Acuerdo de Procesamiento de Datos

Acuerdo de Procesamiento de Datos

Acuerdo de Procesamiento de Datos conforme al GDPR para clientes de Firma.dev. Residencia de datos en la UE, lista de subprocesadores y medidas de seguridad técnicas.

Acuerdo de Procesamiento de Datos conforme al GDPR para clientes de Firma.dev. Residencia de datos en la UE, lista de subprocesadores y medidas de seguridad técnicas.

Entre:

Firma (1600 Holdings LLC) ("Encargado" o "Firma.dev")

Y:

La entidad que acepta los Términos y Condiciones de Firma.dev ("Responsable" o "Cliente")

Fecha de entrada en vigor: En el momento de la aceptación por parte del Cliente de los Términos y Condiciones de Firma.dev

1. Definiciones

"Datos Personales" significa cualquier información relativa a una persona física identificada o identificable procesada por Firma.dev por cuenta del Cliente a través del Servicio.

"Interesado" significa una persona física identificada o identificable cuyos Datos Personales son procesados.

"Tratamiento" significa cualquier operación realizada sobre Datos Personales, ya sea de forma automatizada o manual, incluyendo la recogida, almacenamiento, recuperación, uso, divulgación y supresión.

"Subencargado del tratamiento" significa cualquier tercero contratado por Firma.dev para tratar Datos Personales por cuenta del Cliente.

"Servicio" significa la API de firma electrónica de Firma.dev y los servicios relacionados descritos en los Términos y Condiciones.

"CCT" significa las Cláusulas Contractuales Tipo para la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679, adoptadas por la Comisión Europea.

"RGPD" significa el Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos).

2. Ámbito de aplicación y funciones

2.1 Este DPA se aplica cuando Firma.dev trata Datos Personales por cuenta del Cliente en relación con el Servicio.

2.2 El Cliente actúa como Responsable. El Cliente determina los fines y los medios del tratamiento de los Datos Personales.

2.3 Firma.dev actúa como Encargado. Firma.dev trata los Datos Personales únicamente siguiendo las instrucciones documentadas del Cliente, tal como se describe en este DPA y en los Términos y Condiciones.

3. Detalles del Tratamiento de Datos

3.1 Categorías de Interesados

  • Empleados, contratistas y usuarios autorizados del Cliente

  • Firmantes finales que interactúan con los documentos enviados a través del Servicio

3.2 Tipos de Datos Personales

  • Nombres y direcciones de correo electrónico

  • Datos de la firma (firmas dibujadas, escritas o cargadas)

  • Direcciones IP y marcas de tiempo

  • Contenido del documento (en la medida en que contenga Datos Personales)

  • Información de la pista de auditoría

3.3 Actividades de Tratamiento

  • Almacenamiento y renderizado de documentos para su firma

  • Captura y aplicación de firmas electrónicas

  • Generación de pistas de auditoría y certificados de finalización

  • Envío de notificaciones de solicitud de firma

  • Provisión de acceso a la API y webhooks

3.4 Duración del Tratamiento

Firma.dev tratará los Datos Personales durante la vigencia del acuerdo y según sea necesario para el cumplimiento legal, tal como se especifica en la Política de Privacidad.

4. Obligaciones de Firma.dev

Firma.dev deberá:

4.1 Tratar los Datos Personales únicamente siguiendo las instrucciones documentadas del Cliente, incluidas las transferencias a terceros países, a menos que así lo exija el derecho de la UE o de un Estado miembro. Firma.dev informará al Cliente de dicho requisito legal antes del tratamiento, a menos que la ley lo prohíba.

4.2 Garantizar que las personas autorizadas para tratar los Datos Personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación legal adecuada de confidencialidad.

4.3 Implantar las medidas técnicas y organizativas adecuadas descritas en el Anexo 1 (Medidas Técnicas y Organizativas).

4.5 Ayudar al Cliente, teniendo en cuenta la naturaleza del tratamiento, mediante medidas técnicas y organizativas adecuadas, para el cumplimiento de las obligaciones del Cliente de responder a las solicitudes de los Interesados.

4.6 Ayudar al Cliente a garantizar el cumplimiento de las obligaciones derivadas de los artículos 32 a 36 del RGPD, teniendo en cuenta la naturaleza del tratamiento y la información a disposición de Firma.dev.

4.7 A elección del Cliente, suprimir o devolver todos los Datos Personales al finalizar el Servicio, excepto cuando la ley aplicable exija su conservación.

4.8 Poner a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el artículo 28 del RGPD, y permitir y contribuir a las auditorías descritas en la Sección 10.

5. Obligaciones del Cliente

El Cliente deberá:

5.1 Garantizar que los Datos Personales se recopilen y traten de conformidad con las leyes de protección de datos aplicables, incluyendo la obtención de los consentimientos necesarios o la presentación de los avisos requeridos a los Interesados.

5.2 Proporcionar instrucciones documentadas a Firma.dev en relación con el tratamiento de Datos Personales.

5.3 Garantizar que el uso del Servicio por parte del Cliente cumple con todas las leyes y normativas aplicables.

6. Subencargados del tratamiento

6.1 El Cliente autoriza a Firma.dev a contratar a los Subencargados indicados en el Anexo 2 (Lista de Subencargados del tratamiento).

6.2 Firma.dev informará al Cliente de cualquier cambio previsto en los Subencargados mediante la actualización de la Lista de Subencargados. El Cliente podrá oponerse a dichos cambios en un plazo de 30 días a partir de la notificación. Si el Cliente se opone y Firma.dev no puede atender razonablemente la objeción, el Cliente podrá dar por terminado el Servicio afectado.

6.3 Firma.dev celebrará acuerdos por escrito con cada Subencargado que impongan obligaciones de protección de datos no menos protectoras que las de este DPA.

6.4 Firma.dev seguirá siendo plenamente responsable del desempeño de sus Subencargados.

7. Transferencias internacionales

7.1 Residencia de datos en la UE: Los datos de los documentos y firmantes del Cliente se almacenan y tratan dentro de la Unión Europea. La infraestructura principal de Firma.dev se encuentra en AWS eu-west-3 (París, Francia), con servicios de CDN en AWS eu-north-1 (Estocolmo, Suecia). Algunos Datos Personales limitados, como los nombres de los firmantes y las direcciones de correo electrónico, pueden ser tratados por subencargados ubicados fuera de la UE, según se detalla en el Anexo 2, sujetos a las salvaguardas adecuadas en virtud de la Sección 7.2. Los Clientes que requieran que todos los Datos Personales permanezcan dentro de la UE pueden desactivar los correos electrónicos enviados por Firma y utilizar su propia infraestructura de correo electrónico, tal como se describe en la documentación de marca blanca.

7.2 Si Firma.dev transfiere Datos Personales fuera del Espacio Económico Europeo, Firma.dev garantizará que se disponga de las salvaguardas adecuadas, tales como Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea.

7.3 Previa solicitud, Firma.dev formalizará CCT con el Cliente para cualquier transferencia a terceros países que carezcan de una decisión de adecuación.

8. Solicitudes de los Interesados

8.1 Firma.dev notificará de inmediato al Cliente si recibe una solicitud de un Interesado para ejercer sus derechos en virtud del RGPD (acceso, rectificación, supresión, portabilidad, limitación u oposición).

8.2 Firma.dev no responderá directamente a las solicitudes de los Interesados a menos que esté autorizado por el Cliente o lo exija la ley.

8.3 Firma.dev prestará una asistencia razonable al Cliente para responder a dichas solicitudes, teniendo en cuenta la naturaleza del tratamiento.

9. Incidentes de seguridad

9.1 Firma.dev notificará al Cliente sin demora indebida (y, en cualquier caso, en un plazo de 72 horas) tras tener conocimiento de una violación de la seguridad de los Datos Personales que afecte a los datos del Cliente.

9.2 La notificación incluirá, en la medida en que se conozca:

  • La naturaleza de la violación de la seguridad, incluidas las categorías y el número aproximado de Interesados afectados

  • Las consecuencias probables de la violación

  • Las medidas adoptadas o propuestas para hacer frente a la violación

9.3 Firma.dev cooperará con el Cliente y tomará medidas razonables para ayudar en la investigación y mitigación de cada violación.

10. Auditorías

10.1 Firma.dev pondrá a disposición del Cliente la información razonablemente necesaria para demostrar el cumplimiento de este DPA. Esta obligación se cumplirá proporcionando:

  • Documentación y políticas de seguridad

  • Evaluaciones de seguridad de terceros cuando estén disponibles

  • Cuestionarios de seguridad cumplimentados

10.2 Firma.dev no permite auditorías in situ. Todas las solicitudes de auditoría se atenderán a través de documentación, respuestas por escrito y métodos de verificación remota a discreción de Firma.dev.

10.3 Las solicitudes de auditoría que vayan más allá de la documentación estándar (tales como cuestionarios de seguridad personalizados, revisiones técnicas detalladas o llamadas con el personal de seguridad) estarán sujetas a una tarifa de 500 € por solicitud, pagadera por adelantado.

10.4 Nada de lo dispuesto en esta Sección 10 obliga a Firma.dev a revelar información que pueda comprometer la seguridad de sus sistemas, violar las obligaciones de confidencialidad con otros clientes o infringir la legislación aplicable.

11. Vigencia y rescisión

11.1 Este DPA entra en vigor tras la aceptación por parte del Cliente de los Términos y Condiciones y permanece en vigor durante todo el tiempo que Firma.dev trate Datos Personales por cuenta del Cliente.

11.2 Al finalizar el Servicio, Firma.dev suprimirá o devolverá los Datos Personales según lo especificado en la Sección 4.7, sujeto a los requisitos de conservación legal.

12. Ley aplicable

Este DPA se rige por las leyes especificadas en los Términos y Condiciones. Para los asuntos relacionados con el cumplimiento del RGPD, se aplicarán las disposiciones de este y de la legislación aplicable del Estado miembro.

Anexo 1: Medidas Técnicas y Organizativas

Firma.dev implementa las siguientes medidas para proteger los Datos Personales:

Control de acceso

  • Claves de API únicas por Cliente con permisos configurables

  • Los Espacios de Trabajo del Cliente proporcionan un aislamiento lógico entre los conjuntos de datos del Cliente

Cifrado

  • TLS 1.2 o superior para todos los datos en tránsito

  • Cifrado AES-256 para datos en reposo

  • Conexiones de bases de datos cifradas

Seguridad de la infraestructura

  • Alojado en AWS con residencia de datos en la UE (eu-west-3 París)

  • Segmentación de red y protección por cortafuegos

  • Parches y actualizaciones de seguridad periódicos

  • Protección contra DDoS mediante AWS CloudFront

Monitoreo y registros

  • Pistas de auditoría completas para todos los eventos de firma

  • Alertas automatizadas para actividades anómalas

  • Retención de registros para análisis de seguridad

Integridad de los datos

  • Pistas de auditoría a prueba de manipulaciones con sellos criptográficos

  • Verificación del hash del documento

  • Copias de seguridad automatizadas con recuperación a un punto en el tiempo

Respuesta a incidentes

  • Procedimientos documentados de respuesta a incidentes

  • Compromiso de notificación de violaciones en un plazo de 72 horas

Seguridad del personal

  • Acuerdos de confidencialidad para todo el personal

Continuidad del negocio

  • Infraestructura redundante dentro de las regiones de la UE

  • Pruebas periódicas de copias de seguridad

Anexo 2: Lista de Subencargados del tratamiento

Subencargado del tratamiento

Finalidad

Ubicación

Amazon Web Services (AWS)

Infraestructura en la nube, computación, almacenamiento, CDN

UE (París, Francia - eu-west-3; Estocolmo, Suecia - eu-north-1)

Supabase

Servicios de bases de datos (alojados en AWS)

UE (París, Francia - eu-west-3)

Resend

Envío de correos electrónicos transaccionales (solicitud de firma, recordatorios y correos electrónicos de notificación). Trata los nombres y direcciones de correo electrónico de los firmantes, así como el contenido del correo electrónico cuando el Cliente ha personalizado las plantillas. Se puede eliminar de la cadena de tratamiento desactivando los correos electrónicos de Firma para cada solicitud de firma y utilizando su propia infraestructura de correo electrónico.

Estados Unidos (transferencias bajo CCT)

Jitbit

Gestión de tickets de atención al cliente (trata los datos de contacto del personal del Cliente y la correspondencia de soporte)

UE (Alemania)

Última actualización: Junio de 2026

El Cliente será notificado de los cambios en esta lista por correo electrónico al administrador de la cuenta o a través del panel de control de Firma.dev.

Anexo 3: Cláusulas Contractuales Tipo

Para las transferencias de Datos Personales a países fuera del Espacio Económico Europeo que no se beneficien de una decisión de adecuación, las partes acuerdan que se aplicarán e incorporarán por referencia las Cláusulas Contractuales Tipo (Módulo Dos: de Responsable a Encargado) adoptadas por la Decisión de Ejecución (UE) 2021/914 de la Comisión Europea.

Las CCT se considerarán cumplimentadas de la siguiente manera:

  • Cláusula 7 (Cláusula de adhesión): No utilizada

  • Cláusula 9 (Uso de subencargados): Se aplica la Opción 2 (Autorización escrita general)

  • Cláusula 11 (Vías de recurso): No se utiliza el lenguaje opcional

  • Cláusula 17 (Legislación aplicable): Leyes de Irlanda

  • Cláusula 18 (Elección de foro): Tribunales de Irlanda

Contacto para Consultas sobre Protección de Datos:

Firma.dev (1600 Holdings LLC) Correo electrónico: Por correo electrónico a support@firma.dev

Al utilizar el Servicio de Firma.dev, el Cliente reconoce y acepta los términos de este Acuerdo de Tratamiento de Datos.