Volver al inicio
ContactoIniciar sesión
Centro LegalTérminos del ServicioPolítica de PrivacidadPolítica de CookiesSeguridadDPASLAUso AceptableGDPR
Versión 2.0Última actualización: 25 de enero de 2026

Acuerdo de Tratamiento de Datos (DPA)

Este Acuerdo de Tratamiento de Datos ("DPA") complementa los Términos del Servicio y regula el tratamiento de datos personales por parte de Zyntra CRM como encargado del tratamiento en nombre de nuestros clientes.

1. Introducción

Este DPA se aplica cuando Zyntra CRM ("Encargado" o "Nosotros") procesa datos personales en nombre de sus clientes ("Responsable" o "Usted") en el contexto de la prestación de los servicios de CRM.

Este DPA se incorpora automáticamente a los Términos del Servicio y no requiere firma separada. Al aceptar los Términos del Servicio, acepta también este DPA.

2. Definiciones

  • "Datos Personales" significa cualquier información relativa a una persona física identificada o identificable.
  • "Tratamiento" significa cualquier operación realizada sobre Datos Personales.
  • "Responsable del Tratamiento" significa la persona física o jurídica que determina los fines y medios del tratamiento.
  • "Encargado del Tratamiento" significa la persona física o jurídica que trata datos personales por cuenta del Responsable.
  • "Subencargado" significa cualquier tercero contratado por el Encargado para tratar Datos Personales.
  • "Interesado" significa la persona física cuyos Datos Personales son objeto de tratamiento.
  • "RGPD" significa el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo.

3. Objeto y Alcance

3.1 Objeto del Tratamiento

El Encargado tratará Datos Personales exclusivamente para proporcionar los servicios de CRM contratados, incluyendo:

  • Almacenamiento y gestión de datos de contactos y clientes.
  • Procesamiento de comunicaciones y registros de actividad.
  • Generación de análisis e informes.
  • Prestación de soporte técnico.

3.2 Categorías de Datos

  • Datos identificativos: nombre, email, teléfono, dirección.
  • Datos profesionales: empresa, cargo, sector.
  • Datos de interacción: historial de comunicaciones, notas.
  • Datos técnicos: logs de acceso, dispositivos.

3.3 Categorías de Interesados

  • Empleados y usuarios del Responsable.
  • Clientes y contactos del Responsable.
  • Proveedores y colaboradores del Responsable.

4. Obligaciones del Responsable

El Responsable se compromete a:

  • Cumplir con todas las leyes de protección de datos aplicables.
  • Obtener los consentimientos necesarios de los Interesados.
  • Proporcionar instrucciones lícitas para el tratamiento.
  • Documentar la base legal del tratamiento.
  • Informar a los Interesados sobre el tratamiento.
  • Garantizar que los datos proporcionados son precisos y actualizados.

5. Obligaciones del Encargado

El Encargado se compromete a:

  • Tratar los datos únicamente según las instrucciones documentadas del Responsable.
  • Garantizar la confidencialidad del personal que trata los datos.
  • Implementar las medidas de seguridad apropiadas.
  • Utilizar únicamente Subencargados autorizados.
  • Asistir al Responsable en el ejercicio de derechos de los Interesados.
  • Asistir al Responsable en evaluaciones de impacto (DPIA).
  • Eliminar o devolver los datos al finalizar el servicio.
  • Poner a disposición la información necesaria para demostrar el cumplimiento.

6. Instrucciones de Tratamiento

6.1 Instrucciones Documentadas

El Encargado solo tratará Datos Personales según las instrucciones documentadas del Responsable, que incluyen:

  • Los Términos del Servicio y este DPA.
  • La configuración y uso del Servicio por parte del Responsable.
  • Instrucciones adicionales por escrito.

6.2 Instrucciones Adicionales

Si el Responsable requiere tratamientos adicionales, deberá proporcionar instrucciones por escrito. El Encargado informará si considera que una instrucción infringe la normativa aplicable.

7. Medidas de Seguridad

El Encargado implementa medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo:

  • Seudonimización y cifrado de datos personales.
  • Capacidad de garantizar confidencialidad, integridad y disponibilidad.
  • Capacidad de restaurar el acceso a los datos en caso de incidente.
  • Proceso de verificación y evaluación regular de las medidas.

Las medidas de seguridad específicas se detallan en nuestra Política de Seguridad.

8. Subencargados

8.1 Autorización General

El Responsable otorga autorización general al Encargado para contratar Subencargados, sujeto a las condiciones de esta sección.

8.2 Lista de Subencargados

Los Subencargados actuales utilizados para el tratamiento de Datos Personales son:

SubencargadoFunciónUbicación
Amazon Web Services (AWS)Hosting e infraestructuraUE (Frankfurt, Irlanda)
Supabase Inc.Base de datos y autenticaciónUE / EE.UU. (SCCs)
Stripe Inc.Procesamiento de pagosUE / EE.UU. (SCCs)
Resend Inc.Envío de emailsEE.UU. (SCCs)
Vercel Inc.CDN y edge computingGlobal (SCCs)

8.3 Notificación de Cambios

El Encargado notificará al Responsable cualquier adición o sustitución de Subencargados con al menos 30 días de antelación, permitiendo al Responsable objetar.

8.4 Obligaciones con Subencargados

El Encargado garantiza que los Subencargados están sujetos a obligaciones equivalentes a las establecidas en este DPA.

9. Derechos de los Interesados

9.1 Asistencia

El Encargado asistirá al Responsable en responder a las solicitudes de ejercicio de derechos de los Interesados, incluyendo acceso, rectificación, supresión, limitación, portabilidad y oposición.

9.2 Herramientas de Autoservicio

El Servicio proporciona herramientas que permiten al Responsable responder directamente a muchas solicitudes (exportación de datos, eliminación, etc.).

9.3 Notificación

Si el Encargado recibe una solicitud directamente de un Interesado, lo notificará al Responsable sin demora, salvo prohibición legal.

10. Notificación de Brechas

El Encargado notificará al Responsable cualquier brecha de seguridad que afecte a Datos Personales sin dilación indebida y, en cualquier caso, dentro de las 48 horas siguientes a tener conocimiento de la misma.

10.1 Contenido de la Notificación

  • Descripción de la naturaleza de la brecha.
  • Categorías y número aproximado de Interesados afectados.
  • Categorías y número aproximado de registros afectados.
  • Nombre y datos de contacto del DPO o punto de contacto.
  • Descripción de las consecuencias probables.
  • Medidas adoptadas o propuestas para remediar la brecha.

10.2 Asistencia

El Encargado asistirá al Responsable en el cumplimiento de sus obligaciones de notificación a la autoridad de control y a los Interesados, según proceda.

11. Auditorías

11.1 Derecho de Auditoría

El Encargado pondrá a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en este DPA y permitirá la realización de auditorías.

11.2 Procedimiento

  • Solicitud con 30 días de antelación.
  • Alcance acordado previamente.
  • Realización durante horario laboral.
  • Confidencialidad de la información obtenida.
  • Costes a cargo del Responsable (salvo incumplimiento demostrado).

11.3 Certificaciones

El Encargado puede proporcionar certificaciones y auditorías de terceros (SOC 2, ISO 27001) como evidencia de cumplimiento.

12. Transferencias Internacionales

Cuando los Datos Personales se transfieran fuera del EEE, el Encargado garantizará que existan las garantías adecuadas conforme al Capítulo V del RGPD:

  • Decisiones de adecuación de la Comisión Europea.
  • Cláusulas Contractuales Tipo (SCCs) según Decisión 2021/914.
  • Normas Corporativas Vinculantes aprobadas.

El Responsable autoriza las transferencias a los Subencargados listados en la sección 8.2, sujetas a las garantías indicadas.

13. Terminación y Devolución

13.1 Al Finalizar el Servicio

A la terminación del Servicio, el Encargado, a elección del Responsable:

  • Devolverá todos los Datos Personales en formato estándar.
  • Eliminará todos los Datos Personales de forma segura.

13.2 Plazos

  • Exportación de datos: disponible durante 30 días tras la cancelación.
  • Eliminación: completada dentro de los 60 días siguientes.
  • Certificación de eliminación: disponible bajo solicitud.

13.3 Excepciones

El Encargado puede retener Datos Personales cuando así lo exija la legislación aplicable, informando al Responsable sobre dicha retención y su base legal.

14. Responsabilidad

La responsabilidad de cada parte por incumplimiento de este DPA se regirá por las disposiciones de limitación de responsabilidad establecidas en los Términos del Servicio, con las siguientes excepciones:

  • Multas o sanciones impuestas por autoridades de protección de datos.
  • Reclamaciones de Interesados por daños y perjuicios.
  • Incumplimiento intencional o negligencia grave.