Legal

Acuerdo de tratamiento de datos (DPA)

Última actualización: 10 de junio de 2026

1. Objeto

Este Acuerdo (el "DPA") regula el tratamiento de datos personales que el Proveedor realiza por cuenta del Cliente al prestarle el Servicio, en cumplimiento de las normativas de protección de datos aplicables (GDPR, LGPD, LFPDPPP, entre otras).

2. Roles

El Cliente actúa como responsable del tratamiento respecto de los datos personales que sube al Servicio. El Proveedor actúa como encargado del tratamiento y procesa los datos únicamente según las instrucciones del Cliente, recogidas en los Términos y este DPA.

3. Naturaleza y finalidad del tratamiento

  • Naturaleza: almacenamiento, organización, consulta, modificación y eliminación de los Datos del Cliente.
  • Finalidad: prestar el Servicio descrito en los Términos.
  • Duración: la del contrato más 30 días adicionales para exportación.

4. Categorías de datos e interesados

Las categorías concretas dependen de lo que el Cliente decida subir al Servicio. Pueden incluir datos identificativos, datos de contacto, datos transaccionales, identificadores de negocio y, eventualmente, categorías especiales si el Cliente decide tratarlas (en cuyo caso debe contar con base legal propia).

5. Obligaciones del Proveedor

  1. Tratar los datos solo según instrucciones documentadas del Cliente (incluidos los Términos y este DPA).
  2. Garantizar que su personal autorizado para acceder a los datos esté sujeto a deber de confidencialidad.
  3. Aplicar medidas técnicas y organizativas adecuadas descritas en /seguridad.
  4. Asistir al Cliente para responder solicitudes de los interesados y cumplir sus obligaciones de seguridad, notificación de brechas y evaluación de impacto.
  5. Eliminar o devolver los Datos del Cliente al término del contrato.
  6. Poner a disposición del Cliente la información necesaria para demostrar el cumplimiento de este DPA.

6. Subprocesadores

El Cliente autoriza al Proveedor a usar los subprocesadores listados en la Política de Privacidad. El Proveedor dará aviso previo razonable antes de incorporar un nuevo subprocesador y permitirá al Cliente oponerse por motivos razonables.

7. Notificación de brechas

El Proveedor notificará al Cliente sin demora indebida tras tener conocimiento de una violación de seguridad que afecte a los Datos del Cliente, proporcionando la información razonable para que el Cliente cumpla sus obligaciones de notificación a autoridad y, en su caso, a los interesados.

8. Devolución y eliminación

Al término del contrato, el Cliente puede exportar sus datos durante 30 días. Transcurrido ese plazo, el Proveedor eliminará los Datos del Cliente de sus sistemas activos, salvo obligación legal de conservación.

9. Auditoría

El Cliente puede solicitar, una vez al año y con preaviso razonable, evidencia documental del cumplimiento de este DPA (informes de seguridad, certificaciones, audit logs). Las auditorías presenciales requieren acuerdo previo.

10. Vigencia

Este DPA entra en vigor al aceptar los Términos y se mantiene vigente mientras el Proveedor trate Datos del Cliente. En caso de conflicto entre este DPA y los Términos, prevalece este DPA en lo relativo a protección de datos.

¿Dudas legales? Escríbenos a hola@rnflows.com.

Empieza a construir hoy

Crea tu workspace en minutos. Sin tarjeta, sin instalar nada.