Data Processing Agreement (DPA)
Acuerdo de Encargado del Tratamiento conforme al Art. 28 RGPD Tra: ManipulaPro (Encargado) y el Cliente (Responsable)
1. Partes
Responsable del tratamiento (Cliente)
- Razón social: ____________________________________________
- CIF / VAT: _______________________________________________
- Domicilio: _______________________________________________
- Email contacto: __________________________________________
- Representante legal: _____________________________________
Encargado del tratamiento (Proveedor)
- Razón social: Fabio Tassone (autónomo) — marca ManipulaPro
- NIE: [a completar]
- Domicilio: [a completar — Sevilla, España]
- Email contacto privacidad: privacy@manipulapro.com
2. Objeto del acuerdo
El presente acuerdo regula el tratamiento de datos personales que el Encargado realiza por cuenta del Responsable en el marco del contrato de servicios de formación online "ManipulaPro Pack B2B" (en adelante "el Servicio Principal"), conforme al Art. 28 del Reglamento (UE) 2016/679 (RGPD).
3. Datos tratados
| Categorías de datos | Categorías de interesados | Volumen estimado |
|---|---|---|
| Email, nombre, apellidos, idioma | Empleados del Cliente | Hasta el límite del plan contratado (5/10/20/ilimitado) |
| Resultados de exámenes, certificados emitidos | Empleados del Cliente | Igual |
No se tratan categorías especiales del Art. 9 RGPD ni datos de menores.
4. Naturaleza, finalidad y duración
- Naturaleza: alojamiento, gestión de identidad, evaluación de exámenes, emisión de certificados PDF, almacenamiento.
- Finalidad: cumplimiento del contrato del Servicio Principal — formación obligatoria en seguridad alimentaria conforme al Reg. (CE) 852/2004.
- Duración: vigencia del contrato del Servicio Principal + plazos legales de conservación (ver §10).
5. Obligaciones del Encargado (ManipulaPro)
El Encargado se compromete a:
a) Tratar los datos exclusivamente conforme a las instrucciones documentadas del Responsable, salvo obligación legal en contrario (en cuyo caso lo notificará antes del tratamiento). b) Garantizar que las personas autorizadas al tratamiento estén sujetas a deber de confidencialidad. c) Adoptar las medidas técnicas y organizativas apropiadas (Art. 32 RGPD) descritas en el Anexo I. d) Asistir al Responsable, mediante medidas técnicas y organizativas razonables, en el cumplimiento de su obligación de responder a las solicitudes de ejercicio de derechos (Art. 15-22 RGPD). e) Asistir al Responsable en el cumplimiento de las obligaciones de los Art. 32 a 36 RGPD (seguridad, notificación de violaciones, evaluación de impacto, consulta previa). f) Notificar al Responsable cualquier violación de la seguridad de los datos sin dilación indebida y, en cualquier caso, en un plazo máximo de 48 horas desde su conocimiento, indicando: naturaleza de la violación, categorías y número aproximado de afectados, medidas adoptadas y consecuencias probables. g) Poner a disposición del Responsable la información necesaria para demostrar el cumplimiento del Art. 28 y permitir auditorías razonables (preaviso 30 días, máximo una al año, cláusulas de confidencialidad mutuas, costes a cargo del Responsable salvo incumplimiento del Encargado). h) Al finalizar la prestación del Servicio Principal, devolver o suprimir todos los datos personales tratados a elección del Responsable, salvo conservación obligatoria (ver §10).
6. Subencargados (sub-processors)
El Responsable autoriza al Encargado a recurrir a los siguientes subencargados, todos con DPA suscrito:
| Subencargado | País | Función |
|---|---|---|
| Clerk Inc. | EE.UU. | Autenticación |
| Stripe Payments Europe Ltd. | Irlanda | Pagos |
| Neon Inc. | EE.UU. (datos en EU) | Base de datos |
| Resend Inc. | EE.UU. | Email transaccional |
| Vercel Inc. | EE.UU. | Hosting |
| Cloudflare Ireland Ltd. | Irlanda | DNS / CDN |
| Upstash Inc. | EE.UU. (datos en EU) | Rate limiting |
Cualquier sustitución o adición de subencargado se notificará al Responsable con un preaviso mínimo de 30 días, durante los cuales el Responsable podrá oponerse motivadamente. La oposición fundada permitirá al Responsable resolver el contrato sin penalización.
7. Transferencias internacionales
Las transferencias a EE.UU. se realizan mediante Cláusulas Contractuales Tipo (Decisión 2021/914 de la Comisión Europea) y, cuando aplica, mediante adhesión al EU-U.S. Data Privacy Framework. El Encargado mantiene a disposición del Responsable copia de las SCC suscritas con cada subencargado estadounidense.
8. Medidas de seguridad (Anexo I)
- TLS 1.3 en tránsito
- Cifrado AES-256 en reposo (Neon)
- Hash de contraseñas bcrypt/argon2 (Clerk)
- Autenticación 2FA disponible
- Verificación criptográfica de webhooks (firma Stripe + Clerk svix)
- Aislamiento de credenciales en variables de entorno cifradas (Vercel)
- Anti-tampering server-side en evaluación de exámenes
- Rate limiting en endpoints sensibles
- Backups cifrados con rotación de 30 días
- Registro de actividades de tratamiento (RAT) interno
- Plan de respuesta a incidentes y procedimiento de notificación 72h
9. Derechos del Responsable
El Responsable conserva la titularidad sobre los datos y podrá en todo momento:
- Solicitar copia de los datos que el Encargado trata por su cuenta.
- Auditar al Encargado conforme a §5 letra g).
- Resolver el presente acuerdo con efectos inmediatos en caso de incumplimiento sustancial por parte del Encargado.
10. Conservación tras finalización
Tras la terminación del contrato:
| Categoría de datos | Acción | Plazo |
|---|---|---|
| Datos de cuenta y académicos | Devolución (export JSON) o supresión | 30 días desde solicitud |
| Datos fiscales (facturas, pagos) | Conservación obligatoria | 7 años desde la emisión |
| Certificados emitidos | Anonimización (mantenimiento del código de verificación pública) | Indefinido |
11. Responsabilidad
Cada parte responde del cumplimiento de las obligaciones que le correspondan conforme al RGPD. El Encargado responderá frente al Responsable de los daños y perjuicios derivados de incumplimiento doloso o gravemente culposo del presente DPA. El Responsable responde frente al Encargado del cumplimiento de las obligaciones que como responsable del tratamiento le corresponden (informar a los interesados, recabar consentimiento, etc.).
12. Vigencia y modificaciones
Este DPA entra en vigor en la fecha de su firma electrónica y permanecerá vigente durante toda la vida del Servicio Principal. Las modificaciones requieren acuerdo escrito de ambas partes y se considerarán parte integrante del DPA.
13. Legislación aplicable y jurisdicción
Este acuerdo se rige por el RGPD y la LOPDGDD española. Para cualquier controversia, las partes se someten a los Tribunales de Sevilla, sin perjuicio del fuero del consumidor cuando aplique.
Firma electrónica
Por el Responsable (Cliente)
Nombre y cargo: ___________________________________________
Firma: ____________________________________________________
Fecha: ____________________________________________________
Por el Encargado (ManipulaPro)
Nombre: Fabio Tassone
Firma: ____________________________________________________
Fecha: ____________________________________________________
Documento generado mediante DocuSeal — versión auditada. Una copia firmada se almacena en el repositorio legal interno del Encargado y se entrega al Responsable.