Acuerdo de Encargado de Tratamiento (DPA)
Conforme al artículo 28 del Reglamento (UE) 2016/679 (RGPD).
1. Partes
Encargado del tratamiento:
MyMarketing.es
CIF: [CIF]
[CALLE Y NÚMERO], [CP] Madrid (Madrid)
Responsable del tratamiento:
El tenant (profesional o empresa) que contrata los servicios de MyMarketing, identificado en el proceso de registro.
2. Objeto y alcance
MyMarketing.es (encargado) tratará datos personales de los clientes finales del tenant (responsable) exclusivamente para la prestación de los servicios contratados: gestión de agenda y citas, envío de recordatorios, análisis de reputación y generación de contenido de marketing.
3. Instrucciones del responsable
El encargado tratará los datos únicamente siguiendo las instrucciones documentadas del responsable, plasmadas en la configuración de la plataforma y en el presente acuerdo. Si el encargado considera que una instrucción infringe el RGPD, informará al responsable sin demora.
4. Subencargados del tratamiento
| Subencargado | Actividad | Localización |
|---|---|---|
| Supabase | Base de datos PostgreSQL, autenticación y almacenamiento | UE (Frankfurt) |
| Vercel | Infraestructura de computación y CDN | UE |
| Resend | Envío de emails transaccionales (recordatorios de citas) | UE |
| Google (Gmail / GBP API) | Integración OAuth con Google Business Profile | EE.UU. (SCCs aplicables) |
El encargado notificará al responsable con al menos 30 días de antelación cualquier cambio en los subencargados.
5. Medidas de seguridad
- Aislamiento de datos (RLS): cada tenant accede exclusivamente a sus propios datos mediante Row Level Security en la base de datos.
- Cifrado en tránsito: todas las comunicaciones se realizan sobre HTTPS/TLS 1.3.
- Cifrado en reposo: los datos se almacenan cifrados en los servidores de Supabase.
- Soft delete: los datos eliminados por el usuario se marcan como inactivos y se eliminan físicamente tras 30 días.
- Acceso mínimo: el personal de MyMarketing.es accede a los datos de producción únicamente cuando es estrictamente necesario y bajo registro de auditoría.
- Notificación de brechas: MyMarketing.es notificará al responsable cualquier violación de seguridad en un plazo máximo de 72 horas desde su detección.
6. Derechos de los interesados
El encargado asistirá al responsable en la atención de las solicitudes de ejercicio de derechos (acceso, rectificación, supresión, oposición, portabilidad y limitación) de los clientes finales del tenant. El responsable es el punto de contacto para los interesados.
7. Duración y devolución o supresión de datos
Este acuerdo estará vigente mientras dure la relación contractual entre las partes. Tras la resolución del contrato, el encargado conservará los datos durante 30 días para permitir la reactivación, transcurridos los cuales procederá a su eliminación definitiva e irrecuperable, salvo que la ley exija su conservación.
8. Firma del acuerdo
Este acuerdo se perfecciona electrónicamente al aceptar los Términos y Condiciones durante el proceso de registro en MyMarketing, conforme al artículo 3.10 del RGPD y la Ley 59/2003 de firma electrónica.
Última actualización: 2026