Data Processing Agreement (DPA)

Versión 1.0

Última actualización: 2025-01-19

Acuerdo de Procesamiento de Datos según Art. 28 RGPD

Resumen Ejecutivo

  • • Este DPA complementa nuestros Términos y Condiciones para clientes empresariales
  • • Cumplimos con el Art. 28 del RGPD en el procesamiento de datos personales
  • • Usted es el Responsable del Tratamiento; nosotros somos el Encargado del Tratamiento
  • • Implementamos medidas técnicas y organizativas para proteger los datos
  • • No transferimos datos fuera del EEE sin las garantías adecuadas

1. Definiciones

A efectos del presente Acuerdo de Procesamiento de Datos (en adelante, "el Acuerdo"), se entenderá por:

Responsable del Tratamiento (Cliente):
La persona física o jurídica que contrata los servicios de Itineramio y que determina los fines y medios del tratamiento de datos personales.
Encargado del Tratamiento (Itineramio):
Itineramio, que trata datos personales por cuenta del Responsable en el marco de la prestación del servicio.
Datos Personales:
Toda información sobre una persona física identificada o identificable que el Responsable introduzca en la plataforma Itineramio.
Tratamiento:
Cualquier operación realizada sobre datos personales: recogida, registro, organización, estructuración, conservación, adaptación, modificación, extracción, consulta, utilización, comunicación, difusión o cualquier otra forma de habilitación de acceso, cotejo, interconexión, limitación, supresión o destrucción.
RGPD:
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales.
Interesado:
Persona física cuyos datos personales son objeto de tratamiento (ej: huéspedes, usuarios finales).

2. Objeto del Acuerdo

El presente Acuerdo establece las condiciones bajo las cuales Itineramio (Encargado del Tratamiento) tratará datos personales por cuenta del Cliente (Responsable del Tratamiento) en el marco de la prestación del servicio de manuales digitales para alojamientos turísticos.

Relación con Otros Documentos:

Este DPA complementa y forma parte integral de:

En caso de conflicto entre este DPA y otros documentos, prevalecerán las disposiciones de este DPA en lo relativo al tratamiento de datos personales.

3. Alcance y Naturaleza del Tratamiento

3.1 Finalidad del Tratamiento

El Encargado tratará los datos personales exclusivamente para las siguientes finalidades:

  • Almacenar y procesar la información de propiedades del Cliente
  • Procesar contenido de manuales digitales creados por el Cliente
  • Generar códigos QR y URLs de acceso para huéspedes
  • Recopilar y procesar evaluaciones de huéspedes
  • Proporcionar analytics y métricas de uso
  • Enviar notificaciones relacionadas con el servicio
  • Proporcionar soporte técnico al Cliente

3.2 Naturaleza del Tratamiento

Operaciones de tratamiento:

Recogida, registro, organización, estructuración, conservación, adaptación, modificación, extracción, consulta, utilización, comunicación por transmisión, difusión (a huéspedes con acceso autorizado), limitación, supresión y destrucción de datos.

3.3 Categorías de Datos Personales

Datos del Cliente

  • • Nombre y apellidos
  • • Email y teléfono
  • • Dirección postal
  • • Datos de facturación y pago

Datos de Huéspedes

  • • Nombre (opcional)
  • • Email (opcional)
  • • Dirección IP
  • • Evaluaciones y comentarios

3.4 Categorías de Interesados

  • Propietarios y gestores de alojamientos turísticos (Clientes)
  • Huéspedes que acceden a los manuales digitales
  • Personal del Cliente con acceso a la plataforma

4. Obligaciones del Encargado

El Encargado se compromete a:

✓ Tratamiento Conforme a Instrucciones

Tratar los datos personales únicamente siguiendo las instrucciones documentadas del Responsable, incluso en lo relativo a transferencias de datos a terceros países u organizaciones internacionales, salvo que esté obligado a ello en virtud del Derecho de la Unión o de los Estados miembros.

✓ Confidencialidad

Garantizar que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria.

✓ Medidas de Seguridad

Aplicar todas las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo cifrado, seudonimización cuando proceda, confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas de tratamiento.

✓ Asistencia al Responsable

Asistir al Responsable en la medida de lo posible para que este pueda cumplir con sus obligaciones de responder a las solicitudes de ejercicio de derechos de los interesados: acceso, rectificación, supresión, oposición, limitación, portabilidad.

✓ Evaluaciones de Impacto

Ayudar al Responsable a garantizar el cumplimiento de las obligaciones relativas a evaluaciones de impacto en la protección de datos y consultas previas a la autoridad de control, teniendo en cuenta la naturaleza del tratamiento y la información disponible.

✓ Destrucción de Datos

Suprimir o devolver todos los datos personales al Responsable una vez finalice la prestación de servicios de tratamiento, y suprimir las copias existentes, salvo que se requiera la conservación de los datos en virtud del Derecho de la Unión o de los Estados miembros.

✓ Información para Auditorías

Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones del artículo 28 del RGPD, así como permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del Responsable o de otro auditor autorizado por dicho Responsable.

5. Subencargados del Tratamiento

El Encargado puede contratar a otros Encargados (Subencargados) para realizar actividades de tratamiento específicas. El Responsable autoriza al Encargado a contratar los siguientes Subencargados:

SubencargadoServicioUbicación
Supabase Inc.Almacenamiento de base de datosUE (Estocolmo)
Stripe Inc.Procesamiento de pagosEEE / USA (DPF)
Resend Inc.Envío de emails transaccionalesUSA (DPF)
Vercel Inc.Hosting e infraestructuraGlobal (UE prioritaria)

Garantías de los Subencargados:

  • • Todos los Subencargados han firmado acuerdos de procesamiento de datos conformes al RGPD
  • • Se aplican las mismas obligaciones de protección de datos que las establecidas en este DPA
  • • El Encargado sigue siendo plenamente responsable ante el Responsable del cumplimiento de los Subencargados

Cambios en los Subencargados:

El Encargado informará al Responsable de cualquier cambio previsto en la incorporación o sustitución de Subencargados con al menos 30 días de antelación, dando al Responsable la oportunidad de oponerse a dichos cambios por motivos legítimos relacionados con la protección de datos.

6. Medidas de Seguridad

El Encargado implementa las siguientes medidas técnicas y organizativas para garantizar la seguridad de los datos personales:

🔐 Cifrado y Seudonimización

  • • Cifrado SSL/TLS (HTTPS) en tránsito
  • • Cifrado AES-256 de datos en reposo
  • • Hash bcrypt para contraseñas (factor 12)
  • • Tokens JWT firmados para autenticación

🔒 Control de Acceso

  • • Autenticación multifactor para administradores
  • • Principio de mínimo privilegio
  • • Gestión de roles y permisos granular
  • • Revisión periódica de accesos

📊 Monitoreo y Auditoría

  • • Logs de acceso y actividad
  • • Detección de anomalías
  • • Alertas de seguridad en tiempo real
  • • Auditorías de seguridad trimestrales

💾 Backup y Recuperación

  • • Backups automáticos diarios
  • • Retención de backups por 30 días
  • • Plan de recuperación ante desastres
  • • RTO < 4 horas, RPO < 1 hora

👥 Formación y Concienciación

  • • Formación anual en protección de datos
  • • Políticas de seguridad documentadas
  • • Acuerdos de confidencialidad firmados
  • • Procedimientos de respuesta a incidentes

🛡️ Infraestructura Segura

  • • Firewalls y segmentación de red
  • • DDoS protection (Cloudflare/Vercel)
  • • Actualizaciones de seguridad automáticas
  • • Escaneo de vulnerabilidades mensual

Certificaciones: Nuestros proveedores de infraestructura (Supabase, Vercel, Stripe) cuentan con certificaciones SOC 2 Type II, ISO 27001 y PCI DSS (Stripe). Revisamos anualmente estas certificaciones para garantizar el cumplimiento continuo.

7. Transferencias Internacionales

Los datos personales se almacenan principalmente en la Unión Europea (región eu-north-1 de Supabase en Estocolmo).

7.1 Transferencias Fuera del EEE

Para algunos servicios complementarios, puede ser necesario transferir datos a terceros países:

Stripe Inc. (USA)

Base legal: Decisión de adecuación - Marco de Privacidad de Datos UE-EE.UU. (Data Privacy Framework)

Stripe está certificado bajo el EU-US Data Privacy Framework, reconocido por la Comisión Europea como garantía adecuada de protección de datos.

Resend Inc. (USA)

Base legal: Cláusulas Contractuales Tipo (SCC) de la Comisión Europea

Hemos firmado las SCC estándar aprobadas por la Comisión Europea con Resend para garantizar un nivel adecuado de protección de datos.

El Cliente puede solicitar una copia de las garantías implementadas para transferencias internacionales contactando con legal@itineramio.com.

8. Derechos de los Interesados

El Encargado asistirá al Responsable en el ejercicio de los derechos de los interesados:

Procedimiento de Asistencia:

  1. 1. Si el Encargado recibe una solicitud directa de un interesado, la reenviará al Responsable dentro de las 48 horas
  2. 2. El Encargado proporcionará al Responsable la información y asistencia técnica necesaria para responder a la solicitud
  3. 3. El Responsable es el único responsable de responder al interesado dentro de los plazos legales (1 mes, prorrogable 2 meses)

Herramientas de Autoservicio:

Para facilitar el cumplimiento, el Encargado proporciona al Responsable herramientas de autoservicio para:

  • Acceso: Exportar datos en formato JSON/CSV desde el panel de control
  • Rectificación: Editar datos directamente en la plataforma
  • Supresión: Eliminar datos desde la configuración de cuenta
  • Limitación: Desactivar propiedades sin eliminarlas

9. Notificación de Brechas de Seguridad

En caso de violación de la seguridad de los datos personales, el Encargado seguirá el siguiente protocolo:

24h

Notificación Inmediata

El Encargado notificará al Responsable sin dilación indebida y, a más tardar, en las 24 horas siguientes a tener conocimiento de la violación de seguridad.

Información de la Notificación:

La notificación incluirá, como mínimo:

  • • Descripción de la naturaleza de la violación de seguridad
  • • Categorías y número aproximado de interesados afectados
  • • Categorías y número aproximado de registros de datos afectados
  • • Consecuencias probables de la violación
  • • Medidas adoptadas o propuestas para remediar la violación
  • • Medidas propuestas para mitigar los posibles efectos negativos
  • • Punto de contacto para obtener más información

Cooperación:

El Encargado cooperará plenamente con el Responsable y proporcionará toda la asistencia necesaria para que este pueda cumplir con su obligación de notificar la violación a la autoridad de control (AEPD) en el plazo de 72 horas, y a los interesados cuando proceda.

10. Auditorías e Inspecciones

El Responsable tiene derecho a auditar el cumplimiento de este DPA por parte del Encargado.

Auditorías Documentales:

El Encargado proporcionará al Responsable, previa solicitud y con periodicidad anual:

  • • Certificaciones SOC 2 Type II de proveedores de infraestructura
  • • Informes de auditoría de seguridad (redactados)
  • • Evidencias de cumplimiento de medidas de seguridad
  • • Documentación de formación en protección de datos del personal

Auditorías In Situ:

El Responsable puede solicitar una auditoría in situ con las siguientes condiciones:

  • • Notificación previa de al menos 30 días
  • • Frecuencia máxima de una auditoría por año (salvo que exista una violación de seguridad)
  • • Horario laboral normal y sin interferir con las operaciones del Encargado
  • • Puede realizarse por el Responsable o auditor externo cualificado
  • • Costes de la auditoría a cargo del Responsable
  • • Acuerdo de confidencialidad firmado por los auditores

Acceso a Instalaciones:

Dado que el Encargado utiliza servicios en la nube, el acceso físico a servidores no es aplicable. Las auditorías se centrarán en controles lógicos, políticas y procedimientos.

11. Duración y Finalización

11.1 Duración

Este DPA entrará en vigor en la fecha de aceptación de los Términos y Condiciones por parte del Cliente y permanecerá vigente mientras el Encargado preste servicios que impliquen el tratamiento de datos personales.

11.2 Finalización del Tratamiento

Una vez finalizada la prestación de servicios de tratamiento, el Encargado:

Opción 1: Devolución de Datos

A petición del Responsable, el Encargado devolverá todos los datos personales en formato estructurado (JSON/CSV) dentro de los 30 días siguientes a la finalización del contrato.

Opción 2: Supresión de Datos

Si el Responsable no solicita la devolución:

  • • Los datos personales se conservarán durante 90 días tras la finalización
  • • Transcurrido este plazo, se procederá a la supresión segura e irreversible
  • • Se emitirá un certificado de destrucción de datos a petición del Responsable

11.3 Conservación Legal

No obstante lo anterior, el Encargado podrá conservar los datos personales en la medida y durante el tiempo que sea necesario para cumplir con obligaciones legales (ej: conservación de facturas durante 6 años según el Código de Comercio), siempre limitando el acceso a los mismos.

12. Contacto

Para cualquier consulta relacionada con este Data Processing Agreement, puede contactarnos en:

Encargado del Tratamiento: Itineramio

Delegado de Protección de Datos: legal@itineramio.com

Email de contacto: legal@itineramio.com

Dirección: Calle Ejemplo, 123, Madrid, España

Otras políticas legales:

Términos y CondicionesPolítica de PrivacidadPolítica de CookiesTérminos de FacturaciónAviso Legal
← Volver al inicio