S
SocialMidea
Iniciar sesiónEmpezar gratis

Acuerdo de tratamiento de datos (DPA)

Última actualización: 18 de mayo de 2026

Este Acuerdo de Tratamiento de Datos ("DPA") forma parte integrante de los Términos de servicio de SocialMidea y se aplica cuando, en el marco del uso del servicio, SocialMidea ("Encargado") trata datos personales por cuenta del cliente ("Responsable").

Para empresas clientes: al aceptar los Términos de servicio, este DPA se incorpora automáticamente. Si necesitas un DPA firmado físicamente para tus archivos, contacta a legal@[DOMINIO].

1. Definiciones

Términos en mayúscula tienen el significado del RGPD (Reglamento UE 2016/679). En particular:

  • Datos personales: cualquier información sobre una persona física identificada o identificable que el Responsable carga en el servicio.
  • Tratamiento: cualquier operación realizada sobre datos personales (recogida, almacenamiento, modificación, consulta, comunicación, supresión).
  • Subencargado: tercero que SocialMidea contrata para tratar datos en nombre del Responsable.

2. Objeto y duración

Objeto: tratamiento de datos personales necesario para prestar el servicio SocialMidea según los Términos.

Duración: mientras esté vigente la relación contractual. Las obligaciones de confidencialidad y borrado sobreviven a la terminación.

3. Naturaleza, finalidad y categorías

3.1 Naturaleza del tratamiento

  • Almacenamiento de contenido (posts, marcas, agentes IA)
  • Procesamiento de contenido a través de modelos de IA
  • Publicación automática en redes sociales conectadas
  • Generación de analítica de uso y costos

3.2 Finalidad

Prestar las funciones del servicio según el plan contratado.

3.3 Categorías de datos personales

  • Datos identificativos de usuarios miembros (nombre, email)
  • Contenido generado por usuarios (posts, comentarios, imágenes)
  • Datos de uso técnico (IP, user agent, sesiones)
  • Credenciales OAuth de cuentas sociales (cifradas)

3.4 Categorías de interesados

  • Empleados y miembros de equipo del Responsable
  • Audiencia de las publicaciones (datos públicos)

4. Obligaciones del Encargado (SocialMidea)

  1. Tratar los datos únicamente conforme a las instrucciones documentadas del Responsable, incluidas las que constan en los Términos y este DPA.
  2. Garantizar que el personal autorizado mantenga confidencialidad mediante NDAs vigentes.
  3. Implementar las medidas técnicas y organizativas descritas en el Anexo I y en la página de Seguridad.
  4. Asistir al Responsable en el cumplimiento de las solicitudes de ejercicio de derechos por parte de los interesados (acceso, rectificación, supresión, portabilidad, oposición, limitación).
  5. Notificar al Responsable cualquier brecha de seguridad sin dilación indebida y, en todo caso, en plazo máximo de 72 horas desde el conocimiento.
  6. Asistir al Responsable en la realización de evaluaciones de impacto (DPIA) cuando sea razonablemente solicitado.
  7. A elección del Responsable, suprimir o devolver todos los datos personales al finalizar la prestación, salvo conservación obligada por ley.
  8. Poner a disposición del Responsable toda la información necesaria para acreditar el cumplimiento, permitiendo y contribuyendo a auditorías con preaviso razonable.

5. Subencargados

El Responsable autoriza la subcontratación con los siguientes subencargados, listados en la Política de privacidad, sección 4. Cualquier nuevo subencargado se notificará con 30 días de antelación. El Responsable puede oponerse razonablemente; si la oposición es legítima y no podemos sustituir al subencargado, el Responsable podrá terminar el contrato.

6. Transferencias internacionales

Cuando datos personales se transfieran fuera del Espacio Económico Europeo, SocialMidea garantizará un nivel adecuado mediante:

  • Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Decisión 2021/914).
  • Evaluaciones de impacto en transferencias (TIA) cuando aplique.
  • Medidas técnicas adicionales (cifrado, pseudonimización) en jurisdicciones de mayor riesgo.

7. Responsabilidad

La responsabilidad de cada parte por incumplimiento de este DPA se rige por las cláusulas de limitación de responsabilidad de los Términos de servicio, salvo en aquellos casos en que la ley imponga un régimen distinto.

8. Ley aplicable

Este DPA se rige por la legislación española y, en lo aplicable, por el RGPD y la LOPDGDD. Cualquier controversia se someterá a los Juzgados de [CIUDAD].

Anexo I — Medidas técnicas y organizativas

A. Control de acceso

  • Autenticación con contraseñas hasheadas (bcrypt cost 12) u OAuth.
  • RBAC con 5 roles granulares.
  • Aislamiento multi-tenant a nivel de consulta.
  • Sesiones HTTP-only + Secure + SameSite.

B. Cifrado

  • AES-256-GCM en reposo para credenciales sensibles.
  • TLS 1.2+ obligatorio en tránsito.
  • Claves gestionadas vía variables de entorno o KMS.

C. Resiliencia

  • Backups diarios de la base de datos.
  • Plan de recuperación documentado.
  • Monitorización 24/7 con alertas.

D. Auditoría

  • Logs append-only de operaciones críticas.
  • Retención mínima de 1 año.
  • Trazabilidad de cambios por usuario.

E. Personal

  • NDAs vigentes con todo el personal con acceso a producción.
  • Formación anual en protección de datos.
  • Revocación de accesos al cese.

F. Gestión de incidentes

  • Procedimiento documentado de respuesta a incidentes.
  • Plazo máximo de notificación al Responsable: 72 horas.
  • Post-mortem público para incidentes con impacto en usuarios.

Esta plantilla cubre los elementos exigidos por el artículo 28 RGPD pero debe revisarse con asesoría legal antes de su uso en producción. Completa los placeholders entre corchetes con tus datos reales.