Última actualización: 2026-01-03
Acuerdo de Procesamiento de Datos según Art. 28 RGPD
A efectos del presente Acuerdo de Procesamiento de Datos (en adelante, "el Acuerdo"), se entendera por:
El presente Acuerdo establece las condiciones bajo las cuales Alejandro Santalla Sanchez (Encargado del Tratamiento) tratara datos personales por cuenta del Cliente (Responsable del Tratamiento) en el marco de la prestación del servicio de manuales digitales para alojamientos turísticos.
Este DPA complementa y forma parte integral de:
En caso de conflicto entre este DPA y otros documentos, prevaleceran las disposiciones de este DPA en lo relativo al tratamiento de datos personales.
En relación con los datos de huéspedes recopilados a través de los manuales digitales, evaluaciones y chatbot: el usuario (gestor/anfitrión) actúa como Responsable del Tratamiento conforme al artículo 4.7 del RGPD, siendo el único responsable de obtener el consentimiento necesario y cumplir con la normativa de protección de datos. Itineramio actúa exclusivamente como Encargado del Tratamiento conforme al artículo 4.8 del RGPD, procesando dichos datos únicamente según las instrucciones del usuario.
El Encargado tratara los datos personales exclusivamente para las siguientes finalidades:
Operaciones de tratamiento:
Recogida, registro, organización, estructuracion, conservación, adaptacion, modificación, extraccion, consulta, utilización, comúnicación por transmision, difusion (a huéspedes con acceso autorizado), limitación, supresion y destrucción de datos.
El Encargado se compromete a:
Tratar los datos personales únicamente siguiendo las instrucciones documentadas del Responsable, incluso en lo relativo a transferencias de datos a terceros paises u organizaciónes internacionales, salvo que este obligado a ello en virtud del Derecho de la Union o de los Estados miembros.
Garantizar que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o esten sujetas a una obligación de confidencialidad de naturaleza estatutaria.
Aplicar todas las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo cifrado, seudonimizacion cuando proceda, confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas de tratamiento.
Asistir al Responsable en la medida de lo posible para que este pueda cumplir con sus obligaciónes de responder a las solicitudes de ejercicio de derechos de los interesados: acceso, rectificacion, supresion, oposicion, limitación, portabilidad.
Ayudar al Responsable a garantizar el cumplimiento de las obligaciónes relativas a evaluaciónes de impacto en la protección de datos y consultas previas a la autoridad de control, teniendo en cuenta la naturaleza del tratamiento y la información disponible.
Suprimir o devolver todos los datos personales al Responsable una vez finalice la prestación de servicios de tratamiento, y suprimir las copias existentes, salvo que se requiera la conservación de los datos en virtud del Derecho de la Union o de los Estados miembros.
Poner a disposicion del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciónes del articulo 28 del RGPD, asi como permitir y contribuir a la realizacion de auditorias, incluidas inspecciones, por parte del Responsable o de otro auditor autorizado por dicho Responsable.
El Encargado puede contratar a otros Encargados (Subencargados) para realizar actividades de tratamiento específicas. El Responsable autoriza al Encargado a contratar los siguientes Subencargados:
| Subencargado | Servicio | Ubicacion |
|---|---|---|
| Supabase Inc. | Almacenamiento de base de datos | UE (Estocolmo) |
| Stripe Inc. | Procesamiento de pagos | EEE / USA (DPF) |
| Resend Inc. | Envio de emails transaccionales | USA (DPF) |
| Vercel Inc. | Hosting e infraestructura | Global (UE prioritaria) |
| Anthropic PBC | Asistente virtual con IA (chatbot) | USA (DPF) |
El Encargado informara al Responsable de cualquier cambio previsto en la incorporacion o sustitucion de Subencargados con al menos 30 dias de antelacion, dando al Responsable la oportunidad de oponerse a dichos cambios por motivos legítimos relacionados con la protección de datos.
El Encargado implementa las siguientes medidas técnicas y organizativas para garantizar la seguridad de los datos personales:
Certificaciones: Nuestros proveedores de infraestructura (Supabase, Vercel, Stripe) cuentan con certificaciones SOC 2 Type II, ISO 27001 y PCI DSS (Stripe). Revisamos anualmente estas certificaciones para garantizar el cumplimiento continuo.
Los datos personales se almacenan principalmente en la Union Europea (region eu-north-1 de Supabase en Estocolmo).
Para algunos servicios complementarios, puede ser necesario transferir datos a terceros paises:
Base legal: Decision de adecuacion - Marco de Privacidad de Datos UE-EE.UU. (Data Privacy Framework)
Stripe esta certificado bajo el EU-US Data Privacy Framework, reconocido por la Comision Europea como garantia adecuada de protección de datos.
Base legal: Cláusulas Contractuales Tipo (SCC) de la Comision Europea
Hemos firmado las SCC estandar aprobadas por la Comision Europea con Resend para garantizar un nivel adecuado de protección de datos.
Base legal: Cláusulas Contractuales Tipo (SCC) de la Comision Europea
Anthropic proporciona el servicio de IA para el asistente virtual (chatbot) de los manuales digitales. Las consultas de los huespedes se procesan de forma anonimizada y no se almacenan permanentemente en los servidores de Anthropic.
El Cliente puede solicitar una copia de las garantias implementadas para transferencias internacionales contactando con hola@itineramio.com
El Encargado asistira al Responsable en el ejercicio de los derechos de los interesados:
Para facilitar el cumplimiento, el Encargado proporciona al Responsable herramientas de autoservicio para:
En caso de violacion de la seguridad de los datos personales, el Encargado seguira el siguiente protocolo:
El Encargado notificara al Responsable sin dilacion indebida y, a más tardar, en las 24 horas siguientes a tener conocimiento de la violacion de seguridad.
La notificación incluira, como mínimo:
El Encargado cooperara plenamente con el Responsable y proporcionara toda la asistencia necesaria para que este pueda cumplir con su obligación de notificar la violacion a la autoridad de control (AEPD) en el plazo de 72 horas, y a los interesados cuando proceda.
El Responsable tiene derecho a auditar el cumplimiento de este DPA por parte del Encargado.
El Encargado proporcionara al Responsable, previa solicitud y con periodicidad anual:
El Responsable puede solicitar una auditoria in situ con las siguientes condiciones:
Dado que el Encargado utiliza servicios en la nube, el acceso físico a servidores no es aplicable. Las auditorias se centraran en controles logicos, políticas y procedimientos.
Este DPA entrara en vigor en la fecha de aceptacion de los Términos y Condiciones por parte del Cliente y permanecera vigente mientras el Encargado preste servicios que impliquen el tratamiento de datos personales.
Una vez finalizada la prestación de servicios de tratamiento, el Encargado:
A peticion del Responsable, el Encargado devolvera todos los datos personales en formato estructurado (JSON/CSV) dentro de los 30 dias siguientes a la finalizacion del contrato.
Si el Responsable no solicita la devolucion:
No obstante lo anterior, el Encargado podra conservar los datos personales en la medida y durante el tiempo que sea necesario para cumplir con obligaciónes legales (ej: conservación de facturas durante 6 años según el Código de Comercio), siempre limitando el acceso a los mismos.
Para cualquier consulta relacionada con este Data Processing Agreement, puede contactarnos en:
Encargado del Tratamiento: Alejandro Santalla Sanchez
Delegado de Protección de Datos: hola@itineramio.com
Email de contacto: hola@itineramio.com
Dirección: Calle Músico Pau Casals 16, 3ºA, 03010 Alicante, España
Otras políticas legales: