Tu
TuCRMIr a tucrm.app →

Acuerdo de Encargo del Tratamiento (DPA)

Este documento (Data Processing Agreement) regula las obligaciones de Siblings Three LLC («TuCRM», Encargado del tratamiento) cuando trata datos personales por cuenta del Cliente (Responsable del tratamiento) en el marco del Servicio TuCRM, conforme al artículo 28 del RGPD.

📥 ¿Necesitas una copia firmada del DPA? Envíanos un email a legal@tucrm.app con tus datos fiscales y te enviamos el PDF firmado en 48h hábiles.

1. Identificación de las partes

  • Encargado: Siblings Three LLC (EIN 37-2068947)
  • Responsable: El Cliente titular de la cuenta TuCRM (datos registrados en su perfil)

2. Objeto y duración

El Encargado tratará los datos personales que el Responsable cargue en TuCRM (leads, clientes, facturas, empleados, etc.) exclusivamente con la finalidad de prestar el Servicio contratado. La duración coincide con la del contrato principal.

3. Categorías de datos e interesados

  • Categorías de datos: identificativos, contacto, profesionales, comerciales, económicos (facturas), laborales (fichaje, nóminas).
  • Categorías de interesados: clientes finales del Responsable, prospectos, empleados, proveedores.

4. Obligaciones del Encargado

El Encargado se compromete a:

  1. Tratar los datos solo conforme a instrucciones documentadas del Responsable (el uso del Servicio constituye instrucción).
  2. Garantizar que el personal autorizado mantenga la confidencialidad.
  3. Aplicar las medidas técnicas y organizativas del Anexo II (encriptado en tránsito y reposo, backup diario, control de accesos por roles, audit logs).
  4. No subcontratar sin autorización previa. La lista de subencargados autorizados está en /legal/subprocesadores.
  5. Asistir al Responsable en el ejercicio de los derechos de los interesados.
  6. Notificar al Responsable cualquier brecha de seguridad en menos de 72 horas.
  7. Eliminar o devolver los datos tras la finalización del contrato (a elección del Responsable).
  8. Cooperar con la AEPD y otras autoridades de control.

5. Subencargados autorizados

El Responsable autoriza expresamente a los subencargados listados en /legal/subprocesadores. Cualquier nuevo subencargado se notificará con 30 días de antelación; el Responsable tendrá derecho a objetar.

6. Transferencias internacionales

Si algún subencargado trata datos fuera del EEE, la transferencia se ampara en las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Decisión 2021/914) o en otras garantías adecuadas (Art. 46 RGPD).

7. Auditoría

El Responsable podrá solicitar una auditoría una vez al año, con preaviso de 30 días, durante horario laboral. El Encargado podrá facilitar como alternativa certificaciones independientes (ISO 27001, SOC 2) cuando estén disponibles.

8. Responsabilidad

Cada parte responde de las multas y daños derivados de su propio incumplimiento. El Encargado solo responderá del incumplimiento de las obligaciones que el RGPD le impone específicamente a los encargados (Art. 82.2 RGPD).

9. Resolución

El DPA se extingue al terminar el contrato principal. Tras la extinción, el Encargado eliminará todos los datos personales en un plazo máximo de 30 días, salvo obligación legal de conservación.

Anexo I — Detalles del tratamiento

Finalidad: prestación del Servicio TuCRM contratado por el Responsable.

Naturaleza: almacenamiento, organización, consulta, modificación, comunicación interna entre módulos.

Anexo II — Medidas técnicas y organizativas

  • Cifrado TLS 1.2+ en tránsito.
  • Cifrado AES-256 en reposo (base de datos y backups).
  • Backups diarios + incrementales cada 5 minutos. Retención 30 días.
  • Control de accesos por roles (RBAC) y RLS a nivel de fila en base de datos.
  • Audit log inmutable de operaciones sensibles.
  • Rate limiting, protección contra XSS, CSRF, SQL injection.
  • Verificación 2FA disponible para cuentas críticas.
  • Personal con NDA. Acceso mínimo necesario (least privilege).

Anexo III — Lista de subencargados

Disponible y actualizada en /legal/subprocesadores.