Acuerdo de Tratamiento de Datos

1. Partes del Acuerdo

Este Acuerdo de Tratamiento de Datos ('DPA') se celebra entre:

2. Objeto del Encargo

El Responsable encarga al Encargado el tratamiento de datos personales de terceros (clientes del Responsable) necesario para la prestación del servicio de generación de presupuestos a través de la plataforma Cotiza, conforme a lo establecido en el artículo 28 del Reglamento (UE) 2016/679 (RGPD) y el artículo 33 de la Ley Orgánica 3/2018 (LOPDGDD).

3. Datos Objeto de Tratamiento

El Encargado tratará por cuenta del Responsable los siguientes datos de los clientes del Responsable:

• Datos identificativos y de contacto: nombre, apellidos, email, teléfono, dirección
• Datos fiscales: NIF/CIF, razón social, domicilio fiscal
• Datos de proyecto: descripción de trabajos, ubicación, fotografías del inmueble
• Datos comerciales: historial de presupuestos, importes, estados

Los interesados son clientes o potenciales clientes del Responsable, personas físicas o representantes de personas jurídicas.

4. Duración

Este DPA entrará en vigor en el momento del registro del Responsable en Cotiza y permanecerá vigente mientras el Responsable mantenga una cuenta activa. Tras la finalización del servicio, el Encargado suprimirá los datos conforme a lo establecido en este acuerdo.

5. Obligaciones del Encargado

El Encargado del tratamiento se compromete a:

• Tratar los datos personales únicamente siguiendo las instrucciones documentadas del Responsable, incluyendo las transferencias de datos a terceros países, salvo que esté obligado a ello en virtud del Derecho de la Unión o de los Estados miembros
• Garantizar que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria
• Aplicar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, según lo descrito en el apartado 6
• No recurrir a otro encargado sin la autorización previa por escrito, específica o general, del Responsable. En caso de autorización general, informar de cualquier cambio previsto
• Asistir al Responsable para que este pueda cumplir con su obligación de responder a las solicitudes de ejercicio de derechos de los interesados
• Ayudar al Responsable a garantizar el cumplimiento de las obligaciones relativas a la seguridad del tratamiento, notificación de violaciones, evaluaciones de impacto y consultas previas
• A elección del Responsable, suprimir o devolver todos los datos personales una vez finalice la prestación de los servicios, y suprimir las copias existentes a menos que se requiera su conservación
• Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas, así como para permitir y contribuir a la realización de auditorías

6. Medidas de Seguridad

El Encargado implementará las siguientes medidas técnicas y organizativas:

Medidas técnicas:

• Cifrado de datos en tránsito mediante TLS 1.3 y en reposo mediante AES-256
• Sistema de autenticación seguro con tokens JWT y soporte para autenticación de dos factores
• Control de acceso basado en roles con principio de mínimo privilegio
• Copias de seguridad automáticas diarias con retención de 30 días y cifrado
• Monitorización continua y registro de accesos

Medidas organizativas:

• Acuerdos de confidencialidad con todo el personal
• Formación en protección de datos al personal con acceso
• Procedimientos documentados de gestión de incidentes
• Auditorías de seguridad periódicas

7. Subencargados

El Responsable autoriza expresamente al Encargado a subcontratar los siguientes servicios:

• Supabase Inc.: almacenamiento de base de datos y autenticación
• Anthropic PBC: procesamiento de IA para generación de presupuestos
• Vercel Inc.: hosting de la aplicación
• Stripe Inc.: procesamiento de pagos
• Resend Inc.: envío de correos electrónicos

Estos proveedores están ubicados en EE.UU. y las transferencias están amparadas por el Marco de Privacidad de Datos UE-EE.UU. o Cláusulas Contractuales Tipo.

El Encargado informará al Responsable de cualquier cambio previsto en la lista de subencargados, dando al Responsable la oportunidad de oponerse. La oposición injustificada no será motivo para impedir el cambio.

8. Notificación de Violaciones de Seguridad

9. Obligaciones del Responsable

El Responsable se compromete a:

• Garantizar que dispone de una base legal válida para el tratamiento de los datos personales de sus clientes
• Informar a sus clientes sobre el tratamiento de sus datos y sus derechos, incluyendo la comunicación a encargados
• Proporcionar datos exactos y actualizados
• Dar instrucciones documentadas conformes con la normativa de protección de datos

10. Devolución o Supresión de Datos

A la finalización del servicio, el Encargado, a elección del Responsable, devolverá todos los datos personales o los suprimirá, salvo que exista una obligación legal de conservación. El Responsable dispondrá de 30 días tras el cierre de su cuenta para solicitar la exportación de sus datos. Transcurrido ese plazo, se procederá a la supresión completa.

11. Responsabilidad

Cada parte será responsable de los daños causados por el incumplimiento de sus obligaciones bajo el RGPD y este DPA. El Encargado solo será responsable de los daños causados por el tratamiento cuando no haya cumplido con las obligaciones del RGPD dirigidas específicamente a los encargados o haya actuado al margen o en contra de las instrucciones legales del Responsable.

12. Contacto