Acuerdo de Procesamiento de Datos (DPA)

Este Acuerdo de Procesamiento de Datos (DPA) complementa los Términos y Condiciones de Plazofy y se aplica cuando procesamos datos personales en nombre del cliente conforme al Reglamento General de Protección de Datos (RGPD) (UE) 2016/679.

1. Definiciones y ámbito de aplicación

Responsable del tratamiento (controlador): El cliente que utiliza Plazofy para gestionar notificaciones y documentos de sus propios clientes.

Encargado del tratamiento (procesador): [PENDIENTE — ej: Plazofy Software S.L.], con CIF [PENDIENTE — ej: B12345678], domicilio en [PENDIENTE — ej: Calle Larga 42, 1ºA], [PENDIENTE — ej: 11403] Jerez de la Frontera (Cádiz), España, inscrita en el [PENDIENTE — ej: Registro Mercantil de Cádiz, Tomo XXXX, Folio XX, Hoja CA-XXXXX], que opera bajo la marca comercial Plazofy y procesa datos personales en nombre del responsable.

Datos personales tratados: Nombres, NIF/CIF/NIE, direcciones, emails, teléfonos y datos fiscales/administrativos contenidos en las notificaciones y documentos subidos a la plataforma.

Ámbito de aplicación de este DPA

Este DPA regula exclusivamente el tratamiento de datos personales de terceros (clientes de las asesorías) que el usuario sube a la plataforma. En este contexto, la asesoría es el responsable del tratamiento y Plazofy actúa como encargado (Art. 28 RGPD).

Los datos propios del usuario de Plazofy (nombre, email, contraseña, datos de facturación) se tratan bajo la responsabilidad directa de Plazofy como responsable del tratamiento, y se rigen por la Política de Privacidad, no por este DPA.

2. Objeto y duración

Este DPA regula el tratamiento de datos personales que Plazofy realiza en nombre del cliente durante la vigencia del contrato de servicio. El tratamiento finalizará cuando el cliente cancele su suscripción y solicite la eliminación de sus datos.

3. Obligaciones de Plazofy como encargado

Plazofy se compromete a:

  • Tratar los datos personales únicamente según las instrucciones documentadas del responsable y para la finalidad de prestar el servicio contratado.
  • Garantizar que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad.
  • Implementar las medidas técnicas y organizativas apropiadas conforme al artículo 32 del RGPD.
  • No recurrir a otro encargado del tratamiento sin autorización previa por escrito del responsable (ver sección 5).
  • Asistir al responsable en la atención de solicitudes de ejercicio de derechos de los interesados (acceso, rectificación, supresión, portabilidad).
  • Asistir al responsable en el cumplimiento de las obligaciones de seguridad, notificación de brechas, evaluaciones de impacto y consultas previas.
  • A elección del responsable, suprimir o devolver todos los datos personales una vez finalice la prestación del servicio.
  • Poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones.

4. Medidas de seguridad

Plazofy implementa las siguientes medidas técnicas y organizativas:

  • Cifrado: Datos en tránsito protegidos con TLS 1.3. Datos en reposo cifrados en la base de datos.
  • Aislamiento: Row Level Security (RLS) en base de datos que garantiza que cada organización solo accede a sus propios datos.
  • Control de acceso: Autenticación por email + contraseña. Roles de usuario (admin, gestor, visor) con permisos diferenciados.
  • Copias de seguridad: Backups automáticos diarios de la base de datos con retención de 7 días.
  • Ubicación: Datos almacenados en servidores de la Unión Europea (Frankfurt, Alemania).
  • Logging: Registro de accesos y acciones sobre datos sensibles.
  • Eliminación segura: Los datos se eliminan de forma permanente al cancelar la cuenta.

5. Sub-encargados

El responsable autoriza el uso de los siguientes sub-encargados:

Sub-encargadoFinalidadUbicación
Supabase (Pty Ltd)Base de datos y autenticaciónUE (Frankfurt)
Vercel Inc.Hosting y despliegueUE
Anthropic PBCProcesamiento IA de documentosEE.UU. (con SCCs)
Resend Inc.Envío de emails transaccionalesEE.UU. (con SCCs)
Stripe Inc.Procesamiento de pagosUE / EE.UU. (con SCCs)

Plazofy notificará al responsable cualquier cambio en los sub-encargados con al menos 30 días de antelación.

Estado de los DPA con sub-encargados:

ProveedorDPA / AddendumEstado
SupabaseDPA de Supabase✓ Aceptado
VercelDPA de Vercel✓ Aceptado
AnthropicDPA de Anthropic (incl. SCCs Módulo 2 y 3)✓ Aceptado
ResendDPA de Resend✓ Aceptado
StripeDPA de Stripe✓ Aceptado

Nota: Los DPA de estos proveedores se incorporan automáticamente al aceptar sus términos de servicio comerciales. Todos incluyen Cláusulas Contractuales Tipo (SCCs) conforme a la Decisión de Ejecución (UE) 2021/914 para transferencias fuera del EEE.

6. Transferencias internacionales de datos

Los datos personales procesados por Plazofy pueden transferirse fuera del Espacio Económico Europeo (EEE) cuando sea necesario para la prestación del servicio. Las transferencias se realizan conforme a los artículos 44 a 49 del RGPD, utilizando las siguientes salvaguardas:

Cláusulas Contractuales Tipo (SCCs)

Todas las transferencias a EE.UU. están cubiertas por SCCs aprobadas por la Comisión Europea (Decisión de Ejecución 2021/914 de 4 de junio de 2021), Módulo 2 (responsable → encargado) y/o Módulo 3 (encargado → sub-encargado), según corresponda.

Evaluación de Impacto de Transferencias (TIA)

Conforme a las recomendaciones del EDPB 01/2020 post-Schrems II, Plazofy ha evaluado las transferencias internacionales de datos. Resumen de la evaluación:

ProveedorDatos transferidosSalvaguardasRiesgo residual
Anthropic PBCContenido de documentos PDF (pueden incluir datos fiscales personales: NIF, nombres, direcciones, importes)SCCs Módulo 2/3 · Cifrado TLS 1.3 en tránsito · Sin retención post-procesamiento · Sin uso para entrenamiento · SOC 2 Type II · ISO 27001Medio
Resend Inc.Email del destinatario, asunto y contenido de alertas transaccionalesSCCs Módulo 2 · Cifrado TLS · Datos mínimos (solo metadatos de email)Bajo
Stripe Inc.Datos de facturación (nombre, email, datos de pago tokenizados)SCCs · Procesamiento principal en UE (Irlanda) · PCI DSS Level 1 · EU Data Boundary disponibleBajo

La TIA completa está disponible bajo solicitud a privacidad@plazofy.com. Se revisa anualmente o cuando se produzcan cambios significativos en los proveedores o en la legislación aplicable.

Medidas suplementarias (Art. 46.2.c RGPD)

  • Cifrado de extremo a extremo (TLS 1.3) en todas las comunicaciones con sub-encargados fuera del EEE.
  • Minimización de datos: solo se envían los datos estrictamente necesarios para cada procesamiento.
  • Pseudonimización cuando es técnicamente viable (p.ej. en logs de auditoría).
  • Cláusulas contractuales adicionales que prohíben el acceso gubernamental sin notificación previa al exportador (cuando legalmente posible).
  • Revisión periódica de la legislación de vigilancia del país importador (actualmente EE.UU.: Executive Order 14086 y Data Privacy Framework).

7. Notificación de brechas

Plazofy notificará al responsable cualquier brecha de seguridad que afecte a datos personales sin dilación indebida y, en cualquier caso, en un plazo máximo de 48 horas desde que tenga conocimiento de la misma.

8. Tratamiento de datos por IA

Los documentos procesados por inteligencia artificial (Anthropic Claude) se envían de forma segura y no se utilizan para entrenar modelos de IA. Anthropic opera bajo su política de uso de datos comerciales que garantiza que los datos enviados a través de su API no se emplean para el entrenamiento de modelos.

9. Derechos del responsable

El responsable tiene derecho a:

  • Acceder a sus datos en cualquier momento desde la plataforma.
  • Exportar todos sus datos en formato JSON (Configuración → Perfil → Descargar mis datos).
  • Solicitar la eliminación completa de su cuenta y datos (Configuración → Perfil → Eliminar cuenta).
  • Solicitar auditorías razonables del cumplimiento de este DPA.

10. Registro de Actividades de Tratamiento

Conforme al artículo 30 del RGPD, Plazofy mantiene un registro detallado de todas las actividades de tratamiento de datos personales. Este registro está disponible públicamente en nuestra página de Registro de Actividades de Tratamiento.

11. Contacto

Para cuestiones relacionadas con este DPA o el tratamiento de datos personales:

  • Email: privacidad@plazofy.com
  • Dirección: [PENDIENTE — ej: Calle Larga 42, 1ºA], [PENDIENTE — ej: 11403] Jerez de la Frontera (Cádiz), España

Versión 1.0 — Última actualización: marzo 2026