Información legal
Acuerdo de tratamiento de datos (DPA)
Este acuerdo regula la relación de encargo de tratamiento entre el Cliente (responsable) y Plexium (encargado), conforme al artículo 28 del Reglamento (UE) 2016/679 (RGPD).
Última actualización: 4 de mayo de 2026
1. Definiciones
- Responsable: el Cliente, persona física o jurídica que contrata Plexium y determina los fines y medios del tratamiento.
- Encargado: [PLEXIUM TECH, S.L.], que trata datos por cuenta del Responsable.
- Subencargado: tercero contratado por el Encargado para asistir en el tratamiento.
- Datos personales: los datos definidos en el art. 4.1 del RGPD.
2. Objeto y duración
El Encargado tratará datos personales por cuenta del Responsable durante la vigencia de la suscripción al servicio Plexium y según las instrucciones documentadas en estos términos y en el dashboard.
3. Naturaleza, finalidad y categorías
Naturaleza del tratamiento: recogida, almacenamiento, análisis y comunicación a través de APIs de terceros.
Finalidades:
- Gestión de la presencia digital local del Responsable (reseñas, contenido, posicionamiento).
- Generación automatizada de respuestas y contenido SEO mediante modelos de lenguaje.
- Análisis de competencia y reporting.
Categorías de datos personales tratados:
- Datos identificativos del personal del Responsable (admins de la cuenta).
- Datos identificativos de clientes finales del Responsable que aparezcan en reseñas públicas (nombre, foto, contenido de la reseña).
- Datos de contacto incluidos voluntariamente en campañas de email.
Categorías de interesados:
- Empleados y administradores del Responsable.
- Clientes y prospectos del Responsable.
4. Obligaciones del encargado
El Encargado se compromete a:
- Tratar los datos personales únicamente siguiendo las instrucciones del Responsable.
- No transferir los datos fuera del Espacio Económico Europeo sin las garantías adecuadas (SCCs, DPF).
- Garantizar que el personal autorizado para el tratamiento se ha comprometido a respetar la confidencialidad.
- Aplicar las medidas técnicas y organizativas descritas en el Anexo I.
- Asistir al Responsable en el cumplimiento de su obligación de responder a solicitudes de derechos de los interesados.
- Asistir al Responsable en la realización de evaluaciones de impacto y consultas previas, cuando proceda.
- Notificar sin dilación indebida —y en todo caso en menos de 72 horas— cualquier violación de la seguridad de los datos.
- A elección del Responsable, suprimir o devolver todos los datos al finalizar la prestación del servicio (plazo de exportación de 30 días).
- Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones del art. 28 RGPD.
5. Subencargados
El Responsable autoriza al Encargado a contratar a los subencargados listados en el Anexo II. El Encargado notificará con al menos 30 días de antelación cualquier alta o sustitución, dando al Responsable la oportunidad de oponerse fundadamente.
El Encargado mantendrá con cada subencargado un contrato que imponga las mismas obligaciones de protección de datos previstas en este acuerdo.
6. Transferencias internacionales
Cuando un subencargado esté ubicado fuera del EEE, la transferencia se amparará en alguna de las garantías adecuadas previstas en el RGPD: decisión de adecuación, Cláusulas Contractuales Tipo (módulo 3 procesador→subprocesador) o, cuando aplique, certificación bajo el Data Privacy Framework UE-EE. UU.
7. Auditoría
El Encargado pondrá a disposición del Responsable, una vez al año o ante incidente justificado, los certificados de seguridad de los que disponga (SOC 2, ISO 27001 cuando aplique). El Responsable podrá solicitar auditorías adicionales con al menos 30 días de preaviso, siendo los costes a su cargo salvo que la auditoría revele incumplimientos.
8. Notificación de violaciones
Las notificaciones se enviarán a la dirección de email registrada por el Responsable e incluirán:
- Naturaleza de la violación, categorías y número aproximado de interesados afectados.
- Datos de contacto del DPO del Encargado (dpo@plexium.es).
- Posibles consecuencias y medidas adoptadas o propuestas.
9. Devolución y supresión
A la finalización del servicio, el Encargado devolverá o suprimirá los datos personales en un plazo de 30 días, salvo conservación obligatoria por ley.
10. Responsabilidad
Cada parte responderá por los daños causados por incumplimiento de sus obligaciones bajo este acuerdo, conforme a la cláusula de Limitación de Responsabilidad de los Términos del Servicio.
Anexo I — Medidas técnicas y organizativas
- Cifrado en tránsito (TLS 1.2+) y en reposo (AES-256).
- Autenticación multifactor para acceso administrativo.
- Control de acceso basado en roles (RBAC) con principio de menor privilegio.
- Logs de auditoría con retención mínima de 12 meses.
- Backups cifrados diarios con rotación de 30 días.
- Plan de respuesta a incidentes con notificación < 72 h.
- Formación periódica del equipo en protección de datos y seguridad.
- Pruebas de penetración anuales a cargo de proveedor externo.
- Política de gestión de vulnerabilidades con SLAs por severidad.
Anexo II — Lista de subencargados
| Subencargado | Servicio | Ubicación | Garantía de transferencia |
|---|---|---|---|
| Supabase Inc. | Base de datos y autenticación | UE (Frankfurt) | EEE |
| Vercel Inc. | Hosting y CDN | UE / EE. UU. | SCCs + DPF |
| Stripe Payments Europe Ltd. | Procesamiento de pagos | Irlanda | EEE |
| Google LLC | API Google Business Profile | EE. UU. | SCCs + DPF |
| Anthropic PBC | Modelos de lenguaje | EE. UU. | SCCs |
| OpenAI Ireland Ltd. | Modelos de lenguaje | Irlanda / EE. UU. | SCCs |
| Resend Inc. | Email transaccional | EE. UU. | SCCs |
| [Otros] | [Servicio] | [Ubicación] | [Garantía] |