NIS2 y DORA en vigor. EU AI Act es el próximo — reserva una demo

Acuerdo de procesamiento de datos (DPA)

Cláusulas contractuales tipo conforme al Art. 28 GDPR

Última actualización: 6 de febrero de 2026

Este Acuerdo de Procesamiento de Datos ("DPA") forma parte de los Términos de Servicio entre usted ("Responsable del tratamiento") y VantarGroup LLC ("Encargado del tratamiento") y rige el procesamiento de datos personales de acuerdo con el Reglamento General de Protección de Datos (GDPR).

1. Partes y alcance

Este DPA se aplica cuando el Responsable del tratamiento utiliza los servicios de Matproof para procesar datos personales. El Encargado del tratamiento acepta procesar datos personales únicamente según las instrucciones documentadas del Responsable del tratamiento.

2. Objeto y duración

El objeto del procesamiento de datos es la prestación de la plataforma de automatización de cumplimiento Matproof. La duración corresponde al plazo del acuerdo de servicio.

3. Naturaleza y categorías de datos

Tipos de datos personales procesados:

  • Datos de empleados (nombres, direcciones de correo electrónico, cargos)
  • Información de cuentas de usuario
  • Documentación de cumplimiento y auditoría
  • Registros de comunicaciones

Categorías de interesados: empleados, contratistas y usuarios autorizados del Responsable del tratamiento.

4. Obligaciones del encargado del tratamiento (Art. 28 GDPR)

El Encargado del tratamiento deberá:

  • Procesar datos personales únicamente según las instrucciones documentadas del Responsable del tratamiento
  • Garantizar que las personas autorizadas para procesar datos estén sujetas a confidencialidad
  • Implementar medidas de seguridad técnicas y organizativas apropiadas
  • Contratar subencargados únicamente con el consentimiento previo por escrito
  • Asistir al Responsable del tratamiento en el cumplimiento de las solicitudes de derechos de los interesados
  • Asistir con las notificaciones de violaciones de seguridad y evaluaciones de impacto
  • Eliminar o devolver los datos personales tras la finalización de los servicios
  • Poner a disposición toda la información necesaria para demostrar el cumplimiento

5. Medidas técnicas y organizativas

El Encargado del tratamiento implementa las siguientes medidas de seguridad:

  • Cifrado de datos en reposo y en tránsito (AES-256, TLS 1.3)
  • Controles de acceso y autenticación (MFA, RBAC)
  • Evaluaciones de seguridad y pruebas de penetración periódicas
  • Procedimientos de respuesta ante incidentes y continuidad del negocio
  • Residencia de datos en la UE (todos los datos almacenados en centros de datos en Alemania)
  • Controles de seguridad alineados con ISO 27001 y pruebas de penetración anuales

6. Subencargados del tratamiento

El Responsable del tratamiento autoriza al Encargado del tratamiento a contratar los siguientes subencargados:

  • Neon (alojamiento PostgreSQL - UE)
  • Upstash (caché Redis - UE)
  • AWS (almacenamiento de archivos - región UE)
  • Resend (entrega de correo electrónico - UE)

El Encargado del tratamiento informará al Responsable del tratamiento de cualquier cambio en los subencargados con al menos 30 días de antelación. El Responsable del tratamiento puede objetar a nuevos subencargados.

7. Derechos de los interesados

El Encargado del tratamiento asistirá al Responsable del tratamiento en la respuesta a solicitudes de los interesados (acceso, rectificación, supresión, limitación, portabilidad, oposición) dentro de las 72 horas siguientes a la recepción de dichas solicitudes.

8. Notificación de violación de datos personales

El Encargado del tratamiento notificará al Responsable del tratamiento sin dilación indebida (dentro de las 24 horas) tras tener conocimiento de una violación de datos personales que afecte a los datos del Responsable del tratamiento.

9. Derechos de auditoría

El Responsable del tratamiento puede auditar el cumplimiento de este DPA por parte del Encargado del tratamiento una vez al año con previo aviso razonable. El informe SOC 2 Type II del Encargado del tratamiento puede satisfacer este requisito.

10. Eliminación o devolución de datos

Tras la finalización de los servicios, el Encargado del tratamiento eliminará o devolverá todos los datos personales al Responsable del tratamiento dentro de los 30 días, salvo que la legislación de la UE exija su almacenamiento continuado.

Preguntas o solicitudes de DPA

Para solicitudes de firma de DPA o preguntas, contáctenos en:

Email: legal@matproof.com