DataVigiaVolver

Acuerdo de Tratamiento de Datos (DPA)

Última actualización: julio de 2026

1. Objeto

Este acuerdo regula el tratamiento de datos personales que DataVigia (encargado) realiza por cuenta del cliente (responsable del tratamiento) en la prestación del servicio, conforme al artículo 28 del RGPD.

2. Naturaleza y finalidad

DataVigia trata los datos solo para prestar el servicio de auditoría de seguridad, detección de exfiltración y formación anti-phishing, siguiendo las instrucciones documentadas del cliente.

3. Datos e interesados

Se tratan metadatos de seguridad (permisos, configuraciones, registros de acceso), datos de cuenta y datos de los empleados del cliente para las simulaciones. NO se trata el contenido de los archivos.

4. Obligaciones del encargado

DataVigia trata los datos solo según instrucciones del cliente, garantiza la confidencialidad, aplica medidas técnicas y organizativas adecuadas y asiste al cliente en el cumplimiento de sus obligaciones.

5. Subencargados

DataVigia recurre a Supabase, Vercel, Anthropic y Resend, vinculados por contratos equivalentes. El cliente autoriza estos subencargados y será informado de cambios, pudiendo oponerse por motivos legítimos.

6. Transferencias internacionales

Cuando existan transferencias fuera del Espacio Económico Europeo, se aplican garantías adecuadas, como las Cláusulas Contractuales Tipo de la Comisión Europea.

7. Seguridad (art. 32)

Medidas: cifrado de los secretos de los conectores, aislamiento entre organizaciones (Row Level Security), mínimo privilegio, control y registro de accesos, y minimización (no recogida del contenido de los archivos).

8. Violaciones de datos

DataVigia notifica al cliente sin dilación indebida tras tener conocimiento de una violación de datos personales, aportando la información necesaria.

9. Derechos de los interesados

DataVigia asiste al cliente, en la medida de lo posible, a responder a las solicitudes de ejercicio de derechos de los interesados.

10. Auditoría

DataVigia pone a disposición la información necesaria para demostrar el cumplimiento y permite auditorías razonables por el cliente o un auditor mandatado.

11. Terminación

Al finalizar el servicio, DataVigia devuelve o elimina los datos tratados por cuenta del cliente, a elección de este, salvo obligación legal de conservación.