Acuerdo de Encargo de Tratamiento (DPA) del marketplace
- Partes y roles del Acuerdo
- Objeto, naturaleza, finalidad y duración
- Datos personales y categorías de interesados
- Instrucciones documentadas del responsable
- Deber de confidencialidad del personal
- Medidas técnicas y organizativas de seguridad
- Subencargados
- Tokens de redes sociales y cuentas conectadas
- Asistencia en el ejercicio de derechos
- Notificación de violaciones de seguridad
- Transferencias internacionales
- Supresión o devolución de los datos
- Auditorías e inspecciones
- Responsabilidad y reparto
- Legislación aplicable y jurisdicción
1. Partes y roles del Acuerdo
1.1. Responsable del tratamiento ("Responsable" o "Cliente"): la empresa o profesional que contrata, a través del marketplace de ōrbita, un servicio de marketing, y que aporta o conecta los datos personales de terceros (sus seguidores, audiencia, contactos, clientes y leads). Sus datos identificativos y fiscales constan en el encargo aceptado en la plataforma.
1.2. Encargado del tratamiento ("Encargado" o "Proveedor"): la agencia, profesional freelance o community manager que, a través del marketplace, presta al Cliente el servicio de marketing y, para ello, accede a las cuentas de redes sociales y a los datos del Cliente. Sus datos identificativos y fiscales constan en el encargo aceptado.
1.3. Subencargado tecnológico ("ōrbita"): Mónica Lorenzo González, NIF 38131132F, domicilio C/ Garcilaso 26, 3º 1ª, 08027 Barcelona, España, email orbita@orbitasolutions.org, que aporta la plataforma tecnológica a través de la cual el Proveedor presta el servicio al Cliente.
1.4. Aceptación. Este Acuerdo se perfecciona mediante aceptación versionada en el momento de iniciar el encargo, registrándose quién acepta, la versión del documento, la fecha y hora, los metadatos técnicos de la aceptación y el identificador del encargo.
1.5. Marketplace B2B puro. El marketplace se dirige exclusivamente a empresas y profesionales; se excluye a consumidores (personas físicas que actúan fuera de su actividad), en coherencia con los Términos del marketplace.
2. Objeto, naturaleza, finalidad y duración
2.1. Objeto. Regular el tratamiento de datos personales que el Proveedor realiza por cuenta del Cliente como consecuencia de la prestación del servicio de marketing contratado a través del marketplace, así como el régimen de subencargo de ōrbita y de los proveedores tecnológicos.
2.2. Naturaleza y finalidad del tratamiento. El tratamiento tiene por finalidad exclusiva la prestación del servicio de marketing acordado: gestión, publicación y programación de contenidos en las redes sociales del Cliente, análisis de métricas, comunicación con la audiencia, elaboración de contenidos (incluida la generación asistida por IA) y demás funcionalidades de la plataforma utilizadas en el marco del encargo. El Proveedor no tratará los datos para fines propios ni distintos de los instruidos por el Cliente.
2.3. Duración. El Acuerdo entra en vigor al aceptarse el encargo y se mantiene mientras dure este y la relación contractual entre Cliente y Proveedor, así como durante los plazos legales de conservación posteriores.
3. Datos personales y categorías de interesados
3.1 Tipos de datos personales tratados
- Datos identificativos públicos en redes sociales (nombre de usuario, foto de perfil).
- Datos de las cuentas de redes sociales conectadas y sus tokens de acceso (tratados de forma cifrada, ver cláusula 8).
- Datos de contacto que el Cliente aporte (emails, teléfonos).
- Contenido generado por terceros: comentarios, mensajes e interacciones.
- Métricas y datos de audiencia asociados a personas (interacciones, alcance, segmentos).
- Cualquier otro dato que el Cliente decida cargar o conectar al servicio en el marco del encargo.
3.2 Categorías de interesados
- Seguidores y audiencia del Cliente en redes sociales.
- Clientes y potenciales clientes (leads) del Cliente.
- Contactos y suscriptores del Cliente.
3.3 Categorías especiales de datos (art. 9 RGPD)
El Cliente se compromete a no introducir categorías especiales de datos ni datos de menores de 16 años, salvo base legal y anexo específico de medidas reforzadas pactado por escrito.
4. Instrucciones documentadas del responsable
4.1. El Proveedor tratará los datos únicamente conforme a las instrucciones documentadas del Cliente, que se entienden integradas por: (i) este DPA; (ii) el Acuerdo de colaboración cliente y proveedor; (iii) los términos del encargo aceptado; (iv) las acciones que el Cliente realice o autorice a través de la plataforma (conectar/desconectar redes, aprobar/rechazar propuestas, importar/eliminar contactos, definir el alcance del servicio, etc.).
4.2. El Proveedor informará al Cliente sin demora si, a su juicio, una instrucción infringe el RGPD o demás normativa de protección de datos, pudiendo suspender la ejecución de dicha instrucción.
5. Deber de confidencialidad del personal
5.1. El Proveedor garantizará que toda persona autorizada para tratar los datos del Cliente (empleados, colaboradores, subcontratistas autorizados) se ha comprometido a respetar la confidencialidad o está sujeta a obligación legal de confidencialidad, y que accede a los datos solo en la medida necesaria para prestar el servicio.
5.2. La obligación de confidencialidad subsiste tras la finalización del encargo. El Proveedor no podrá utilizar los datos del Cliente, ni las credenciales o tokens de sus redes sociales, ni el contenido privado al que acceda, para captación propia, reventa de datos o cualquier fin ajeno al encargo.
6. Medidas técnicas y organizativas de seguridad (art. 32 RGPD)
6.1. El Proveedor aplicará medidas técnicas y organizativas apropiadas al riesgo, incluyendo como mínimo: control de accesos por necesidad y por roles; uso de autenticación robusta en su propio entorno; no compartir credenciales; no extraer ni almacenar fuera de la plataforma datos del Cliente más allá de lo necesario; y notificación de incidentes conforme a la cláusula 10.
6.2. La plataforma ōrbita, como subencargado tecnológico, aplica por su parte: cifrado en tránsito (TLS) y en reposo; cifrado específico de los tokens de redes sociales mediante bóveda de claves; control de accesos por roles; trazabilidad y registro de accesos; copias de seguridad y recuperación; y selección de proveedores con certificaciones reconocidas (ISO 27001, SOC 2 o equivalentes).
7. Subencargados (art. 28.2 y 28.4 RGPD)
7.1. Autorización general. El Cliente autoriza con carácter general a que el Proveedor recurra a ōrbita como subencargado, y a que ōrbita recurra, a su vez, a los proveedores tecnológicos necesarios para prestar la plataforma. La lista actualizada se publica en la Política de privacidad de ōrbita.
7.2. Lista de subencargados tecnológicos de ōrbita (lista enunciativa; ver versión viva en la Política de privacidad):
| Subencargado | Función en el marketplace | Ubicación / régimen de transferencia |
|---|---|---|
| Stripe | Custodio de fondos y pasarela de pago del marketplace (Stripe Connect: cobro al cliente, custodia en escrow, liquidación mensual agrupada al proveedor, KYC del proveedor, facturación mensual de la comisión). ōrbita no custodia el dinero; lo custodia Stripe. | EEUU / SCC + DPF |
| Supabase | Hosting de la base de datos y backend de la plataforma. | UE |
| OneSignal | Notificaciones push (eventos del marketplace: presupuesto, encargo, tarea, pago, reseña). | EEUU / SCC + DPF |
| Resend | Envío de email transaccional (notificaciones del marketplace). | EEUU / SCC + DPF |
| Google Vertex AI | Generación asistida de contenido por IA en el marco del servicio. | UE/EEUU según región |
| Redes sociales vía OAuth | Publicación y lectura de métricas en las cuentas conectadas del Cliente (Meta, LinkedIn, TikTok, X, Pinterest, Google/YouTube/GBP). | Según cada plataforma |
7.3. Régimen de cambios. ōrbita comunicará el alta o sustitución de subencargados con preaviso razonable a través de la plataforma o por email, permitiendo objeción fundada del Cliente (canalizada a través del Proveedor cuando proceda). Ante objeción justificada, se ofrecerá alternativa razonable; de no ser posible, cualquiera de las partes podrá resolver el encargo.
7.4. Equivalencia de obligaciones. ōrbita impone a sus subencargados, por contrato, obligaciones de protección de datos sustancialmente equivalentes a las de este Acuerdo, y responde ante el Proveedor del incumplimiento de aquellos en los términos del RGPD.
8. Tokens de redes sociales y datos de las cuentas conectadas
8.1. Los tokens de acceso a las redes sociales conectadas por el Cliente se almacenan cifrados en la plataforma de ōrbita y se utilizan únicamente para ejecutar las acciones autorizadas en el marco del encargo (publicar, leer métricas, gestionar la conexión).
8.2. Cuando el Cliente o el interesado revoca la conexión, o finaliza el encargo, los tokens se invalidan ante la red social cuando es técnicamente posible y se eliminan conforme a las Instrucciones de eliminación de datos de ōrbita. El acceso del Proveedor a esas conexiones cesa al terminar el encargo o al revocarse su acceso a la empresa cliente.
9. Asistencia al responsable en el ejercicio de derechos de los interesados
9.1. El Proveedor asistirá al Cliente, en la medida de lo posible y mediante medidas técnicas y organizativas apropiadas, para que este pueda atender las solicitudes de ejercicio de derechos de los interesados (acceso, rectificación, supresión, oposición, limitación, portabilidad).
9.2. Si un interesado ejerce sus derechos directamente ante el Proveedor o ante ōrbita, se comunicará al Cliente (responsable) sin demora para que este resuelva. La plataforma pone a disposición funcionalidades de autoservicio (exportación, eliminación de contactos, desconexión de cuentas) cuando es técnicamente posible.
10. Notificación de violaciones de seguridad (arts. 33 y 34 RGPD)
10.1. En caso de violación de seguridad que afecte a datos personales tratados por cuenta del Cliente, el Proveedor y, en su caso, ōrbita lo notificarán sin dilación indebida y, en la medida de lo posible, en un plazo máximo de 72 horas desde que tengan conocimiento, facilitando: naturaleza y categorías de datos e interesados afectados; posibles consecuencias; medidas adoptadas o propuestas; y punto de contacto.
10.2. La notificación a la autoridad de control (art. 33) y, en su caso, a los interesados (art. 34) corresponde al Cliente como responsable; el Proveedor y ōrbita le asistirán razonablemente.
10.3. Cuando la brecha se origine en un subencargado de ōrbita (Stripe, Supabase, etc.), ōrbita podrá notificarlo directamente al Cliente, además de al Proveedor, para que la cadena de notificación no consuma el plazo de 72 horas.
11. Transferencias internacionales
11.1. Algunos subencargados están ubicados fuera del Espacio Económico Europeo, principalmente en Estados Unidos (ver tabla de la cláusula 7). Para esas transferencias se aplican: adhesión del subencargado al EU-U.S. Data Privacy Framework cuando esté disponible; Cláusulas Contractuales Tipo (SCC) (Decisión 2021/914/UE); y selección preferente de regiones europeas con medidas técnicas complementarias (cifrado, minimización).
12. Supresión o devolución de los datos al terminar el encargo
12.1. Al finalizar el encargo, y a elección del Cliente manifestada en los 30 días siguientes, el Proveedor y ōrbita devolverán los datos personales o los suprimirán, incluyendo la eliminación de copias salvo obligación legal de conservación. Las copias de seguridad se eliminan según los ciclos habituales de rotación.
12.2. El Proveedor cesará todo acceso a las redes sociales y datos del Cliente al terminar el encargo, y no conservará copias propias salvo obligación legal.
12.3. Los datos que la plataforma deba conservar por otras causas (facturación de la comisión, prevención de fraude, prueba de las aceptaciones legales, resolución de disputas de fondos) se conservan al margen de este DPA y por el tiempo legalmente exigible.
13. Auditorías e inspecciones (art. 28.3.h RGPD)
13.1. El Proveedor y ōrbita pondrán a disposición del Cliente, previa solicitud razonable y bajo confidencialidad recíproca, la información necesaria para demostrar el cumplimiento de este Acuerdo, incluyendo certificaciones y resúmenes de auditorías de los subencargados. Cuando exista causa razonable y la información no sea suficiente, el Cliente podrá auditar, por sí o mediante tercero independiente, con preaviso de al menos 30 días, una vez al año salvo incidente, en horario laboral y sin perturbar la actividad.
14. Responsabilidad y reparto
14.1. Cada parte responde de los daños causados por el incumplimiento de las obligaciones que le incumben bajo el RGPD y este Acuerdo, conforme al reparto que corresponde al Cliente (responsable), al Proveedor (encargado) y a ōrbita (subencargado tecnológico que no presta el servicio ni dirige el trabajo del Proveedor).
14.2. La posición de ōrbita como intermediario tecnológico se entiende sin perjuicio de las reglas imperativas de responsabilidad frente al interesado previstas en el art. 82 RGPD, y se coordina con el Acuerdo de colaboración y los Términos del marketplace para evitar contradicciones en los límites de responsabilidad.
15. Legislación aplicable y jurisdicción
15.1. Este Acuerdo se rige por la legislación española y por el Derecho de la Unión Europea. Para cualquier controversia, las partes se someten a los juzgados y tribunales de Barcelona, salvo fuero imperativo distinto, sin perjuicio de lo que Cliente y Proveedor pacten entre sí.