Acuerdo de Tratamiento de Datos (DPA)
Última actualización: julio de 2026
1. Objeto
Este acuerdo regula el tratamiento de datos personales que DataVigia (encargado) realiza por cuenta del cliente (responsable del tratamiento) en la prestación del servicio, conforme al artículo 28 del RGPD.
2. Naturaleza y finalidad
DataVigia trata los datos solo para prestar el servicio de auditoría de seguridad, detección de exfiltración y formación anti-phishing, siguiendo las instrucciones documentadas del cliente.
3. Datos e interesados
Se tratan metadatos de seguridad (permisos, configuraciones, registros de acceso), datos de cuenta y datos de los empleados del cliente para las simulaciones. NO se trata el contenido de los archivos.
4. Obligaciones del encargado
DataVigia trata los datos solo según instrucciones del cliente, garantiza la confidencialidad, aplica medidas técnicas y organizativas adecuadas y asiste al cliente en el cumplimiento de sus obligaciones.
5. Subencargados
DataVigia recurre a Supabase, Vercel, Anthropic y Resend, vinculados por contratos equivalentes. El cliente autoriza estos subencargados y será informado de cambios, pudiendo oponerse por motivos legítimos.
6. Transferencias internacionales
Cuando existan transferencias fuera del Espacio Económico Europeo, se aplican garantías adecuadas, como las Cláusulas Contractuales Tipo de la Comisión Europea.
7. Seguridad (art. 32)
Medidas: cifrado de los secretos de los conectores, aislamiento entre organizaciones (Row Level Security), mínimo privilegio, control y registro de accesos, y minimización (no recogida del contenido de los archivos).
8. Violaciones de datos
DataVigia notifica al cliente sin dilación indebida tras tener conocimiento de una violación de datos personales, aportando la información necesaria.
9. Derechos de los interesados
DataVigia asiste al cliente, en la medida de lo posible, a responder a las solicitudes de ejercicio de derechos de los interesados.
10. Auditoría
DataVigia pone a disposición la información necesaria para demostrar el cumplimiento y permite auditorías razonables por el cliente o un auditor mandatado.
11. Terminación
Al finalizar el servicio, DataVigia devuelve o elimina los datos tratados por cuenta del cliente, a elección de este, salvo obligación legal de conservación.