Acuerdo de Procesamiento de Datos (DPA)

1. Introducción

Este Acuerdo de Procesamiento de Datos ("DPA") forma parte de los Términos de Servicio de Consentiam y establece las obligaciones de protección de datos entre:

• Responsable del tratamiento: El cliente que utiliza Consentiam
• Encargado del tratamiento: Consentiam (operador de la plataforma)

2. Datos procesados

Consentiam procesa los siguientes datos en nombre del cliente:

2.1 Datos de consentimiento

• Estado del consentimiento (aceptado/rechazado por categoría)
• Fecha y hora del consentimiento
• Versión del banner mostrado
• Identificador anónimo de sesión

2.2 Datos técnicos

• Dirección IP (anonimizada: últimos octetos eliminados)
• User-Agent del navegador
• URL de la página visitada
• País/región (derivado de IP)

2.3 Datos NO procesados

• Nombres o datos identificativos
• Emails de visitantes
• Datos de pago de visitantes
• Contenido de cookies de terceros

3. Finalidad del tratamiento

Los datos se procesan exclusivamente para:

• Registrar y demostrar el consentimiento del usuario (requisito GDPR)
• Proporcionar analytics de consentimiento al cliente
• Mejorar el rendimiento y funcionamiento del servicio

4. Subencargados

Consentiam utiliza proveedores de servicios terceros que actúan como subencargados del tratamiento. Estos proveedores:

• Operan centros de datos con certificación ISO 27001 y/o SOC 2 Type II
• Almacenan datos exclusivamente en la Unión Europea
• Tienen firmadas Cláusulas Contractuales Tipo (SCCs) vigentes
• Cumplen con los requisitos del RGPD

Categorías de subencargados

• Infraestructura cloud: Hosting, CDN y servicios de computación
• Almacenamiento de datos: Bases de datos y sistemas de cache
• Procesamiento de pagos: Gestión de suscripciones y facturación

Notificación de cambios

Consentiam notificará al cliente con un mínimo de 30 días de antelación antes de incorporar nuevos subencargados o sustituir los existentes. El cliente podrá oponerse al cambio notificando por escrito en el plazo de 15 días desde la notificación. Si la objeción no puede resolverse, el cliente podrá resolver el contrato sin penalización.

Para obtener una lista actualizada de subencargados específicos, contacta con [email protected].

5. Transferencias internacionales

Consentiam almacena todos los datos en la Unión Europea. No realizamos transferencias de datos fuera del EEE excepto cuando:

• El destino tiene decisión de adecuación de la Comisión Europea
• Existen Cláusulas Contractuales Tipo (SCCs) vigentes
• El usuario ha dado su consentimiento explícito

6. Medidas de seguridad

Implementamos las siguientes medidas técnicas y organizativas:

• Cifrado TLS 1.3 en tránsito
• Cifrado AES-256 en reposo
• Autenticación de dos factores para administradores
• Auditorías de seguridad periódicas
• Backups cifrados diarios
• Monitorización 24/7 de incidentes

7. Retención de datos

Los datos de consentimiento se conservan durante:

• Datos de consentimiento (base): 30 días desde el registro. Al final de cada mes, se genera un informe de compliance y los datos se eliminan.
• Retención extendida (addon): El cliente puede contratar retención extendida de 12 meses, 2 o 3 años para conservar los registros más allá del período base.
• Post-cancelación: 60 días tras la cancelación de la cuenta para permitir la exportación de datos. Transcurrido este plazo, los datos se eliminan de forma irreversible.
• Datos fiscales: 4 años conforme a la legislación tributaria española (Ley General Tributaria, art. 66).
• Analytics agregados: 24 meses
• Logs técnicos: 90 días

8. Derechos de los interesados

Asistiremos al cliente en el cumplimiento de solicitudes de derechos de los interesados conforme a los artículos 15 a 22 del RGPD:

• Acceso (art. 15): Exportación de datos en formato CSV o JSON
• Rectificación (art. 16): Corrección de datos inexactos
• Supresión (art. 17): Eliminación de datos bajo solicitud
• Limitación del tratamiento (art. 18): Restricción del procesamiento cuando proceda
• Portabilidad (art. 20): Exportación en formato estándar legible por máquina
• Oposición (art. 21): Cese del tratamiento por motivos legítimos del interesado

9. Notificación de brechas

En caso de brecha de seguridad que afecte datos personales:

• Notificaremos al cliente en un máximo de 72 horas desde que tengamos conocimiento de la brecha (conforme al artículo 33 del RGPD)
• Proporcionaremos información detallada del incidente
• Colaboraremos en la notificación a autoridades si procede

10. Auditorías

El cliente tiene derecho a verificar el cumplimiento de este DPA mediante:

• Solicitud de informes de auditoría existentes
• Cuestionarios de seguridad
• Auditorías in situ con aviso previo de 30 días (planes Agency)

11. Contacto DPO

Para cualquier consulta relacionada con protección de datos:

Email: [email protected]