Centro de Privacidad y Legal de Devaito

Última revisión: 29 de abril de 2026 · Vigente: 29 de abril de 2026

Esta página consolida los compromisos de privacidad y protección de datos de Devaito. Contiene cinco documentos que juntos forman nuestro marco de privacidad completo. Cada documento está identificado, fechado y puede consultarse de forma independiente:

Navegación rápida:

• Parte A — Política de Privacidad — How we handle your Personal Data
• Parte B — Política de Cookies — Cookies and similar technologies
• Parte C — Acuerdo de Procesamiento de Datos — For business customers (controllers)
• Parte D — Subprocesadores — Service providers we rely on
• Parte E — Aviso legal — Statutory information about Devaito SAS

Si ha firmado un acuerdo escrito separado con Devaito (Acuerdo de Servicios Principales, Formulario de pedido u otro similar), ese acuerdo puede modificar los términos de la Parte C (DPA) para su uso de los Servicios.

Parte A — Política de Privacidad

Última revisión: 29 de abril de 2026 · Identificador de sección: PRIV-2026-04

Devaito SAS ("Devaito", "nosotros", "nuestro", "nos") cares about your privacy. This Privacy Policy explains what Personal Data we collect, why we collect it, how we use it, who we share it with, how long we keep it, and what rights you have. It applies to all visitors and users of our websites, web applications, mobile applications, APIs, and related services (collectively, the "Servicios").

Al utilizar los Servicios, usted confirma que ha leído esta Política de Privacidad. Si no está de acuerdo, por favor deje de usar los Servicios. Esta Política de Privacidad se incorpora a nuestros Términos de Uso.

A.1. Quiénes somos

The data controller for the processing described in this Privacy Policy is Devaito SAS, a French société par actions simplifiée. Statutory information is available in Parte E (Aviso legal). For privacy enquiries, contact .

This Privacy Policy applies when Devaito acts as a controller. When you use the Services to process Personal Data of your visitors, customers, or members (your "Usuarios finales"), Devaito acts as your processor, and Parte C (Acuerdo de Procesamiento de Datos) governs that processing.

A.2. Qué Datos Personales Recopilamos

A.2.1 Información que Proporciona

Cuando crea una cuenta, nos contacta, se suscribe a comunicaciones, registra un dominio, compra un Servicio de pago u otra interacción con nosotros, puede proporcionar:

Datos de identificación: name, email address, phone number, postal address, country of residence, language preference.

Datos de la cuenta: username, password (stored hashed and salted, never in plaintext), profile picture, account preferences, role, organization name.

Datos de facturación: billing address, VAT number, business identification number, last four digits of payment card, payment provider tokens, invoice history. We do not store full payment-card numbers; these are handled by our PCI-DSS-compliant payment processors.

Datos de comunicaciones: the content of support tickets, emails, chat messages, and call recordings (where applicable and notified).

Documentos de identificación: where required for fraud prevention, sanctions screening, or KYC obligations, copies of ID cards, passports, or business-registration documents.

A.2.2 Información Recopilada Automáticamente

Cuando utilizas los Servicios, recopilamos automáticamente:

Datos del dispositivo y conexión: IP address, device identifiers, browser type and version, operating system, screen resolution, language, timezone.

Datos de uso: pages viewed, clicks, features used, sessions, performance metrics, error logs, referring and exit pages, timestamps.

Datos de ubicación: approximate location derived from IP address (city/country level only). We do not collect precise GPS location unless you grant explicit permission in a mobile app.

Cookies y tecnologías similares: see Parte B (Política de cookies).

A.2.3 Información de Terceros

Podemos recibir Datos Personales de:

Proveedores de identidad y autenticación (e.g. Google, Apple, Facebook) when you sign in via their services — limited to the data you authorize them to share.

Procesadores de pagos regarding the status of transactions.

Proveedores de prevención de fraude y de revisión de sanciones for compliance and security.

Socios de análisis y publicidad for measurement and attribution (only where we have a lawful basis).

Revendedores y socios if you sign up through one of them.

A.2.4 Datos Sensibles

No recopilamos conscientemente categorías especiales de Datos Personales (como datos que revelen salud, opiniones políticas, religión, orientación sexual, datos biométricos o membresía sindical) y te pedimos que no nos proporciones dichos datos. Si subes estos datos como parte de Tu Contenido de Usuario, lo haces como responsable y eres responsable de su base legal.

A.3. Por qué Procesamos Sus Datos Personales y Bases Legales

Bajo el RGPD, cada actividad de tratamiento debe tener una base legal. A continuación se describen los principales propósitos para los cuales Devaito procesa Datos Personales y la base legal en la que confiamos.

A.3.1 Para Proporcionar y Operar los Servicios

Propósito: create your account, authenticate you, deliver the Services, process transactions, manage subscriptions, provide customer support.
Base legal: performance of the contract (Article 6(1)(b) GDPR).

A.3.2 Para Comunicarse con Usted Sobre los Servicios

Propósito: send service announcements, security alerts, billing notices, account confirmations, transactional communications.
Base legal: performance of the contract and our legitimate interests (Article 6(1)(b) and (f) GDPR).

A.3.3 Para Seguridad, Prevención de Fraudes y Cumplimiento

Propósito: detect and prevent fraud, abuse, and security incidents; verify identity; screen for sanctions; comply with anti-money-laundering, tax, accounting, and other legal obligations.
Base legal: compliance with our legal obligations (Article 6(1)(c) GDPR) and our legitimate interests (Article 6(1)(f) GDPR).

A.3.4 Mejorar los servicios

Propósito: analyze usage, debug, A/B test, develop new features.
Base legal: our legitimate interests, balanced against your privacy rights (Article 6(1)(f) GDPR). For non-essential analytics that rely on cookies, we rely on your consent (Article 6(1)(a) GDPR and Article 82 of the French Loi Informatique et Libertés).

A.3.5 Para marketing

Propósito: send promotional emails about features, offers, and events; show personalized advertising; measure campaign performance.
Base legal: your consent (Article 6(1)(a) GDPR), withdrawable at any time. For existing customers, we may rely on the soft opt-in under Article L.34-5 of the French Code des postes et des communications électroniques to send you marketing about similar services, with an easy unsubscribe.

A.3.6 Para entrenar y mejorar nuestros modelos de IA

Propósito: as further described in Section A.4, improve our AI models and features.
Base legal: your explicit opt-in consent (Article 6(1)(a) GDPR). We do not rely on legitimate interests for training-related processing of Personal Data.

A.3.7 Para reclamaciones legales y disputas

Propósito: establish, exercise, or defend legal claims; respond to lawful requests from authorities.
Base legal: our legitimate interests and compliance with legal obligations (Article 6(1)(c) and (f) GDPR).

A.3.8 Toma de decisiones automatizada

We do not use solely-automated decision-making producing legal effects on you within the meaning of Article 22 GDPR. We do use automated systems for fraud detection, abuse prevention, and content moderation, but human review is available where these systems produce decisions that materially affect you (such as account suspension). To request human review, contact .

A.4. Servicios de IA y Datos Personales

A.4.1 Qué hacen los servicios de IA

Los Servicios de IA te permiten generar texto, imágenes, código, diseños y otro contenido a partir de solicitudes ("Entradas") para producir resultados ("Salidas"). Las Entradas y Salidas pueden contener Datos Personales si eliges incluirlo.

A.4.2 Cómo procesamos entradas y salidas

Inputs and Outputs are processed to provide the AI Services to you, including by transmitting them to and from third-party AI model providers. The list of current AI providers is in Parte D (Subprocesadores).

A.4.3 Uso para entrenamiento de modelos de IA

Planes de pago: Devaito does no use the content of your Inputs or Outputs to train its proprietary AI models. We use only anonymized usage signals (latency, error rates, feature usage).

Planes gratuitos: we will not use your Inputs or Outputs to train AI models a menos que optes expresamente through your account settings. This consent is granular, separate from your acceptance of the Terms, and revocable at any time. Withdrawal does not affect the lawfulness of prior processing.

Proveedores externos: we contractually require our third-party AI providers not to train their models on your Inputs and Outputs unless you have separately opted in.

A.4.4 Datos sensibles y IA

Te recomendamos encarecidamente que no incluyas Datos Personales sensibles en las Entradas a los Servicios de IA. Si lo haces, eres responsable de asegurarte de que tienes una base legal bajo el Artículo 9 del RGPD.

A.4.5 Transparencia de IA

Cuando sea requerido por el Reglamento (UE) 2024/1689 (el Reglamento de IA de la UE), te informaremos que estás interactuando con un sistema de IA y divulgaremos contenido generado o modificado por IA. Sigues siendo responsable de las obligaciones de divulgación de IA en tu propia Plataforma de Usuario.

A.5. Con Quién Compartimos Sus Datos Personales

Compartimos Datos Personales únicamente con las partes que tienen una necesidad legítima de procesarlos.

A.5.1 Proveedores de servicios (Subprocesadores)

We rely on selected service providers to operate the Services. Each is contractually bound to protect your Personal Data and to process it only on our instructions. The current list is in Parte D (Subprocesadores).

A.5.2 Afiliados

Podemos compartir Datos Personales con nuestros afiliados y entidades del grupo para los fines descritos en esta Política de Privacidad. Las transferencias intra-grupo se rigen por salvaguardas apropiadas, incluyendo Cláusulas Contractuales Estándar cuando corresponda.

A.5.3 Autoridades y requisitos legales

Podemos divulgar Datos Personales cuando lo requiera la ley, incluyendo en respuesta a citaciones válidas, órdenes judiciales u otras demandas legales; para cumplir con obligaciones fiscales, contables o regulatorias; o para proteger nuestros derechos, nuestros usuarios o el público. Evaluamos cada solicitud en cuanto a legalidad y necesidad, y te notificamos cuando la ley lo permita.

A.5.4 Transferencias comerciales

Si Devaito participa en una fusión, adquisición, venta de activos, financiamiento o insolvencia, tus Datos Personales pueden ser transferidos a las partes involucradas, sujeto a obligaciones de confidencialidad y los términos de esta Política de Privacidad.

A.5.5 Con su dirección o consentimiento

Compartimos Datos Personales con terceros cuando nos lo indicas (por ejemplo, cuando conectas una aplicación de terceros a través de nuestro mercado) o con tu consentimiento separado.

A.5.6 No venta de datos personales

Devaito no vende tus Datos Personales en el sentido común de "venta". Para los fines de ciertas leyes estatales de EE. UU. (ver Sección A.13), alguna compartición para publicidad comportamental en múltiples contextos puede calificar como una "venta" o "compartir" bajo definiciones amplias de la ley; tienes derecho a optar por no participar.

A.6. Transferencias Internacionales de Datos

Devaito está establecido en Francia. Podemos transferir Datos Personales a países fuera del Área Económica Europea (EEE), Reino Unido o Suiza. Cuando lo hacemos, confiamos en:

(a) Decisiones de adecuación issued by the European Commission, the UK Government, or the Swiss Federal Council.

(b) Cláusulas Contractuales Estándar approved by the European Commission (Decision 2021/914) and, for UK transfers, the UK International Data Transfer Addendum.

(c) Marco de datos de la UE y EE. UU., where the recipient is certified.

(d) Otros mecanismos de transferencia reconocidos as permitted by applicable law.

We have conducted transfer-impact assessments where required and implement supplementary measures (encryption, pseudonymization, access controls) where appropriate. To request a copy of the safeguards in place for a specific transfer, contact .

A.7. Cuánto Tiempo Mantenemos Sus Datos Personales

Solo conservamos Datos Personales el tiempo necesario para los fines descritos en esta Política de Privacidad o según lo requiera la ley:

Datos de la cuenta: for the duration of your account, plus up to ninety (90) days after account closure.

Registros de facturación e impuestos: ten (10) years from the end of the relevant financial year (Article L.123-22 of the French Code de commerce; Article L.102 B of the French Livre des procédures fiscales).

Registros de verificación de identidad: five (5) years after the end of the relationship (anti-money-laundering rules).

Datos de marketing: three (3) years from your last interaction (CNIL guidance).

Registros de atención al cliente: five (5) years from closure of the support case.

Cookies: as set out in Part B; maximum thirteen (13) months for analytics and advertising cookies (CNIL guidance).

Registros del servidor: twelve (12) months for security and debugging.

Entradas y salidas de IA: stored for as long as your account exists, unless deleted earlier by you.

Después del período de retención aplicable, eliminamos o anonimizado Datos Personales. Algunos datos pueden mantenerse más tiempo para cumplir con obligaciones legales o defender reclamos; el acceso está restringido a esos fines.

A.8. Cómo Protegemos Sus Datos Personales

Implementamos medidas técnicas y organizativas apropiadas, incluyendo:

– Cifrado en tránsito (TLS) y en descanso para datos sensibles.

– Controles de acceso basados en el principio de menor privilegio.

– Autenticación multifactor para acceso administrativo.

– Evaluaciones de seguridad regulares, pruebas de penetración y gestión de vulnerabilidades.

– Cumplimiento con PCI-DSS para el manejo de datos de tarjetas de pago.

– Capacitación de empleados en seguridad y protección de datos.

– Procedimientos de respuesta a incidentes y protocolos de notificación de brechas.

No system can be guaranteed fully secure. You are responsible for the security of your account credentials and for using strong unique passwords. If you suspect unauthorized access, contact immediately.

A.9. Sus Derechos

Sujeto a la ley aplicable, tienes los siguientes derechos:

Derecho de acceso: obtain confirmation of whether we process your Personal Data and a copy.

Derecho de rectificación: have inaccurate or incomplete data corrected.

Derecho de supresión: have your Personal Data deleted in certain circumstances.

Derecho a la limitación: ask us to restrict processing.

Derecho a la portabilidad de los datos: receive your Personal Data in a structured, commonly used, machine-readable format.

Derecho a oponerse: object to processing based on legitimate interests, including profiling, and to direct marketing.

Derecho a retirar el consentimiento: withdraw consent at any time without affecting the lawfulness of prior processing.

Derecho a presentar una reclamación: with a supervisory authority (in France, the CNIL: cnil.fr).

Derecho a definir directivas sobre el destino de sus datos tras la muerte: under Article 85 of the French Loi Informatique et Libertés.

A.9.1 Cómo ejercer sus derechos

To exercise any of these rights: (a) use the privacy controls in your account settings, including data export and account-deletion features; or (b) contact .

Respondemos dentro de un (1) mes de recibido, ampliable en dos (2) meses para solicitudes complejas (Artículo 12 GDPR). Podemos verificar su identidad. Podemos cobrar una tarifa razonable o rechazar solicitudes manifiestamente infundadas o excesivas.

A.9.2 Eliminación de cuenta

Puede eliminar su cuenta en cualquier momento a través de la configuración. La eliminación elimina permanentemente su Contenido de Usuario de los sistemas activos dentro de noventa (90) días, salvo cuando la retención sea requerida por ley o para fines legítimos.

A.10. Privacidad de los Niños

The Services are not directed to children under sixteen (16) (or the higher minimum digital-consent age in your jurisdiction). We do not knowingly collect Personal Data from children under that age. If you believe a child has provided Personal Data to us, contact . If you operate a User Platform that collects data from children, you are responsible for obtaining verifiable parental consent and complying with applicable laws (including the GDPR, the U.S. Children's Online Privacy Protection Act, and the UK Age-Appropriate Design Code).

A.11. Comunicaciones de Devaito

A.11.1 Comunicaciones de servicio y facturación

Enviamos comunicaciones esenciales sobre su cuenta, seguridad, facturación y cambios importantes en los Servicios. No es posible optar por no recibir estas mientras mantenga una cuenta.

A.11.2 Comunicaciones de marketing

We send marketing only to recipients who have provided consent or who are existing customers receiving information about similar services (soft opt-in). You can unsubscribe at any time using the link in any marketing email or by contacting .

A.12. Datos del Usuario Final

If you use the Services to operate a User Platform, you collect Personal Data from your own End Users. For that processing, you are the controller and Devaito is your processor. Parte C (DPA) governs this relationship. You must:

(a) tener una base legal para procesar los datos del Usuario Final;

(b) mantener una política de privacidad transparente en su Plataforma de Usuario;

(c) honrar los derechos del Usuario Final bajo la ley aplicable;

(d) implementar medidas de seguridad apropiadas y responder a las solicitudes del sujeto de los datos como controlador.

Devaito no tiene una relación directa con sus Usuarios Finales. Los Usuarios Finales que deseen ejercer sus derechos respecto a los datos procesados a través de su Plataforma de Usuario deben contactarlo directamente.

A.13. Información Específica para Residentes de EE. UU.

Esta sección se aplica si usted es residente de un estado de EE.UU. con una ley de privacidad del consumidor aplicable, incluido California (CCPA/CPRA), Virginia (VCDPA), Colorado (CPA), Connecticut (CTDPA), Utah (UCPA), Texas (TDPSA), Oregon, Montana, Iowa, Tennessee, Indiana, Nueva Jersey, Delaware, Nuevo Hampshire, Minnesota, Maryland y otros.

A.13.1 Categorías de información personal

Categorías recopiladas (categorías CCPA): identificadores; información comercial; actividad en Internet u otra red electrónica; datos de geolocalización (solo aproximados); información de audio, electrónica, visual o similar (por ejemplo, grabaciones de llamadas de soporte); información profesional o relacionada con el empleo (cuando la proporciona); inferencias basadas en lo anterior.

A.13.2 Fuentes, propósitos, divulgaciones

Consulte las Secciones A.2, A.3 y A.5.

A.13.3 Información personal sensible

No procesamos conscientemente Información Personal sensible más allá de lo necesario para realizar los Servicios y cumplir con la ley. No usamos la Información Personal sensible para inferir características sobre usted.

A.13.4 Venta y compartición

No vendemos Información Personal a cambio de una consideración monetaria. Podemos participar en "compartir" o "publicidad dirigida" según lo definido en las leyes estatales de EE.UU. cuando usamos cookies de publicidad. Tiene derecho a optar por no participar.

A.13.5 Sus derechos en EE. UU.

Sujeto a la ley de su estado, puede tener derecho a: (a) Conocer / Acceder; (b) Corregir; (c) Eliminar; (d) Optar por no vender o compartir; (e) Limitar el uso de Información Personal sensible; (f) No discriminación; (g) Apelar.

A.13.6 Cómo ejercer los derechos de EE. UU.

– Email with subject "U.S. State Privacy Request" and your state of residence.

– Use el enlace "No vender o compartir mi información personal" en nuestro pie de página.

– Envíe una señal de Control de Privacidad Global (GPC) a través de su navegador; respetamos GPC como solicitud de exclusión cuando la ley lo requiere.

Podemos verificar su identidad. Respondemos en los plazos requeridos por la ley de su estado (generalmente 45 días, ampliables en 45 días). Para apelar, responda con el asunto "Apelación".

A.13.7 Agentes autorizados

Puede designar un agente autorizado. Requeriremos prueba de autorización y es posible que deba verificar su identidad directamente con nosotros.

A.13.8 California Shine the Light

California residents may request a list of categories of Personal Information disclosed to third parties for direct marketing in the previous calendar year. Send to .

A.13.9 Niños menores de 16 años (California)

No vendemos ni compartimos conscientemente Información Personal de residentes de California menores de dieciséis (16) años sin autorización afirmativa.

A.14. Información Específica para Residentes del Reino Unido

Aplican la GDPR del Reino Unido y la Ley de Protección de Datos 2018. Los derechos son equivalentes. La autoridad supervisora es la Oficina del Comisionado de Información del Reino Unido (ICO), accesible en ico.org.uk.

A.15. Otras Regiones

If you reside in a country with a specific data-protection law not addressed above (Brazil's LGPD, Canada's PIPEDA, Australia's Privacy Act, etc.), you may have additional rights. Contact .

A.16. Actualizaciones a la Política de Privacidad

Para cambios importantes — incluyendo cambios que amplíen las categorías de datos recopilados, los propósitos del procesamiento o los destinatarios de la divulgación — proporcionaremos al menos treinta (30) días de aviso previo a través de los Servicios o por correo electrónico. Las actualizaciones no materiales se publican con una fecha de "Última revisión" actualizada. El uso continuado después de la fecha de entrada en vigor constituye aceptación, salvo que la ley aplique requiera un consentimiento renovado.

Parte B — Política de Cookies

Última revisión: 29 de abril de 2026 · Identificador de sección: COOK-2026-04

B.1. Qué son las Cookies

Cookies are small text files placed on your device when you visit a website. Similar technologies include pixels, web beacons, local storage, and software development kits (SDKs). In this Cookie Policy, "Cookies" refers to all of these.

B.2. Categorías de Cookies que Usamos

B.2.1 Cookies estrictamente necesarias (siempre activas)

Esencial para que los Servicios funcionen. Estos no requieren consentimiento bajo el Artículo 82 de la Loi Informatique et Libertés francesa.

Ejemplos: session authentication, CSRF protection, load balancing, language preference, security challenge tokens (e.g. Cloudflare Turnstile).

Duración típica: session to 12 months.

B.2.2 Cookies funcionales (se requiere consentimiento)

Recuerde sus preferencias y configuraciones para mejorar su experiencia.

Ejemplos: theme preference, recently viewed items, dismissed banners.

Duración típica: up to 13 months.

B.2.3 Cookies de análisis (se requiere consentimiento)

Ayúdenos a comprender cómo se usan los Servicios.

Ejemplos: page views, clicks, session duration, error tracking.

Duración típica: up to 13 months (CNIL guidance).

B.2.4 Cookies de publicidad y marketing (se requiere consentimiento)

Se utiliza para entregar y medir publicidad en Devaito y plataformas de terceros.

Ejemplos: conversion tracking, audience-building, retargeting, attribution.

Duración típica: up to 13 months.

B.3. Cómo Administrar las Cookies

Puedes aceptar o rechazar Cookies no esenciales a través de nuestro banner de cookies que se muestra en la primera visita, y cambiar tus opciones en cualquier momento mediante el enlace "Preferencias de Cookies" en nuestro pie de página.

También puedes gestionar las Cookies a través de la configuración de tu navegador (eliminar, bloquear o recibir notificaciones). Las instrucciones detalladas para los principales navegadores están disponibles en allaboutcookies.org. Ten en cuenta que desactivar las Cookies estrictamente necesarias puede causar que algunas partes de los Servicios dejen de funcionar.

B.3.1 Control de privacidad global

Respetamos la señal de Control de Privacidad Global (GPC) cuando se aplica bajo la ley estatal de EE. UU. Actualmente no respondemos a las señales del navegador "No rastrear" porque no existe un consenso en la industria sobre su interpretación.

B.4. Cookies Establecidas por Terceros

Some Cookies are set by service providers acting on our behalf. These are listed with their purpose and lifespan in Parte D (Subprocesadores). The current detailed Cookie inventory, with names and durations, is available through our cookie banner under "Cookie Settings".

B.5. Actualizaciones a la Política de Cookies

Podemos actualizar esta Política de Cookies cuando añadamos, eliminemos o modifiquemos Cookies. Los cambios materiales se reflejarán en nuestro banner de cookies y se te pedirá que actualices tu consentimiento cuando la ley lo requiera.

Parte C — Anexo de Procesamiento de Datos (DPA)

Revisión más reciente: 29 de abril de 2026 · Identificador de sección: DPA-2026-04

Esta Parte C se aplica a los Clientes que utilizan los Servicios para procesar Datos Personales de sus Usuarios Finales en calidad de controlador según el RGPD, RGPD del Reino Unido o FADP suizo. It forms part of the Devaito Terms. Where you have signed a separate negotiated Data Processing Agreement with Devaito, that agreement prevails over this Part C in case of conflict.

For convenience and signature evidence, a downloadable PDF version of this DPA, including pre-completed Standard Contractual Clauses, is available at devaito.com/legal/dpa.pdf. Contact to request a counter-signed copy.

C.1. Definiciones

Capitalized terms used in this Part C have the meanings given in the Devaito Terms or in applicable data-protection law. In particular: "Cliente" means you, the entity using the Services; "Datos Personales del Cliente" means Personal Data of Customer's End Users processed by Devaito on Customer's behalf; "Leyes de Protección de Datos" means the GDPR, UK GDPR, Swiss FADP, U.S. state privacy laws, and any other applicable data-protection law.

C.2. Roles de las Partes

Para los Datos Personales del Cliente procesados bajo los Servicios:

(a) Customer is the responsable del tratamiento (or processor on behalf of a third-party controller).

(b) Devaito is the procesador (or sub-processor, where Customer is itself a processor).

(c) Devaito procesa los Datos Personales del Cliente únicamente siguiendo instrucciones documentadas del Cliente, incluyendo aquellas proporcionadas a través de la configuración y uso de los Servicios.

C.3. Objeto, Duración, Naturaleza, Propósito, Categorías de Datos y Sujetos de Datos

The processing details required by Article 28(3) GDPR are set out in Anexo 1 of this Part C. In summary:

Tema: the processing of Customer Personal Data by Devaito as necessary to provide the Services.
Duración: for as long as Customer uses the Services, plus the retention periods set out in Section A.7.
Naturaleza y propósito: hosting, storage, transmission, retrieval, and processing of Customer Personal Data to provide the Services described in the Devaito Terms.
Categorías de sujetos de datos: Customer's End Users (visitors, customers, members, employees, contacts).
Categorías de Datos Personales: identifiers, contact information, account credentials, transactional data, content uploaded by Customer or its End Users, and any other Personal Data Customer chooses to process through the Services.

C.4. Obligaciones de Devaito como Procesador

Devaito:

(a) procesa los Datos Personales del Cliente solo según instrucciones documentadas del Cliente, salvo que la ley de la UE o del Estado requiera que procese dichos datos, en cuyo caso Devaito informará al Cliente antes de procesarlos, a menos que la ley prohíba dicho aviso;

(b) asegura que las personas autorizadas para procesar los Datos Personales del Cliente estén sujetas a obligaciones de confidencialidad o bajo una obligación legal adecuada de confidencialidad;

(c) implement appropriate technical and organizational measures as set out in Anexo 2;

(d) respeta las condiciones para contratar subprocesadores establecidas en la Sección C.7;

(e) ayuda al Cliente, teniendo en cuenta la naturaleza del procesamiento, mediante medidas técnicas y organizativas apropiadas, en la medida de lo posible, para cumplir con la obligación del Cliente de responder a las solicitudes para ejercer los derechos de los interesados;

(f) ayuda al Cliente a asegurar el cumplimiento de los Artículos 32 a 36 del RGPD (seguridad, notificación de brechas, evaluaciones de impacto de protección de datos, consultas previas), teniendo en cuenta la naturaleza del procesamiento y la información disponible para Devaito;

(g) a elección del Cliente, elimina o devuelve todos los Datos Personales del Cliente después de finalizar la prestación de los Servicios, y elimina copias existentes a menos que la ley de la UE o del Estado requiera almacenamiento; y

(h) pone a disposición del Cliente toda la información necesaria para demostrar el cumplimiento del Artículo 28 del RGPD y permite y contribuye a auditorías, incluyendo inspecciones, realizadas por el Cliente u otro auditor mandatado por el mismo (sujeto a las condiciones en la Sección C.9).

C.5. Obligaciones del Cliente como Controlador

El Cliente declara y garantiza que:

(a) ha proporcionado todas las notificaciones requeridas a los interesados y ha obtenido o tiene una base legal alternativa para el procesamiento realizado bajo los Servicios;

(b) las instrucciones que da a Devaito (incluyendo a través de la configuración de los Servicios) cumplen con las leyes de protección de datos aplicables;

(c) no proporcionará a Devaito Datos Personales sensibles en exceso de lo razonablemente necesario, y reconoce que los Servicios no están diseñados para procesar categorías especiales de datos a menos que se admitan y configuren específicamente;

(d) es responsable de la precisión, calidad y legalidad de los Datos Personales del Cliente y de los medios por los cuales adquirió dichos datos.

C.6. Seguridad

Devaito implements and maintains appropriate technical and organizational measures designed to ensure a level of security appropriate to the risk, as further described in Anexo 2. Devaito reviews and updates these measures regularly to maintain effectiveness.

C.7. Subprocesadores

(a) El Cliente proporciona autorización general por escrito para que Devaito contrate subprocesadores para procesar los Datos Personales del Cliente, sujeto a esta Sección C.7.

(b) Devaito maintains a current list of sub-processors in Parte D.

(c) Devaito will inform Customer of any intended additions or replacements of sub-processors at least treinta (30) días before the change takes effect, by email to the address Customer designates and/or by updating Part D and notifying through the Services. Customer may object to such change on reasonable grounds related to data protection within fifteen (15) days of notification by emailing . If the parties cannot reach a resolution, Customer may terminate the affected Services without penalty for the period not yet provided.

(d) Devaito impone obligaciones de protección de datos a cada subprocesador que no sean menos protectoras que las en esta Parte C, mediante contrato escrito.

(e) Devaito sigue siendo completamente responsable ante el Cliente por el cumplimiento de las obligaciones de cada subprocesador.

C.8. Transferencias Internacionales de Datos

Cuando los Datos Personales del Cliente se transfieran fuera del EEE, el Reino Unido o Suiza por parte de Devaito o sus subprocesadores, las partes acuerdan que:

(a) the European Commission's Cláusulas Contractuales Estándar (Decision 2021/914) are incorporated by reference and apply to such transfers, with Customer as data exporter and Devaito (or the relevant sub-processor) as data importer. The applicable module is determined by the parties' roles for the transfer in question (typically Module 2: controller to processor; or Module 3: processor to processor where Customer is itself a processor);

(b) for transfers subject to UK GDPR, the Anexo sobre Transferencia Internacional de Datos del Reino Unido issued by the UK Information Commissioner under Section 119A of the Data Protection Act 2018 is incorporated by reference and applies in addition to or in modification of the SCCs as required;

(c) para transferencias sujetas a la FADP suiza, se aplican los SCC con las modificaciones recomendadas por la Comisión Federal de Protección de Datos e Información de Suiza;

(d) se selecciona la cláusula de acoplamiento y la opción de la Cláusula 7 de los SCC; la opción en la Cláusula 9 (autorización escrita general para subprocesadores) se selecciona con el período de aviso de 30 días establecido en la Sección C.7(c); no se adopta el lenguaje opcional en la Cláusula 11 referente a la resolución independiente de disputas; la ley aplicable en la Cláusula 17 es la ley de Francia; el foro en la Cláusula 18 son los tribunales de París, Francia;

(e) Devaito ha realizado una evaluación del impacto de la transferencia y aplica medidas suplementarias según corresponda.

C.9. Auditorías

(a) A petición del Cliente, Devaito proporcionará toda la información razonablemente necesaria para demostrar el cumplimiento de esta Parte C, incluyendo informes de auditorías de terceros, certificaciones (como ISO 27001, SOC 2) y cuestionarios de seguridad.

(b) El Cliente puede, no más de una vez cada doce (12) meses y con aviso razonable (no menos de treinta (30) días, salvo en caso de una vulneración comprobada de datos personales), realizar o encargar una auditoría de terceros sobre las prácticas de protección de datos de Devaito en la medida estrictamente necesaria para verificar el cumplimiento de esta Parte C.

(c) Las auditorías deben realizarse durante horas hábiles, no deben interferir de manera irrazonable en las operaciones de Devaito y el auditor debe ejecutar acuerdos de confidencialidad apropiados. El Cliente asumirá sus propios costos de auditoría a menos que la auditoría revele incumplimientos materiales, en cuyo caso Devaito reembolsará los costos razonables.

C.10. Brechas de Datos Personales

Devaito notificará al Cliente sin demora indebida, y en cualquier caso dentro de las setenta y dos (72) horas, después de haber tenido conocimiento de una vulneración de datos personales que afecte los datos personales del Cliente. La notificación, en la medida de lo conocido, describirá la naturaleza de la vulneración, las categorías y número aproximado de los sujetos y registros afectados, las posibles consecuencias y las medidas tomadas o propuestas. Devaito proporcionará una cooperación razonable para ayudar al Cliente a cumplir con sus obligaciones de notificación de vulneraciones.

C.11. Solicitudes de los Sujeto de Datos

Devaito proporcionará al Cliente asistencia razonable, incluyendo medidas técnicas y organizativas apropiadas, para cumplir con la obligación del Cliente de responder a solicitudes de los titulares de los datos que ejerciten sus derechos en virtud de las Leyes de protección de datos. Cuando Devaito reciba una solicitud directamente de un titular de los datos relacionada con los Datos Personales del Cliente, Devaito enviará rápidamente la solicitud al Cliente y no responderá directamente, salvo que la ley exija lo contrario.

C.12. Devolución o Eliminación de Datos

Al terminar los Servicios, el Cliente podrá exportar los Datos Personales del Cliente usando las herramientas de exportación proporcionadas en los Servicios. Después de noventa (90) días siguientes a la terminación (o cualquier período mayor requerido para cumplir obligaciones legales), Devaito eliminará los Datos Personales del Cliente de los sistemas activos. Las copias de seguridad se eliminan en condiciones normales de negocio dentro del período de rotación del sistema de respaldo relevante.

C.13. Responsabilidad

La responsabilidad de cada parte bajo esta Parte C está sujeta a las limitaciones establecidas en los Términos de Devaito (en particular, el límite ampliado para incumplimientos de protección de datos), sin perjuicio de la responsabilidad que no pueda ser limitada según la ley aplicable.

C.14. Anexos

Anexo 1 — Descripción del procesamiento

Categorías de sujetos de datos: Customer's End Users, including visitors, registered users, customers, members, contacts, and any other individual whose Personal Data Customer chooses to process through the Services.

Categorías de Datos Personales: identifiers (name, email, username), contact details, IP address and device data, login credentials (hashed), transaction data, communications, content uploaded, and any other Personal Data Customer chooses to include.

Categorías sensibles: none by default. The Services are not designed for processing special categories of data within the meaning of Article 9 GDPR. If Customer chooses to process such data, Customer is responsible for ensuring it has the required legal basis.

Frecuencia de procesamiento: continuous, for the duration of the Services.

Naturaleza del procesamiento: hosting, storage, retrieval, transmission, display, backup, deletion, and other operations necessary to provide the Services.

Propósito: provision of the Services as described in the Devaito Terms.

Período de retención: as set out in Section A.7 of this document and in Customer's configuration of the Services.

Anexo 2 — Medidas técnicas y organizativas

Devaito implementa las siguientes medidas para garantizar la seguridad de los Datos Personales del Cliente:

Cifrado: data encrypted in transit using TLS 1.2 or higher; sensitive data at rest encrypted using industry-standard algorithms.

Control de acceso: role-based access control with the principle of least privilege; multi-factor authentication for administrative access; access logs reviewed regularly.

Seguridad de la red: firewalls, intrusion detection and prevention systems, DDoS protection.

Seguridad de la aplicación: secure development lifecycle, code review, static and dynamic application security testing, regular dependency vulnerability scanning.

Seguridad física: data center providers compliant with ISO 27001 or equivalent; restricted physical access; environmental controls.

Personal: background checks where lawful; confidentiality undertakings; mandatory security and privacy training.

Copia de seguridad y recuperación: regular automated backups with tested recovery procedures; geographically redundant backup storage.

Respuesta a incidentes: documented incident-response plan with breach-notification procedures; security operations monitoring.

Gestión de proveedores: due diligence on sub-processors; contractual security obligations; regular review.

Gestión de vulnerabilidades: regular penetration testing; bug-bounty program; patch-management procedures.

Continuidad del negocio: documented business-continuity and disaster-recovery plans; periodic testing.

Registro y monitoreo: security event logging with appropriate retention; log analysis for anomaly detection.

Anexo 3 — Lista de subprocesadores

The list of authorized sub-processors is maintained in Parte D of this document.

Parte D — Subprocesadores

Última revisión: 29 de abril de 2026 · Identificador de la sección: SUBP-2026-04

This Part D lists the third-party service providers (sub-processors) that Devaito engages to process Personal Data in connection with the Services. Devaito has data-protection contracts with each sub-processor that are no less protective than the obligations in Parte C (DPA).

D.1. Cómo Notificamos los Cambios

Devaito may add, remove, or change sub-processors. We will notify Customers of changes at least treinta (30) días before the change takes effect, by email to the address Customer designates and/or by updating this Part D and notifying through the Services. Customers with an active DPA may object on reasonable data-protection grounds within fifteen (15) days of notification, in accordance with Section C.7.

To receive proactive email notifications of subprocessor changes, subscribe at devaito.com/legal/subprocessor-updates or contact .

D.2. Categorías de Subprocesadores

Los subprocesadores actuales están organizados por categoría. La tabla detallada a continuación identifica, para cada subprocesador: su nombre legal, la categoría de servicio, el tipo de Datos Personales procesados, el país de procesamiento y el mecanismo de transferencia de datos aplicable cuando los datos salen del EEE.

D.2.1 Infraestructura y alojamiento

Alojamiento en la nube, entrega de contenido, DNS, infraestructura de seguridad.

D.2.2 Comunicaciones

Entrega de correos electrónicos transaccionales y de marketing, SMS, mensajería en productos, herramientas de soporte al cliente.

D.2.3 Pagos y facturación

Procesamiento de pagos, detección de fraudes en transacciones, facturación, servicios fiscales.

D.2.4 Identidad, seguridad y cumplimiento

Autenticación, detección de fraudes y abusos (incluyendo servicios de detección de bots como Cloudflare Turnstile), filtrado de sanciones, monitoreo de seguridad.

D.2.5 Proveedores de modelos de IA

Proveedores de IA de terceros utilizados para ofrecer funciones impulsadas por IA. Cada proveedor está obligado por restricciones contractuales, incluyendo un compromiso de no entrenamiento, salvo que hayas optado por mejorar el modelo de forma separada.

D.2.6 Analítica y producto

Análisis de productos, monitoreo de errores, monitoreo de rendimiento.

D.2.7 Operaciones internas

Almacenamiento de documentos, colaboración interna, contabilidad, sistemas de recursos humanos.

D.3. Tabla Detallada de Subprocesadores

La lista detallada actual con nombres de proveedores, servicios, ubicaciones de procesamiento y mecanismos de transferencia se publica y actualiza en doitato.com/legal/subprocessors. Por obligación contractual, esta lista se mantiene sincronizada con los subprocesadores reales en uso.

Parte E — Aviso Legal (Mentions Légales)

Última revisión: 29 de abril de 2026 · Identificador de la sección: LEGN-2026-04

La información a continuación se publica de acuerdo con el Artículo 6 III de la Loi pour la Confiance dans l'Économie Numérique (LCEN) y el Artículo L.111-1 del Código de consumo francés.

E.1. Editor

Devaito SAS
Legal form: société par actions simplifiée
Registered office: [registered office address to insert]
Share capital: [share capital amount in EUR to insert]
RCS registration: [city of registration] B [SIREN number]
SIRET: [SIRET number to insert]
VAT number: [intracommunity VAT number to insert]
APE/NAF code: [activity code to insert]
Director of publication: [name and title of legal representative to insert]
Contact:

E.2. Proveedor de Alojamiento

[Nombre legal del proveedor de hosting]
[Address]
[Contact information]

E.3. Propiedad Intelectual

Los Servicios, incluida su estructura, contenido (textos, imágenes, videos, sonidos, software, bases de datos, diseños y marcas registradas), están protegidos por derechos de propiedad intelectual que pertenecen a Devaito SAS o a sus licenciantes. Queda prohibida cualquier reproducción, representación, modificación, publicación o adaptación total o parcial de los Servicios, por cualquier medio, sin la autorización previa por escrito de Devaito SAS, salvo lo expresamente permitido por los Términos de Devaito.

E.4. Reporte de Contenido Ilegal

In accordance with Article 6 of the LCEN and Regulation (EU) 2022/2065 (Digital Services Act), illegal content hosted on Devaito or on a User Platform may be reported to . Reports should include the elements required by law to enable assessment.

E.5. Mediación con el Consumidor

De acuerdo con los Artículos L.611-1 y siguientes del Código de consumo francés, los consumidores franceses pueden recurrir a un mediador de consumo tras intentar resolver una disputa con nuestro servicio de atención al cliente. La información actual del mediador se publicará en devaito.com/legal/mediation cuando sea designada.

E.6. Resolución de Disputas en Línea (UE)

De acuerdo con el Reglamento (UE) nº 524/2013, los consumidores de la UE pueden acceder a la plataforma de Resolución de conflictos en línea de la Comisión Europea en ec.europa.eu/consumers/odr.

Contacto

Devaito SAS
Privacy & Data Protection:
Legal:
Security:
Copyright:
Billing:
General support:

Dirección postal: ver la Parte E (Aviso legal).

Si no está satisfecho con nuestra respuesta, tiene derecho a presentar una queja ante la autoridad supervisora local. Para los residentes franceses, la CNIL es reachable en cnil.fr o por correo en 3 Place de Fontenoy, TSA 80715, 75334 París Cedex 07, Francia.

Este documento se redacta originalmente en inglés. Las traducciones pueden estar disponibles para mayor comodidad; en caso de conflicto, prevalece la versión en inglés, a menos que la ley francesa exija lo contrario para los consumidores franceses.