Acuerdo de tratamiento de datos

1. Partes y ámbito de aplicación

El presente acuerdo de tratamiento de datos ("DPA") se celebra entre el cliente que utiliza Bungaflow ("Responsable del tratamiento") y Redor AS, número de organización [en proceso de registro], operador de la plataforma Bungaflow ("Encargado del tratamiento").

Este DPA regula el tratamiento de datos personales por parte del Encargado del tratamiento en nombre del Responsable del tratamiento de conformidad con el Reglamento General de Protección de Datos (RGPD), en particular el artículo 28. El DPA forma parte integral del contrato de servicio entre las partes y complementa la política de privacidad y los términos de uso.

2. Definiciones

• Datos personales: Toda información relativa a una persona física identificada o identificable.
• Tratamiento: Cualquier operación realizada sobre datos personales, incluyendo la recogida, el almacenamiento, la modificación, la consulta, la divulgación o la supresión.
• Responsable del tratamiento: La parte que determina los fines y medios del tratamiento de datos personales (el cliente — propietario de la unidad o administrador de la organización).
• Encargado del tratamiento: La parte que trata datos personales por cuenta del Responsable del tratamiento (Redor AS / Bungaflow).
• Subencargado: Un tercero contratado por el Encargado del tratamiento para llevar a cabo actividades de tratamiento específicas.
• Interesado: La persona física cuyos datos personales son objeto de tratamiento.
• Autoridad de control: La autoridad pública independiente responsable de supervisar la aplicación de la legislación de protección de datos (en España: la Agencia Española de Protección de Datos, AEPD).

3. Objeto y duración

El Encargado del tratamiento trata datos personales por cuenta del Responsable del tratamiento con el fin de proporcionar la plataforma Bungaflow, incluyendo, entre otros: gestión de reservas, reparto de gastos, gestión de tareas, mensajería, registro de mantenimiento, almacenamiento de documentos, portal de invitados, asistente de IA y funcionalidades relacionadas.

El tratamiento dura mientras el Responsable del tratamiento mantenga una cuenta activa en la plataforma Bungaflow. En caso de cancelación o eliminación de la cuenta, el tratamiento cesa y los datos se eliminan de conformidad con el apartado 12 del presente acuerdo.

4. Tipos de datos personales tratados

El Encargado del tratamiento trata las siguientes categorías de datos personales por cuenta del Responsable del tratamiento:

• Nombres y direcciones de correo electrónico de los miembros de la unidad
• Datos de reservas (fechas, tipos, asociaciones de miembros)
• Datos de gastos (importes, descripciones, imágenes de recibos)
• Mensajes y entradas en el libro de visitas
• Registros de mantenimiento
• Asignaciones de tareas
• Datos del portal de invitados (nombres de invitados, información de registro)
• Contraseñas WiFi (cifradas con AES-256-GCM)
• Conversaciones de chat con IA
• Suscripciones a notificaciones push
• Registros de actividad

5. Categorías de interesados

El tratamiento se refiere a las siguientes categorías de interesados:

• Miembros de la unidad (administradores y miembros lite)
• Invitados (a través del portal de invitados)
• Miembros de la organización

6. Obligaciones del Encargado del tratamiento

El Encargado del tratamiento se compromete a:

• Tratar los datos personales únicamente sobre la base de instrucciones documentadas del Responsable del tratamiento, salvo que lo exija el Derecho de la Unión o de los Estados miembros.
• Garantizar que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación legal de confidencialidad apropiada.
• Aplicar las medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad apropiado al riesgo, incluyendo:
  • Cifrado TLS para todos los datos en tránsito
  • Cifrado AES-256-GCM para campos sensibles (p. ej., contraseñas WiFi)
  • Cabeceras HSTS y Content Security Policy
  • Control de acceso basado en roles (roles Admin / Lite)
  • Pipeline CI/CD automatizado con análisis de seguridad
  • Seguridad a nivel de base de datos con seguridad a nivel de fila y políticas de eliminación en cascada
• Asistir al Responsable del tratamiento en la atención de las solicitudes de los interesados, incluyendo el derecho de acceso, rectificación, supresión, portabilidad de datos y limitación del tratamiento.
• Asistir al Responsable del tratamiento en el cumplimiento de los artículos 32 a 36 del RGPD (seguridad, notificación de violaciones, evaluaciones de impacto en la protección de datos).
• A elección del Responsable del tratamiento, suprimir o devolver todos los datos personales una vez finalizada la prestación de servicios, y suprimir las copias existentes salvo que el Derecho de la Unión o de los Estados miembros exija su conservación. La eliminación de la cuenta suprime todos los datos de la unidad mediante eliminación en cascada.
• Poner a disposición del Responsable del tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el artículo 28 del RGPD.

7. Subencargados

El Responsable del tratamiento otorga autorización general al Encargado del tratamiento para recurrir a los siguientes subencargados:

El Encargado del tratamiento informará al Responsable del tratamiento de cualquier cambio previsto en relación con la incorporación o sustitución de subencargados, dando al Responsable del tratamiento la oportunidad de oponerse a dichos cambios en un plazo de 14 días desde la notificación.

8. Transferencias internacionales de datos

Determinados subencargados (Resend, OpenAI, red edge de Vercel) pueden tratar datos personales fuera de la UE/EEE. Dichas transferencias están amparadas por el Marco de Protección de Datos UE-EE. UU. y/o las Cláusulas Contractuales Tipo (CCT) adoptadas por la Comisión Europea, de conformidad con el capítulo V del RGPD.

9. Notificación de violaciones de datos

El Encargado del tratamiento notificará al Responsable del tratamiento sin dilación indebida, y en todo caso en un plazo máximo de 48 horas, tras tener conocimiento de una violación de datos personales, de conformidad con el artículo 33 del RGPD. La notificación incluirá la naturaleza de la violación, las categorías y el número aproximado de interesados afectados, las consecuencias probables y las medidas adoptadas o propuestas para hacer frente a la violación.

10. Derechos de auditoría

El Responsable del tratamiento tiene derecho a auditar, o a hacer auditar por un tercero independiente, el cumplimiento del presente DPA y de la legislación aplicable en materia de protección de datos por parte del Encargado del tratamiento. El Encargado del tratamiento pondrá a disposición toda la información necesaria para demostrar el cumplimiento y cooperará en dichas auditorías.

11. Responsabilidad

Cada parte es responsable de los daños causados por un tratamiento que infrinja el RGPD de conformidad con el artículo 82. La responsabilidad total acumulada del Encargado del tratamiento en virtud del presente DPA se limita al importe total de las tarifas abonadas por el Responsable del tratamiento al Encargado del tratamiento durante los 12 meses anteriores al evento que da lugar a la reclamación.

12. Vigencia y resolución

El presente DPA entra en vigor cuando el Responsable del tratamiento crea una cuenta en la plataforma Bungaflow y permanece vigente mientras el Encargado del tratamiento trate datos personales por cuenta del Responsable del tratamiento. En caso de cancelación o eliminación de la cuenta del Responsable del tratamiento, todos los datos personales se eliminarán en un plazo de 30 días. La eliminación se realiza mediante eliminación en cascada, que suprime todos los datos de la unidad asociados (reservas, gastos, miembros, mensajes, tareas, documentos, etc.).

13. Contacto

Para cualquier consulta sobre el presente acuerdo de tratamiento de datos o el tratamiento de datos personales, póngase en contacto con nosotros en privacy@bungaflow.com.