Data Processing Agreement · Versión 3.1 · En vigor desde 8 de mayo de 2026
El presente Acuerdo de Tratamiento de Datos (“DPA”) regula el tratamiento de datos personales que el Responsable del Tratamiento encarga al Encargado del Tratamiento en el marco de la prestación de los servicios de la plataforma NómadaKit.
Responsable del Tratamiento: el Suscriptor (persona física o jurídica) que introduce en la plataforma datos personales de sus propios clientes, colaboradores o terceros.
Encargado del Tratamiento: NómadaKit, servicio titularidad de Marcos Tercero Fernández (NIF: 53416993E) — plataforma accesible en https://www.nomadakit.es, que procesa dichos datos en nombre y por cuenta del Responsable para la prestación del servicio contratado.
El presente DPA forma parte integrante de las Condiciones Generales de Contratación y se acepta de forma conjunta en el proceso de registro. En caso de conflicto, prevalecerá el DPA en todo lo relativo al tratamiento de datos personales.
El Encargado tratará los datos personales que el Responsable le facilite exclusivamente para prestar los servicios contratados y siguiendo siempre las instrucciones del Responsable, nunca para fines propios del Encargado, conforme al artículo 28 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (RGPD), y al artículo 28 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). El Responsable garantiza que dispone de las bases legales necesarias para el tratamiento de los datos que introduce en la plataforma.
| Categoría | Datos incluidos |
|---|---|
| Datos identificativos | Nombre completo o razón social. |
| Datos de contacto | Dirección de correo electrónico, teléfono (si se facilita). |
| Datos fiscales | NIF/CIF/NIE, dirección fiscal, código postal, ciudad, provincia, país. |
| Datos contractuales | Contenido de contratos, precio, plazos, condiciones introducidas por el Responsable. |
| Datos de facturación | Importes facturados, estados de pago, fechas de vencimiento. |
| Datos de acceso | Dirección IP y timestamp en el momento de la firma electrónica. |
⚠ No está permitido introducir en la plataforma datos de categoría especial (art. 9 RGPD): datos de salud, orientación sexual, creencias religiosas, origen racial, datos genéticos o biométricos, datos sobre condenas penales.
Durante la vigencia del contrato de suscripción y los 90 días naturales posteriores a su resolución, conforme a la Cláusula 6 de las Condiciones Generales. Transcurrido dicho plazo, los datos serán eliminados definitivamente conforme al artículo 17 del RGPD y al artículo 15 de la LOPDGDD.
El Encargado tratará los datos únicamente siguiendo las instrucciones documentadas del Responsable. Si considera que alguna instrucción infringe el RGPD o la LOPDGDD, lo comunicará inmediatamente al Responsable.
El Encargado garantiza que las personas autorizadas para tratar los datos están sujetas a obligaciones de confidencialidad y que solo el personal necesario tiene acceso a los datos tratados.
| Subencargado | Actividad | Ubicación / Garantías |
|---|---|---|
| Supabase, Inc. | Base de datos, autenticación y almacenamiento | Europa (UE/EEE) — región eu-north-1, Estocolmo, Suecia (AWS). DPA firmado. SCCs Decisión 2021/914. Autoridad supervisora: AEPD. |
| Resend, Inc. | Envío de emails transaccionales | EU-U.S. DPF certificado. DPA firmado. SCCs Decisión 2021/914. Ley aplicable: Irlanda. |
| Stripe Payments Europe Ltd. | Procesamiento de pagos vía modelo «Stripe Connect Standard». Tratamiento limitado a transmisión de importe y descripción para procesamiento; el cliente final del Responsable establece su propia relación con Stripe en el momento del pago. | UE (Irlanda) + EE.UU. (Stripe Inc.). SCCs Decisión 2021/914. PCI DSS Level 1. |
| Sentry (Functional Software, Inc.) | Monitoreo de errores y excepciones de la aplicación | EU region (Frankfurt). DPA firmado. SCCs Decisión 2021/914. SDK configurado con sendDefaultPii: false y scrubber custom para nif/iban/email. Solo metadata de errores, no contenido de operaciones. |
| Vercel, Inc. | Hosting, CDN y despliegue de la plataforma | EU-U.S. DPF certificado. SOC2 Type 2. ISO 27001. DPA vigente (31/03/2023). SCCs Decisión 2021/914. |
| Google Ireland Limited (Google LLC) | Analítica cuantitativa (Google Analytics 4) en páginas públicas: tráfico agregado, fuentes de adquisición, conversiones de funnel. IP anonimizada. No se carga en zona autenticada del producto. | Irlanda (EU) con SCCs UE Decisión 2021/914 + Data Privacy Framework. |
| Microsoft Clarity (Microsoft Corporation) | Analítica cualitativa (heatmaps + session recordings anonimizadas) en páginas públicas. Modo masking strict: el contenido del DOM se enmascara antes de salir del navegador. No se carga en zona autenticada del producto. | EE.UU. con SCCs UE Decisión 2021/914 + Data Privacy Framework. |
El Encargado notificará con 30 días de antelación cualquier modificación prevista de los subencargados.
El Encargado asistirá al Responsable en el cumplimiento de obligaciones respecto a los derechos de los interesados reconocidos en los artículos 15 a 22 del RGPD y en los artículos 13 a 18 de la LOPDGDD (acceso, rectificación, supresión, portabilidad, limitación, oposición). Las solicitudes recibidas directamente de interesados se trasladarán al Responsable en máximo 5 días hábiles.
El Encargado notificará al Responsable, sin dilación indebida y en un plazo máximo de 72 horas desde que tenga conocimiento de ello, cualquier violación de seguridad que pueda suponer un riesgo para los derechos y libertades de los interesados (art. 33 RGPD). El Responsable será el único competente para valorar la obligación de notificación a la Agencia Española de Protección de Datos (AEPD), conforme al artículo 77 de la LOPDGDD.
El Responsable declara y garantiza que:
Los datos almacenados en Supabase residen exclusivamente en Europa: región eu-north-1, Centro de Datos de AWS en Estocolmo, Suecia (UE/EEE). Las transferencias internacionales a EE.UU. (Stripe, Vercel, Resend, Microsoft Clarity) se realizan bajo las Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea en virtud de la Decisión de Ejecución 2021/914, conforme al artículo 46 del RGPD. Vercel, Resend y Microsoft Clarity disponen además de certificación EU-U.S. Data Privacy Framework (DPF). Todos los subencargados cuentan con DPA vigente.
El Encargado responderá de los daños causados a los interesados cuando no haya cumplido las obligaciones del RGPD y la LOPDGDD aplicables a los Encargados o haya actuado al margen de las instrucciones del Responsable. La responsabilidad máxima del Encargado frente al Responsable queda limitada al importe establecido en las Condiciones Generales de Contratación.
El presente DPA entrará en vigor en el momento de la aceptación de las Condiciones Generales y tendrá la misma duración que el contrato de suscripción. Las obligaciones de confidencialidad, seguridad y eliminación de datos permanecerán vigentes hasta la eliminación definitiva de todos los datos, conforme al artículo 17 del RGPD y al artículo 15 de la LOPDGDD.
soporte@nomadakit.es · Agencia Española de Protección de Datos (AEPD): www.aepd.es