Acuerdo de Tratamiento de Datos (DPA)

1. Partes

El presente Acuerdo de Tratamiento de Datos (en adelante, "DPA") se celebra entre:

• Encargado del tratamiento: Jose Antonio Touriño Eirín, NIF 76827011L, Juan Bautista Andrade, Pontevedra, España (en adelante, "el Encargado" o "Laxio")
• Responsable del tratamiento: La empresa o profesional que contrata los servicios de Laxio (en adelante, "el Cliente")

2. Objeto y finalidad del tratamiento

El Encargado tratará los datos personales por cuenta del Cliente exclusivamente para la prestación de los servicios contratados de la plataforma Laxio, que incluyen:

• Gestión de inventario de bloques de piedra natural
• Gestión de clientes, proveedores y presupuestos
• Gestión de pedidos, entregas y liquidaciones
• Almacenamiento de ficheros asociados (fotografías de bloques, documentos)

3. Tipos de datos tratados

En el marco de la prestación de servicios, el Encargado podrá tratar las siguientes categorías de datos personales:

• Datos identificativos: nombre, apellidos, NIF/CIF, dirección, teléfono, email de los clientes y proveedores del Cliente
• Datos de usuarios de la plataforma: nombre, email, rol, actividad de acceso
• Datos comerciales: presupuestos, pedidos, tarifas, entregas
• Datos de facturación: datos fiscales necesarios para la emisión de facturas

4. Obligaciones del Encargado

El Encargado se compromete a:

• Tratar los datos únicamente conforme a las instrucciones documentadas del Cliente y para la finalidad descrita en este DPA
• No comunicar los datos a terceros, salvo autorización expresa del Cliente o por obligación legal
• Garantizar que las personas autorizadas para tratar los datos se han comprometido a respetar la confidencialidad
• Implementar las medidas técnicas y organizativas apropiadas para garantizar la seguridad de los datos (cifrado en tránsito y en reposo, control de acceso, copias de seguridad, aislamiento por tenant)
• Asistir al Cliente en el cumplimiento de sus obligaciones en materia de derechos de los interesados (acceso, rectificación, supresión, portabilidad, oposición, limitación)
• Notificar al Cliente cualquier brecha de seguridad que afecte a datos personales en un plazo máximo de 72 horas desde su detección

5. Medidas de seguridad

El Encargado ha implementado las siguientes medidas técnicas y organizativas:

• Cifrado TLS en todas las comunicaciones (HTTPS)
• Aislamiento de datos por tenant (Row Level Security en PostgreSQL)
• Autenticación mediante JWT con tokens de refresco y bloqueo por intentos fallidos
• Hashing de contraseñas con bcrypt (factor 12)

6. Subencargados

El Cliente autoriza al Encargado a recurrir a los siguientes subencargados para la prestación del servicio: Hetzner Online GmbH (alojamiento de infraestructura, Alemania/UE), Resend Inc. (envío de emails transaccionales, EE.UU. — con cláusulas contractuales tipo).

El Encargado informará al Cliente de cualquier cambio en los subencargados con al menos 30 días de antelación, permitiendo al Cliente oponerse.

7. Transferencias internacionales

Los datos se alojan en servidores ubicados en la Unión Europea (Hetzner, Alemania). En caso de transferencia a subencargados fuera del EEE, se aplicarán las garantías previstas en el artículo 46 del RGPD (cláusulas contractuales tipo aprobadas por la Comisión Europea).

8. Duración y finalización

Este DPA estará vigente mientras dure la relación contractual entre las partes. A la finalización del servicio, el Encargado:

• Devolverá o eliminará todos los datos personales, a elección del Cliente
• Certificará la eliminación de los datos si así se solicita
• Podrá conservar los datos bloqueados durante el plazo legalmente exigido

9. Contacto

Para cualquier cuestión relativa a este DPA o al tratamiento de datos personales, puede contactar con el Encargado en: [email protected].