Entre:
Firma (1600 Holdings LLC) ("Encargado del tratamiento" o "Firma.dev")
Y:
La entidad que acepta los Términos y Condiciones de Firma.dev ("Controlador" o "Cliente")
Fecha de entrada en vigor: Tras la aceptación por parte del Cliente de los Términos y Condiciones de Firma.dev
1. Definiciones
"Datos personales" significa cualquier información relacionada con una persona física identificada o identificable procesada por Firma.dev en nombre del Cliente a través del Servicio.
"Sujeto de datos" significa una persona física identificada o identificable cuyos Datos Personales son procesados.
"Procesamiento" significa cualquier operación realizada sobre Datos Personales, ya sea automatizada o manual, incluyendo recolección, almacenamiento, recuperación, uso, divulgación y eliminación.
"Subencargado" significa cualquier tercero contratado por Firma.dev para procesar Datos Personales en nombre del Cliente.
"Servicio" significa la API de firma electrónica de Firma.dev y los servicios relacionados descritos en los Términos y Condiciones.
"SCCs" significa las Cláusulas Contractuales Tipo para la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679, tal como son adoptadas por la Comisión Europea.
"GDPR" significa el Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos).
2. Alcance y Roles
2.1 Este DPA se aplica cuando Firma.dev procesa Datos Personales en nombre del Cliente en relación con el Servicio.
2.2 El Cliente actúa como Controlador. El Cliente determina los propósitos y medios del procesamiento de Datos Personales.
2.3 Firma.dev actúa como Encargado del tratamiento. Firma.dev procesa Datos Personales solo siguiendo instrucciones documentadas del Cliente, como se describe en este DPA y los Términos y Condiciones.
3. Detalles del Procesamiento de Datos
3.1 Categorías de Sujetos de Datos
Empleados, contratistas y usuarios autorizados del Cliente
Firmantes finales que interactúan con documentos enviados a través del Servicio
3.2 Tipos de Datos Personales
Nombres y direcciones de correo electrónico
Datos de firma (firmas dibujadas, tipeadas o subidas)
Direcciones IP y marcas de tiempo
Contenido del documento (en la medida en que contenga Datos Personales)
Información de la pista de auditoría
3.3 Actividades de Procesamiento
Almacenamiento y renderizado de documentos para firma
Captura y aplicación de firmas electrónicas
Generación de pistas de auditoría y certificados de finalización
Envío de notificaciones de solicitudes de firma
Provisión de acceso a API y webhooks
3.4 Duración del Procesamiento
Firma.dev procesará Datos Personales durante la duración del acuerdo y según sea necesario para el cumplimiento legal, como se especifica en la Política de Privacidad.
4. Obligaciones de Firma.dev
Firma.dev deberá:
4.1 Procesar Datos Personales solo según las instrucciones documentadas del Cliente, incluidas las transferencias a terceros países, a menos que lo exija la legislación de la UE o de los Estados Miembros. Firma.dev informará al Cliente de cualquier requisito legal antes del procesamiento, a menos que esté prohibido por la ley.
4.2 Garantizar que las personas autorizadas para procesar Datos Personales se hayan comprometido a la confidencialidad o estén bajo una obligación legal adecuada de confidencialidad.
4.3 Implementar medidas técnicas y organizativas adecuadas como se describe en el Anexo 1 (Medidas Técnicas y Organizativas).
4.4 Respetar las condiciones para involucrar Subencargados como se describe en la Sección 6.
4.5 Asistir al Cliente, teniendo en cuenta la naturaleza del procesamiento, con medidas técnicas y organizativas adecuadas para el cumplimiento de las obligaciones del Cliente de responder a las solicitudes de los Sujetos de Datos.
4.6 Asistir al Cliente en asegurar el cumplimiento de las obligaciones bajo los Artículos 32-36 del GDPR, teniendo en cuenta la naturaleza del procesamiento y la información disponible para Firma.dev.
4.7 A elección del Cliente, borrar o devolver todos los Datos Personales al final del Servicio, salvo que se requiera retención por ley aplicable.
4.8 Poner a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de las obligaciones en el Artículo 28 del GDPR, y permitir y contribuir a auditorías como se describe en la Sección 10.
5. Obligaciones del Cliente
El Cliente deberá:
5.1 Asegurarse de que los Datos Personales se recopilen y procesen en cumplimiento de las leyes de protección de datos aplicables, incluidas la obtención de consentimientos necesarios o proporcionar los avisos requeridos a los Sujetos de Datos.
5.2 Proporcionar instrucciones documentadas a Firma.dev en relación con el procesamiento de Datos Personales.
5.3 Asegurarse de que el uso del Servicio por parte del Cliente cumpla con todas las leyes y regulaciones aplicables.
6. Subencargados
6.1 El Cliente autoriza a Firma.dev a involucrar a los Subencargados listados en el Anexo 2 (Lista de Subencargados).
6.2 Firma.dev informará al Cliente de cualquier cambio planificado a los Subencargados actualizando la Lista de Subencargados. El Cliente puede objetar a dichos cambios dentro de los 30 días de la notificación. Si el Cliente objeta y Firma.dev no puede acomodar razonablemente la objeción, el Cliente podrá terminar el Servicio afectado.
6.3 Firma.dev firmará acuerdos escritos con cada Subencargado imponiendo obligaciones de protección de datos no menos protectoras que las estipuladas en este DPA.
6.4 Firma.dev sigue siendo completamente responsable del desempeño de sus Subencargados.
7. Transferencias Internacionales
7.1 Residencia de Datos de la UE: Los Datos Personales del Cliente se almacenan y procesan dentro de la Unión Europea. La infraestructura principal de Firma.dev está ubicada en AWS eu-west-3 (París, Francia), con servicios CDN en AWS eu-north-1 (Estocolmo, Suecia).
7.2 Si Firma.dev transfiere Datos Personales fuera del Área Económica Europea, Firma.dev garantizará que se adopten salvaguardas adecuadas, como las Cláusulas Contractuales Tipo (SCCs) aprobadas por la Comisión Europea.
7.3 A solicitud, Firma.dev ejecutará SCCs con el Cliente para cualquier transferencia a terceros países que carezcan de una decisión de adecuación.
8. Solicitudes de Sujetos de Datos
8.1 Firma.dev notificará prontamente al Cliente si recibe una solicitud de un Sujeto de Datos para ejercer derechos bajo el GDPR (acceso, rectificación, eliminación, portabilidad, restricción u oposición).
8.2 Firma.dev no responderá directamente a las solicitudes de los Sujetos de Datos a menos que esté autorizado por el Cliente o requerido por la ley.
8.3 Firma.dev proporcionará asistencia razonable al Cliente en responder a tales solicitudes, teniendo en cuenta la naturaleza del procesamiento.
9. Incidentes de Seguridad
9.1 Firma.dev notificará al Cliente sin demora indebida (y en cualquier caso dentro de las 72 horas) al saber de una violación de Datos Personales que afecte a los datos del Cliente.
9.2 La notificación incluirá, en la medida de lo posible:
La naturaleza de la violación, incluyendo categorías y número aproximado de Sujetos de Datos afectados
Las consecuencias probables de la violación
Medidas adoptadas o propuestas para solucionar la violación
9.3 Firma.dev cooperará con el Cliente y tomará medidas razonables para asistir en la investigación y mitigación de cada violación.
10. Auditorías
10.1 Firma.dev pondrá a disposición del Cliente la información razonablemente necesaria para demostrar el cumplimiento de este DPA. Esta obligación se cumplirá mediante la provisión de:
Documentación y políticas de seguridad
Evaluaciones de seguridad de terceros cuando estén disponibles
Cuestionarios de seguridad completados
10.2 Firma.dev no permite auditorías en el sitio. Todas las solicitudes de auditoría se abordarán mediante documentación, respuestas por escrito y métodos de verificación remotos a discreción de Firma.dev.
10.3 Las solicitudes de auditoría más allá de la documentación estándar (como cuestionarios de seguridad personalizados, revisiones técnicas detalladas o llamadas con personal de seguridad) estarán sujetas a una tarifa de 500 € por solicitud, pagadera por adelantado.
10.4 Nada en esta Sección 10 requiere que Firma.dev divulgue información que comprometería la seguridad de sus sistemas, violaría obligaciones de confidencialidad con otros clientes, o infrinja la ley aplicable.
11. Término y Terminación
11.1 Este DPA entra en vigor tras la aceptación del Cliente de los Términos y Condiciones y permanece en vigor durante el procesamiento de Datos Personales de Firma.dev en nombre del Cliente.
11.2 Tras la terminación del Servicio, Firma.dev eliminará o devolverá los Datos Personales según lo especificado en la Sección 4.7, sujeto a los requisitos de retención legal.
12. Ley Aplicable
Este DPA se rige por las leyes especificadas en los Términos y Condiciones. Para asuntos relacionados con el cumplimiento del GDPR, se aplicarán las disposiciones del GDPR y la legislación estatal miembro aplicable.
Anexo 1: Medidas Técnicas y Organizativas
Firma.dev implementa las siguientes medidas para proteger Datos Personales:
Control de Acceso
Claves API únicas por Cliente con permisos configurables
Espacios de trabajo para Clientes proporcionan aislamiento lógico entre conjuntos de datos de Clientes
Cifrado
TLS 1.2 o superior para todos los datos en tránsito
Cifrado AES-256 para datos en reposo
Conexiones de base de datos cifradas
Seguridad de Infraestructura
Alojado en AWS con residencia de datos en la UE (eu-west-3 París)
Segmentación de red y protección de firewall
Actualización y parcheo de seguridad regular
Protección contra DDoS a través de AWS CloudFront
Monitoreo y Registro
Pistas de auditoría exhaustivas para todos los eventos de firma
Alertas automatizadas para actividad anómala
Retención de registros para análisis de seguridad
Integridad de Datos
Pistas de auditoría a prueba de manipulaciones con sellos criptográficos
Verificación de hash de documentos
Respaldo automatizado con recuperación a punto en el tiempo
Respuesta a Incidentes
Procedimientos documentados de respuesta a incidentes
Compromiso de notificación de violación en 72 horas
Seguridad del Personal
Acuerdos de confidencialidad para todo el personal
Continuidad del Negocio
Infraestructura redundante dentro de regiones de la UE
Pruebas regulares de respaldo
Anexo 2: Lista de Subencargados
Subencargado | Propósito | Ubicación |
|---|---|---|
Amazon Web Services (AWS) | Infraestructura en la nube, computación, almacenamiento, CDN | UE (París, Francia - eu-west-3; Estocolmo, Suecia - eu-north-1) |
Supabase | Servicios de base de datos (alojados en AWS) | UE (París, Francia - eu-west-3) |
Última actualización: Enero 2026
El Cliente será notificado de cambios a esta lista vía correo electrónico al administrador de la cuenta o a través del panel de control de Firma.dev.
Anexo 3: Cláusulas Contractuales Tipo
Para las transferencias de Datos Personales a países fuera del Área Económica Europea que no cuentan con una decisión de adecuación, las partes acuerdan que las Cláusulas Contractuales Tipo (Módulo Dos: Controlador a Encargado del tratamiento) adoptadas por la Decisión de Ejecución (UE) 2021/914 de la Comisión Europea se aplicarán y se incorporan por referencia.
Las SCCs se considerarán completadas de la siguiente manera:
Cláusula 7 (Cláusula de acoplamiento): No utilizada
Cláusula 9 (Uso de sub-encargados): Se aplica la Opción 2 (Autorización por escrito general)
Cláusula 11 (Recurso): Lenguaje opcional no utilizado
Cláusula 17 (Ley aplicable): Leyes de Irlanda
Cláusula 18 (Elección de foro): Tribunales de Irlanda
Contacto para Consultas de Protección de Datos:
Firma.dev (1600 Holdings LLC) Correo electrónico: A través del formulario de soporte en firma.dev/contact
Al usar el Servicio de Firma.dev, el Cliente reconoce y acepta los términos de este Acuerdo de Procesamiento de Datos.