los Interesados o les afecten significativamente de modo similar. Las funciones analíticas o de informes proporcionadas por la Plataforma son herramientas para ayudar al personal del Cliente en la toma de decisiones informadas y no sustituyen al juicio humano.

4.8 Plazos de Respuesta

KMPUS asistirá al Cliente a responder a las solicitudes de los Interesados dentro del plazo legalmente establecido de un mes desde la recepción de la solicitud. Cuando las solicitudes sean complejas o numerosas, el plazo podrá ampliarse otros dos meses conforme al artículo 12(3) del RGPD.

5. Acceso a Datos y Confidencialidad

5.1 Sin Acceso sin Consentimiento

KMPUS no accede, consulta, recupera ni trata los Datos Personales del Cliente almacenados en la Plataforma para ningún fin distinto de la prestación de los Servicios descritos en este Acuerdo. En ningún caso KMPUS accederá a los datos del Cliente sin su consentimiento previo, explícito y documentado.

5.2 Circunstancias que Requieren Acceso

En circunstancias limitadas y excepcionales, KMPUS podrá requerir acceso a los datos del Cliente para los siguientes fines, cada uno de los cuales requiere el consentimiento expreso por escrito del Cliente:

• Soporte técnico y resolución de incidencias a petición del Cliente.
• Restauración de datos a partir de copias de seguridad tras un incidente del sistema, como se describe en la Sección 6.
• Investigación de errores o anomalías del sistema notificados por el Cliente.
• Cumplimiento de una obligación legal u orden vinculante de una autoridad competente, en cuyo caso KMPUS notificará al Cliente antes del acceso, salvo que la ley lo prohíba.

5.3 Controles de Acceso

El acceso a los datos del Cliente por parte del personal de KMPUS se concede estrictamente sobre la base de necesidad de conocer y se limita al mínimo necesario para cumplir la tarea de soporte o mantenimiento. Todos los accesos se registran y son auditables. Las credenciales se gestionan mediante autenticación multifactor y se revocan inmediatamente al finalizar la tarea autorizada. KMPUS revisa el registro de personal autorizado trimestralmente.

5.4 Obligaciones de Confidencialidad

Todo el personal de KMPUS que pueda tener acceso a Datos Personales está obligado por compromisos contractuales de confidencialidad conforme al artículo 28(3)(b) del RGPD. Estas obligaciones perduran tras la finalización de la relación laboral o contractual con KMPUS.

6. Política de Copias de Seguridad y Recuperación de Datos

6.1 Programa de Copias y Conservación

KMPUS mantiene copias de seguridad automatizadas diarias de todas las bases de datos del Cliente. Las copias se conservan durante un período rotativo de quince (15) días. Al expirar este período, las copias antiguas se sobrescriben automáticamente y se destruyen permanentemente con el ciclo siguiente.

6.2 Cifrado de Copias de Seguridad

Todos los datos de copia de seguridad se cifran con algoritmos estándar de la industria AES-256, tanto en reposo como en tránsito. Las claves de cifrado se gestionan conforme a la política de gestión de claves de KMPUS, almacenándose por separado de los datos y rotándose con regularidad.

6.3 Ubicación de Almacenamiento

Todos los datos de copia de seguridad se almacenan en servidores seguros ubicados dentro de la Unión Europea, concretamente en la región de infraestructura de Amazon Web Services (AWS) en la UE. Los datos de copia de seguridad nunca se transfieren ni almacenan en ubicaciones fuera del Espacio Económico Europeo (EEE).

6.4 Restricciones de Acceso a Copias

Los datos de copia de seguridad no se comparten ni se divulgan a ninguna persona, entidad u organización fuera de KMPUS. Dentro de KMPUS, el acceso se restringe a un número limitado de administradores de sistemas autorizados. Los datos de copia nunca se utilizan para analítica, marketing o investigación. Todo acceso se registra, supervisa y audita periódicamente.

6.5 Procedimientos de Restauración

En caso de que se requiera la restauración de datos, el Cliente deberá enviar una solicitud por escrito a support@kmpus.io. KMPUS evaluará la solicitud, confirmará el alcance, la viabilidad y el plazo previsto, y notificará al Cliente la finalización de la restauración.

6.6 Eliminación de Copias tras la Terminación

Tras la terminación de este Acuerdo y finalizado el período de exportación de datos descrito en la Sección 15, todos los datos del Cliente contenidos en copias de seguridad serán eliminados permanentemente en un plazo de sesenta (60) días. KMPUS proporcionará confirmación por escrito al Cliente una vez completada la eliminación.

7. Seguridad y Salvaguardas Técnicas

7.1 Medidas Técnicas

KMPUS implementa medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, conforme al artículo 32 del RGPD, incluyendo:

• Cifrado de todos los Datos Personales en reposo con AES-256 y en tránsito con TLS 1.2 o superior.
• Control de acceso basado en roles (RBAC) con principio de mínimo privilegio.
• Autenticación multifactor (MFA) para todo acceso administrativo y privilegiado.
• Evaluaciones de vulnerabilidad y pruebas de penetración periódicas, al menos anualmente.
• Sistemas de detección y prevención de intrusiones (IDS/IPS) en tiempo real.
• Firewall de aplicaciones web (WAF) para protección frente a amenazas comunes como inyección SQL, XSS y ataques DDoS.
• Supervisión de seguridad automatizada con capacidad de respuesta a incidentes 24/7.

7.2 Seguridad de la Infraestructura

La Plataforma se aloja en infraestructura de Amazon Web Services (AWS) en la región de la UE. Los centros de datos de AWS cuentan con las siguientes certificaciones y estándares: ISO 27001, ISO 27017, ISO 27018, informes SOC 1, SOC 2 y SOC 3, y cumplimiento del Código de Conducta de la UE para Proveedores de Servicios en la Nube (CISPE).

7.3 Formación y Concienciación del Personal

Todo el personal de KMPUS recibe formación obligatoria en protección de datos y seguridad de la información al incorporarse y posteriormente con regularidad (al menos anualmente). La formación cubre obligaciones del RGPD, procedimientos de manejo de datos, reconocimiento y notificación de incidentes, concienciación sobre phishing y prácticas de codificación segura para el personal de desarrollo.

7.4 Respuesta ante Violaciones de Datos Personales

En caso de Violación de Datos Personales, KMPUS deberá:

• Notificar al Cliente sin dilación indebida y, en cualquier caso, dentro de las veinticuatro (24) horas siguientes a tener conocimiento de la Violación, conforme al artículo 33(2) del RGPD.
• Proporcionar al Cliente información suficiente para que pueda notificar a la Autoridad de Control (Data Protection Commission de Irlanda) en un plazo de 72 horas cuando sea exigido por el artículo 33(1) del RGPD.
• Proporcionar una evaluación inicial de la naturaleza y alcance de la Violación, incluidas las categorías y número aproximado de Interesados afectados y las consecuencias probables.
• Recomendar medidas de mitigación adecuadas e implementar las que estén bajo el control de KMPUS.
• Cooperar plenamente con el Cliente en la investigación de la Violación y en las comunicaciones con la Autoridad de Control y los Interesados afectados.
• Mantener un registro documentado de todas las Violaciones conforme al artículo 33(5) del RGPD.

7.5 Continuidad del Negocio y Recuperación ante Desastres

KMPUS mantiene un plan documentado de Continuidad del Negocio y Recuperación ante Desastres (BC/DR) que se prueba al menos anualmente, con un objetivo de punto de recuperación (RPO) alineado con el ciclo de retención de copias de 15 días y un objetivo de tiempo de recuperación (RTO) adecuado a la naturaleza del incidente.

8. Transferencias Internacionales de Datos

8.1 Residencia de los Datos

Todos los Datos Personales del Cliente tratados a través de la Plataforma se almacenan, tratan y conservan exclusivamente dentro de la Unión Europea (UE) y del Espacio Económico Europeo (EEE). Los datos no salen del territorio UE/EEE durante las operaciones normales, los procedimientos de copia de seguridad ni las actividades de mantenimiento.

8.2 Prohibición de Transferencias fuera del EEE

KMPUS no transferirá ni permitirá la transferencia de Datos Personales del Cliente a ningún país o territorio fuera del EEE sin el consentimiento previo y por escrito del Cliente y sin garantizar que se aplique una de las siguientes salvaguardias: decisión de adecuación conforme al artículo 45 del RGPD, Cláusulas Contractuales Tipo conforme al artículo 46(2)(c), Normas Corporativas Vinculantes conforme al artículo 47, o un código de conducta o mecanismo de certificación aprobado conforme a los artículos 40 o 42.

8.3 Transferencias por parte de Subencargados

Cuando algún Subencargado contratado por KMPUS pueda acceder a Datos Personales desde fuera del EEE, KMPUS garantizará que se apliquen salvaguardias adecuadas e informará al Cliente.

8.4 Evaluaciones de Impacto de Transferencias

Cuando se contemplen transferencias fuera del EEE, KMPUS realizará una Evaluación de Impacto de Transferencia (TIA) conforme a las directrices del Comité Europeo de Protección de Datos (EDPB).

9. Subencargados

9.1 Autorización

El Cliente otorga autorización general a KMPUS para contratar Subencargados con el fin de prestar los Servicios. KMPUS mantiene una lista actualizada de Subencargados disponible para el Cliente bajo petición.

9.2 Obligaciones Impuestas a los Subencargados

Cuando KMPUS contrate a un Subencargado, le impondrá por contrato escrito las mismas obligaciones de protección de datos establecidas en este Acuerdo, conforme al artículo 28(4) del RGPD.

9.3 Notificación de Cambios

KMPUS notificará al Cliente por escrito cualquier cambio proyectado relativo a la adición o sustitución de Subencargados. Si el Cliente plantea una objeción razonable por motivos de protección de datos y no se alcanza solución, el Cliente podrá resolver el Acuerdo sin penalización.

9.4 Responsabilidad

KMPUS sigue siendo plenamente responsable frente al Cliente del cumplimiento de las obligaciones del Subencargado conforme al contrato de subencargo.

10. Conservación y Eliminación de Datos

10.1 Principios de Conservación

Los Datos Personales tratados a través de la Plataforma se conservan únicamente durante el tiempo necesario para cumplir los fines para los que fueron recopilados, o según lo exija la ley aplicable. El Cliente, como Responsable del Tratamiento, mantiene el control total sobre los plazos de conservación.

10.2 Control del Cliente sobre la Conservación

El Cliente puede solicitar la eliminación de registros específicos o categorías de datos a través de la interfaz administrativa de la Plataforma o contactando a support@kmpus.io. La Plataforma proporciona funcionalidad de exportación de datos para que el Cliente recupere datos antes de la eliminación.

10.3 Políticas de Conservación Automatizadas

Cuando el Cliente configure políticas de conservación automatizadas dentro de la Plataforma, KMPUS las implementará según lo indicado. Los procesos de eliminación automatizados se registran y son auditables.

10.4 Requisitos Legales y Reglamentarios

El Cliente reconoce que ciertos datos pueden estar sujetos a períodos de conservación obligatorios conforme a la legislación irlandesa o de la UE, incluidos los registros financieros, los registros educativos y los registros de empleo. El Cliente es responsable de garantizar que los plazos de conservación configurados en la Plataforma cumplan con todos los requisitos legales y reglamentarios aplicables.

10.5 Eliminación Segura

Cuando se eliminan datos a través de la Plataforma, KMPUS garantiza que la eliminación se realiza de forma segura e irreversible mediante métodos estándar de la industria. Los datos eliminados quedan irrecuperables en la base de datos activa de inmediato y en los sistemas de copia de seguridad al expirar de manera natural el ciclo de retención de 15 días.

11. Responsabilidades del Cliente

11.1 Avisos de Privacidad

El Cliente debe proporcionar avisos de privacidad adecuados a todos los Interesados cuyos datos se traten a través de la Plataforma, conforme a los artículos 13 y 14 del RGPD.

11.2 Gestión del Consentimiento

Cuando el tratamiento se base en el consentimiento del Interesado, el Cliente es responsable de obtener, registrar y gestionar dichos consentimientos conforme al RGPD.

11.3 Exactitud de los Datos

El Cliente es responsable de garantizar la exactitud y completitud de los Datos Personales introducidos en la Plataforma y de implementar procesos para su revisión y actualización periódicas.

11.4 Gestión de Usuarios

El Cliente controla el acceso de los usuarios, los roles y permisos dentro de la Plataforma y debe garantizar que el acceso se conceda sobre la base de necesidad de conocer. El Cliente debe revocar el acceso con prontitud cuando ya no sea necesario y es responsable de la seguridad de las credenciales de usuario.

11.5 Uso Aceptable

El Cliente solo utilizará la Plataforma para fines lícitos relacionados con sus actividades educativas y administrativas. El Cliente no utilizará la Plataforma para tratar datos a los que no esté legítimamente facultado para tratar, almacenar o distribuir software malicioso, ni infringir los derechos de propiedad intelectual de terceros.

11.6 Cooperación con Auditorías e Inspecciones

El Cliente cooperará con KMPUS en las actividades de auditoría o inspección necesarias para demostrar el cumplimiento de las obligaciones del RGPD.

12. Auditoría y Cumplimiento

12.1 Derecho de Auditoría

Conforme al artículo 28(3)(h) del RGPD, KMPUS pondrá a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en este Acuerdo y permitirá y contribuirá a las auditorías, incluidas las inspecciones, realizadas por el Cliente o un auditor independiente designado por este.

12.2 Procedimientos de Auditoría

Las auditorías se realizarán con un preaviso razonable (no menor de 30 días) y durante el horario laboral normal. El Cliente sufragará los costes de cualquier auditoría. Cuando una auditoría revele que KMPUS ha incumplido una obligación expresamente establecida en este Acuerdo, KMPUS asumirá los costes razonables de la auditoría e implementará las medidas correctoras necesarias a su cargo en un plazo razonable.

12.3 Documentación de Cumplimiento

A petición por escrito, KMPUS proporcionará al Cliente un resumen de las medidas técnicas y organizativas, registros de actividades de tratamiento, detalles de Subencargados, evidencia de formación del personal, un resumen del plan BC/DR, registros de respuesta a incidentes y plantillas de EIPD.

12.4 Cooperación Regulatoria

KMPUS cooperará plenamente con la Data Protection Commission de Irlanda y con cualquier otra Autoridad de Control competente.

13. Niveles de Servicio y Soporte

13.1 Disponibilidad

KMPUS apunta a una disponibilidad del 99% de tiempo de actividad, medida mensualmente, excluidas las ventanas de mantenimiento planificadas. El mantenimiento programado se realizará en horas de menor actividad cuando sea posible, y se notificará al Cliente con al menos 48 horas de antelación.

13.2 Soporte

El soporte técnico estándar está disponible en horario laboral (de 10:00 a 16:00, lunes a viernes, excluidos festivos irlandeses). Las solicitudes de soporte pueden enviarse por correo electrónico a support@kmpus.io. Las incidencias críticas que afecten a la disponibilidad o integridad de los datos se atienden en un plazo de 24 horas. KMPUS se compromete a acusar recibo de las solicitudes no críticas en un plazo de 48 horas y a proporcionar una resolución o actualización en un plazo de 5 días hábiles.

13.3 Actualizaciones y Mantenimiento

Las actualizaciones periódicas de la plataforma, parches de seguridad y mejoras de funcionalidad están incluidos sin coste adicional como parte de la suscripción. Las actualizaciones se despliegan minimizando la interrupción, y el Cliente es notificado de los cambios materiales con antelación.

14. Pago y Facturación

14.1 Condiciones de Pago

Las tarifas de suscripción mensuales se facturan por adelantado. El pago vence dentro de los diez (10) días siguientes a la fecha de la factura. Los pagos atrasados podrán generar intereses a una tasa del 1,5% mensual sobre el saldo pendiente, calculados desde la fecha de vencimiento hasta la recepción del pago íntegro.

14.2 Ajustes de Precio

Las tarifas de suscripción pueden ajustarse anualmente. KMPUS notificará al Cliente con al menos noventa (90) días de antelación cualquier cambio de precio. Si el Cliente no acepta las tarifas ajustadas, podrá resolver este Acuerdo conforme a la Sección 15 sin penalización, siempre que el aviso se dé antes de la fecha efectiva del cambio de precio.

14.3 Impuestos

Todas las tarifas son exclusivas de los impuestos aplicables, incluido el Impuesto sobre el Valor Añadido (IVA). El Cliente es responsable del pago de todos los impuestos aplicables en relación con los Servicios.

15. Terminación y Devolución de Datos

15.1 Terminación

Cualquiera de las partes puede resolver este Acuerdo mediante notificación por escrito con treinta (30) días de antelación a la otra parte. Las tarifas de suscripción no son reembolsables, salvo en los casos de falla material del servicio por parte de KMPUS que no haya sido subsanada en un plazo razonable tras notificación por escrito.

15.2 Exportación de Datos

Tras la terminación de este Acuerdo, los datos del Cliente estarán disponibles para su exportación durante un período de treinta (30) días en formatos estándar legibles por máquina, incluidos CSV y JSON. KMPUS prestará asistencia razonable al Cliente en la extracción y exportación de datos durante este período.

15.3 Eliminación de Datos tras la Terminación

Tras el período de exportación de 30 días, todos los datos del Cliente, incluidos los Datos Personales, se eliminarán de forma segura de la Plataforma y de todos los sistemas activos en un plazo de treinta (30) días. Todos los datos del Cliente contenidos en los sistemas de copia de seguridad se eliminarán permanentemente en un plazo de sesenta (60) días tras la terminación. KMPUS proporcionará confirmación por escrito de la eliminación total.

15.4 Supervivencia

Las disposiciones de este Acuerdo relativas a la protección de datos, la confidencialidad, la limitación de responsabilidad y cualquier otra disposición que por su naturaleza pretenda sobrevivir a la terminación, permanecerán en vigor tras la terminación o expiración de este Acuerdo.

16. Responsabilidad e Indemnización

16.1 Limitación de Responsabilidad

En la máxima medida permitida por la ley aplicable, la responsabilidad total acumulada de KMPUS bajo o en relación con este Acuerdo, ya sea contractual, extracontractual (incluida negligencia), por incumplimiento de deber legal o cualquier otra, no excederá las tarifas de suscripción totales pagadas por el Cliente en los doce (12) meses inmediatamente anteriores al evento que dio lugar a la reclamación. Ambas partes excluyen la responsabilidad por daños indirectos, consecuentes, incidentales o especiales, incluyendo lucro cesante, pérdida de datos o pérdida de oportunidad de negocio, salvo en la medida en que dicha exclusión esté prohibida por la ley.

16.2 Indemnización en Materia de Protección de Datos

El Cliente acepta indemnizar y mantener indemne a KMPUS frente a cualquier reclamación, pérdida, daño, responsabilidad, costo y gasto (incluidos honorarios legales razonables) que surjan o estén relacionados con el incumplimiento por parte del Cliente del RGPD, la Ley de Protección de Datos de Irlanda de 2018 o cualquier otra legislación aplicable, o con el incumplimiento por parte del Cliente de este Acuerdo.

16.3 Fuerza Mayor

Ninguna de las partes será responsable de los incumplimientos o retrasos en el cumplimiento de sus obligaciones cuando resulten de circunstancias que escapen a su control razonable, incluidos actos de la naturaleza, catástrofes naturales, pandemias, acciones gubernamentales, conflictos laborales, fallos eléctricos o fallos de telecomunicaciones o infraestructura de Internet de terceros.

17. Disposiciones Generales

17.1 Ley Aplicable

Este Acuerdo se regirá e interpretará conforme a las leyes de la Unión Europea, incluido el RGPD, y a las leyes de Irlanda. Cualquier controversia que surja en relación con este Acuerdo estará sujeta a la jurisdicción exclusiva de los tribunales de Irlanda.

17.2 Acuerdo Completo

Este Acuerdo, junto con sus anexos, constituye el acuerdo completo entre las partes en relación con su objeto y sustituye a todos los acuerdos, negociaciones, declaraciones y entendimientos previos. Ninguna modificación será efectiva salvo que se realice por escrito y se firme por ambas partes.

17.3 Divisibilidad

Si alguna disposición de este Acuerdo se considera inválida, ilegal o inejecutable por un tribunal competente, dicha disposición se considerará modificada al mínimo necesario para que sea válida y ejecutable. Si tal modificación no fuera posible, la disposición se desligará del Acuerdo y las restantes permanecerán en vigor.

17.4 Renuncia

Ningún incumplimiento o retraso de cualquiera de las partes en el ejercicio de un derecho o recurso constituirá una renuncia a dicho derecho. Toda renuncia solo será efectiva si se otorga por escrito y no se considerará renuncia a ningún incumplimiento o impago posterior.

17.5 Cesión

El Cliente no podrá ceder ni transferir sus derechos u obligaciones bajo este Acuerdo sin el consentimiento previo por escrito de KMPUS. KMPUS podrá ceder este Acuerdo a una entidad sucesora en relación con una fusión, adquisición o venta de la totalidad o sustancialmente la totalidad de sus activos, siempre que el cesionario asuma todas las obligaciones.

17.6 Notificaciones

Todas las notificaciones requeridas o permitidas bajo este Acuerdo se realizarán por escrito y se entregarán por correo electrónico o correo postal certificado. Las notificaciones a KMPUS se enviarán a support@kmpus.io. Las notificaciones al Cliente se enviarán a la dirección de correo electrónico facilitada en el momento del registro. Las notificaciones se considerarán recibidas tras la confirmación de entrega.

17.7 Derechos de Terceros

Este Acuerdo no confiere derechos a ninguna persona o parte distinta de las partes del Acuerdo y sus respectivos sucesores y cesionarios autorizados.

Contacto

Para consultas sobre este Acuerdo o para enviar notificaciones a KMPUS, puede contactarnos en:

KMPUS
36 North Great George Street
Dublin, Dublin 1, D01 XK19
Irlanda
Correo electrónico: support@kmpus.io