Acuerdo de Procesamiento de Datos

Fecha de vigencia: 21 de mayo de 2026

Este Acuerdo de Procesamiento de Datos (en adelante "DPA") constituye un anexo a los Términos Generales del Servicio Deratix (en adelante "Términos") y regula los derechos y obligaciones mutuos de las partes en relación con el procesamiento de datos personales conforme al art. 28 del Reglamento (UE) 2016/679 (RGPD).

1. Partes y sus funciones

1.1. Responsable del tratamiento (Cliente): Persona física o jurídica – empresario que ha celebrado un contrato con el Proveedor según los Términos e introduce datos personales en el Servicio.
1.2. Encargado del tratamiento (Proveedor): Deratix s. r. o., con domicilio en Štúrova 1359/12, 900 28 Ivanka pri Dunaji, República Eslovaca, ID: 57512833.
1.3. El Cliente es el Responsable de los datos personales introducidos en el Servicio. El Proveedor los procesa únicamente según las instrucciones del Cliente.

2. Objeto y finalidad del tratamiento

2.1. El Proveedor procesa datos personales exclusivamente para la prestación del Servicio:

• operación de la aplicación Deratix (SaaS),
• almacenamiento y visualización de protocolos DDD,
• generación de documentos PDF,
• gestión de la base de datos de clientes del Cliente,
• envío de notificaciones por correo electrónico del sistema.

3. Categorías de interesados y datos personales

3.1. Interesados:

• clientes del Cliente (receptores de servicios DDD),
• empleados y técnicos del Cliente.

3.2. Categorías de datos personales:

• datos de identificación (nombre, apellido, ID fiscal),
• datos de contacto (correo electrónico, teléfono, dirección),
• datos de localización (coordenadas GPS),
• firmas (electrónicas, en documentos PDF),
• documentación fotográfica,
• datos de actividad DDD (tipo de tratamiento, materiales, hallazgos).

4. Obligaciones del Encargado

• 4.1. Procesar los datos únicamente según instrucciones documentadas del Responsable.
• 4.2. Garantizar que las personas autorizadas estén vinculadas por obligaciones de confidencialidad.
• 4.3. Implementar medidas técnicas y organizativas adecuadas (véase la Sección 7).
• 4.4. No utilizar otro encargado sin consentimiento previo por escrito (véase la Sección 5).
• 4.5. Asistir al Responsable en el cumplimiento de sus obligaciones según los arts. 32–36 RGPD.
• 4.6. Notificar al Responsable cualquier violación de datos en un plazo máximo de 48 horas.
• 4.7. Eliminar todos los datos personales en un plazo de 30 días tras la finalización del Servicio.
• 4.8. Facilitar la información necesaria para demostrar el cumplimiento del art. 28 RGPD y permitir auditorías.

5. Sub-encargados

5.1. El Responsable otorga autorización general por escrito para los sub-encargados indicados a continuación. El Encargado informará de cualquier cambio con al menos 14 días de antelación.

Sub-encargado	Ubicación / Datos	Finalidad
Hetzner Online GmbH	Alemania (UE)	Alojamiento de servidores
SFTPCloud.io	Frankfurt, Alemania (UE)	Copias de seguridad cifradas
MechanicWeb Inc.	EE.UU. → Datos: Alemania (UE)	Gestión de infraestructura
cPanel / Softaculous	EE.UU. → Datos: Alemania (UE)	Gestión del entorno del servidor
Emailit (emailit.com)	UE	Entrega de correos transaccionales
Google LLC (Google Calendar API)	EE.UU. → tokens: su base de datos de tenant en la UE; eventos: infraestructura de Google	Sincronización opcional de protocolos Deratix con Google Calendar (se activa solo si el Responsable conecta una cuenta de Google en Configuración → Integraciones)

5.3. Para sub-encargados con sede en EE.UU., los datos se almacenan primariamente en la UE (Alemania). Las transferencias se basan en Cláusulas Contractuales Tipo (CCT) conforme al art. 46(2)(c) RGPD. Google LLC como proveedor de Google Calendar API procesa los datos que el Responsable escribe conscientemente en Google Calendar (número de protocolo, nombre del cliente, dirección de la intervención, nombre del técnico, tipo de trabajo, estado); la transferencia a EE.UU. está cubierta por la certificación de Google LLC conforme al EU‑U.S. Data Privacy Framework (decisión de adecuación de la Comisión Europea n.º 2023/1795 de 10 de julio de 2023 según el art. 45 RGPD); como mecanismo de respaldo aplicamos también las Cláusulas Contractuales Tipo (CCT) según el art. 46(2)(c) RGPD. Las claves de acceso para la cuenta de Google permanecen cifradas en su instancia de Deratix en la UE (véase §7.4 de la Política de Privacidad).

5.4. Alcance de este DPA: Este Acuerdo cubre el servicio SaaS Deratix (aplicación operada en subdominios de tenant) incluida la integración opcional de Google Calendar. El sitio web de marketing deratix.es y sus alias lingüísticos utilizan adicionalmente Google LLC, Mountain View, CA, EE.UU. como proveedor de Google Analytics 4 (mecanismo de transferencia: Marco UE-EEUU de Privacidad de Datos + CCT según art. 46(2)(c) RGPD). Detalles en la Política de Privacidad y Política de Cookies.

6. Obligaciones del Responsable

• 6.1. Garantizar una base jurídica legal para el tratamiento.
• 6.2. Cumplir con la obligación de información hacia los interesados.
• 6.3. Responder a las solicitudes de los interesados.
• 6.4. No introducir categorías especiales de datos (art. 9 RGPD) más allá de lo necesario.

7. Medidas técnicas y organizativas (TOMs)

Cifrado y transferencia:

• comunicación cifrada con TLS 1.2+,
• copias de seguridad cifradas con AES-256,
• bases de datos accesibles solo desde la red interna.

Control de acceso:

• sistema de roles y permisos (RBAC),
• registro de auditoría de cada acceso,
• contraseñas almacenadas en formato hash (bcrypt).

Disponibilidad y recuperación:

• copias de seguridad diarias automáticas (SFTPCloud, Frankfurt),
• monitorización 24/7,
• disponibilidad garantizada del 99,5 % mensual.

Medidas organizativas:

• personal vinculado por confidencialidad,
• actualizaciones regulares y parches de seguridad,
• procedimientos de respuesta a incidentes.

8. Duración y eliminación

8.1. Este DPA es válido durante toda la vigencia del contrato de servicio.
8.2. Tras la finalización, los datos se eliminarán en 30 días.
8.3. El Cliente debe exportar sus datos antes de la finalización del Servicio.

9. Auditorías

9.1. El Responsable puede realizar una auditoría una vez al año con 30 días de preaviso.
9.2. Puede ser realizada por el Responsable o un auditor independiente.
9.3. Los costes los asume el Responsable, salvo que se detecte un incumplimiento material.

10. Disposiciones finales

10.1. Este DPA se rige por el derecho eslovaco y el RGPD.
10.2. En caso de conflicto con los Términos, prevalece este DPA en materia de protección de datos.
10.3. Contacto: support@deratix.com