legal
Acuerdo de Tratamiento de Datos (DPA)
Última actualización: 20 de junio de 2026
El presente Acuerdo de Tratamiento de Datos (en adelante, el «DPA») se celebra entre:
SCHRUTE FARMS, sociedad de responsabilidad limitada francesa (SARL) con un capital social de quinientos euros (500 €), con domicilio social en 123 Rue De Rome, 75017 París, inscrita en el Registro Mercantil y de Sociedades de París (RCS Paris) con el número 981 316 300, representada por sus cogerentes Thomas LUCY y Louis CONGARD, que explota el servicio «ENROW» (en adelante, «ENROW» o el «Prestador»),
y
El Cliente, persona jurídica que ha contratado el Servicio y aceptado las Condiciones Generales de Venta y de Uso de ENROW (las «Condiciones») (en adelante, el «Cliente»),
en adelante denominados individualmente una «Parte» y conjuntamente las «Partes».
El presente DPA se celebra en aplicación del artículo 28 del Reglamento (UE) 2016/679 (RGPD) y de la Ley n.º 78-17, de 6 de enero de 1978, en su versión modificada (Ley de Protección de Datos francesa). Forma parte integrante del Contrato entre las Partes, tal como se define en la jerarquía documental establecida en la Cláusula 1 de las Condiciones.
El Delegado de Protección de Datos (DPO) de ENROW es el Sr. Louis CONGARD, con quien puede contactar en dpo@enrow.io.
Cláusula 1 — Objeto
El presente DPA tiene por objeto establecer las condiciones en las que ENROW trata Datos Personales por cuenta del Cliente en el marco de la prestación del Servicio de enriquecimiento de datos profesionales B2B, así como precisar las obligaciones de cada Parte en materia de protección de datos.
Cláusula 2 — Definiciones
Los términos empleados en el presente DPA tendrán el mismo significado que en las Condiciones, salvo por las definiciones específicas que se establecen a continuación:
- «Datos Personales»: toda información relativa a una persona física identificada o identificable en el sentido del artículo 4(1) del RGPD.
- «Responsable del Tratamiento»: la persona física o jurídica que determina los fines y los medios del tratamiento de Datos Personales (artículo 4(7) del RGPD).
- «Encargado del Tratamiento»: la persona física o jurídica que trata Datos Personales por cuenta del Responsable del Tratamiento (artículo 4(8) del RGPD).
- «Subencargado del Tratamiento»: todo subencargado contratado por ENROW para tratar Datos Personales por cuenta del Cliente.
- «Violación de Datos»: toda violación de la seguridad que ocasione, de forma accidental o ilícita, la destrucción, pérdida, alteración, comunicación o acceso no autorizados a Datos Personales (artículo 4(12) del RGPD).
- «Interesado»: toda persona física identificada o identificable cuyos Datos Personales sean objeto de tratamiento.
- «Autoridad de Control»: toda autoridad pública independiente encargada de supervisar la aplicación de la normativa en materia de protección de datos (en Francia: la CNIL).
Cláusula 3 — Funciones de las Partes
3.1 — Doble condición de ENROW
Las Partes reconocen que ENROW actúa en dos calidades distintas:
(a) Responsable del Tratamiento independiente: ENROW actúa como Responsable del Tratamiento respecto de los Datos Personales que recopila, agrega y mantiene en su propia base de datos de enriquecimiento (emails profesionales, números de teléfono, perfiles de LinkedIn, información de empresa). Dicho tratamiento se fundamenta en el interés legítimo de ENROW (artículo 6(1)(f) del RGPD), documentado en una LIA revisada anualmente.
(b) Encargado del Tratamiento: ENROW actúa como Encargado del Tratamiento en el sentido del artículo 28 del RGPD cuando trata los Datos del Cliente (datos transmitidos por el Cliente para su enriquecimiento) por cuenta y siguiendo las instrucciones del Cliente.
3.2 — El Cliente como Responsable del Tratamiento
El Cliente actúa como Responsable del Tratamiento respecto de:
- Los Datos del Cliente que transmite a ENROW para su enriquecimiento;
- El uso que hace de los Datos Enriquecidos devueltos por el Servicio.
El Cliente determinará por sí solo los fines y los medios del uso que haga de los Datos Enriquecidos una vez prestado el Servicio y será el único responsable, a este respecto, del cumplimiento de sus obligaciones en virtud del RGPD y de la Ley de Protección de Datos francesa.
Cláusula 4 — Descripción del tratamiento
Los detalles del tratamiento se describen en el Anexo 1 del presente DPA. Comprenden, en particular:
- Finalidad del tratamiento: Enriquecimiento de datos profesionales B2B por cuenta del Cliente.
- Categorías de Interesados: Contactos profesionales (prospectos, clientes potenciales) del Cliente: empleados, directivos, socios de personas jurídicas.
- Categorías de Datos Personales tratados: Apellidos, nombre, dirección de email profesional, número de teléfono profesional y/o personal, cargo, nombre de la empresa, URL del perfil de LinkedIn, información de empresa (sector, tamaño, ubicación).
- Datos sensibles: No se tratará ningún dato sensible en el sentido del artículo 9 del RGPD.
- Duración del tratamiento: Duración de la Suscripción. Los Datos del Cliente se conservarán durante un máximo de 90 días y se eliminarán automáticamente transcurrido dicho plazo. Caché técnica: 48 horas.
- Ubicación del tratamiento: Unión Europea — AWS París (eu-west-3).
Cláusula 5 — Obligaciones de ENROW como Encargado del Tratamiento
5.1 — Instrucciones del Cliente
ENROW solo tratará los Datos del Cliente siguiendo las instrucciones documentadas del Cliente. Las presentes Condiciones y el presente DPA constituyen las instrucciones iniciales del Cliente. Toda instrucción adicional deberá transmitirse por escrito (por email a dpo@enrow.io).
Si ENROW considera que una instrucción constituye una infracción del RGPD o de cualquier otra normativa aplicable, informará de ello al Cliente de inmediato por escrito.
5.2 — Confidencialidad
ENROW garantiza que las personas autorizadas a tratar Datos Personales se han comprometido a respetar la confidencialidad o están sujetas a una obligación legal de confidencialidad apropiada. Únicamente tendrán acceso las personas cuyo acceso sea estrictamente necesario para la ejecución del Servicio.
5.3 — Seguridad del tratamiento
ENROW aplicará las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, de conformidad con el artículo 32 del RGPD. Dichas medidas se describen en el Anexo 2 del presente DPA. ENROW llevará a cabo revisiones periódicas de la eficacia de tales medidas.
5.4 — Notificación de Violación de Datos
En caso de Violación de Datos que afecte a los Datos del Cliente, ENROW se compromete a:
- Notificar al Cliente sin dilación indebida y, en todo caso, dentro de las setenta y dos (72) horas siguientes a tener conocimiento de ella;
- Facilitar la siguiente información: una descripción de la naturaleza de la violación (categorías y número aproximado de Interesados y de registros afectados), las consecuencias probables, las medidas adoptadas o propuestas para subsanar la violación y los datos de contacto del DPO;
- Documentar la violación en un registro interno y cooperar con el Cliente para permitirle cumplir con sus propias obligaciones de notificación (artículos 33 y 34 del RGPD);
- Notificar a la CNIL en un plazo de 72 horas, en su condición de Responsable del Tratamiento respecto de los datos que conserva en su propia base de datos de enriquecimiento.
5.5 — Asistencia al Cliente
ENROW asistirá al Cliente, en la medida en que sea razonablemente posible y atendiendo a la naturaleza del tratamiento, para:
- Responder a las solicitudes de los Interesados para el ejercicio de sus derechos (acceso, rectificación, supresión, oposición, portabilidad, limitación);
- Cumplir con sus obligaciones en virtud de los artículos 32 a 36 del RGPD (seguridad, notificación de violaciones, evaluación de impacto relativa a la protección de datos);
- Responder a las solicitudes y auditorías de cualquier Autoridad de Control.
Si ENROW recibe una solicitud directamente de un Interesado relativa a los Datos del Cliente, informará al Cliente sin dilación indebida y no responderá directamente salvo instrucción del Cliente.
5.6 — Destino de los datos al finalizar el contrato
De conformidad con la Cláusula 14.3 de las Condiciones, a la resolución del Contrato:
- Exportación: el Cliente dispondrá de treinta (30) días para exportar sus Datos del Cliente en formato CSV y/o JSON a través del Software, la API o previa solicitud a support@enrow.io;
- Eliminación: transcurrido dicho plazo, ENROW eliminará de forma definitiva la totalidad de los Datos del Cliente, incluidas las copias y las copias de seguridad, dentro de un plazo adicional de treinta (30) días;
- Certificación: ENROW facilitará al Cliente, previa solicitud, un certificado escrito de eliminación.
La eliminación de los Datos del Cliente no afectará a los datos anonimizados y agregados utilizados de conformidad con la Cláusula 9.6 de las Condiciones.
Cláusula 6 — Obligaciones del Cliente
El Cliente, en su condición de Responsable del Tratamiento, se compromete a:
- Disponer de una base jurídica válida para transmitir los Datos del Cliente a ENROW y para utilizar los Datos Enriquecidos (Cláusula 8.2 de las Condiciones);
- Informar a los Interesados de conformidad con los artículos 13 y 14 del RGPD;
- Asegurarse de que sus instrucciones a ENROW sean conformes con la normativa aplicable;
- No transmitir ningún dato sensible en el sentido del artículo 9 del RGPD;
- Cooperar con ENROW en caso de Violación de Datos, auditoría o solicitud de una Autoridad de Control.
Cláusula 7 — Subencargados
7.1 — Autorización general
El Cliente otorga por la presente a ENROW una autorización general para recurrir a Subencargados en la prestación del Servicio (incluidos, entre otros, los Proveedores Terceros de enriquecimiento y los proveedores de alojamiento). La lista de Subencargados actualmente contratados figura en el Anexo 3 del presente DPA y también está disponible a solicitud dirigida al DPO.
7.2 — Notificación y derecho de oposición
De conformidad con la Cláusula 12.2 de las Condiciones, ENROW notificará al Cliente cualquier cambio en los Subencargados (ya sea por adición o sustitución) con una antelación no inferior a quince (15) días respecto de la fecha de efectividad de dicho cambio. El Cliente podrá oponerse por escrito en el plazo de quince (15) días. A falta de acuerdo, la oposición se considerará constitutiva de un preaviso de resolución del Contrato de conformidad con la Cláusula 12.2 de las Condiciones.
7.3 — Obligaciones impuestas a los Subencargados
ENROW impondrá contractualmente a cada Subencargado obligaciones de protección de datos sustancialmente equivalentes a las contenidas en el presente DPA, en particular en materia de confidencialidad, seguridad, limitación de la finalidad y supresión de los datos.
7.4 — Responsabilidad
ENROW seguirá siendo plenamente responsable frente al Cliente del cumplimiento por parte de sus Subencargados de sus obligaciones en materia de protección de datos.
Cláusula 8 — Transferencias fuera del EEE
La totalidad de los datos se aloja dentro del Espacio Económico Europeo (EEE), en servidores de AWS en París (eu-west-3).
En el supuesto de que resulte necesaria una transferencia de Datos Personales a un tercer país, en particular cuando se recurra a un Subencargado establecido fuera del EEE, ENROW se asegurará previamente de que existan garantías adecuadas de conformidad con el Capítulo V del RGPD:
- Decisión de adecuación de la Comisión Europea (artículo 45 del RGPD);
- Cláusulas Contractuales Tipo (CCT) adoptadas por la Comisión Europea (Decisión de Ejecución 2021/914), complementadas cuando sea necesario con medidas adicionales (artículo 46(2)(c) del RGPD);
- Cualquier otro mecanismo de transferencia reconocido por el RGPD (normas corporativas vinculantes, excepciones del artículo 49).
El Cliente será informado de toda transferencia fuera del EEE a través de la lista de Subencargados (Anexo 3), que precisa, para cada Subencargado, su ubicación y el mecanismo de transferencia aplicable.
Cuando se requieran CCT, se considerarán celebradas entre ENROW y el Subencargado correspondiente. El Cliente podrá obtener una copia a solicitud dirigida al DPO.
Cláusula 9 — Derecho de auditoría
De conformidad con el artículo 28(3)(h) del RGPD, el Cliente podrá solicitar una auditoría de las prácticas de ENROW en materia de tratamiento y seguridad de los Datos Personales, con sujeción a las siguientes condiciones:
- Preaviso por escrito de 30 días a dpo@enrow.io;
- Máximo de 1 auditoría al año, salvo en caso de incumplimiento acreditado o de solicitud de una Autoridad de Control;
- Alcance: únicamente el cumplimiento del RGPD y del DPA. Quedarán excluidos el código fuente, los algoritmos propietarios y los secretos comerciales;
- Realización: por el Cliente o por un tercero independiente sujeto a una obligación de confidencialidad. ENROW podrá oponerse a cualquier auditor que sea competidor;
- Costes a cargo del Cliente, salvo en caso de incumplimiento sustancial por parte de ENROW.
Alternativa: ENROW podrá satisfacer la solicitud de auditoría facilitando al Cliente uno o varios de los siguientes documentos, con una antigüedad no superior a 12 meses: un informe de prueba de penetración (pentest) realizado por un tercero independiente, un cuestionario de seguridad CSA CAIQ (Consensus Assessments Initiative Questionnaire) debidamente cumplimentado, o cualquier otro informe de auditoría o certificación de seguridad reconocido, según proceda. La entrega de dichos documentos eximirá a ENROW de la obligación de aceptar una auditoría in situ durante el periodo cubierto, salvo en caso de incumplimiento acreditado o de solicitud de una Autoridad de Control.
ENROW pondrá a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de sus obligaciones en virtud del artículo 28 del RGPD.
Cláusula 10 — Cumplimiento internacional
El presente DPA se aplicará en el marco de las siguientes normativas, en la medida en que sean aplicables al tratamiento:
- RGPD (Reglamento (UE) 2016/679) y la Ley francesa de Protección de Datos (Loi n°78-17);
- UK GDPR y la Data Protection Act 2018 (respecto de los Interesados en el Reino Unido);
- nFADP (la nueva Ley Federal suiza de Protección de Datos);
- CCPA / CPRA: ENROW actúa como «service provider» en el sentido de la CCPA/CPRA. ENROW no vende ni comparte Datos Personales en el sentido de dicha normativa.
Cláusula 11 — Responsabilidad
La responsabilidad de cada Parte en virtud del presente DPA estará sujeta a las limitaciones y exclusiones previstas en la Cláusula 16 de los Términos, sin perjuicio de las excepciones aplicables (negligencia grave, dolo, incumplimiento de las obligaciones en materia de protección de datos).
Cada Parte será responsable del cumplimiento de sus propias obligaciones en virtud de la normativa aplicable en materia de protección de datos. El Cliente seguirá siendo el único responsable del uso que haga de los Datos Enriquecidos una vez prestado el Servicio.
Cláusula 12 — Duración y resolución
El presente DPA entrará en vigor en la fecha de aceptación de los Términos por el Cliente y permanecerá vigente mientras el Contrato esté en vigor. Las obligaciones de ENROW relativas a la supresión de los Datos del Cliente (Cláusula 5.6) y a la confidencialidad subsistirán tras la resolución del Contrato.
Cláusula 13 — Disposiciones finales
13.1 — Jerarquía
El presente DPA forma parte integrante del Contrato. En caso de contradicción entre el presente DPA y los Términos, prevalecerá el presente DPA en toda cuestión relativa al tratamiento de Datos Personales. En todo lo demás, prevalecerán los Términos.
13.2 — Modificación
ENROW podrá modificar el presente DPA con el fin de cumplir con los cambios en la normativa aplicable. Toda modificación sustancial será notificada al Cliente treinta (30) días antes de su entrada en vigor.
13.3 — Ley aplicable
El presente DPA se regirá por la ley francesa. Los tribunales de París tendrán jurisdicción exclusiva.
Anexo 1 — Descripción del tratamiento
- Responsable del Tratamiento (Datos del Cliente): El Cliente.
- Encargado del Tratamiento: SCHRUTE FARMS / ENROW.
- DPO del Encargado: Louis CONGARD — dpo@enrow.io.
- Fines del tratamiento: enriquecimiento de datos profesionales B2B (búsqueda de emails, números de teléfono, perfiles de LinkedIn, información de empresa) a partir de los Datos del Cliente transmitidos por el Cliente.
- Naturaleza del tratamiento: recogida, consulta, cotejo, estructuración, almacenamiento temporal, restitución, supresión.
- Categorías de Interesados: contactos profesionales (empleados, directivos, socios, autónomos) de personas jurídicas objeto de la prospección B2B del Cliente.
- Categorías de Datos Personales: apellidos, nombre, dirección de email profesional, número de teléfono profesional, número de teléfono personal (cuando proceda), cargo, nombre e información de la empresa (sector, tamaño, ubicación, sitio web), URL del perfil de LinkedIn.
- Datos sensibles (art. 9 del RGPD): ninguno.
- Base jurídica (tratamiento por ENROW como Responsable): interés legítimo (artículo 6(1)(f) del RGPD) — LIA documentada.
- Frecuencia del tratamiento: continua, a solicitud del Cliente a través del Software, la API o la Extensión.
- Plazo de conservación de los Datos del Cliente: máximo 90 días tras la transmisión, seguido de supresión automática.
- Caché técnica: 48 horas (justificada por requisitos de rendimiento y verificación; purgada en un plazo de 24 horas en caso de solicitud de oposición).
- Ubicación: UE — AWS París (eu-west-3).
Anexo 2 — Medidas Técnicas y Organizativas (MTO)
De conformidad con el artículo 32 del RGPD, ENROW aplica las siguientes medidas:
A. Cifrado
- En tránsito: todas las comunicaciones se cifran mediante TLS 1.2 o superior (HTTPS). Las conexiones no cifradas se rechazan.
- En reposo: los datos almacenados se cifran mediante AES-256 (cifrado nativo de AWS).
- Contraseñas: hash irreversible mediante el algoritmo bcrypt con salting individual.
B. Control de acceso
- Autenticación: identificación por email y contraseña, con autenticación multifactor (MFA) disponible y recomendada.
- Gestión de accesos: modelo RBAC (Role-Based Access Control) estricto. Cada permiso de acceso se limita a lo estrictamente necesario (principio de mínimo privilegio).
- Sesiones: tokens JWT firmados con expiración automática.
C. Infraestructura y alojamiento
- Proveedor de alojamiento: Amazon Web Services (AWS), región eu-west-3 (París). AWS cuenta con las certificaciones ISO 27001, SOC 1/2/3 y cumple el RGPD.
- Aislamiento de red: las bases de datos y los servicios internos están aislados dentro de una Virtual Private Cloud (VPC), sin acceso público directo.
- Copias de seguridad: copias automáticas diarias, cifradas, con retención configurada.
D. Registro y supervisión
- Registros de acceso: trazabilidad de las acciones de los usuarios (identificador, acción, fecha y hora, dirección IP). Registros cifrados en reposo.
- Monitorización: supervisión continua de la infraestructura con alertas automatizadas en caso de anomalías.
E. Minimización y conservación
- Solo se recogen y tratan los datos estrictamente necesarios para la prestación del Servicio;
- Datos del Cliente: máximo 90 días, seguidos de supresión automática;
- Caché técnica: 48 horas;
- Supresión efectiva e irreversible al finalizar el periodo de conservación.
F. Seguridad organizativa
- Formación de concienciación sobre protección de datos para todo el personal;
- Política de contraseñas robustas para los accesos internos;
- Principio de mínimo privilegio aplicado en todos los equipos;
- Compromiso de confidencialidad firmado por cada miembro del personal con acceso a Datos Personales.
G. Gestión de incidentes
- Procedimiento interno de gestión de incidentes de seguridad;
- Notificación al Cliente en un plazo de 72 horas (cláusula 5.4 del presente DPA);
- Registro de violaciones mantenido y actualizado.
Estas medidas se revisan y actualizan periódicamente para tener en cuenta el estado de la técnica, los costes de aplicación y la naturaleza de los riesgos.
Anexo 3 — Lista de Subencargados del Tratamiento
Parte A — Subencargados publicados (lista en vigor a 20 de junio de 2026)
| Subencargado | Finalidad | Categorías de Datos Personales | Ubicación | Mecanismo de transferencia |
|---|---|---|---|---|
| Amazon Web Services (AWS) | Alojamiento, infraestructura, bases de datos, almacenamiento | Todos los Datos Personales tratados por el Servicio | UE (París, eu-west-3) | Sin transferencia fuera del EEE |
| Stripe, Inc. | Procesamiento de pagos y facturación | Nombre, email, datos de pago del Cliente | UE (Irlanda) | Sin transferencia fuera del EEE |
| SigNoz | Registro, monitorización y observabilidad | Identificadores técnicos, direcciones IP, registros de uso | UE (instancia europea) | Sin transferencia fuera del EEE |
| HubSpot, Inc. | CRM — gestión de la relación con clientes y prospectos | Nombre, apellidos, email, empresa, historial de interacciones | UE (Francia / Alemania, instancia europea) | Sin transferencia fuera del EEE |
| Brevo (ex-Sendinblue) | Email marketing y comunicaciones transaccionales | Nombre, apellidos, email del Cliente/Usuario | Francia / UE | Sin transferencia fuera del EEE |
| Intercom, Inc. | Soporte al Cliente (chat, tickets, base de conocimiento) | Nombre, apellidos, email, contenido de las conversaciones de soporte | UE (Irlanda) | Sin transferencia fuera del EEE |
| Anthropic, Inc. (Claude.ai) | Asistencia de IA para el tratamiento y análisis de datos. Ningún dato se utiliza para el entrenamiento de modelos. | Datos tratados de forma puntual sin persistencia | EE. UU. | Decisión de adecuación (EU-US DPF) + CCT. Cláusula contractual de no entrenamiento. |
| Partnero | Programa de afiliación y gestión de comisiones | Nombre, email, datos de referidos de afiliados | UE (Estonia) | Sin transferencia fuera del EEE |
| Google Workspace | Comunicación interna (email, documentos) | Datos internos, potencialmente Datos Personales del Cliente en las comunicaciones | UE (servidores en Francia) | Sin transferencia fuera del EEE (configuración región Francia) |
| Slack Technologies (Salesforce) | Comunicación interna entre equipos | Datos internos, potencialmente Datos Personales del Cliente en las comunicaciones | UE (instancia europea) | Sin transferencia fuera del EEE |
Parte B — Proveedores de enriquecimiento de datos (lista confidencial)
En el marco de la prestación del Servicio de enriquecimiento, ENROW recurre a proveedores especializados en las siguientes categorías:
| Categoría | Finalidad | Tipos de Datos Personales |
|---|---|---|
| Proveedores de datos SERP | Extracción de datos de acceso público a través de motores de búsqueda | Nombre, apellidos, empresa, datos profesionales de acceso público |
| Proveedores de datos de contacto profesional | Enriquecimiento complementario de emails y números de teléfono profesionales | Email profesional, número de teléfono profesional o personal |
| Proveedores de datos firmográficos | Enriquecimiento de información de empresa (sector, tamaño, facturación, ubicación, forma jurídica) | Denominación social, número de registro, sector, plantilla, facturación, domicilio social |
| Proveedores de señales de negocio | Detección de señales de negocio (rondas de financiación, contrataciones, cambios de puesto, tecnologías utilizadas, novedades) | Datos de empresa, nombres y cargos de directivos y personal, eventos profesionales de acceso público |
Confidencialidad de la lista nominativa: la lista nominativa completa de los proveedores de enriquecimiento, incluidos su identidad, su ubicación y el mecanismo de transferencia aplicable, constituye un secreto empresarial de ENROW en el sentido de la Directiva (UE) 2016/943 relativa a la protección de los conocimientos técnicos y la información empresarial no divulgados, y de la Ley n.º 2018-670 de 30 de julio de 2018 que transpone dicha Directiva al Derecho francés.
Comunicación al Cliente: dicha lista se comunicará previa solicitud escrita al DPO (dpo@enrow.io), sujeta a la firma previa de un acuerdo de confidencialidad (NDA) por parte del Cliente. El Cliente se compromete a no divulgar dicha lista ni la información contenida en ella a ningún tercero, y a utilizarla únicamente a efectos de verificar el cumplimiento del RGPD por parte de ENROW.
Derecho de oposición: el mecanismo de notificación y de derecho de oposición previsto en la cláusula 7.2 del presente DPA y en la cláusula 12.2 de los Términos se aplica íntegramente a los proveedores de enriquecimiento. El Cliente será notificado de cualquier cambio con una antelación no inferior a quince (15) días respecto de la fecha de efecto, incluso cuando el nombre del nuevo proveedor se comunique bajo NDA.
Garantías comunes: ENROW garantiza que cada proveedor de enriquecimiento (a) está vinculado contractualmente por obligaciones de protección de datos sustancialmente equivalentes a las contenidas en el presente DPA, (b) está ubicado dentro del EEE o cubierto por un mecanismo de transferencia conforme al capítulo V del RGPD, y (c) trata los Datos Personales únicamente dentro del ámbito estricto de las instrucciones de ENROW y con la única finalidad del enriquecimiento.