Acuerdo de tratamiento de datos. Firmado en minutos.

En nuestro compromiso estándar el cliente actúa como responsable del tratamiento y DPP Automate como encargado del tratamiento. Cuando contratamos a un tercero para tratar por cuenta nuestra — por ejemplo, nuestro proveedor de autenticación o nuestro host de base de datos — ese tercero actúa como sub-encargado. El DPA fija la relación contractual entre responsable y encargado y vincula a nuestros sub-encargados a obligaciones equivalentes mediante acuerdos espalda con espalda. El acuerdo aplica a todos los datos personales que el cliente nos confíe a través de la plataforma, la API, los canales de soporte y cualquier import estructurado que ingiramos por su cuenta.

El DPA abre con las menciones exigidas por el art. 28.3: el objeto (operación de la plataforma de Pasaportes Digitales de Producto para el cliente), la duración (la vigencia del acuerdo de servicios subyacente), la naturaleza y finalidad del tratamiento (almacenar, consultar y servir datos de producto y de cumplimiento), las categorías de datos personales y de interesados y las obligaciones y derechos del responsable. Son los cinco elementos que cualquier regulador y cualquier área de compras revisa primero; los mantenemos en la primera página del anexo, no enterrados en un schedule — fáciles de verificar antes de firmar.

Las categorías de interesados son típicamente los empleados del propio cliente que operan la plataforma, los proveedores del cliente que responden a cuestionarios de declaración de material y — solo cuando una regulación en alcance lo implica — personas nominadas en la documentación de cumplimiento. Las categorías de datos personales se limitan a identificadores de cuenta, datos de contacto profesionales y los metadatos operativos requeridos para atribuir acciones en el registro de auditoría. No tratamos categorías especiales de datos, datos de condenas ni datos de menores. Cualquier cosa fuera de esta lista requiere una variación escrita del DPA antes de su ingestión.

El DPA concede una autorización general escrita al uso de sub-encargados y enumera el conjunto actual en un anexo mantenido en tiempo real más abajo en esta página. Notificamos por escrito al menos treinta días antes de añadir o reemplazar un sub-encargado. El cliente puede oponerse durante esa ventana por motivos razonables de protección de datos: en ese caso retiramos el cambio o, si es esencial para operar el servicio, otorgamos un derecho de terminación sin penalización sobre la porción de servicios afectada. Cada sub-encargado está vinculado a obligaciones equivalentes de protección de datos.

Nuestra posición por defecto es la residencia íntegra en la UE. Los datos personales del cliente se alojan en Fráncfort con réplica en Ámsterdam; en operación normal no salen del EEE/UE. Cuando un sub-encargado está establecido fuera de la UE — por ejemplo nuestro proveedor de autenticación basado en EE. UU. — la transferencia se rige por las Cláusulas Contractuales Tipo de la UE (Decisión de Ejecución 2021/914), Módulo 2, complementadas por una Evaluación de Impacto de la Transferencia documentada. Las CCT van anexas al DPA — el responsable dispone del texto vinculante en su copia contrafirmada.

El personal con acceso a datos personales del cliente queda vinculado por obligaciones escritas de confidencialidad que sobreviven al fin de su compromiso. Las medidas técnicas y organizativas están documentadas en un anexo específico y alineadas con los controles validados por nuestro informe SOC 2 Type II anual y nuestra certificación ISO 27001. El conjunto cubre la gestión de accesos con autorización basada en roles y tokens de corta vida, el cifrado en tránsito y en reposo, la segmentación de red, la gestión de vulnerabilidades, el logging y la monitorización y un plan de respuesta a incidentes documentado. El anexo se actualiza cada vez que cambia el conjunto de controles.

Los interesados dirigen sus solicitudes de derechos al responsable, no a nosotros. Cuando una solicitud llega a nosotros por error, la reenviamos sin actuar. Proporcionamos herramientas y APIs documentadas que permiten al responsable satisfacer los derechos de acceso, rectificación, supresión, limitación, portabilidad y oposición sin tener que abrir un ticket manual de soporte. Cuando el responsable necesita asistencia humana — por ejemplo, para localizar un artefacto entre varios entornos — respondemos en el plazo que el responsable fije por escrito, sin coste adicional.

Notificamos al responsable cualquier violación de datos personales que le afecte sin dilación indebida y, en todo caso, en las veinticuatro horas siguientes a su conocimiento. La notificación inicial contiene la naturaleza de la violación, las categorías y el número aproximado de interesados y de registros afectados, las consecuencias probables y las medidas adoptadas o propuestas. Cuando la información completa aún no está disponible, la notificación inicial designa un punto de contacto único y se compromete a una cadencia de seguimiento. Nuestro runbook de respuesta a incidentes se revisa y ensaya trimestralmente y está disponible para el responsable bajo NDA.

El cumplimiento se demuestra en primer lugar mediante nuestras atestaciones anuales de terceros — SOC 2 Type II e ISO 27001 — puestas a disposición del responsable bajo NDA. Cuando el regulador del responsable o su SGSI interno exigen una auditoría on-site o remota más allá de las atestaciones, acogemos una auditoría por período de doce meses sin coste adicional, con una cobertura razonable de costes para auditorías adicionales. Las auditorías se coordinan con preaviso razonable y se realizan sin comprometer la confidencialidad de otros clientes ni la integridad del entorno de producción.

A la terminación o expiración del acuerdo de servicios, devolvemos o suprimimos todos los datos personales del cliente en los treinta días siguientes a la solicitud escrita del responsable. El responsable elige la opción. Tras ejecutarla emitimos un certificado escrito de supresión — indicando los datos, los entornos y los sistemas afectados. Las cintas de copia de seguridad y los registros de auditoría inmutables se conservan durante el período fijado por la regulación en alcance — típicamente diez años para ESPR — y luego se suprimen según el mismo calendario documentado. Estas obligaciones de conservación sobreviven a la terminación del acuerdo.