Acuerdo de Tratamiento de Datos (DPA)
Anexo al contrato de servicio entre el Cliente y pibiCo Compañía de Inteligencia de Negocio y Control SL para el cumplimiento del Reglamento (UE) 2016/679 (RGPD).
1. Partes
- Responsable del tratamiento ("Cliente"): la entidad u organización que ha contratado el Servicio.
- Encargado del tratamiento: pibiCo Compañía de Inteligencia de Negocio y Control SL, CIF ES B52567831, Avenida de La Costa 35-6T, 33201 Gijón, Asturias, España.
2. Objeto
El Encargado tratará datos personales por cuenta del Responsable únicamente para prestar los servicios contratados (pibiCo Auth) según las instrucciones documentadas del Responsable.
3. Datos tratados
- Identidad y contacto: email y nombre
- Organización/tenant y rol del usuario
- Credenciales de acceso: códigos de un solo uso (OTP) por email, doble factor (TOTP) y llaves de acceso WebAuthn/passkeys
- Registros de consentimiento legal: documento, versión, fecha, dirección IP y agente de usuario
- Saldo y movimientos de créditos pibiCash
- Registros de auditoría: acciones, dirección IP, agente de usuario y marca temporal
- Datos de facturación, conservados de forma anonimizada durante el periodo legal obligatorio
4. Categorías de interesados
- Empleados, colaboradores y miembros del Cliente
- Clientes finales del Cliente cuyos datos se gestionan dentro del Servicio
5. Obligaciones del Encargado
El Encargado se compromete a:
- Tratar los datos sólo conforme a las instrucciones documentadas del Responsable
- Garantizar confidencialidad por parte de personal autorizado
- Aplicar medidas técnicas y organizativas apropiadas (cifrado en reposo y tránsito, control de accesos, registros de auditoría, copias de seguridad)
- Asistir al Responsable en la atención de derechos del interesado
- Notificar brechas de seguridad sin dilación, en plazo máximo 72h
- Suprimir o devolver los datos al finalizar el servicio
- Permitir auditorías razonables por el Responsable o auditor externo independiente
6. Subencargados (subprocesadores)
El Encargado utiliza los siguientes subencargados para prestar el Servicio:
| Subencargado | Finalidad | Localización |
|---|---|---|
| Proveedor de correo SMTP (IONOS) | Envío de códigos de acceso de un solo uso (OTP) y enlaces mágicos de inicio de sesión | Unión Europea |
| Telegram | Entrega alternativa de códigos de acceso, solo si el usuario vincula su cuenta de Telegram | Internacional — únicamente si el usuario lo activa expresamente |
Cualquier cambio de subencargados será notificado con 30 días de antelación. El Responsable podrá oponerse motivadamente; en caso contrario el cambio se entiende aceptado.
7. Transferencias internacionales
Cuando subencargados se localicen fuera del EEE, las transferencias se realizan con base en Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea o Decisiones de Adecuación.
8. Medidas de seguridad
El Encargado aplica entre otras:
- Cifrado en tránsito (TLS 1.2+) y en reposo (AES-256)
- Autenticación passwordless (passkeys WebAuthn) y MFA
- Control de accesos basado en roles (RBAC)
- Registros de auditoría inmutables
- Copias de seguridad cifradas con plan de recuperación
- Pruebas regulares de seguridad y revisión de dependencias
9. Brecha de seguridad
En caso de brecha que afecte a datos personales del Responsable, el Encargado notificará al Responsable sin dilación indebida, dentro de las 72h siguientes a tener constancia, incluyendo:
- Naturaleza de la brecha
- Categorías y número estimado de interesados afectados
- Medidas adoptadas o propuestas
- Punto de contacto del Encargado para coordinar respuesta
10. Derechos de auditoría
El Responsable puede solicitar evidencias documentales del cumplimiento (informes de auditoría, certificaciones, descripciones técnicas) hasta una vez al año o tras cualquier brecha relevante. Auditorías in situ requieren acuerdo previo y se ejecutan en horario laboral sin interrumpir el Servicio.
11. Plazo y finalización
Este DPA entra en vigor con la suscripción al Servicio y permanece vigente mientras el Cliente mantenga cuenta activa. A su finalización, el Encargado suprimirá o devolverá los datos personales según instrucción documentada del Responsable, salvo obligación legal de conservación (datos de facturación: 6 años).
12. Responsabilidad
Cada parte responde de sus propios incumplimientos del RGPD. La responsabilidad del Encargado se limita conforme a lo establecido en los Términos del Servicio.
Última actualización: 2026-06-14 · Versión 1.0.0