Este Acuerdo de Procesamiento de Datos ("DPA") forma parte de los Términos de Servicio entre usted ("Responsable del tratamiento") y VantarGroup LLC ("Encargado del tratamiento") y rige el procesamiento de datos personales de acuerdo con el Reglamento General de Protección de Datos (GDPR).

1. Partes y alcance

Este DPA se aplica cuando el Responsable del tratamiento utiliza los servicios de Matproof para procesar datos personales. El Encargado del tratamiento acepta procesar datos personales únicamente según las instrucciones documentadas del Responsable del tratamiento.

2. Objeto y duración

El objeto del procesamiento de datos es la prestación de la plataforma de automatización de cumplimiento Matproof. La duración corresponde al plazo del acuerdo de servicio.

3. Naturaleza y categorías de datos

Tipos de datos personales procesados:

Datos de empleados (nombres, direcciones de correo electrónico, cargos)
Información de cuentas de usuario
Documentación de cumplimiento y auditoría
Registros de comunicaciones

Categorías de interesados: empleados, contratistas y usuarios autorizados del Responsable del tratamiento.

4. Obligaciones del encargado del tratamiento (Art. 28 GDPR)

El Encargado del tratamiento deberá:

Procesar datos personales únicamente según las instrucciones documentadas del Responsable del tratamiento
Garantizar que las personas autorizadas para procesar datos estén sujetas a confidencialidad
Implementar medidas de seguridad técnicas y organizativas apropiadas
Contratar subencargados únicamente con el consentimiento previo por escrito
Asistir al Responsable del tratamiento en el cumplimiento de las solicitudes de derechos de los interesados
Asistir con las notificaciones de violaciones de seguridad y evaluaciones de impacto
Eliminar o devolver los datos personales tras la finalización de los servicios
Poner a disposición toda la información necesaria para demostrar el cumplimiento

5. Medidas técnicas y organizativas

El Encargado del tratamiento implementa las siguientes medidas de seguridad:

Cifrado de datos en reposo y en tránsito (AES-256, TLS 1.3)
Controles de acceso y autenticación (MFA, RBAC)
Evaluaciones de seguridad y pruebas de penetración periódicas
Procedimientos de respuesta ante incidentes y continuidad del negocio
Residencia de datos en la UE (todos los datos almacenados en centros de datos en Alemania)
Controles de seguridad alineados con ISO 27001 y pruebas de penetración anuales

6. Subencargados del tratamiento

El Responsable del tratamiento autoriza al Encargado del tratamiento a contratar los siguientes subencargados:

Neon (alojamiento PostgreSQL - UE)
Upstash (caché Redis - UE)
AWS (almacenamiento de archivos - región UE)
Resend (entrega de correo electrónico - UE)

El Encargado del tratamiento informará al Responsable del tratamiento de cualquier cambio en los subencargados con al menos 30 días de antelación. El Responsable del tratamiento puede objetar a nuevos subencargados.

7. Derechos de los interesados

El Encargado del tratamiento asistirá al Responsable del tratamiento en la respuesta a solicitudes de los interesados (acceso, rectificación, supresión, limitación, portabilidad, oposición) dentro de las 72 horas siguientes a la recepción de dichas solicitudes.

8. Notificación de violación de datos personales

El Encargado del tratamiento notificará al Responsable del tratamiento sin dilación indebida (dentro de las 24 horas) tras tener conocimiento de una violación de datos personales que afecte a los datos del Responsable del tratamiento.

9. Derechos de auditoría

El Responsable del tratamiento puede auditar el cumplimiento de este DPA por parte del Encargado del tratamiento una vez al año con previo aviso razonable. El informe SOC 2 Type II del Encargado del tratamiento puede satisfacer este requisito.

10. Eliminación o devolución de datos

Tras la finalización de los servicios, el Encargado del tratamiento eliminará o devolverá al Responsable todos los datos personales en un plazo de 30 días, salvo que el Derecho de la UE o de un Estado miembro exija su conservación continuada. El formato de la devolución (p. ej. exportación JSON, CSV) será especificado por el Responsable en su solicitud; a falta de especificación, se aplicará el formato estándar facilitado por el Encargado. Las copias de seguridad se sobrescribirán en el marco del ciclo regular de copias (a más tardar a los 90 días).

11. Transferencias internacionales de datos (transferencias a terceros países)

En la medida en que el Encargado del tratamiento recurra a subencargados con sede o tratamiento de datos fuera de la UE/EEE (en particular EE. UU., Reino Unido y filiales en la UE de grupos matriz estadounidenses), basará la transferencia en las siguientes garantías conforme al Art. 44 y ss. RGPD: (a) para el Reino Unido, en la decisión de adecuación de la UE de 28 de junio de 2021; (b) para EE. UU. y otros terceros países, en las Cláusulas Contractuales Tipo de la UE (Decisión de Ejecución 2021/914, Módulo 2 o 3 según el caso); (c) adicionalmente, en medidas técnicas y organizativas complementarias, incluyendo cifrado en tránsito y en reposo, seudonimización cuando sea posible, acuerdos de cero retención de datos con proveedores de IA y limitación contractual de la finalidad. El Encargado mantiene, para cada subencargado en tercer país, una Evaluación de Impacto de las Transferencias (TIA) que se pondrá a disposición, en forma resumida adecuada, previa solicitud.

12. Responsabilidad

La responsabilidad entre las partes derivada o relacionada con este AVV se rige por las disposiciones del contrato principal entre el Responsable y el Encargado del tratamiento. Con carácter complementario: las reclamaciones de indemnización entre las partes derivadas de incumplimientos del presente AVV quedan exentas de cualquier limitación de responsabilidad pactada en el contrato principal únicamente en la medida en que así lo permita el Art. 82 RGPD y demás normativa imperativa. En la relación externa frente a los interesados, cada parte responde de forma autónoma conforme al Art. 82 RGPD; en la relación interna, las partes soportan cada una la parte que corresponda a su grado de culpa.

Preguntas o solicitudes de DPA

Para solicitudes de firma de DPA o preguntas, contáctenos en:

Email: legal@matproof.com

Acuerdo de procesamiento de datos (DPA)