Documento legal

Acuerdo de Encargo de Tratamiento (DPA)

Última actualización: 26 de abril de 2026 · Versión 1.0

Este Acuerdo (en adelante, "DPA") regula el tratamiento de datos personales que ōrbita realiza por cuenta del Usuario, conforme al artículo 28 del Reglamento (UE) 2016/679 (RGPD). Forma parte integrante de los Términos y Condiciones y se acepta automáticamente al activar cualquier funcionalidad que implique el tratamiento de datos personales de terceros (como conectar redes sociales, importar contactos o gestionar campañas con datos de clientes).

Contenidos

Partes del Acuerdo
Objeto y duración
Datos y categorías de interesados
Obligaciones de ōrbita como encargada
Instrucciones del responsable
Subencargados
Transferencias internacionales
Medidas de seguridad
Notificación de brechas
Asistencia en el ejercicio de derechos
Auditorías
Fin del tratamiento
Responsabilidad
Legislación y jurisdicción

1. Partes del Acuerdo

Responsable del tratamiento ("Responsable"): el Usuario que contrata el servicio de ōrbita y aporta o conecta datos personales de terceros (sus seguidores, contactos, clientes o leads).
Encargada del tratamiento ("Encargada"): Mónica Lorenzo González, NIF 38131132F, con domicilio en C/ Garcilaso 26, 3º 1ª, 08027 Barcelona, España. Email: orbita@orbitasolutions.org.

1.1 Caso de uso: Agencias y profesionales que prestan servicio a terceros

Cuando el Usuario de ōrbita es una agencia, profesional freelance u otra entidad que utiliza la plataforma para prestar servicios de marketing a sus propios clientes, la cadena jurídica de tratamiento es la siguiente:

Cliente final de la Agencia → Responsable del tratamiento.
Agencia (Usuario de ōrbita) → Encargada del tratamiento respecto a los datos del cliente final.
ōrbita → Subencargada del tratamiento conforme al art. 28.4 RGPD.

En este escenario, este Acuerdo se interpreta como acuerdo de subencargo entre la Agencia y ōrbita. La Agencia garantiza que:

Dispone de un contrato de encargo de tratamiento con cada uno de sus clientes finales que cumple el art. 28 RGPD.
Dicho contrato autoriza expresamente la subcontratación de proveedores tecnológicos como ōrbita y, cuando corresponda, sus subencargados (ver sección 6).
Ha informado a sus clientes finales del uso de ōrbita y de los subencargados relevantes.
Trasladará a sus clientes finales las obligaciones, garantías y notificaciones que reciba de ōrbita en el marco de este Acuerdo (notificación de brechas, cambios de subencargados, asistencia en derechos de los interesados, etc.).

La Agencia será la única interlocutora de ōrbita; ōrbita no mantiene relación contractual directa con los clientes finales de la Agencia salvo que así se pacte expresamente por escrito.

Nota: ōrbita es actualmente un proyecto operado bajo el régimen de trabajadora autónoma. Cuando se constituya la sociedad mercantil correspondiente, este Acuerdo se cederá a la nueva entidad y se notificará al Responsable.

2. Objeto y duración

El objeto de este Acuerdo es regular el tratamiento de datos personales que ōrbita realiza por cuenta del Responsable como consecuencia de la prestación del servicio (publicación en redes, métricas, campañas, soporte, generación de contenido por IA y demás funcionalidades disponibles).

Este Acuerdo entra en vigor en el momento en que el Responsable comienza a utilizar funcionalidades que impliquen el tratamiento de datos de terceros, y se mantiene mientras dure la relación contractual establecida en los Términos y Condiciones, así como durante los plazos legales de conservación posteriores.

3. Datos y categorías de interesados

3.1 Naturaleza y finalidad del tratamiento

ōrbita trata los datos exclusivamente para prestar al Responsable las funcionalidades contratadas: alojamiento, publicación, programación, análisis y elaboración de contenidos.

3.2 Tipo de datos personales

Datos identificativos públicos en redes sociales: nombre de usuario, foto de perfil.
Datos de contacto cuando el Responsable los aporte: emails, teléfonos.
Contenido generado por terceros: comentarios, mensajes, interacciones.
Métricas asociadas a personas: interacciones, alcance, audiencias.
Cualquier otro dato que el Responsable decida cargar o conectar al servicio.

3.3 Categorías de interesados

Seguidores y audiencia del Responsable en redes sociales.
Clientes y potenciales clientes (leads) del Responsable.
Contactos y suscriptores del Responsable.

3.4 Categorías especiales de datos

El Responsable se compromete a no introducir en el servicio categorías especiales de datos (art. 9 RGPD: salud, religión, opiniones políticas, orientación sexual, datos biométricos, etc.) ni datos de menores de 16 años, salvo que exista base legal y se haya pactado expresamente con la Encargada un anexo específico de medidas reforzadas.

4. Obligaciones de ōrbita como encargada

ōrbita se compromete a:

Tratar los datos únicamente siguiendo las instrucciones documentadas del Responsable, recogidas en los Términos, en este DPA y en las funcionalidades del servicio configurables por el Responsable.
Garantizar que las personas autorizadas para tratar los datos se han comprometido a respetar la confidencialidad o están sujetas a una obligación legal de confidencialidad.
Aplicar las medidas técnicas y organizativas apropiadas (sección 8).
Asistir al Responsable, en la medida de lo posible, en el cumplimiento de sus obligaciones de responder a las solicitudes de los interesados.
Asistir al Responsable en garantizar el cumplimiento de los arts. 32 a 36 del RGPD (seguridad, brechas, evaluaciones de impacto y consulta previa).
A elección del Responsable, suprimir o devolver los datos al finalizar la prestación, según se detalla en la sección 12.
Poner a disposición del Responsable la información necesaria para demostrar el cumplimiento de las obligaciones del art. 28 RGPD.

5. Instrucciones del responsable

Las instrucciones documentadas del Responsable a la Encargada se entienden incluidas en (i) los Términos y Condiciones, (ii) este DPA, (iii) la Política de privacidad de ōrbita y (iv) las acciones que el Responsable realice a través del panel del servicio (conectar/desconectar redes, programar publicaciones, importar/eliminar contactos, etc.).

Si la Encargada considera que una instrucción del Responsable infringe la normativa de protección de datos, le informará inmediatamente y podrá suspender la ejecución de dicha instrucción.

6. Subencargados

El Responsable autoriza con carácter general a ōrbita a recurrir a los siguientes subencargados (lista no exhaustiva, actualizada en la Política de privacidad):

Infraestructura y datos: Supabase (UE), Google Cloud, Netlify.
Pagos: Stripe.
Email transaccional y marketing: Resend, Loops, Mailchimp, Brevo, Beehiiv, ActiveCampaign.
Analítica: Google Analytics 4, Mixpanel.
Publicación en redes sociales conectadas vía OAuth: Meta Platforms Ireland Ltd. (Facebook, Instagram, Threads), LinkedIn Ireland Unlimited Company, TikTok Technology Limited, X Corp., Pinterest, Google (YouTube, Google Business Profile).
Pixels y publicidad (cuando aplique): Meta, TikTok, X, Pinterest, LinkedIn.
CRM y soporte: HubSpot, Intercom, Crisp.
Inteligencia artificial: OpenAI, Anthropic, Google Vertex AI.

Para las integraciones por OAuth con redes sociales, ōrbita almacena los tokens de acceso cifrados y los utiliza únicamente para ejecutar las acciones autorizadas por el Responsable (publicación, lectura de métricas, gestión de la conexión). Cuando el Responsable o el interesado revoca la conexión, los tokens se invalidan ante la red social cuando es técnicamente posible y se eliminan de la base de datos de ōrbita conforme a las Instrucciones de eliminación de datos.

ōrbita exige a sus subencargados las mismas obligaciones materiales de protección de datos previstas en este Acuerdo. Si añadimos o sustituimos subencargados, lo comunicaremos al Responsable con un preaviso razonable a través del servicio o por email para que pueda formular objeciones fundadas. Si el Responsable se opone por motivos justificados, ōrbita ofrecerá una solución alternativa razonable; si no es posible, cualquiera de las partes podrá resolver el contrato.

7. Transferencias internacionales

Algunos subencargados están ubicados fuera del Espacio Económico Europeo, principalmente en Estados Unidos. Para esas transferencias, ōrbita aplica:

Adhesión del subencargado al EU-U.S. Data Privacy Framework cuando esté disponible.
Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea (Decisión 2021/914/UE).
Selección preferente de regiones europeas y medidas técnicas complementarias (cifrado, minimización).

8. Medidas de seguridad

ōrbita aplica medidas técnicas y organizativas apropiadas al riesgo, incluyendo:

Cifrado en tránsito (TLS) y en reposo de los datos personales.
Autenticación robusta y control de accesos por roles para el personal autorizado.
Registro de actividades de tratamiento y trazabilidad de accesos.
Copias de seguridad periódicas y procedimientos de recuperación.
Revisiones de seguridad y actualizaciones del software.
Selección de proveedores con certificaciones reconocidas (ISO 27001, SOC 2 o equivalentes).

9. Notificación de brechas de seguridad

En caso de brecha de seguridad que afecte a datos personales tratados por cuenta del Responsable, ōrbita lo notificará sin dilación indebida y, en la medida de lo posible, en un plazo máximo de 72 horas desde que tenga conocimiento, facilitando al menos:

Naturaleza y categorías de datos e interesados afectados.
Posibles consecuencias.
Medidas adoptadas o propuestas para mitigar la brecha.
Punto de contacto para más información.

El Responsable es quien, en su caso, debe notificar la brecha a la autoridad de control y a los interesados conforme a los arts. 33 y 34 RGPD; ōrbita le asistirá razonablemente en este proceso.

10. Asistencia en el ejercicio de derechos

Si un interesado ejerce sus derechos (acceso, rectificación, supresión, oposición, limitación, portabilidad) directamente ante ōrbita, esta lo comunicará al Responsable sin demora. Cuando técnicamente sea posible, ōrbita pondrá a disposición del Responsable funcionalidades para atender los derechos por sí mismo (exportación de datos, eliminación de contactos, desconexión de cuentas, etc.).

11. Auditorías

ōrbita pondrá a disposición del Responsable, previa solicitud razonable y con confidencialidad recíproca, la información necesaria para demostrar el cumplimiento de este Acuerdo, incluyendo certificaciones de los subencargados y resúmenes de auditorías. Cuando exista una causa razonable y la información disponible no resulte suficiente, el Responsable podrá realizar auditorías propias o a través de un tercero independiente, con un preaviso de al menos 30 días, una vez al año salvo incidente, en horario laboral y sin perturbar la actividad de la Encargada.

12. Fin del tratamiento

Al finalizar la prestación del servicio, y a elección del Responsable manifestada en los 30 días siguientes, ōrbita devolverá los datos personales o los suprimirá. Si el Responsable no manifiesta su elección, ōrbita procederá a la supresión transcurridos los plazos legales de conservación. Las copias de seguridad se eliminarán según los ciclos habituales de rotación.

13. Responsabilidad

Cada parte responde de los daños causados por el incumplimiento de sus obligaciones bajo el RGPD y este Acuerdo. La responsabilidad de ōrbita frente al Responsable derivada o relacionada con este DPA queda sujeta a los mismos límites previstos en los Términos y Condiciones, salvo en los supuestos en los que la ley imperativa no permita su limitación.

14. Legislación aplicable y jurisdicción

Este Acuerdo se rige por la legislación española y por el Derecho de la Unión Europea. Para cualquier controversia, las partes se someten a los juzgados y tribunales de la ciudad de Barcelona, salvo que la ley imponga otro fuero (en particular, el del domicilio del consumidor cuando aplique).

¿Tienes alguna duda sobre el tratamiento de datos? Escríbenos a orbita@orbitasolutions.org.