Entre:
Firma (1600 Holdings LLC) ("Encargado" o "Firma.dev")
Y:
La entidad que acepta los Términos y Condiciones de Firma.dev ("Responsable" o "Cliente")
Fecha de entrada en vigor: En el momento en que el Cliente acepte los Términos y Condiciones de Firma.dev
1. Definiciones
"Datos personales" significa cualquier información relativa a una persona física identificada o identificable tratada por Firma.dev por cuenta del Cliente a través del Servicio.
"Interesado" significa una persona física identificada o identificable cuyos Datos personales son objeto de tratamiento.
"Tratamiento" significa cualquier operación realizada sobre Datos personales, ya sea automatizada o manual, incluida la recogida, el almacenamiento, la recuperación, el uso, la divulgación y la supresión.
"Subencargado" significa cualquier tercero contratado por Firma.dev para tratar Datos personales por cuenta del Cliente.
"Servicio" significa la API de firma electrónica de Firma.dev y los servicios relacionados descritos en los Términos y Condiciones.
"SCCs" significa las Cláusulas Contractuales Tipo para la transferencia de datos personales a terceros países conforme al Reglamento (UE) 2016/679, tal como fueron adoptadas por la Comisión Europea.
"RGPD" significa el Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos).
2. Ámbito y funciones
2.1 Este DPA se aplica cuando Firma.dev trata Datos personales por cuenta del Cliente en relación con el Servicio.
2.2 El Cliente actúa como Responsable. El Cliente determina los fines y los medios del tratamiento de Datos personales.
2.3 Firma.dev actúa como Encargado. Firma.dev trata Datos personales únicamente siguiendo instrucciones documentadas del Cliente, tal como se describe en este DPA y en los Términos y Condiciones.
3. Detalles del tratamiento de datos
3.1 Categorías de interesados
Empleados, contratistas y usuarios autorizados del Cliente
Firmantes finales que interactúan con documentos enviados a través del Servicio
3.2 Tipos de Datos personales
Nombres y direcciones de correo electrónico
Datos de firma (firmas dibujadas, mecanografiadas o cargadas)
Direcciones IP y marcas de tiempo
Contenido del documento (en la medida en que contenga Datos personales)
Información de trazabilidad de auditoría
3.3 Actividades de tratamiento
Almacenar y mostrar documentos para su firma
Capturar y aplicar firmas electrónicas
Generar trazas de auditoría y certificados de finalización
Enviar notificaciones de solicitud de firma
Proporcionar acceso a la API y webhooks
3.4 Duración del tratamiento
Firma.dev tratará los Datos personales durante la vigencia del acuerdo y según sea necesario para cumplir con las obligaciones legales, tal como se especifica en la Política de privacidad.
4. Obligaciones de Firma.dev
Firma.dev deberá:
4.1 Tratar Datos personales únicamente siguiendo instrucciones documentadas del Cliente, incluidas las transferencias a terceros países, salvo que lo exija el Derecho de la UE o del Estado miembro. Firma.dev informará al Cliente de cualquier obligación legal de este tipo antes de efectuar el tratamiento, salvo que lo prohíba la ley.
4.2 Garantizar que las personas autorizadas para tratar Datos personales se hayan comprometido a mantener la confidencialidad o estén sujetas a una obligación legal adecuada de confidencialidad.
4.3 Implementar las medidas técnicas y organizativas adecuadas tal como se describen en el Anexo 1 (Medidas técnicas y organizativas).
4.4 Respetar las condiciones para contratar Subencargados tal como se describen en la Sección 6.
4.5 Asistir al Cliente, teniendo en cuenta la naturaleza del tratamiento, con las medidas técnicas y organizativas adecuadas para el cumplimiento de las obligaciones del Cliente de responder a las solicitudes de los Interesados.
4.6 Asistir al Cliente para garantizar el cumplimiento de las obligaciones derivadas de los artículos 32 a 36 del RGPD, teniendo en cuenta la naturaleza del tratamiento y la información disponible para Firma.dev.
4.7 A elección del Cliente, suprimir o devolver todos los Datos personales al finalizar el Servicio, salvo cuando la conservación sea exigida por la legislación aplicable.
4.8 Poner a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de las obligaciones del artículo 28 del RGPD, y permitir y contribuir a las auditorías tal como se describe en la Sección 10.
5. Obligaciones del Cliente
El Cliente deberá:
5.1 Garantizar que los Datos personales se recopilen y traten de conformidad con la normativa aplicable de protección de datos, incluida la obtención de los consentimientos necesarios o la entrega de los avisos requeridos a los Interesados.
5.2 Proporcionar instrucciones documentadas a Firma.dev sobre el tratamiento de Datos personales.
5.3 Garantizar que el uso del Servicio por parte del Cliente cumpla con todas las leyes y normativas aplicables.
6. Subencargados
6.1 El Cliente autoriza a Firma.dev a contratar a los Subencargados enumerados en el Anexo 2 (Lista de subencargados).
6.2 Firma.dev informará al Cliente de cualquier cambio previsto en los Subencargados mediante la actualización de la Lista de subencargados. El Cliente podrá oponerse a dichos cambios en un plazo de 30 días desde la notificación. Si el Cliente se opone y Firma.dev no puede atender razonablemente la objeción, el Cliente podrá rescindir el Servicio afectado.
6.3 Firma.dev celebrará con cada Subencargado acuerdos por escrito que impongan obligaciones de protección de datos no menos protectoras que las de este DPA.
6.4 Firma.dev sigue siendo plenamente responsable del cumplimiento de sus Subencargados.
7. Transferencias internacionales
7.1 Residencia de datos en la UE: Los Datos personales del Cliente se almacenan y tratan dentro de la Unión Europea. La infraestructura principal de Firma.dev se encuentra en AWS eu-west-3 (París, Francia), con servicios CDN en AWS eu-north-1 (Estocolmo, Suecia).
7.2 Si Firma.dev transfiere Datos personales fuera del Espacio Económico Europeo, Firma.dev garantizará que existan las garantías adecuadas, como las Cláusulas Contractuales Tipo (SCCs) aprobadas por la Comisión Europea.
7.3 Previa solicitud, Firma.dev celebrará con el Cliente las SCCs para cualquier transferencia a terceros países que no cuenten con una decisión de adecuación.
8. Solicitudes de los Interesados
8.1 Firma.dev notificará sin dilación al Cliente si recibe una solicitud de un Interesado para ejercer derechos en virtud del RGPD (acceso, rectificación, supresión, portabilidad, limitación u oposición).
8.2 Firma.dev no responderá directamente a las solicitudes de los Interesados salvo que lo autorice el Cliente o lo exija la ley.
8.3 Firma.dev prestará una asistencia razonable al Cliente para responder a dichas solicitudes, teniendo en cuenta la naturaleza del tratamiento.
9. Incidentes de seguridad
9.1 Firma.dev notificará al Cliente sin dilación indebida (y, en cualquier caso, en un plazo de 72 horas) al tener conocimiento de una violación de Datos personales que afecte a los datos del Cliente.
9.2 La notificación incluirá, en la medida de lo conocido:
La naturaleza de la violación, incluidas las categorías y el número aproximado de Interesados afectados
Las posibles consecuencias de la violación
Las medidas adoptadas o propuestas para abordar la violación
9.3 Firma.dev cooperará con el Cliente y adoptará las medidas razonables para ayudar en la investigación y mitigación de cada violación.
10. Auditorías
10.1 Firma.dev pondrá a disposición del Cliente la información razonablemente necesaria para demostrar el cumplimiento de este DPA. Esta obligación se cumplirá proporcionando:
Documentación y políticas de seguridad
Evaluaciones de seguridad de terceros cuando estén disponibles
Cuestionarios de seguridad cumplimentados
10.2 Firma.dev no permite auditorías presenciales. Todas las solicitudes de auditoría se atenderán mediante documentación, respuestas escritas y métodos de verificación remota a discreción de Firma.dev.
10.3 Las solicitudes de auditoría que excedan la documentación estándar (como cuestionarios de seguridad personalizados, revisiones técnicas detalladas o llamadas con personal de seguridad) estarán sujetas a una tarifa de 500 € por solicitud, pagadera por adelantado.
10.4 Nada de lo dispuesto en esta Sección 10 obliga a Firma.dev a revelar información que comprometa la seguridad de sus sistemas, infrinja las obligaciones de confidencialidad con otros clientes o vulnere la ley aplicable.
11. Duración y resolución
11.1 Este DPA entrará en vigor cuando el Cliente acepte los Términos y Condiciones y permanecerá en vigor mientras dure el tratamiento de Datos personales por parte de Firma.dev por cuenta del Cliente.
11.2 A la finalización del Servicio, Firma.dev suprimirá o devolverá los Datos personales según lo establecido en la Sección 4.7, sujeto a los requisitos legales de conservación.
12. Ley aplicable
Este DPA se rige por las leyes especificadas en los Términos y Condiciones. En las cuestiones relativas al cumplimiento del RGPD, se aplicarán las disposiciones del RGPD y la legislación aplicable del Estado miembro.
Anexo 1: Medidas técnicas y organizativas
Firma.dev implementa las siguientes medidas para proteger los Datos personales:
Control de acceso
Claves de API únicas por Cliente con permisos configurables
Los espacios de trabajo del Cliente proporcionan aislamiento lógico entre los conjuntos de datos del Cliente
Cifrado
TLS 1.2 o superior para todos los datos en tránsito
Cifrado AES-256 para los datos en reposo
Conexiones a la base de datos cifradas
Seguridad de la infraestructura
Alojado en AWS con residencia de datos en la UE (eu-west-3 París)
Segmentación de red y protección mediante cortafuegos
Aplicación regular de parches y actualizaciones de seguridad
Protección contra DDoS a través de AWS CloudFront
Supervisión y registro
Trazas de auditoría completas para todos los eventos de firma
Alertas automáticas ante actividad anómala
Conservación de registros para análisis de seguridad
Integridad de los datos
Trazas de auditoría con evidencia de manipulación y sellos criptográficos
Verificación de hashes de documentos
Copias de seguridad automáticas con recuperación a un punto en el tiempo
Respuesta ante incidentes
Procedimientos documentados de respuesta a incidentes
Compromiso de notificación de violaciones en 72 horas
Seguridad del personal
Acuerdos de confidencialidad para todo el personal
Continuidad del negocio
Infraestructura redundante dentro de las regiones de la UE
Pruebas periódicas de copias de seguridad
Anexo 2: Lista de subencargados
Subencargado | Finalidad | Ubicación |
|---|---|---|
Amazon Web Services (AWS) | Infraestructura en la nube, procesamiento, almacenamiento, CDN | UE (París, Francia - eu-west-3; Estocolmo, Suecia - eu-north-1) |
Supabase | Servicios de base de datos (alojados en AWS) | UE (París, Francia - eu-west-3) |
Última actualización: enero de 2026
El Cliente será notificado de los cambios en esta lista por correo electrónico al administrador de la cuenta o a través del panel de Firma.dev.
Anexo 3: Cláusulas Contractuales Tipo
Para las transferencias de Datos personales a países fuera del Espacio Económico Europeo que no se beneficien de una decisión de adecuación, las partes acuerdan que las Cláusulas Contractuales Tipo (Módulo Dos: Responsable a Encargado) adoptadas por la Decisión de Ejecución (UE) 2021/914 de la Comisión Europea serán de aplicación y quedan incorporadas por referencia.
Las SCCs se considerarán completadas del siguiente modo:
Cláusula 7 (cláusula de adhesión): No utilizada
Cláusula 9 (Uso de subencargados): Se aplica la Opción 2 (autorización general por escrito)
Cláusula 11 (Recurso): No se utiliza el texto opcional
Cláusula 17 (Ley aplicable): Leyes de Irlanda
Cláusula 18 (Elección de foro): Tribunales de Irlanda
Contacto para consultas sobre protección de datos:
Firma.dev (1600 Holdings LLC) Correo electrónico: Por correo electrónico a support@firma.dev
Al utilizar el Servicio de Firma.dev, el Cliente reconoce y acepta los términos de este Acuerdo de tratamiento de datos.