Peticion.es

Acuerdo de Procesamiento de Datos (DPA)

Última actualización: 2026-07-01

Última actualización de la página de Subprocesadores: 2026-07-04

Este APD describe los términos bajo los cuales procesamos datos personales en su nombre.

Este Acuerdo de Procesamiento de Datos (Acuerdo) describe las obligaciones y condiciones bajo las cuales Petitions.com Group Oy (Proveedor de Servicios) procesa datos personales en nombre del autor de la petición (Autor de la Petición o Responsable del Tratamiento) en la prestación de servicios de alojamiento de peticiones en línea (Servicios).

Modificación de Términos

Nos reservamos el derecho de cambiar o modificar estos Términos en cualquier momento sin previo aviso.

Definiciones y Roles

  • Proveedor de servicios: Peticion.es (Petitions.com Group Oy), actuando como Encargado del Tratamiento, procesa datos personales en nombre del Responsable del Tratamiento según sea necesario para prestar los Servicios.
  • Responsable del tratamiento de datos: El autor de la petición, quien determina los fines y medios del tratamiento de los datos personales recopilados de los signatarios de su petición. Como autor de una petición alojada en Peticion.es, se le considera el Responsable del Tratamiento de Datos. Usted decide el contenido de la petición, lo que se solicita a los firmantes, los propósitos para procesar sus datos personales y el tiempo durante el cual se almacenan los datos personales. Peticion.es proporciona una plataforma en línea para crear y alojar peticiones, facilitando su rol como Responsable del Tratamiento con la autonomía para moldear la recolección y uso de datos de la petición según sus objetivos y obligaciones legales.

Alcance del Procesamiento

The Service Provider will process personal data solely based on the Data Controller's instructions and only as necessary to provide the Services, unless required to do so by Union or Member State law to which the Service Provider is subject. In such a case, the Service Provider will inform the Data Controller of that legal requirement before processing, unless that law prohibits it on important grounds of public interest. El alcance de las actividades de procesamiento se limita a alojar, gestionar y facilitar peticiones en línea.

As a Data Processor, the Service Provider does not erase signature data on its own initiative. Every erasure of signature data is carried out on the documented instructions of the Data Controller — whether given specifically or in advance through this Agreement.

The Data Controller's acceptance of this Agreement constitutes the Data Controller's documented instructions to the Service Provider, including the procedures for handling signatory erasure requests described below and any self-service tools the Service Provider makes available to signatories on the Data Controller's behalf.

Protección de Datos

El Proveedor de Servicios se compromete a implementar medidas técnicas y organizativas para garantizar la seguridad de los datos personales contra el acceso no autorizado, la pérdida o el daño.

Recopilación de Datos Prohibida

Está prohibido solicitar números de identificación personal (como números de identificación nacional) de los firmantes.

Subprocesadores

El Proveedor de Servicios puede contratar subprocesadores para ayudar en la prestación de los Servicios. El Proveedor de Servicios se asegurará de que los subencargados del tratamiento cumplan con las obligaciones de protección de datos conforme a este DPA. Usted reconoce y acepta que el Proveedor de Servicios retiene la discreción de seleccionar y reemplazar subprocesadores según sea necesario para proporcionar los Servicios de manera eficiente.

Lista de los subcontratistas. (Última actualización: 2026-07-04)

Responsabilidades del Responsable del Tratamiento

El Responsable del Tratamiento es responsable de garantizar que la recopilación, procesamiento y manejo de los datos personales cumplan con todas las leyes y regulaciones aplicables.

Identificación del Responsable del Tratamiento de Datos

Bajo el Reglamento General de Protección de Datos (RGPD), se requiere que la identidad del responsable del tratamiento de datos esté claramente indicada. Se establecen las siguientes disposiciones para los autores de peticiones que utilizan nuestro sitio web:

Autores Individuales de Peticiones

Si usted, como individuo, está creando una petición, se le requiere proporcionar su nombre legal completo. Esto sirve como su identificación como el responsable del tratamiento a los efectos del GDPR.

Autores Organizacionales de Peticiones

Si una petición se crea en nombre de una organización, se debe proporcionar el nombre legal completo de la organización. Además, la organización deberá designar y proporcionar los datos de contacto de un representante responsable de las actividades de tratamiento de datos, como un Delegado de Protección de Datos (DPD) o similar.

Derechos del Interesado

El responsable del tratamiento debe asegurarse de que los interesados (firmantes de la petición) puedan ejercer sus derechos en virtud del RGPD, tales como el derecho de acceso, rectificación o eliminación de sus datos, o presentar una reclamación ante una autoridad de control.

Gestión de solicitudes de supresión de datos de los interesados por parte de los firmantes

The roles differ depending on the data in question. For personal data collected through petition signatures, the Service Provider acts as the Data Processor and the Petition Author acts as the Data Controller. For the Service Provider's own operational data — such as account information, technical logs, and contact-form messages — the Service Provider acts as an independent Data Controller.

Because the Service Provider acts only on the Data Controller's documented instructions, the procedure below constitutes the Data Controller's standing instruction for handling such requests, authorising the Service Provider to act without seeking separate approval for each request.

When a signatory asks the Service Provider to erase personal data connected to a signature, the Service Provider will, without undue delay, hide the signature from public view and make information about the erasure available to the Petition Author within the Services (for example, on a data-protection overview page and through an in-account indicator). The Service Provider is not required to send a separate email for each erasure. The Petition Author is given 14 days to review the request and to erase any copies of the signatory's personal data that they have downloaded, exported, printed, or otherwise stored outside the Services. The Petition Author may object to the erasure only where there is a lawful ground to continue processing the data (for example, the establishment, exercise, or defence of legal claims); a mere preference to retain the signature is not a valid ground. Any such objection must be made by contacting the Service Provider within that period, stating the lawful ground; the Service Provider does not provide an automatic means for the Petition Author to reverse an erasure. If the Petition Author does not object on such grounds within that period, the Service Provider will permanently delete the signature data from the active database. The Service Provider aims to complete the process within the one-month period required by the GDPR.

The Service Provider may also make available a self-service tool — such as a removal link in signature confirmation messages or on the petition page — allowing signatories to remove their own signature directly. Where such a tool is used, the Service Provider acts on the Data Controller's behalf under the documented instructions set out in this Agreement.

Personal data may persist in routine backups for a limited period after deletion from the active database. Such backups are not used for day-to-day processing and are overwritten on a rolling cycle, after which the data is permanently removed.

Los registros técnicos pueden contener datos personales, como direcciones IP o metadatos de entrega de correo electrónico. These logs are deleted within 30 days. Contact-form messages may be retained for up to 5 years for audit, security, and dispute-resolution purposes.

The Service Provider keeps a minimal record that an erasure was carried out (without retaining the erased personal data) in order to demonstrate compliance.

Handling Rectification Requests from Signatories

The right to rectification is handled on the same basis as erasure: as a Data Processor, the Service Provider does not alter signature data on its own initiative, but only on the Data Controller's documented instructions, including any self-service tool the Service Provider makes available to signatories on the Data Controller's behalf for correcting their own data.

Once a correction is made, the live signature list maintained within the Services reflects the corrected value. In accordance with the obligation to use up-to-date signature data, the Data Controller must rely only on a freshly retrieved copy and update or discard any outdated copies accordingly; the Service Provider is not required to disclose the previous (incorrect) value to the Data Controller.

The Service Provider may keep an internal record of the change (for example, the previous and new values, and the time of the change) for fraud prevention, security, and dispute-resolution purposes. This record is not made available to the Data Controller by default and is retained only for as long as necessary for those purposes.

Notifying Recipients

Where the Data Controller has disclosed signature data to any recipient (such as a decision-maker or other third party), the Data Controller is responsible, under Article 19 of the GDPR, for communicating any subsequent erasure or rectification of that data to each such recipient, unless this proves impossible or involves a disproportionate effort. The Service Provider's removal or correction of data within the Services does not discharge this obligation in respect of copies the Data Controller has shared outside the Services.

Responsabilidad y Cumplimiento

El responsable del tratamiento debe ser capaz de demostrar el cumplimiento del RGPD, incluyendo responder a las solicitudes de los interesados en relación con sus datos personales.

Política o Aviso de Privacidad

Debe proporcionarse una política de privacidad o aviso claro y accesible, que explique cómo se procesan los datos personales, los propósitos del procesamiento y cómo los interesados pueden ejercer sus derechos.

Notificación de Cambios

Los autores de peticiones están obligados a notificar a Peticion.es (Petitions.com Group Oy) cualquier cambio en su condición de responsable del tratamiento de datos o en los datos de contacto de su representante.

Revisión Anual del Procesamiento de Datos

El Autor de la Petición está obligado a realizar una revisión anual para determinar si todavía existe una razón válida para continuar con el procesamiento de los datos personales de los firmantes. Esta revisión debe evaluar la necesidad y relevancia de los datos en relación con el propósito de la petición. Si el autor de la petición determina que ya no existe una razón válida para continuar procesando los datos, debe tomar las medidas adecuadas para cesar el procesamiento e iniciar la eliminación de los datos de acuerdo con las leyes de protección de datos aplicables.

Use of Up-to-Date Signature Data

Before the Data Controller discloses signature data to any third party (such as a decision-maker or other recipient of the petition), or otherwise processes the data outside the Services — including contacting signatories by email — the Data Controller must retrieve a fresh copy of the signature list from the Services and use only that current version. Signatories may exercise their right to erasure at any time, and only the live list maintained within the Services reflects such erasures. The Data Controller must not rely on previously downloaded, exported, or printed copies for these purposes, and must securely discard outdated copies.

Retención y Eliminación de Datos

En caso de que el Responsable del Tratamiento (el autor de la petición) incumpla cualquiera de los términos del Acuerdo de Procesamiento de Datos (APD), incluyendo pero no limitado a la falta de realización de una revisión anual de las actividades de procesamiento de datos o la falta de justificación válida para el procesamiento continuo de los datos personales de los firmantes, el Proveedor de Servicios se reserva el derecho de eliminar o borrar los datos personales asociados con su petición.

Limitación de responsabilidad

En ningún caso la responsabilidad total del encargado del tratamiento ante el responsable del tratamiento por todos los daños, pérdidas y causas de acción, ya sea por contrato, delito (incluida la negligencia) u otro, excederá el monto total pagado por el responsable del tratamiento al encargado del tratamiento en virtud de este acuerdo.

Ley aplicable

Este Acuerdo se regirá por las leyes de Finlandia.