Acuerdo de procesamiento de datos

La protección de datos y la seguridad de la información son fundamentales para todo lo que hacemos en Driftrock.

This Driftrock Data Processing DPA (“DPA”) reflects the parties’ agreement with respect to the terms governing the Processing of Personal Data under the Driftrock Terms of Service (the “ToS”). This DPA, ToS and the Privacy Policy set out the full extent of our obligations and liabilities concerning the Website and the Software Services and replace any previous DPAs, representations and understandings between us and you.

This DPA is effective upon its incorporation, which incorporation may be specified in the ToS, an Order or the Main Contract (as applicable).


We periodically update these terms. We will let you know when we do via an email or in-app notification.

1. Definitions

En el presente APD se aplican las siguientes definiciones y normas de interpretación.

Audience Management Service means the Driftrock audience management service.

Customer Data means all End User data and data relating to your customers or to the customers of your clients and which is provided by you or on your behalf to us for the purposes of providing the Services.  

Customer Personal Data has the meaning set out in clause 2.4.

CRM and CRM Data has the meaning set out in the Data Protection Appendix.

Data Controller shall have the same meaning as in the Data Protection Laws.

Data Processor shall have the same meaning as in the Data Protection Laws.

Data Protection Appendix means the data protection appendix attached to this DPA.

Data Protection Laws means prior to and including 24 May 2018, the Data Protection Act 1998; and from and including 25 May 2018, (i) unless and until the General Data Protection Regulation ((EU) 2016/679) (“GDPR”)) is no longer directly applicable in the UK, the GDPR and any national implementing laws, regulations and secondary legislation, as amended or updated from time to time, in the UK and then (ii) any successor legislation to the GDPR or the Data Protection Act 1998.

Data Subject shall have the same meaning as in the Data Protection Laws.

Driftrock Apps means Driftrock’s marketing and other applications.  

EEA means the European Economic Area.

End User means any employee, contractor or other individual appointed by or permitted by you to use the Software Services.

End User Data means any data relating to the End Users’ use of the Software Services, such as login and user ID credentials.  

Fees means the sums payable under this DPA specified in the DPA Summary.

Key Mapping Store has the meaning set out in the Data Protection Appendix.

Lead IDs has the meaning set out in the Data Protection Appendix.

Lead Generation Data has the meaning set out in the Data Protection Appendix.

Lead Generation Form has the meaning set out in the Data Protection Appendix.

Main Contract means main agreement executed by the Parties.

Market Acquisition Service means the Driftrock market acquisition service.

Minimum Term means the minimum term of DPA as specified by the Parties in the Main Contract, Order or otherwise.

Order means Driftrock work order template.

Personal Data shall have the same meaning as in the Data Protection Laws.

Software Services means the Driftrock Apps and associated services (the Market Acquisition Service and/or Audience Management Service) to be supplied to you pursuant to this DPA or as may be agreed by the parties in writing from time to time.

ToS means Driftrock Terms of Service as available at Driftrock’s website: https://www.driftrock.com/terms-of-service/.

Website means Driftrock’s website at www.driftrock.com.

2. Privacy and data protections

2.1. Driftrock’s privacy policy which can be found at www.driftrock.com/privacy_policy and Driftrock’s ToS which can be found at https://www.driftrock.com/terms-of-service/ are expressly incorporated into this DPA.  
2.2. You agree that you will comply with the Data Protection Laws in respect of any personal data of individuals processed through, or as a consequence of your use of, any Driftrock App (“End Users”). You must as a minimum provide a legally adequate privacy notice and protection for End Users. If End Users provide you with user names, passwords, or other login information or personal data, you must make the users aware that the information may be available to your application and to Driftrock and will be held on third party servers on behalf of Driftrock, including servers located outside the European Union.
2.3. Both parties will comply with all applicable requirements of the Data Protection Laws. This clause 2 is in addition to, and does not relieve, remove or replace, a party's obligations under the Data Protection Laws.
2.4. The parties acknowledge that for the purposes of the Data Protection Laws, you are the Data Controller and we are the Data Processor in respect of any Personal Data in the Customer Data (“Customer Personal Data”).
2.5. The scope, nature and purpose of our processing of the Customer Personal Data depends on the type of Software Service to be supplied by us to you under this DPA, and is set out in the Data Protection Appendix.  
2.6. Without prejudice to the generality of clause 2.1, you shall ensure that you have all necessary appropriate consents and notices in place to enable lawful transfer of the Customer Personal Data to us so that we can use such Customer Personal Data for the purposes and duration of this DPA. In particular, where we are providing you with the Market Acquisition Service, you undertake that you will present valid notices to Data Subjects on each Lead Generation Form.  
2.7. Without prejudice to the generality of clause 2.1, and to the extent that we process Customer Personal Data on your behalf in providing the Software Services, we will:

a) process the Customer Personal Data only for the purpose of providing the Software Services;
b) process the Customer Personal Data only on your written instructions unless otherwise required by law;
c) take appropriate technical and organisational security measures to protect against unauthorised or unlawful processing and accidental loss or destruction of, or damage to, such personal data:

which is appropriate to the harm that might result from the unauthorised or unlawful processing or accidental loss, destruction or damage and the nature of the Customer Personal Data to be protected; andhaving regard to the state of technological development and the cost of implementing any measures (those measures may include, where appropriate, pseudonymising and encrypting the Customer Personal Data, ensuring confidentiality, integrity, availability and resilience of its systems and services, ensuring that availability of and access to the Customer Personal Data can be restored in a timely manner after an incident, and regularly assessing and evaluating the effectiveness of the technical and organisational measures adopted by us;

teniendo en cuenta el estado del desarrollo tecnológico y el coste de aplicación de cualquier medida (estas medidas pueden incluir, en su caso, la seudonimización y el cifrado de los Datos Personales del Cliente, garantizando la confidencialidad, integridad, disponibilidad y resistencia de sus sistemas y servicios, garantizando que la disponibilidad y el acceso a los Datos Personales del Cliente puedan restablecerse oportunamente tras un incidente, y evaluando y valorando periódicamente la eficacia de las medidas técnicas y organizativas adoptadas por nosotros;

d) garantizar que todo el personal que tenga acceso a los Datos Personales del Cliente y/o los trate esté obligado a mantener su confidencialidad;

e) no transferir ningún Dato Personal del Cliente fuera del EEE a menos que hayamos obtenido su consentimiento;

f) ayudarle a responder a cualquier solicitud de un interesado y a garantizar el cumplimiento de las obligaciones que le incumben en virtud de la legislación sobre protección de datos en materia de seguridad, notificación de infracciones, evaluaciones de impacto y consultas con las autoridades de control o reguladoras;

g) notificarle sin demora indebida cuando tenga conocimiento de una violación de datos que afecte a los Datos Personales del Cliente; y

h) en la medida en que almacenemos cualquier Dato Personal del Cliente, a petición suya por escrito, borraremos y/o le devolveremos los Datos Personales del Cliente y copias de los mismos a la terminación de este APD, a menos que las leyes aplicables nos exijan almacenar Datos Personales del Cliente específicos más allá de la terminación de este APD (en cuyo caso borraremos dichos Datos Personales del Cliente tan pronto como nos lo permitan las leyes aplicables).

2.8 Mantendremos registros e información completos y precisos para demostrar nuestro cumplimiento de esta cláusula 2 y permitir auditorías razonables, incluida la inspección de nuestras instalaciones por usted o su auditor designado, con un preaviso razonable, con el fin de verificar el cumplimiento de las Leyes de Protección de Datos y esta cláusula 2.

2.9 Usted es responsable de obtener (a su costa) todos los equipos y servicios de telecomunicaciones necesarios para acceder a los Servicios de Software. También es responsable de garantizar que ninguna persona utilice su equipo para acceder a los Servicios de Software sin su permiso. Tendremos derecho a asumir que cualquier persona que acceda a los Servicios de Software utilizando su equipo tiene su permiso para hacerlo y usted será responsable de cualquier cargo, coste o responsabilidad en que puedan incurrir dichas personas. Usted acepta indemnizarnos por cualquier pérdida, responsabilidad, reclamación, daño o gasto en que incurramos como consecuencia del incumplimiento por su parte de la presente cláusula 2.8.

3. Limitation of liability

3.1. Nada de lo dispuesto en la presente DPA limita o excluye nuestra responsabilidad por: (a) la muerte o lesiones personales causadas por nuestra negligencia probada; (b) cualquier pérdida sufrida por usted como resultado de su confianza en cualquier tergiversación fraudulenta hecha por nosotros a usted; o (c) cualquier otra responsabilidad que no pueda por ley ser limitada o excluida.

3.2. Sin perjuicio de lo dispuesto en la cláusula 3.1, usted acepta que no seremos responsables de: (a) cualquier pérdida indirecta, reclamación o daño, o cualquier daño punitivo, especial, incidental o consecuente de cualquier tipo ); o (b) la pérdida o corrupción de datos (ya sea directa o indirecta) o (c) cualquier pérdida de beneficios, pérdida de oportunidades o ahorros anticipados (ya sea directa o indirecta), en cada caso ya sea basado en contrato, agravio (incluyendo negligencia), responsabilidad estricta, o de otra manera, que surja de o esté relacionado de alguna manera con (i) cualquier uso de los Servicios de Software; (ii) cualquier fallo o retraso en el uso de cualquier componente de los Servicios de Software, incluyendo, sin limitación, cualquier indisponibilidad de los Servicios de Software, independientemente de la duración de cualquier período de indisponibilidad; o (iii) cualquier uso o confianza en cualquier información, material, software, productos, servicios y gráficos relacionados obtenidos a través de los Servicios de Software, en todos los casos, incluso si hemos sido advertidos de la posibilidad de tales pérdidas o daños.

3.3. Sujeto a las cláusulas 3.1 y 3.2, la responsabilidad total de Driftrock que surja de o esté relacionada con este DPA ya sea basada en contrato, agravio (incluyendo negligencia), responsabilidad estricta, o de otra manera, que surja de o esté relacionada de alguna manera con (i) cualquier uso de los Servicios de Software; (ii) cualquier fallo o retraso en el uso de cualquier componente de los Servicios de Software incluyendo, sin limitación, cualquier indisponibilidad de los Servicios de Software independientemente de la duración de cualquier período de indisponibilidad; o (iii) cualquier uso o confianza en cualquier información, material, software, productos, servicios y gráficos relacionados obtenidos a través de los Servicios de Software, en todos los casos, incluso si hemos sido advertidos de la posibilidad de dicha pérdida o daño, se limitará con respecto a todas las reclamaciones con respecto a cualquier Año Contractual, a los importes pagaderos por usted en virtud o en relación con este DPA con respecto a dicho Año Contractual. "Año Contractual" significa un periodo de doce meses que comienza en la Fecha de Entrada en Vigor o en el aniversario correspondiente.  

3.4. Sin limitar el efecto de la cláusula 3.2 o 3.3 anterior, debido a los riesgos inherentes al uso de Internet, no podemos ser responsables de ningún daño o virus que pueda infectar su equipo informático o cualquier otra propiedad cuando esté utilizando los Servicios de Software o navegando por el Sitio Web. La descarga u otra adquisición de cualquier material o información a través del Sitio Web se realiza bajo su propia discreción y riesgo y con su DPA que usted será el único responsable de cualquier daño a su sistema informático o pérdida de datos que resulte de la descarga o adquisición de cualquiera de dichos materiales.

3.5. Usted se compromete a indemnizarnos por cualquier reclamación o procedimiento judicial que pueda surgir por el uso que usted haga de los Servicios de Software o por cualquier incumplimiento del presente APD por su parte.

3.6. Le notificaremos dichas reclamaciones o procedimientos y le mantendremos informado sobre el progreso de las mismas.

4. Termination

  • 4.1. El presente Acuerdo continuará en pleno vigor y efecto mientras estemos procesando Datos Personales del Cliente en nombre de usted. 4.2. El Plazo Mínimo de este APD es el plazo del Contrato Principal, el plazo de ejecución del Pedido o cualquier otro plazo acordado por las Partes por escrito. La resolución del Contrato Principal o del Pedido conllevará automáticamente la resolución del presente APD.
  • 4.2. Sin perjuicio de cualquier otro derecho o recurso de que disponga, cualquiera de las partes podrá rescindir el presente APD con efecto inmediato mediante notificación por escrito a la otra parte si

a) the other party commits a material breach of any other term of this DPA which breach is irremediable or (if such breach is remediable) fails to remedy that breach within a period of 30 days after being notified in writing to do so; orb) the other party repeatedly breaches any of the terms of this DPA in such a manner as to reasonably justify the opinion that its conduct is inconsistent with it having the intention or ability to give effect to the terms of this DPA.

  • 4.3. A la terminación de este DPA por cualquier motivo, todas las sumas pagaderas a nosotros vencerán inmediatamente sin perjuicio de cualquier derecho a reclamar intereses en virtud de la ley, o cualquier otro derecho en virtud de este DPA.
  • 4.4 A la terminación de este DPA usted debe cesar inmediatamente el uso de los Servicios de Software y destruir cualquier material descargado o impreso desde el Sitio Web o de otra manera en relación con la prestación de los Servicios de Software.
  • 4.5. La rescisión del presente APD por cualquier motivo no afectará a los derechos y obligaciones devengados por usted o por nosotros en el momento de dicha rescisión.

5. General

  • 5.1. Cualquier incumplimiento o retraso por nuestra parte a la hora de hacer valer cualquiera de nuestros derechos en virtud del presente APD no se considerará una renuncia a ese u otro derecho, a menos que reconozcamos y aceptemos dicha renuncia por escrito.
  • 5.2. Una persona que no sea parte de este APD no tendrá ningún derecho en virtud de la Ley de Contratos (Derechos de Terceros) de 1999 para hacer cumplir cualquier término de este APD.
  • 5.3. Si alguna cláusula o parte de una cláusula del presente APD es, o pasa a ser, inválida, ilegal o inaplicable, el resto del APD seguirá siendo válido y aplicable.
  • 5.4. Sin perjuicio de lo dispuesto en la cláusula 5.1, no tendrá derecho a ningún recurso en relación con cualquier declaración falsa que se le haya hecho y en la que se haya basado para celebrar el presente APD, salvo cualquier recurso que pueda tener por incumplimiento de los términos expresos del presente APD. Además, usted reconoce que, al celebrar el presente APD, no se ha basado en ninguna declaración, manifestación o tergiversación que no esté expresamente establecida en el presente documento.
  • 5.5. El presente APD y cualquier disputa o reclamación que surja de o en relación con el mismo se regirán e interpretarán de conformidad con la legislación inglesa y las partes acuerdan irrevocablemente someterse a la jurisdicción exclusiva de los tribunales ingleses.
  • 5.6. Driftrock podrá ceder el beneficio de este APD sin notificárselo a usted y tendrá derecho a subcontratar cualquiera de sus derechos u obligaciones en virtud del presente.

Data protection appendix

A continuación se expone el alcance, la naturaleza, la finalidad y la duración del tratamiento de los Datos Personales del Cliente por nuestra parte, así como las categorías pertinentes de Datos Personales y Sujetos de Datos:

Market Acquisition Service

By default, the Lead Generation Data is processed momentarily before being discarded.If you have instructed us to retain Lead Generation Data (including Customer Personal Data) within the Key Mapping Store, we will process the Customer Personal Data for as long as required to provide the Software Services to you.Lead IDs and Driftrock IDs are retained indefinitely.CRM Data, including email addresses, are processed momentarily before being discarded.Hashed email addresses are stored for the duration of the DPA.

Market Acquisition Service

By default, the Lead Generation Data is processed momentarily before being discarded.If you have instructed us to retain Lead Generation Data (including Customer Personal Data) within the Key Mapping Store, we will process the Customer Personal Data for as long as required to provide the Software Services to you.Lead IDs and Driftrock IDs are retained indefinitely.CRM Data, including email addresses, are processed momentarily before being discarded.Hashed email addresses are stored for the duration of the DPA.Market Acquisition Service

By default, the Lead Generation Data is processed momentarily before being discarded.If you have instructed us to retain Lead Generation Data (including Customer Personal Data) within the Key Mapping Store, we will process the Customer Personal Data for as long as required to provide the Software Services to you.Lead IDs and Driftrock IDs are retained indefinitely.CRM Data, including email addresses, are processed momentarily before being discarded.Hashed email addresses are stored for the duration of the DPA.

Scope and nature of processing

Cuando su(s) cuenta(s) de redes sociales esté(n) vinculada(s) a las aplicaciones de Driftrock, procesaremos la información de generación de clientes potenciales que nos proporcione la plataforma de redes sociales en la que estén alojadas sus cuentas de redes sociales ("Datos de generación de clientes potenciales"). Los Datos de generación de prospectos consistirán en datos no estructurados enviados por una persona a través de un formulario de generación de prospectos vinculado a su(s) cuenta(s) de medios sociales ("Formulario de generación de prospectos"), e incluirán Datos personales del cliente.Al recibir los Datos de generación de prospectos, conservamos los números de ID anónimos que nos proporciona la plataforma de medios sociales pertinente, por ejemplo, el ID de prospectos, el ID de Facebook, el ID de campaña y el ID de anuncio ("ID de prospectos"). También creamos un ID de Driftrock único para cada contacto. Además, almacenamos cualquier Dato de generación de clientes potenciales (incluidos los Datos personales del cliente) que nos haya permitido conservar mediante la actualización de la configuración del almacén de asignación de claves, que es el componente de las Aplicaciones de Driftrock que almacena dichos datos ("Almacén de asignación de claves").

Procesamos los Datos Personales del Cliente que usted nos proporciona desde su sistema CRM u otro almacén de datos del cliente ("CRM") mediante una API u otro método de transmisión electrónica de datos.Al recibir los Datos Personales del Cliente ("Datos CRM"), identificamos y anonimizamos las direcciones de correo electrónico utilizando un algoritmo hash seguro (actualmente SHA-256). No utilizamos la dirección de correo electrónico original ni ningún otro dato de los Datos CRM. Comparamos las direcciones de correo electrónico codificadas con la lista anterior de direcciones de correo electrónico codificadas que tenemos desde la última transferencia de datos de CRM desde su CRM a nosotros. Notificamos cualquier actualización de la lista de direcciones de correo electrónico con hash a su plataforma de redes sociales designada.

Alcance y naturaleza del tratamiento

Market Acquisition Service



Where your social media account(s) are linked to the Driftrock Apps, we will process lead generation information provided to us from the social media platform on which your social media accounts are hosted (“Lead Generation Data”). The Lead Generation Data will consist of unstructured data submitted by an individual via a lead generation form linked to your social media account(s) (“Lead Generation Form”), and will include Customer Personal Data.On receipt of the Lead Generation Data, we retain the anonymous ID numbers provided to us by the relevant social media platform, for example, the lead ID, Facebook ID, campaign ID and advert ID (“Lead IDs”). We also create a unique Driftrock ID for each lead. Further, we store any Lead Generation Data (including Customer Personal Data) that you have permitted us to retain by updating the settings for the key mapping store, being the component of the Driftrock Apps that stores such data (“Key Mapping Store”).

Customer Audience Syncing



Where your social media account(s) are linked to the Driftrock Apps, we will process lead generation information provided to us from the social media platform on which your social media accounts are hosted (“Lead Generation Data”). The Lead Generation Data will consist of unstructured data submitted by an individual via a lead generation form linked to your social media account(s) (“Lead Generation Form”), and will include Customer Personal Data.On receipt of the Lead Generation Data, we retain the anonymous ID numbers provided to us by the relevant social media platform, for example, the lead ID, Facebook ID, campaign ID and advert ID (“Lead IDs”). We also create a unique Driftrock ID for each lead. Further, we store any Lead Generation Data (including Customer Personal Data) that you have permitted us to retain by updating the settings for the key mapping store, being the component of the Driftrock Apps that stores such data (“Key Mapping Store”).

Categorías de datos personales de clientes

Servicio de adquisición de mercados

The Lead Generation Data is unstructured, therefore the categories will depend on the fields in each lead generation form. However it is likely to include names, email addresses, contact details and other Customer Personal Data such as age and gender.


Customer Audience Syncing

Los Datos CRM incluyen direcciones de correo electrónico y cualquier otro Dato Personal del Cliente capturado por su CRM, como nombres y detalles de contacto.

Finalidad del tratamiento

Market Acquisition Service



We process the Customer Personal Data in order to provide you with the Software Services.

Sincronización de audiencias de clientes

El tratamiento de los Datos CRM (sin incluir las direcciones de correo electrónico) por nuestra parte es auxiliar a la prestación de los Servicios de Software. Solo procesamos dichos Datos de CRM para identificar y capturar las direcciones de correo electrónico, que procesamos para crear direcciones de correo electrónico con hash.

Categorías de interesados

Servicio de adquisición de mercados

Individuals that submit information via Lead Generation Forms.

Customer Audience Syncing

Individuals with Customer Personal Data included in your CRM.

Duración del tratamiento

Market Acquisition Service



By default, the Lead Generation Data is processed momentarily before being discarded.If you have instructed us to retain Lead Generation Data (including Customer Personal Data) within the Key Mapping Store, we will process the Customer Personal Data for as long as required to provide the Software Services to you.Lead IDs and Driftrock IDs are retained indefinitely.CRM Data, including email addresses, are processed momentarily before being discarded.Hashed email addresses are stored for the duration of the DPA.

Customer Audience Syncing

CRM Data, including email addresses, are processed momentarily before being discarded. Hashed email addresses are stored for the duration of the DPA.

Ready to close the loop?

Book a 30-minute discovery call with our automotive team. 
We'll show you exactly where your leads are being lost — and what it would take to fix it.
“You're in this with us. A lot of what we've earned has been because of you.”
Tom Cregg, Head of Customer Experience (CRM) UK @ JAECOO & OMODA
Book a demoDiscover our case studies
$2.7B+
In vehicle sales enabled
2M+
Leads processed annually
24
Markets live in EMEA, NA and APAC
The Automotive Customer Acquisition Platform. 
Turning digital intent into vehicle sales.
Reservar una demostración
Soluciones
Aumentar el volumen de clientes potenciales
Aumentar la calidad de los clientes potenciales
Increase Conversions
Medir y optimizar
driftrock for...
Automotive Brands
Editores
features
All Features
API de conversión
Recursos
Webinars
Casos prácticos
Biblioteca de captación de clientes potenciales
Base de conocimientos
Press & Brand kit
Canales
Integraciones
Blog
Empresa
About
Conozca al equipo
Carreras profesionales
Comunicados de prensa
Sostenibilidad
follow driftrock
Sign up to newsletter
© 2026 Driftrock Ltd. All rights reserved. Registered in England & Wales.
Privacy policy / Terms of service / Information security /data protection