Contrato de Encargado de Tratamiento (DPA)
Última actualización: mayo de 2026 · Conforme al Art. 28 RGPD
Este Contrato de Encargado de Tratamiento ("DPA") se incorpora y forma parte de los Términos y Condiciones entre mihueco y el Cliente y regula el tratamiento de datos personales de los clientes finales del Cliente dentro de la plataforma mihueco.
1. Definiciones
- Responsable del tratamiento: el Cliente (negocio registrado en mihueco) que determina los fines y medios del tratamiento de los datos de sus clientes finales.
- Encargado del tratamiento: mihueco, que trata los datos por cuenta del Responsable.
- Datos personales: cualquier información relativa a personas identificadas o identificables (nombre, teléfono, email, historial de citas) introducida en la plataforma por el Cliente.
- RGPD: Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo.
2. Objeto y duración
mihueco tratará los Datos personales exclusivamente para prestar el Servicio descrito en los Términos y Condiciones y durante la vigencia del contrato de suscripción.
3. Instrucciones de tratamiento
mihueco solo tratará los Datos personales siguiendo las instrucciones documentadas del Responsable. El uso de la plataforma constituye instrucción suficiente para las operaciones necesarias para la prestación del Servicio (almacenamiento, consulta, envío de notificaciones de reserva).
Si mihueco considera que una instrucción infringe el RGPD u otra normativa, lo comunicará al Responsable sin dilación.
4. Obligaciones de mihueco como Encargado
mihueco se compromete a:
- Tratar los datos únicamente para los fines del Servicio, no para fines propios.
- Garantizar que las personas autorizadas para tratar los datos han asumido obligaciones de confidencialidad.
- Implementar medidas técnicas y organizativas apropiadas (cifrado en tránsito y en reposo, control de acceso, copias de seguridad).
- Asistir al Responsable, en la medida de lo posible, en el cumplimiento de solicitudes de ejercicio de derechos de los interesados.
- Asistir al Responsable en el cumplimiento de sus obligaciones de seguridad, notificación de brechas y evaluación de impacto.
- Notificar al Responsable, sin dilación indebida y en un máximo de 72 horas, cualquier brecha de seguridad que afecte a los Datos personales.
- Suprimir o devolver los Datos personales al Responsable al finalizar el contrato, según elija el Responsable.
- Poner a disposición del Responsable la información necesaria para demostrar el cumplimiento del presente DPA.
5. Subencargados del tratamiento
El Responsable autoriza a mihueco a utilizar los siguientes subencargados para la prestación del Servicio:
| Subencargado | Actividad | Ubicación |
|---|---|---|
| Supabase Inc. | Base de datos e infraestructura cloud | UE / EE.UU. (SCCs) |
| Stripe Inc. | Procesamiento de pagos | UE / EE.UU. (SCCs) |
| Resend Inc. / proveedor email | Envío de notificaciones por email | EE.UU. (SCCs) |
| Twilio / Meta Platforms | Mensajería WhatsApp (solo plan IA) | UE / EE.UU. (SCCs) |
mihueco informará al Responsable con al menos 30 días de antelación sobre cualquier cambio previsto en los subencargados, dando al Responsable la oportunidad de oponerse.
6. Transferencias internacionales
Cuando los subencargados procesen datos fuera del Espacio Económico Europeo, mihueco garantizará que se aplican las Cláusulas Contractuales Tipo (CCT) u otro mecanismo de transferencia válido conforme al Capítulo V del RGPD.
7. Seguridad
mihueco aplica, como mínimo, las siguientes medidas de seguridad:
- Cifrado TLS en tránsito y AES-256 en reposo (Supabase).
- Autenticación con control de acceso por roles.
- Copias de seguridad diarias con retención de 7 días.
- Registro de accesos y auditorías periódicas.
8. Obligaciones del Responsable
El Cliente (Responsable) se compromete a:
- Haber obtenido las bases jurídicas adecuadas para tratar los datos de sus clientes finales.
- Informar a sus clientes finales sobre el tratamiento de sus datos (incluyendo el uso de mihueco como herramienta).
- No introducir en la plataforma categorías especiales de datos (salud, origen étnico, etc.) sin acuerdo previo con mihueco.
9. Legislación aplicable
Este DPA se rige por el RGPD y la normativa española de protección de datos (LOPDGDD). Las controversias se someten a los tribunales competentes según los Términos y Condiciones.
10. Contacto DPD / Privacidad
Para cualquier cuestión relativa a este DPA: daniel@mihueco.es