GDPR Addendum · Effective April 13, 2026

EU data protection commitments under GDPR.

Suplementa el DPA con compromisos específicos de GDPR. Matriz de base legal, mapeo de derechos del sujeto de datos, Cláusulas Contractuales Estándar, autoridad supervisora y enfoque DPIA. Aplica automáticamente cuando GDPR se compromete.

EffectiveApril 13, 2026

SCCs2021/914

Lead authorityUK ICO

Subject rights SLA30 days

Section 01

// When this Addendum applies

Alcance de este adendum

Este adendum aplica cuando Crawlux procesa datos personales sujetos a GDPR o UK GDPR. Donde este adendum y la política de privacidad base o el DPA entren en conflicto en asuntos GDPR, este adendum prevalece para el procesamiento regulado por GDPR.

Alcance territorial

Aplica cuando Crawlux procesa datos personales de individuos en el EEA o UK, sin importar dónde el cliente esté establecido. El alcance sigue el Artículo 3 de GDPR y las provisiones equivalentes de UK GDPR.

Material scope

Aplica a todos los datos personales que Crawlux procesa: datos de cuenta de cliente, contenido del dominio auditado donde contiene datos personales, logs de consultas al motor IA y cualquier otro procesamiento dentro del pipeline de auditoría.

Por qué existe este adendum

El DPA cubre las obligaciones del procesador en general. Este adendum deletrea los compromisos específicos de GDPR que suplementan esas obligaciones: matriz de base legal, los siete derechos del sujeto de datos, SCCs incorporadas por referencia, autoridad supervisora y proceso DPIA.

Section 02

// Article 6 lawful basis

Matriz de base legal

Base legal para cada actividad de procesamiento del lado de Crawlux. El procesamiento del lado del cliente (el contenido del dominio auditado) es responsabilidad del cliente como controlador. La matriz abajo cubre lo que Crawlux procesa por iniciativa propia.

Processing activity	Lawful basis	Type
Servicio delivery (audit execution)	Contract Art. 6(1)(b)	Mandatory
Account management and billing	Contract Art. 6(1)(b)	Mandatory
Metodología improvement (aggregated data)	Legitimate interest Art. 6(1)(f)	Mandatory
Seguridad and fraud prevention	Legitimate interest Art. 6(1)(f)	Mandatory
Legal obligation (tax, accounting)	Legal obligation Art. 6(1)(c)	Mandatory
Servicio status notifications	Legitimate interest Art. 6(1)(f)	Mandatory
Marketing emails (newsletter, product)	Consent Art. 6(1)(a)	Optional
Analytics cookies	Consent Art. 6(1)(a)	Optional

Base legal del lado del cliente

Cuando el cliente envía contenido auditado que contiene datos personales, el cliente determina y documenta la base legal para ese procesamiento. Bases comunes para contexto de auditoría SEO: interés legítimo en medir el performance del sitio web y consentimiento para elementos relacionados con tracking.

Section 03

// Articles 15-22

Matriz de derechos del sujeto de datos

Los siete derechos del sujeto de datos de GDPR y cómo mapean al procesamiento de Crawlux. Los titulares de cuenta ejercen estos derechos vía [email protected]. Los sujetos de datos del contenido de cliente van a través del cliente (controlador) directamente.

Right	Article	Crawlux response
Right of access	Art. 15	Account data exported via dashboard or API. 30-day response for complex requests.
Right to rectification	Art. 16	Account profile editable directly. Other data corrected on request within 30 days.
Right to erasure	Art. 17	Account deletion via dashboard. Data deleted from production within 14 days, backups within 90 days.
Right to restrict processing	Art. 18	Processing pause requested via [email protected]. Implemented within 5 business days.
Right to data portability	Art. 20	Account and audit data exported in JSON via API. PDF reports also available. Self-service.
Right to object	Art. 21	Marketing objection via one-click unsubscribe. Other processing objections via [email protected].
Right against automated decisions	Art. 22	Crawlux audits do not produce decisions with legal effect. Output is informational. Not in scope.

Section 04

// Chapter V transfers

Transferencias internacionales

Los datos personales pueden fluir a subprocesadores fuera del EEA y UK. Las Cláusulas Contractuales Estándar adoptadas por la Decisión de la Comisión UE 2021/914 rigen estas transferencias. El adendum UK aplica para transferencias desde UK.

EU SCCs

Módulo dos: controlador a procesador

Las SCCs del Módulo Dos de la Decisión de la Comisión UE 2021/914 aplican cuando un controlador EEA transfiere datos personales a un procesador o sub-procesador no-EEA. Incorporadas por referencia en este adendum.

UK Addendum

Adendum UK para las SCCs de la UE

El UK ICO International Data Transfer Addendum aplica a las transferencias que se originan desde UK. Forma un mecanismo de transferencia completo y compatible con UK cuando se combina con las SCCs de la UE.

TIA

Evaluaciones de impacto de transferencia

Cada destino no-adecuado es evaluado por el impacto de la ley local en las protecciones SCC. Las medidas suplementarias se aplican donde el TIA identifica gaps. La encriptación y las salvaguardas contractuales forman el set de medidas base.

Destinos adecuados

Algunos destinos de subprocesador tienen decisiones de adecuación en su lugar bajo el Capítulo V de GDPR. Para estos, las SCCs no son estrictamente requeridas pero se aplican de todas formas como protección contractual belt-and-suspenders. La adecuación actual aplica a: UK (bajo decisión de adecuación de la UE), Suiza, Israel y Japón entre otros.

Section 05

// Articles 30 and 35

DPIAs y registros de procesamiento

GDPR requiere evaluaciones de impacto de protección de datos para procesamiento de alto riesgo y registros de actividades de procesamiento para organizaciones que cumplan los umbrales del Artículo 30. Crawlux mantiene ambos.

Art. 35

DPIA approach

El procesamiento estándar de auditoría Crawlux ha sido evaluado como no-de-alto-riesgo bajo los criterios DPIA. Los DPIAs frescos se conducen cuando nuevas features introducen toma de decisiones automatizada, procesamiento a gran escala de categorías especiales u otras condiciones disparadoras del Artículo 35.

Art. 30

Registros de actividades de procesamiento

Crawlux mantiene un ROPA del Artículo 30 cubriendo propósitos de procesamiento, categorías de sujetos de datos, categorías de datos personales, destinatarios, periodos de retención y medidas de seguridad. Disponible para autoridades supervisoras bajo solicitud.

Los clientes pueden solicitar un resumen del DPIA de procesamiento estándar para inclusión en su propio workflow de DPIA. El resumen se provee bajo NDA vía [email protected]. La documentación completa del DPIA es interna debido a contenido sensible de seguridad.

Section 06

// Articles 27, 37 and 56

Autoridad supervisora, DPO y representante UE

Identificando los reguladores, el contacto DPO y si se requiere un representante UE del Artículo 27.

Lead

UK Information Commissioner's Office

La autoridad supervisora líder para Crawlux es el UK ICO dada la oficina primaria de Londres. Contacto: ico.org.uk. Los sujetos de datos basados en EEA también pueden contactar a su autoridad supervisora local para asuntos sobre sus propios datos.

DPO

Contacto de protección de datos

Un DPO formal del Artículo 37 no es actualmente requerido ya que el procesamiento de Crawlux no cumple los disparadores obligatorios de DPO. El equipo de privacidad opera como el contacto de protección de datos: [email protected]. Esto se revisa anualmente.

Art. 27

Estado de representante UE

Crawlux opera desde Londres lo que provee jurisdicción equivalente a EEA bajo el framework de adecuación UK-UE. El representante UE del Artículo 27 por lo tanto no es actualmente requerido. Si la adecuación o la estructura de oficina cambian, se nombrará un representante UE.

Contactos de la autoridad supervisora

UK ICO (lead): ico.org.uk · 0303 123 1113
Irish DPC: dataprotection.ie · for Ireland-based data subjects
Local EEA authorities: See edpb.europa.eu for the full list
Crawlux privacy: [email protected]

Section 07

// 2002/58/EC and PECR

ePrivacidad y comunicaciones electrónicas

La Directiva ePrivacidad y las UK Privacidad and Electronic Communications Regulations aplican junto con GDPR para cookies y comunicaciones de marketing directo. El compliance de Crawlux está documentado en políticas dedicadas.

Compliance ePrivacidad de cookies

Cookies estrictamente necesarias configuradas automáticamente por la exención ePrivacidad. Las cookies de analíticas y otras requieren consentimiento previo vía el banner de consentimiento de Crawlux. Inventario completo en la política de cookies.

Compliance ePrivacidad de email marketing

El email de marketing requiere consentimiento opt-in. El soft opt-in aplica a clientes existentes para productos similares. Unsubscribe de un click en cada email de marketing. Procedimientos completos en la política anti-spam.

// GDPR Addendum Preguntas frecuentes

Preguntas comunes de GDPR

Seis preguntas cubriendo el alcance del adendum, base legal, ejercer derechos, representación UE, autoridad supervisora y DPIAs.

When does GDPR apply to my Crawlux usage?

GDPR aplica cuando Crawlux procesa datos personales de individuos ubicados en el EEA o UK. Este es el caso para casi todos los clientes de Crawlux porque los dominios auditados a menudo contienen referencias a residentes del EEA (autores, contactos, miembros del equipo). El adendum aplica automáticamente; no se necesita opt-in separado.

What is Crawlux's lawful basis for processing?

Crawlux como el procesador se apoya en la base legal del cliente. El cliente (controlador) determina y documenta la base legal. Para el propio procesamiento de Crawlux de los datos de cuenta del cliente, la base legal es el cumplimiento del contrato para la entrega del servicio e interés legítimo para la mejora del servicio. El marketing requiere consentimiento.

How do I exercise my data subject rights?

Si eres un sujeto de datos de data de cliente, contacta al cliente (controlador) directamente. Si eres un titular de cuenta Crawlux solicitando tus propios datos, envía email a [email protected]. Responderemos en 30 días por el Artículo 12 de GDPR. Los derechos disponibles incluyen acceso, rectificación, eliminación, restricción, portabilidad y oposición.

Do you have an EU representative?

Crawlux opera desde Londres, una jurisdicción equivalente a EEA bajo UK GDPR con adecuación en su lugar. La oficina de Londres maneja asuntos relacionados con EEA, lo que significa que un representante UE del Artículo 27 no es actualmente requerido. Si esto cambia, se nombrará un representante UE y se divulgará en este adendum.

Who is your supervisory authority?

La autoridad supervisora líder para Crawlux es la UK Information Commissioner's Office (ICO) dada la oficina primaria de Londres. Los sujetos de datos basados en EEA también pueden contactar a su autoridad supervisora local para asuntos relacionados con sus datos personales. Los detalles de contacto para ambos están en la sección 6 de este adendum.

Do you conduct DPIAs?

Sí, donde los umbrales del Artículo 35 se cumplen. El procesamiento estándar de auditoría Crawlux ha sido evaluado como no-de-alto-riesgo bajo los criterios DPIA. Las nuevas features que introducen toma de decisiones automatizada o procesamiento a gran escala de categoría especial disparan DPIAs frescos. Los clientes pueden solicitar el resumen DPIA para su propio workflow DPIA bajo NDA.

GDPR inquiries

// Contact

Contacto GDPR

Las solicitudes de sujetos de datos, preguntas específicas de GDPR, aclaraciones de base legal y cualquier otro asunto GDPR van al equipo de privacidad.

Contacto de privacidad GDPR

Email: [email protected]
Subject line: "GDPR" plus topic
Response window: 30 days per Article 12
Lead supervisory authority: UK ICO (ico.org.uk)

For DPA contractual matters, see the Data Processing Agreement. For privacy-specific questions, see the privacy policy. For security questions, see the security policy.

Lee el DPA completo a continuación

El DPA cubre las obligaciones más amplias del procesador: subprocesadores, medidas de seguridad, notificación de brechas, derechos de auditoría y procedimientos de terminación.

Read DPA Política de privacidad

GDPR Addendum v1.0 · Effective April 13, 2026 · Lead: UK ICO · 30-day DSAR response