Acuerdo de tratamiento de datos

Esta es la versión informativa del DPA que firmamos con cada cliente de VERA, cumpliendo el artículo 28 del RGPD. Si tu equipo legal necesita la versión firmable o quiere proponer redlines, escríbenos.

01 Partes

Encargado del tratamiento: Gyoza Studio S.L. (en adelante, Gyoza), con CIF [CIF pendiente] y domicilio en Madrid.

Responsable del tratamiento: el cliente que contrata el servicio VERA (en adelante, el Cliente), identificado en la propuesta comercial u orden de pedido firmada con Gyoza.

Este DPA se firma junto con el contrato principal del servicio. Ante cualquier conflicto sobre materia de protección de datos, prevalece el DPA.

02 Objeto y alcance

El Cliente, en su condición de responsable, encarga a Gyoza el tratamiento de los datos personales necesarios para prestar el servicio VERA. Gyoza tratará esos datos exclusivamente conforme a las instrucciones documentadas del Cliente y a este DPA.

03 Naturaleza del tratamiento

Finalidad

Prestación del servicio VERA: ingesta de datos del Cliente, normalización, análisis y entrega de respuestas a sus consultas.

Tipo de tratamiento

Recogida, almacenamiento, organización, estructuración, consulta, análisis y supresión.

Duración

Vigencia del contrato principal del servicio. A su finalización, los datos se devuelven o destruyen según el apartado 12.

Categorías de interesados

Empleados del Cliente, clientes finales del Cliente y terceros cuyos datos figuren en las fuentes conectadas (proveedores, contactos comerciales).

Categorías de datos

Datos identificativos, de contacto, profesionales, transaccionales y operativos. No se prevé el tratamiento de categorías especiales del art. 9 RGPD salvo pacto expreso.

04 Obligaciones de Gyoza como encargado

• Tratar los datos únicamente conforme a las instrucciones documentadas del Cliente, incluyendo este DPA.
• Garantizar que las personas autorizadas a tratar los datos se comprometen a respetar la confidencialidad.
• Aplicar las medidas técnicas y organizativas apropiadas (art. 32 RGPD): cifrado en tránsito y en reposo, control de accesos por rol, registro de auditoría, copias de seguridad, separación de entornos, pruebas periódicas.
• No subcontratar a otros encargados sin autorización previa del Cliente, conforme al apartado 7.
• Asistir al Cliente, en la medida de lo posible, en la atención de los derechos de los interesados (acceso, rectificación, supresión, oposición, limitación, portabilidad).
• Ayudar al Cliente a cumplir sus obligaciones de seguridad, evaluación de impacto y consulta previa a la autoridad.
• A la finalización del servicio, devolver o suprimir los datos personales conforme al apartado 12.
• Poner a disposición del Cliente la información necesaria para demostrar el cumplimiento de las obligaciones del art. 28 RGPD y permitir auditorías razonables.

05 Obligaciones del Cliente como responsable

• Disponer de la base jurídica adecuada para tratar los datos personales que conecta a VERA.
• Informar a los interesados sobre el tratamiento, en los términos de los artículos 13 y 14 RGPD.
• Asegurarse de que las fuentes que conecta y los datos que aporta cumplen con la normativa aplicable.
• No conectar a VERA datos de categorías especiales (art. 9 RGPD) ni datos relativos a condenas o infracciones penales sin acordarlo previamente y por escrito con Gyoza.
• Atender las solicitudes de derechos de los interesados, con la asistencia razonable de Gyoza.

06 Seguridad de la información

Gyoza implementa, como mínimo, las siguientes medidas:

• Cifrado: TLS 1.2+ en tránsito y cifrado en reposo de los almacenes con datos del Cliente.
• Control de accesos: autenticación con MFA para el personal de Gyoza con acceso a producción, principio de mínimo privilegio, revisiones periódicas.
• Aislamiento lógico entre clientes a nivel de organización dentro de la plataforma.
• Registro y auditoría de accesos y operaciones sensibles, con retención mínima de doce meses.
• Copias de seguridad periódicas y pruebas de restauración.
• Gestión de vulnerabilidades, actualización del software base y revisiones de código.
• Plan de respuesta a incidentes con roles, escalado y comunicación.

Las medidas se revisan al menos anualmente y se actualizan en función del estado de la técnica y de la evolución del servicio.

07 Subencargados

Gyoza recurre a subencargados cuidadosamente seleccionados, con contrato escrito que les imponga obligaciones equivalentes a las de este DPA. La lista de subencargados aprobados se mantiene a disposición del Cliente y actualmente incluye, al menos:

• Proveedor de infraestructura cloud en Frankfurt (UE) que aloja el servicio.
• Proveedor de correo electrónico profesional y herramientas de productividad.
• Proveedor de observabilidad y registro técnico.

Si Gyoza pretende añadir o sustituir un subencargado, lo notificará al Cliente con un preaviso razonable. El Cliente podrá oponerse por motivos justificados; si la objeción es razonable, las partes negociarán una solución de buena fe y, en su defecto, el Cliente podrá resolver el contrato sin penalización.

08 Transferencias internacionales

Por defecto, los datos personales del Cliente se almacenan y procesan dentro del Espacio Económico Europeo. Cualquier transferencia fuera del EEE se realizará con las garantías exigidas por los artículos 44 y siguientes del RGPD: decisión de adecuación, cláusulas contractuales tipo de la Comisión Europea o normas corporativas vinculantes.

09 Brechas de seguridad

Gyoza notificará al Cliente, sin dilación indebida y como máximo en un plazo de 72 horas desde que tenga conocimiento, cualquier violación de la seguridad de los datos que afecte al Cliente, indicando al menos:

• Naturaleza de la violación, categorías y número aproximado de interesados y registros afectados.
• Nombre y datos de contacto del responsable interno asignado.
• Consecuencias probables y medidas adoptadas o propuestas para mitigarla.

Gyoza colaborará con el Cliente en la atención de las obligaciones de notificación a la autoridad y a los interesados que en su caso correspondan.

10 Derechos de los interesados

Cuando un interesado se dirija directamente a Gyoza ejerciendo sus derechos, Gyoza redirigirá la solicitud al Cliente sin dilación. Cuando la solicitud llegue al Cliente, Gyoza prestará la asistencia técnica razonable para atenderla en plazo.

11 Auditorías

El Cliente podrá auditar el cumplimiento de este DPA, una vez al año y con un preaviso razonable (mínimo treinta días), salvo en caso de brecha de seguridad o requerimiento de autoridad, supuestos en los que el preaviso podrá reducirse.

Gyoza podrá satisfacer este derecho aportando informes de auditoría independiente equivalentes (por ejemplo, ISO 27001 o SOC 2 cuando estén disponibles). Los costes de auditorías adicionales corren a cuenta del Cliente, salvo que la auditoría revele incumplimientos relevantes.

12 Devolución y supresión a la finalización

A la terminación del contrato, el Cliente podrá elegir, en un plazo de treinta días:

• Devolución de los datos personales en formato estructurado y de uso común.
• Supresión segura de los datos personales, incluidas las copias.

Transcurrido ese plazo sin instrucción, Gyoza procederá a la supresión, salvo obligación legal de conservación. Las copias de seguridad existentes se purgan en el ciclo normal de rotación, manteniéndolas mientras tanto cifradas y sin acceso operativo.

13 Duración y modificaciones

Este DPA está vigente mientras Gyoza trate datos personales por cuenta del Cliente. Las modificaciones requieren acuerdo por escrito, salvo cuando sean necesarias para adaptarse a cambios normativos imperativos, en cuyo caso Gyoza las comunicará al Cliente con un preaviso razonable.

14 Legislación y jurisdicción

Este DPA se rige por el RGPD, la Ley Orgánica 3/2018 de Protección de Datos y demás normativa española aplicable. Para cualquier controversia, las partes se someten a los Juzgados y Tribunales de Madrid capital.