Versión 1.0 · Última actualización: 27 de mayo de 2026
Este Acuerdo de Tratamiento de Datos («DPA» o «Acuerdo») se celebra entre:
Responsable del Tratamiento
El usuario que acepta este DPA
La persona física o jurídica (empresa, autónomo) que contrata el servicio y cuyos datos de clientes son objeto del encargo.
Encargado del Tratamiento
SaaS Autónomo
Prestador del servicio de automatización de marketing. Trata los datos personales de los clientes del Responsable únicamente por instrucción de este.
SaaS Autónomo, en calidad de Encargado del Tratamiento, tratará los datos personales que el Responsable ponga a su disposición a través de la plataforma, con la única finalidad de prestar los servicios contratados según los Términos y Condiciones del Servicio.
| Categoría | Datos concretos | Personas afectadas |
|---|---|---|
| Leads / contactos comerciales | Nombre, dirección de email, teléfono, fuente de captación, notas | Clientes potenciales del Responsable |
| Reseñas de Google Business Profile | Nombre del autor de la reseña, texto, valoración, fecha | Clientes que han dejado reseñas |
| Suscriptores de email marketing | Dirección de email, nombre (si disponible), métricas de interacción | Suscriptores de boletines del Responsable |
| Datos de analítica web | Consultas de búsqueda, páginas vistas (sin identificadores individuales en Google Search Console) | Visitantes del sitio web del Responsable |
No se tratarán categorías especiales de datos (Art. 9 RGPD) salvo instrucción expresa documentada del Responsable.
El Encargado tratará los datos exclusivamente para:
El Encargado no tratará los datos para ninguna finalidad propia, ni los cederá a terceros fuera de la lista de subencargados autorizada.
De conformidad con el Art. 28.3 RGPD, SaaS Autónomo se compromete a:
a) Instrucciones documentadas
Tratar los datos únicamente según las instrucciones documentadas del Responsable, incluidas estas condiciones y los Términos del Servicio. Notificar inmediatamente si considera que una instrucción vulnera el RGPD o la normativa aplicable.
b) Confidencialidad
Garantizar que las personas autorizadas para tratar los datos se han comprometido a guardar secreto o están sujetas a obligaciones legales de confidencialidad.
c) Seguridad técnica y organizativa
Aplicar las medidas de seguridad adecuadas conforme al Art. 32 RGPD (ver cláusula 7). Notificar al Responsable sin dilación indebida y en un plazo máximo de 72 horas las violaciones de seguridad que afecten a los datos tratados.
d) Subencargos
No contratar subencargados sin autorización previa del Responsable. La lista de subencargados autorizados se incluye en la cláusula 6. Cualquier cambio será notificado con al menos 30 días de antelación.
e) Asistencia al Responsable
Ayudar al Responsable a atender solicitudes de ejercicio de derechos (acceso, rectificación, supresión, portabilidad, limitación, oposición) mediante las herramientas disponibles en la plataforma (exportación de datos, eliminación de cuenta).
f) Evaluaciones de impacto (EIPD)
Asistir al Responsable en la elaboración de evaluaciones de impacto relativas a la protección de datos cuando sea preceptivo, proporcionando la información necesaria sobre los tratamientos realizados.
g) Supresión o devolución al término del servicio
Al término del servicio, suprimir todos los datos personales del Responsable (incluyendo copias de seguridad) en un plazo máximo de 90 días, salvo obligación legal de conservación. El Responsable puede solicitar una exportación completa antes de la cancelación.
h) Información y auditoría
Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones como Encargado y permitir y facilitar la realización de auditorías (incluidas inspecciones). Las auditorías serán realizadas con previo aviso de 30 días, sin interrumpir el servicio y corriendo los costes a cargo del Responsable.
El Responsable autoriza expresamente al Encargado a contratar a los siguientes subencargados para la prestación del servicio. Todos ellos tienen firmados acuerdos de tratamiento de datos con SaaS Autónomo:
| Subencargado | Función | País | Mecanismo de transferencia |
|---|---|---|---|
| Supabase Inc. (AWS eu-central-1) | Almacenamiento de datos (PostgreSQL) y autenticación | 🇩🇪 Alemania (UE) | Dentro UE — DPA |
| Vercel Inc. | Hospedaje de la aplicación, funciones serverless, CDN | 🇺🇸 EE.UU. | CCT (SCCs) — Art. 46.2.c RGPD |
| Anthropic PBC | Modelos de lenguaje (Claude) para generación de contenido IA | 🇺🇸 EE.UU. | CCT (SCCs) |
| Resend Inc. | Envío de emails transaccionales y de marketing | 🇺🇸 EE.UU. | CCT (SCCs) |
| Inngest Inc. | Ejecución de trabajos asíncronos de los agentes IA | 🇺🇸 EE.UU. | CCT (SCCs) |
| Upstash Inc. | Caché Redis, limitación de peticiones, notificaciones en tiempo real | 🇪🇺 UE (eu-west-1) | Dentro UE — DPA |
| Buffer Inc. | Publicación y programación en redes sociales (opcional, si el usuario conecta Buffer) | 🇺🇸 EE.UU. | CCT (SCCs) |
| Stripe Inc. | Procesamiento de pagos y suscripciones | 🇺🇸 EE.UU. / 🇮🇪 UE | CCT (SCCs) + Data Privacy Framework |
| PostHog Inc. | Analítica de producto (datos seudonimizados del operador) | 🇺🇸 EE.UU. / 🇪🇺 UE | CCT (SCCs) |
| Google LLC | Search Console API, Google Business Profile API (opcional) | 🇺🇸 EE.UU. / 🇪🇺 UE | CCT (SCCs) + Data Privacy Framework |
CCT = Cláusulas Contractuales Tipo aprobadas por Decisión de Ejecución (UE) 2021/914 de la Comisión Europea. Cualquier cambio en la lista de subencargados será notificado al Responsable con al menos 30 días de antelación, dándole la oportunidad de oponerse.
SaaS Autónomo aplica, como mínimo, las siguientes medidas técnicas y organizativas:
Cifrado en reposo
API keys y tokens OAuth almacenados con AES-256-GCM. Bases de datos cifradas a nivel de disco por Supabase/AWS.
Cifrado en tránsito
TLS 1.2+ obligatorio en todas las comunicaciones. HTTPS enforced en todas las rutas.
Control de acceso
Roles estrictos: usuario / admin tenant / superadmin. Row-Level Security (RLS) en Supabase. Separación total de datos entre tenants.
Autenticación
Magic link y OAuth Google. Las contraseñas nunca se almacenan en los sistemas del Encargado. Gestión de sesiones a través de Supabase Auth.
Minimización de datos
Las API keys de terceros nunca se transmiten al navegador del cliente. Solo se exponen indicadores booleanos de conexión.
Registros de auditoría
Log inmutable de acciones administrativas críticas (eliminación de tenants, cambios de configuración) con IP, usuario y timestamp.
Limitación de peticiones
Rate limiting por IP en endpoints sensibles para prevenir ataques de fuerza bruta y abuso.
Cabeceras de seguridad HTTP
Content-Security-Policy, X-Content-Type-Options, X-Frame-Options y Permissions-Policy configurados en todas las respuestas.
Gestión de incidentes
Procedimiento de notificación de brechas de seguridad en menos de 72 horas al Responsable y, en su caso, a la AEPD conforme al Art. 33 RGPD.
Revisión periódica
Las medidas de seguridad son revisadas periódicamente y actualizadas en función del estado de la técnica y los riesgos identificados.
En caso de violación de la seguridad de los datos que afecte a datos tratados por encargo del Responsable,SaaS Autónomo notificará al Responsable sin dilación indebida y, cuando sea posible, en un plazo máximo de 72 horas desde que tenga constancia de la brecha.
La notificación incluirá, en la medida de lo posible:
La dirección de notificación de seguridad es: legal@saas-autonomo.com
El Responsable del Tratamiento declara y se obliga a:
Este DPA estará en vigor mientras el Responsable mantenga una cuenta activa en SaaS Autónomo. Se extingue automáticamente en el momento en que se resuelva el contrato principal de prestación de servicios.
A la extinción, SaaS Autónomo procederá a la supresión de todos los datos personales tratados por encargo en un plazo máximo de 90 días, salvo obligación legal de conservación. El Responsable puede solicitar una exportación completa de sus datos (portabilidad) antes o durante ese período desde Configuración → Privacidad → Descargar mis datos.
Cada parte será responsable ante la otra de los daños causados por incumplimiento de las obligaciones establecidas en el presente DPA. La responsabilidad total del Encargado frente al Responsable en virtud de este DPA no superará, en ningún caso, los límites establecidos en los Términos y Condiciones del Servicio.
El Responsable mantendrá indemne a SaaS Autónomo de cualquier reclamación de terceros derivada del incumplimiento por parte del Responsable de sus propias obligaciones como responsable del tratamiento, incluyendo la falta de base jurídica o de información a los interesados.
Este DPA se rige por la legislación española y el Reglamento (UE) 2016/679 (RGPD). Para la resolución de controversias derivadas de este Acuerdo, las partes se someten expresamente a los mismos juzgados y tribunales previstos en los Términos y Condiciones del Servicio.
La aceptación de este DPA se realiza de forma electrónica durante el proceso de alta en la plataforma (paso «Legal» del onboarding). La plataforma registra:
Este registro electrónico tiene la misma validez que una firma manuscrita conforme al Art. 7 RGPD y la Ley 34/2002 de Servicios de la Sociedad de la Información (LSSI).
Para cualquier consulta sobre este Acuerdo de Tratamiento de Datos: legal@saas-autonomo.com