DPA — Acuerdo de Encargado de Tratamiento

Última actualización: 10 de mayo de 2026

Este Acuerdo de Encargado de Tratamiento («DPA») regula el tratamiento de datos personales por parte de Resaltia (Encargado) por cuenta del cliente (Responsable) cuando los Servicios contratados impliquen dicho tratamiento. Forma parte integrante de los términos de servicio y se firma a solicitud del cliente.

1. Identificación de las partes

  • Responsable del tratamiento: el cliente que contrata los Servicios.
  • Encargado del tratamiento: [NOMBRE LEGAL], NIF [NIF], con domicilio en [DIRECCIÓN] (en adelante, «Resaltia»).

2. Objeto del tratamiento

Resaltia tratará datos personales por cuenta del Responsable únicamente para prestar los Servicios contratados (chatbots, eCommerce, auditoría, consultoría) y según las instrucciones documentadas del Responsable.

3. Naturaleza, finalidad y duración

El tratamiento se limita a las operaciones necesarias para los Servicios (alojamiento, gestión, mantenimiento, soporte) durante la vigencia del contrato y, cuando proceda, durante el periodo de obligación legal de conservación.

4. Tipo de datos y categorías de interesados

  • Datos típicos: nombre, email, teléfono, mensajes intercambiados con el chatbot, datos de pedidos en eCommerce, datos de navegación.
  • Categorías de interesados: clientes y prospects del Responsable.

El Responsable se compromete a no facilitar a Resaltia categorías especiales de datos (salud, ideología, orientación, biométricos, etc.) salvo pacto expreso adicional.

5. Obligaciones de Resaltia como Encargado

  • Tratar los datos solo siguiendo instrucciones documentadas del Responsable.
  • Garantizar la confidencialidad del personal con acceso a los datos.
  • Aplicar medidas técnicas y organizativas adecuadas: HTTPS forzado, cifrado en tránsito, control de accesos por roles, registro de actividad, revisión periódica.
  • Asistir al Responsable en la atención de los derechos de los interesados.
  • Notificar al Responsable cualquier brecha de seguridad sin demora indebida y, como máximo, en 48 horas desde su conocimiento.
  • Suprimir o devolver los datos al finalizar el contrato, salvo obligación legal de conservación.
  • Poner a disposición del Responsable la información necesaria para demostrar el cumplimiento de estas obligaciones.

6. Subencargados

Resaltia podrá subcontratar parte del tratamiento con los siguientes subencargados, a los que se imponen obligaciones equivalentes a las de este DPA:

  • Cloudflare, Inc. (Estados Unidos) — hosting, CDN, seguridad de red.
  • Web3Forms — procesamiento de formularios.
  • Anthropic, Inc. y/o Cloudflare Workers AI — modelos de lenguaje para Resaltia Chatbot y Resaltia Audit cuando aplique.
  • Resend, Inc. u otro proveedor SMTP — entrega de correos transaccionales.

Resaltia mantiene actualizada esta lista. Cualquier alta o baja relevante se comunicará al Responsable con antelación razonable, dándole la opción de oponerse por motivos justificados.

7. Transferencias internacionales

Algunos de los subencargados anteriores están establecidos fuera del Espacio Económico Europeo. Las transferencias se realizan al amparo del Data Privacy Framework entre la UE y EE.UU. y/o de las cláusulas contractuales tipo aprobadas por la Comisión Europea (Decisión 2021/914/UE).

8. Seguridad

Medidas mínimas implementadas:

  • HTTPS forzado en todas las comunicaciones.
  • Cabeceras de seguridad (HSTS, CSP cuando aplique).
  • Acceso restringido a los datos por roles y autenticación segura.
  • Backups periódicos cuando los Servicios incluyan almacenamiento.
  • Política de contraseñas robusta y, cuando es posible, segundo factor.

9. Auditorías

El Responsable puede solicitar una auditoría con preaviso razonable de 30 días. Resaltia colaborará razonablemente, sin que ello suponga acceso a datos de otros clientes ni a información estratégica de la empresa.

10. Devolución y supresión

Al finalizar el contrato, Resaltia suprimirá los datos personales tratados por cuenta del Responsable en un plazo máximo de 30 días, salvo:

  • Que el Responsable solicite por escrito su devolución.
  • Que exista obligación legal de conservación.

11. Responsabilidad

Cada parte responde frente a la otra y frente a los interesados por el incumplimiento de sus obligaciones derivadas del RGPD y de este DPA. La limitación de responsabilidad establecida en los términos de servicio aplica también a este DPA, salvo en caso de dolo o negligencia grave.

12. Contacto en materia de protección de datos

Para cualquier comunicación relativa a este DPA: [EMAIL_PRIVACIDAD].