Skip to content

Acuerdo de Procesamiento de Datos (DPA)

Acuerdo de procesamiento de datos conforme al art. 28 del RGPD para el servicio Deratix.

Acuerdo de Procesamiento de Datos

Fecha de vigencia: 17 de marzo de 2026

Este Acuerdo de Procesamiento de Datos (en adelante "DPA") constituye un anexo a los Términos Generales del Servicio Deratix (en adelante "Términos") y regula los derechos y obligaciones mutuos de las partes en relación con el procesamiento de datos personales conforme al art. 28 del Reglamento (UE) 2016/679 (RGPD).

1. Partes y sus funciones

1.1. Responsable del tratamiento (Cliente): Persona física o jurídica – empresario que ha celebrado un contrato con el Proveedor según los Términos e introduce datos personales en el Servicio.
1.2. Encargado del tratamiento (Proveedor): Deratix s. r. o., con domicilio en Štúrova 1359/12, 900 28 Ivanka pri Dunaji, República Eslovaca, ID: 57512833.
1.3. El Cliente es el Responsable de los datos personales introducidos en el Servicio. El Proveedor los procesa únicamente según las instrucciones del Cliente.

2. Objeto y finalidad del tratamiento

2.1. El Proveedor procesa datos personales exclusivamente para la prestación del Servicio:

  • operación de la aplicación Deratix (SaaS),
  • almacenamiento y visualización de protocolos DDD,
  • generación de documentos PDF,
  • gestión de la base de datos de clientes del Cliente,
  • envío de notificaciones por correo electrónico del sistema.

3. Categorías de interesados y datos personales

3.1. Interesados:

  • clientes del Cliente (receptores de servicios DDD),
  • empleados y técnicos del Cliente.

3.2. Categorías de datos personales:

  • datos de identificación (nombre, apellido, ID fiscal),
  • datos de contacto (correo electrónico, teléfono, dirección),
  • datos de localización (coordenadas GPS),
  • firmas (electrónicas, en documentos PDF),
  • documentación fotográfica,
  • datos de actividad DDD (tipo de tratamiento, materiales, hallazgos).

4. Obligaciones del Encargado

  • 4.1. Procesar los datos únicamente según instrucciones documentadas del Responsable.
  • 4.2. Garantizar que las personas autorizadas estén vinculadas por obligaciones de confidencialidad.
  • 4.3. Implementar medidas técnicas y organizativas adecuadas (véase la Sección 7).
  • 4.4. No utilizar otro encargado sin consentimiento previo por escrito (véase la Sección 5).
  • 4.5. Asistir al Responsable en el cumplimiento de sus obligaciones según los arts. 32–36 RGPD.
  • 4.6. Notificar al Responsable cualquier violación de datos en un plazo máximo de 48 horas.
  • 4.7. Eliminar todos los datos personales en un plazo de 30 días tras la finalización del Servicio.
  • 4.8. Facilitar la información necesaria para demostrar el cumplimiento del art. 28 RGPD y permitir auditorías.

5. Sub-encargados

5.1. El Responsable otorga autorización general por escrito para los sub-encargados indicados a continuación. El Encargado informará de cualquier cambio con al menos 14 días de antelación.

Sub-encargado Ubicación / Datos Finalidad
Hetzner Online GmbHAlemania (UE)Alojamiento de servidores
SFTPCloud.ioFrankfurt, Alemania (UE)Copias de seguridad cifradas
MechanicWeb Inc.EE.UU. → Datos: Alemania (UE)Gestión de infraestructura
cPanel / SoftaculousEE.UU. → Datos: Alemania (UE)Gestión del entorno del servidor
Emailit (emailit.com)UEEntrega de correos transaccionales

5.3. Para sub-encargados con sede en EE.UU., los datos se almacenan exclusivamente en la UE (Alemania). Las transferencias se basan en Cláusulas Contractuales Tipo (CCT) conforme al art. 46(2)(c) RGPD.

6. Obligaciones del Responsable

  • 6.1. Garantizar una base jurídica legal para el tratamiento.
  • 6.2. Cumplir con la obligación de información hacia los interesados.
  • 6.3. Responder a las solicitudes de los interesados.
  • 6.4. No introducir categorías especiales de datos (art. 9 RGPD) más allá de lo necesario.

7. Medidas técnicas y organizativas (TOMs)

Cifrado y transferencia:

  • comunicación cifrada con TLS 1.2+,
  • copias de seguridad cifradas con AES-256,
  • bases de datos accesibles solo desde la red interna.

Control de acceso:

  • sistema de roles y permisos (RBAC),
  • registro de auditoría de cada acceso,
  • contraseñas almacenadas en formato hash (bcrypt).

Disponibilidad y recuperación:

  • copias de seguridad diarias automáticas (SFTPCloud, Frankfurt),
  • monitorización 24/7,
  • disponibilidad garantizada del 99,5 % mensual.

Medidas organizativas:

  • personal vinculado por confidencialidad,
  • actualizaciones regulares y parches de seguridad,
  • procedimientos de respuesta a incidentes.

8. Duración y eliminación

8.1. Este DPA es válido durante toda la vigencia del contrato de servicio.
8.2. Tras la finalización, los datos se eliminarán en 30 días.
8.3. El Cliente debe exportar sus datos antes de la finalización del Servicio.

9. Auditorías

9.1. El Responsable puede realizar una auditoría una vez al año con 30 días de preaviso.
9.2. Puede ser realizada por el Responsable o un auditor independiente.
9.3. Los costes los asume el Responsable, salvo que se detecte un incumplimiento material.

10. Disposiciones finales

10.1. Este DPA se rige por el derecho eslovaco y el RGPD.
10.2. En caso de conflicto con los Términos, prevalece este DPA en materia de protección de datos.
10.3. Contacto: support@deratix.com

Términos de Servicio