Acuerdo de Procesamiento de Datos
Data Processing Agreement (DPA) conforme al Artículo 28 del RGPD
Vigente desde
1 de noviembre de 2025
Versión
1.0
1. Introducción
El presente Acuerdo de Procesamiento de Datos (en adelante, "DPA") se celebra entre:
El Responsable del Tratamiento (Cliente)
La entidad que contrata los servicios de TraceWeave y determina los fines y medios del tratamiento de datos personales.
El Encargado del Tratamiento (TraceWeave)
TraceWeave (en proceso de constitución), con domicilio en Madrid, España, representado por José Antonio Mariscal Agüera, que trata datos personales por cuenta del Responsable.
Este DPA complementa los Términos y Condiciones y establece las obligaciones de TraceWeave como Encargado del Tratamiento conforme al Artículo 28 del Reglamento General de Protección de Datos (RGPD).
2. Definiciones
Datos Personales
Toda información sobre una persona física identificada o identificable según el Artículo 4(1) del RGPD.
Tratamiento
Cualquier operación sobre datos personales (recopilación, registro, organización, estructuración, conservación, adaptación, consulta, comunicación, etc.) según el Artículo 4(2) del RGPD.
Interesado
Persona física cuyos datos personales son objeto de tratamiento.
Violación de Seguridad
Toda brecha de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales, o su comunicación o acceso no autorizados.
Subprocesador
Otro encargado del tratamiento contratado por TraceWeave para llevar a cabo actividades de tratamiento específicas por cuenta del Responsable.
3. Objeto y Duración
3.1 Objeto del Tratamiento
TraceWeave tratará datos personales por cuenta del Responsable únicamente para:
- •Provisión de la plataforma SaaS de gestión de pasaportes digitales de productos (DPP).
- •Almacenamiento y gestión de datos de usuarios, productos, materiales y proveedores.
- •Soporte técnico y atención al cliente.
- •Mejora del servicio mediante análisis agregado y anónimo.
3.2 Naturaleza y Finalidad del Tratamiento
| Categoría de Datos | Finalidad |
|---|---|
| Datos de identificación (nombre, email) | Gestión de cuentas de usuario |
| Datos de empresa (CIF, domicilio social) | Facturación y cumplimiento contractual |
| Datos de navegación (IP, cookies) | Seguridad y analítica web |
| Datos de productos y proveedores | Provisión del servicio DPP |
3.3 Categorías de Interesados
- •Empleados y colaboradores del Responsable (usuarios de la plataforma)
- •Representantes legales y puntos de contacto de proveedores
- •Visitantes de la web (únicamente datos de navegación)
3.4 Duración
Este DPA permanece vigente mientras el Responsable utilice los servicios de TraceWeave y durante el período necesario para cumplir con las obligaciones de devolución o eliminación de datos (Sección 11).
4. Obligaciones del Procesador
TraceWeave, como Encargado del Tratamiento, se compromete a:
4.1 Instrucciones Documentadas
Tratar los datos personales únicamente según las instrucciones documentadas del Responsable, incluyendo las transferencias de datos a terceros países. Si TraceWeave considera que una instrucción infringe el RGPD, informará inmediatamente al Responsable.
4.2 Confidencialidad
Garantizar que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria.
4.3 Seguridad del Tratamiento
Aplicar las medidas técnicas y organizativas apropiadas conforme al Artículo 32 del RGPD (ver Sección 6).
4.4 Subprocesadores
No recurrir a otro encargado del tratamiento sin autorización previa por escrito, específica o general, del Responsable (ver Sección 5).
4.5 Asistencia al Responsable
Ayudar al Responsable, teniendo cuenta la naturaleza del tratamiento, a garantizar el cumplimiento de las obligaciones relativas a la seguridad, notificación de violaciones, evaluaciones de impacto y consultas previas a la autoridad de control.
4.6 Registro de Actividades
Mantener un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del Responsable, conforme al Artículo 30(2) del RGPD.
5. Subprocesadores
5.1 Autorización General
El Responsable otorga autorización general a TraceWeave para contratar subprocesadores. TraceWeave informará al Responsable de cualquier cambio previsto en la incorporación o sustitución de subprocesadores con al menos 30 días de antelación.
El Responsable puede oponerse a dichos cambios por motivos justificados relacionados con la protección de datos dentro de los 15 días siguientes a la notificación. Si el Responsable se opone, TraceWeave se abstendrá de contratar al subprocesador o, si ello no es posible, el Responsable podrá suspender o terminar el contrato conforme a los Términos y Condiciones.
5.2 Lista de Subprocesadores
TraceWeave mantiene una lista actualizada de subprocesadores disponible en:
Ver Lista de Subprocesadores→5.3 Obligaciones Contractuales
TraceWeave impondrá a los subprocesadores, por medio de un contrato, las mismas obligaciones de protección de datos que se establecen en este DPA, en particular la prestación de garantías suficientes de aplicación de medidas técnicas y organizativas apropiadas. TraceWeave seguirá siendo plenamente responsable ante el Responsable del cumplimiento por parte del subprocesador.
6. Medidas de Seguridad
TraceWeave implementa las siguientes medidas técnicas y organizativas conforme al Artículo 32 del RGPD:
6.1 Cifrado
- •Cifrado en tránsito: TLS 1.3 para todas las comunicaciones
- •Cifrado en reposo: AES-256 para datos almacenados en base de datos
- •Gestión de claves: rotación automática trimestral
6.2 Control de Acceso
- •Autenticación multifactor (MFA) obligatoria para administradores
- •Principio de mínimo privilegio (least privilege)
- •Revisión trimestral de permisos de acceso
- •Registro y auditoría de todos los accesos administrativos
6.3 Protección de Infraestructura
- •Firewall de aplicación web (WAF)
- •Protección DDoS en todas las capas
- •Segmentación de redes (aislamiento multi-tenant)
- •Escaneo continuo de vulnerabilidades
6.4 Copias de Seguridad
- •Copias automáticas diarias con retención de 30 días
- •Copias cifradas y almacenadas en ubicación geográfica diferente
- •Pruebas de restauración trimestrales
6.5 Formación del Personal
Todo el personal con acceso a datos personales recibe formación anual obligatoria sobre protección de datos, seguridad de la información y manejo de incidentes. Se mantiene registro de las formaciones impartidas.
7. Derechos de los Interesados
TraceWeave asistirá al Responsable en la medida de lo posible, mediante medidas técnicas y organizativas apropiadas, para que este pueda responder a las solicitudes de ejercicio de los derechos de los interesados establecidos en el Capítulo III del RGPD:
| Derecho | Asistencia de TraceWeave | Plazo |
|---|---|---|
| Acceso (Art. 15) | Exportación de datos del interesado | 5 días hábiles |
| Rectificación (Art. 16) | Modificación de datos incorrectos | 3 días hábiles |
| Supresión (Art. 17) | Eliminación permanente de datos | 5 días hábiles |
| Limitación (Art. 18) | Bloqueo temporal de tratamiento | 3 días hábiles |
| Portabilidad (Art. 20) | Exportación en formato CSV/JSON | 7 días hábiles |
| Oposición (Art. 21) | Cese de tratamiento específico | 3 días hábiles |
El Responsable debe canalizar las solicitudes de los interesados a través de dpo@traceweave.eu. TraceWeave no responderá directamente a solicitudes de interesados sin autorización del Responsable.
8. Notificación de Brechas de Seguridad
8.1 Obligación de Notificación
TraceWeave notificará al Responsable sin dilación indebida tras tener conocimiento de una violación de la seguridad de los datos personales, y en cualquier caso dentro de las 72 horas siguientes.
8.2 Contenido de la Notificación
La notificación incluirá, como mínimo:
- 1.Descripción de la naturaleza de la violación (categorías y número aproximado de interesados y registros afectados)
- 2.Nombre y datos de contacto del DPO de TraceWeave
- 3.Descripción de las posibles consecuencias de la violación
- 4.Medidas adoptadas o propuestas para subsanar la violación y mitigar sus posibles efectos adversos
8.3 Cooperación
TraceWeave cooperará plenamente con el Responsable y proporcionará toda la información adicional razonablemente necesaria para que el Responsable pueda cumplir con sus obligaciones de notificación a la autoridad de control y a los interesados conforme a los Artículos 33 y 34 del RGPD.
9. Transferencias Internacionales de Datos
9.1 Ubicación de los Datos
Los datos personales se almacenan y procesan principalmente en servidores ubicados en la Unión Europea (región de Frankfurt, Alemania). TraceWeave no transferirá datos personales a terceros países fuera del EEE sin:
- •Consentimiento previo por escrito del Responsable, Y
- •Garantías apropiadas conforme al Artículo 46 del RGPD (cláusulas contractuales tipo de la Comisión Europea, decisión de adecuación, etc.)
9.2 Cláusulas Contractuales Tipo (SCCs)
En caso de transferencias internacionales autorizadas, TraceWeave suscribirá las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Decisión 2021/914) y realizará una Evaluación de Impacto de Transferencias (TIA) cuando sea necesario.
9.3 Subprocesadores Internacionales
Algunos subprocesadores pueden operar desde terceros países (ver Lista de Subprocesadores). En estos casos:
- •Los subprocesadores están certificados bajo marcos reconocidos (EU-US Data Privacy Framework, Swiss-US DPF)
- •Se han suscrito SCCs con todos los subprocesadores fuera del EEE
- •TraceWeave ha realizado TIA y no se han identificado riesgos que impidan la transferencia
10. Auditorías e Inspecciones
10.1 Derecho de Auditoría
TraceWeave pondrá a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en este DPA y permitirá la realización de auditorías, incluidas inspecciones, por parte del Responsable o un auditor autorizado por este.
10.2 Certificaciones y Reportes
TraceWeave proporciona anualmente al Responsable:
- •Certificado ISO 27001 (Gestión de Seguridad de la Información)
- •SOC 2 Type II Report (si aplicable al plan contratado)
- •Informe de pruebas de penetración (penetration testing) realizadas por terceros independientes
10.3 Procedimiento de Auditoría
El Responsable debe:
- 1.Notificar a TraceWeave con al menos 30 días de antelación
- 2.Limitar la auditoría a un máximo de una vez al año (salvo incidentes de seguridad graves o requerimiento de autoridad de control)
- 3.Firmar un acuerdo de confidencialidad (NDA) previo
- 4.Realizar la auditoría durante horario laboral y minimizando la disrupción operativa
- 5.Asumir los costes razonables de TraceWeave según el plan contratado
11. Devolución y Eliminación de Datos
11.1 A la Terminación del Contrato
A elección del Responsable, TraceWeave:
Opción A: Devolución
Proporciona todos los datos personales en formato estructurado, de uso común y lectura mecánica (CSV, JSON) dentro de los 30 días siguientes a la terminación.
Opción B: Eliminación
Elimina de forma segura e irreversible todos los datos personales dentro de los 90 días siguientes a la terminación, previa confirmación por escrito del Responsable.
11.2 Certificado de Eliminación
TraceWeave emitirá un certificado firmado por el DPO confirmando la eliminación completa de los datos personales, incluyendo todas las copias de seguridad, dentro de los 30 días siguientes a la eliminación efectiva.
11.3 Excepciones Legales
TraceWeave podrá conservar datos personales únicamente en la medida y durante el período en que la normativa aplicable lo requiera (p. ej., obligaciones fiscales, contables o de auditoría). Dichos datos se mantendrán aislados, con acceso restringido, y serán eliminados al finalizar el período de retención legal.
12. Responsabilidad e Indemnización
12.1 Responsabilidad por Daños
Conforme al Artículo 82 del RGPD, TraceWeave será responsable de los daños causados por el tratamiento únicamente cuando no haya cumplido las obligaciones del RGPD dirigidas específicamente a los encargados o cuando haya actuado al margen o en contra de las instrucciones legales del Responsable.
12.2 Limitación de Responsabilidad
La responsabilidad total de TraceWeave derivada de este DPA (incluyendo multas, sanciones o compensaciones por violaciones del RGPD) estará limitada según los términos específicos del plan contratado.
Esta limitación no aplica en caso de dolo o negligencia grave por parte de TraceWeave.
12.3 Indemnización
El Responsable indemnizará a TraceWeave frente a reclamaciones derivadas de: (a) instrucciones del Responsable que infrinjan el RGPD, (b) contenido cargado por el Responsable que viole derechos de terceros, o (c) incumplimiento por el Responsable de sus obligaciones bajo el RGPD como responsable del tratamiento.
13. Duración y Terminación
Este DPA entra en vigor en la fecha de aceptación de los Términos y Condiciones y permanecerá vigente mientras TraceWeave trate datos personales por cuenta del Responsable.
Causas de Terminación
- •Terminación del contrato de servicios principal (Términos y Condiciones)
- •Por cualquiera de las partes, con 30 días de preaviso por escrito, si la otra parte incumple de forma sustancial este DPA y no subsana en 15 días tras notificación
- •Inmediatamente, por el Responsable, si TraceWeave incumple las obligaciones de seguridad (Sección 6) o notificación de brechas (Sección 8)
La terminación no eximirá a ninguna de las partes de las obligaciones acumuladas durante la vigencia del DPA, ni afectará a las secciones que por su naturaleza deban sobrevivir (Secciones 11, 12, 14).
14. Contacto y Delegado de Protección de Datos
Para consultas, solicitudes o notificaciones relacionadas con este DPA, contacte con el Delegado de Protección de Datos (DPO) de TraceWeave:
Delegado de Protección de Datos (DPO)
José Antonio Mariscal Agüera
Dirección Postal
TraceWeave - Atención: DPO
Madrid, España
Tiempo de respuesta comprometido: TraceWeave responderá a todas las comunicaciones del Responsable relacionadas con este DPA en un plazo máximo de 5 días hábiles.
¿Necesita una copia firmada del DPA?
Clientes del plan Empresa pueden solicitar una versión firmada del DPA y las SCCs.
Solicitar DPA Firmado