← Volver al inicio

Acuerdo de Encargado del Tratamiento (DPA)

Conforme al artículo 28 del Reglamento General de Protección de Datos (RGPD) — UE 2016/679

Última actualización: 6 de abril de 2026

1. Objeto y duración del tratamiento

El presente acuerdo regula las condiciones en las que PivEk (en adelante, el «Encargado») trata datos personales por cuenta del cliente (en adelante, el «Responsable») en el marco de la prestación del servicio SaaS de gestión de servicios de campo.

La duración del tratamiento coincide con la vigencia del contrato de suscripción entre el Responsable y el Encargado.

2. Naturaleza y finalidad del tratamiento

El tratamiento consiste en el almacenamiento, organización, consulta y comunicación de datos personales necesarios para:

  • Gestión de avisos de servicio y partes de trabajo
  • Gestión de presupuestos y facturación
  • Agenda y asignación de técnicos
  • Comunicación con clientes finales (email, WhatsApp)
  • Portal de cliente con acceso multi-usuario

3. Tipo de datos personales y categorías de interesados

Datos personales tratados

  • Datos identificativos: nombre, apellidos, email, teléfono
  • Datos profesionales: empresa, cargo, dirección de servicio
  • Datos de facturación: NIF/CIF, dirección fiscal
  • Datos de uso: logs de acceso, preferencias de interfaz

Categorías de interesados

  • Empleados y técnicos del Responsable
  • Clientes finales del Responsable
  • Contactos comerciales del Responsable

4. Obligaciones y derechos del responsable

El Responsable se compromete a:

  • Garantizar que dispone de base legal para el tratamiento de los datos facilitados
  • Informar a los interesados del tratamiento conforme al RGPD
  • Facilitar el ejercicio de derechos de los interesados
  • No proporcionar categorías especiales de datos (art. 9 RGPD) salvo acuerdo expreso previo

5. Obligaciones del encargado (PivEk)

PivEk se compromete a:

  • Tratar los datos únicamente conforme a las instrucciones del Responsable
  • Garantizar que las personas autorizadas para tratar datos se han comprometido a respetar la confidencialidad
  • Aplicar las medidas técnicas y organizativas adecuadas (véase sección 8)
  • No recurrir a otro encargado sin autorización previa del Responsable (véase sección 6)
  • Asistir al Responsable en el cumplimiento de sus obligaciones (véase sección 9)
  • Suprimir o devolver los datos al finalizar el servicio (véase sección 10)
  • Poner a disposición del Responsable la información necesaria para demostrar el cumplimiento (véase sección 11)

6. Subencargados

PivEk utiliza los siguientes subencargados, todos ellos con servidores en la Unión Europea:

SubencargadoFunciónUbicación datos
Supabase (PostgreSQL)Base de datos principalFrankfurt, DE (eu-central-1)
VercelHosting y CDNUE (fra1)
n8n CloudAutomatizaciones y workflowsFrankfurt, DE
ResendEnvío de correos transaccionalesUE

El Responsable autoriza expresamente a los subencargados listados. Cualquier adición o sustitución será comunicada con un mínimo de 30 días de antelación.

7. Transferencias internacionales

Todos los datos se almacenan y procesan dentro del Espacio Económico Europeo (EEE). No se realizan transferencias internacionales de datos fuera del EEE.

8. Medidas técnicas y organizativas

PivEk implementa las siguientes medidas de seguridad:

  • Cifrado en tránsito: TLS 1.2+ en todas las comunicaciones
  • Cifrado en reposo: AES-256 en la base de datos (Supabase)
  • Aislamiento de datos: Row Level Security (RLS) por tenant — cada empresa solo accede a sus propios datos
  • Control de acceso: autenticación basada en roles (owner, operator, editor, admin)
  • Backups: copias de seguridad automáticas diarias con retención de 30 días
  • MFA: autenticación multifactor disponible para todos los usuarios
  • Logs de auditoría: registro de accesos y operaciones críticas
  • Gestión de vulnerabilidades: actualizaciones regulares de dependencias y revisión de seguridad

9. Asistencia al responsable

PivEk asistirá al Responsable, teniendo en cuenta la naturaleza del tratamiento, para:

  • Responder a solicitudes de ejercicio de derechos de los interesados
  • Garantizar el cumplimiento de las obligaciones de seguridad (art. 32 RGPD)
  • Notificar brechas de seguridad en un plazo máximo de 72 horas
  • Realizar evaluaciones de impacto cuando sea necesario

10. Supresión o devolución de datos

Al finalizar la relación contractual, PivEk, a elección del Responsable:

  • Devolverá todos los datos personales en formato estándar (CSV/JSON)
  • Suprimirá todas las copias existentes en un plazo máximo de 30 días

La obligación de supresión no aplica cuando la conservación sea exigida por la legislación de la Unión o de los Estados miembros.

11. Auditoría y verificación

PivEk pondrá a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en este acuerdo, y permitirá y contribuirá a la realización de auditorías, incluidas inspecciones, por parte del Responsable o de un auditor autorizado.

Datos de las partes

Encargado del tratamiento

  • Razón social: [Pendiente]
  • CIF: [Pendiente]
  • Dirección: [Pendiente]
  • DPO: [Pendiente]
  • Email de contacto: privacidad@pivek.es