Acuerdo de Encargado de Tratamiento
I. Partes
El presente Acuerdo de Encargado de Tratamiento ("DPA") se celebra entre el Usuario de SimpleApiForm que actúa como responsable del tratamiento de los datos personales recopilados a través de su cuenta ("el Responsable") y SimpleApiForm, con domicilio en la ciudad de Lima, República del Perú, que actúa como encargado del tratamiento en los términos del artículo 28 del Reglamento (UE) 2016/679 ("el Encargado").
El presente DPA forma parte integrante de los Términos y Condiciones de Uso aceptados por el Responsable al registrarse en el Servicio. En caso de conflicto, prevalecen las disposiciones del presente DPA en lo relativo al tratamiento de datos sujeto al RGPD.
II. Objeto y alcance
El Encargado tratará los datos personales de los usuarios finales del Responsable ("Datos del Responsable") exclusivamente para prestar el Servicio descrito en los Términos y Condiciones: recepción, almacenamiento y distribución de envíos de formularios HTML en nombre del Responsable.
III. Naturaleza, finalidad y duración
Naturaleza: almacenamiento, transmisión y distribución de datos enviados a través de formularios web. Finalidad: prestación del servicio de backend para formularios contratado por el Responsable. Duración: mientras el Responsable mantenga una cuenta activa. A la terminación, el Encargado conservará los datos por veinticuatro (24) meses adicionales conforme a la Política de Privacidad, salvo que el Responsable solicite la eliminación anticipada.
IV. Categorías de datos e interesados
El Encargado procesa exclusivamente los datos que el Responsable decide recopilar a través de sus formularios. Las categorías concretas dependen de cada formulario, pero pueden incluir: nombre, correo electrónico, teléfono, dirección, mensajes, archivos adjuntos y cualquier otro campo definido por el Responsable. Los interesados son los usuarios finales que completan formularios en los sitios web, aplicaciones o plataformas del Responsable.
El Encargado no recopila deliberadamente datos de categorías especiales (artículo 9 RGPD). Si el Responsable configurara sus formularios para recabar dichas categorías, es su exclusiva responsabilidad contar con la base legal reforzada exigida por el RGPD.
V. Obligaciones del Encargado
SimpleApiForm se compromete a:
a) Instrucciones documentadas. Tratar los Datos del Responsable únicamente siguiendo sus instrucciones documentadas, salvo que una obligación legal exija lo contrario, en cuyo caso lo notificará previamente si la ley lo permite.
b) Confidencialidad. Garantizar que las personas autorizadas para tratar los datos están sujetas a obligaciones de confidencialidad adecuadas.
c) Seguridad. Aplicar las medidas técnicas y organizativas de seguridad previstas en el artículo 32 del RGPD, incluyendo cifrado en reposo y en tránsito, controles de acceso basados en roles y monitoreo continuo de incidentes.
d) Sub-encargados. No recurrir a sub-encargados no autorizados. La aceptación de los Términos por parte del Responsable constituye autorización general para los sub-encargados listados en la cláusula VI.
e) Asistencia con derechos de interesados. Asistir al Responsable, en la medida razonablemente posible, para responder solicitudes de ejercicio de derechos (acceso, rectificación, supresión, portabilidad, limitación y oposición) conforme a los artículos 15 a 22 del RGPD.
f) Asistencia con obligaciones de seguridad. Asistir al Responsable en el cumplimiento de las obligaciones establecidas en los artículos 32 a 36 del RGPD: seguridad del tratamiento, notificación de brechas y evaluaciones de impacto.
g) Notificación de brechas. Notificar al Responsable, sin dilación indebida y en un plazo máximo de cuarenta y ocho (48) horas desde su detección, cualquier violación de seguridad que afecte a los Datos del Responsable, con la información disponible en ese momento.
h) Devolución o supresión de datos. A elección del Responsable, suprimir o devolver todos los Datos del Responsable al término del Servicio, y destruir las copias existentes, salvo que el derecho aplicable exija su conservación.
i) Auditoría. Poner a disposición del Responsable la información necesaria para demostrar el cumplimiento del presente DPA, y permitir la realización de auditorías con un preaviso razonable y en condiciones que no comprometan la seguridad ni la confidencialidad de otros clientes.
VI. Sub-encargados del tratamiento
El Responsable autoriza el uso de los siguientes sub-encargados para la prestación del Servicio:
| Sub-encargado | Servicio prestado | Ubicación |
|---|---|---|
| Amazon Web Services (AWS) | Infraestructura cloud, almacenamiento, envío de correo (SES) | EE.UU. / UE |
| Cloudflare | CDN, firewall de aplicaciones web, protección DDoS | EE.UU. / Global |
El Encargado informará al Responsable de cualquier cambio previsto en los sub-encargados con una antelación mínima de quince (15) días, otorgando al Responsable la posibilidad de oponerse. Todos los sub-encargados están vinculados por obligaciones de protección de datos equivalentes a las del presente DPA.
VII. Transferencias internacionales
Las transferencias a sub-encargados ubicados fuera del Espacio Económico Europeo se realizan al amparo de las Cláusulas Contractuales Tipo adoptadas por la Comisión Europea (Decisión 2021/914), que garantizan un nivel de protección adecuado. Los acuerdos correspondientes están disponibles previa solicitud a [email protected].
VIII. Vigencia y terminación
El presente DPA estará vigente mientras el Responsable utilice el Servicio. La terminación del contrato de servicio implica automáticamente la terminación del DPA. Las obligaciones de confidencialidad y seguridad sobreviven a la terminación durante cinco (5) años.
IX. Contacto y DPA firmado
Para obtener una versión firmada del presente DPA, para ejercer el derecho de auditoría o para cualquier consulta relacionada con el tratamiento de datos, el Responsable puede dirigirse a [email protected].