Legal

Acuerdo de Tratamiento de Datos (DPA)

Última actualización: 19 de mayo de 2026

¿Para quién es este documento? Este DPA aplica a clientes de Clouback que tratan datos personales de sus usuarios o empleados a través del servicio, y que necesitan cumplir con el RGPD (Reglamento UE 2016/679). Es el acuerdo de encargado de tratamiento exigido por el artículo 28 del RGPD.

1. Partes del acuerdo

Responsable del tratamiento («Cliente»): la persona física o jurídica que contrata el servicio Clouback y determina los fines y medios del tratamiento de datos personales.

Encargado del tratamiento («Clouback»): Dayvers LLC, operadora de Clouback, que trata los datos personales por cuenta del Cliente según las instrucciones de éste.

Este DPA se incorpora y forma parte integrante de los Términos y condiciones de uso de Clouback.

2. Objeto y duración

Clouback tratará los datos personales que el Cliente introduzca o genere al usar el servicio, exclusivamente para prestar las funcionalidades contratadas. El tratamiento se mantendrá vigente mientras el Cliente tenga una cuenta activa y, tras la cancelación, durante el período de retención establecido en la Política de privacidad.

3. Instrucciones del responsable

Clouback tratará los datos únicamente según las instrucciones documentadas del Cliente, incluidas las derivadas del uso de las funcionalidades del servicio. Si Clouback considera que una instrucción infringe el RGPD u otra normativa aplicable, lo notificará al Cliente de inmediato.

4. Categorías de datos tratados

En el marco del servicio, Clouback puede tratar las siguientes categorías de datos por cuenta del Cliente:

  • Datos de identificación: nombre y correo electrónico de los receptores de transferencias que el Cliente introduce.
  • Metadatos de transferencia: identificador, nombre y tamaño del archivo, marca temporal, hash SHA-256.
  • Datos de acceso y auditoría: IP de origen, user-agent, timestamps de acciones del usuario.

Clouback no accede al contenido de los archivos transferidos, que se cifran en el equipo del Cliente antes de ser enviados al almacenamiento del Cliente (arquitectura zero-knowledge).

5. Obligaciones de Clouback como encargado

  • Tratar los datos únicamente para los fines establecidos en el contrato de servicio.
  • Garantizar la confidencialidad de los datos, limitando el acceso al personal autorizado bajo deber de secreto.
  • Aplicar las medidas técnicas y organizativas descritas en el apartado 6.
  • Asistir al Cliente en el cumplimiento de sus obligaciones ante solicitudes de ejercicio de derechos por los interesados.
  • Poner a disposición del Cliente la información necesaria para demostrar el cumplimiento del RGPD.
  • Notificar al Cliente sin demora indebida (y en todo caso en menos de 72 horas desde el conocimiento) cualquier violación de seguridad que afecte a los datos personales tratados por su cuenta.
  • Una vez finalizada la prestación del servicio, suprimir o devolver los datos personales al Cliente, salvo que la normativa exija su conservación.

6. Medidas de seguridad técnicas y organizativas

Clouback implementa las siguientes medidas para proteger los datos:

  • Cifrado en tránsito: TLS 1.3 en todas las comunicaciones entre cliente y servidor.
  • Cifrado en origen: AES-256-GCM aplicado en el dispositivo del emisor antes de cualquier transmisión.
  • Control de acceso: autenticación con tokens de API de ámbito limitado; acceso de personal interno restringido por principio de mínimo privilegio.
  • Infraestructura alojada en centros de datos europeos certificados ISO 27001 (Hetzner Online, Alemania).
  • Copias de seguridad cifradas de la base de datos de metadatos.
  • Monitorización y alertas de seguridad en tiempo real.
  • Revisión periódica de accesos y de la política de seguridad.

7. Subencargados

Clouback puede contratar subencargados para prestar el servicio. La lista actualizada de subencargados está disponible en clouback.com/legal/subprocesadores/. Clouback notificará al Cliente con al menos 30 días de antelación cualquier cambio previsto en los subencargados, concediendo al Cliente la posibilidad de oponerse a dicho cambio.

Todos los subencargados quedan sujetos a obligaciones de protección de datos equivalentes a las establecidas en este DPA.

8. Transferencias internacionales

Los datos se procesan principalmente en infraestructura ubicada en la Unión Europea. Cuando se utilicen subencargados fuera del EEE (por ejemplo, para el envío de correos electrónicos), las transferencias se amparan en Cláusulas Contractuales Tipo (SCCs) aprobadas por la Comisión Europea o en el marco EU-US Data Privacy Framework, según corresponda.

9. Auditoría y verificación

El Cliente tiene derecho a realizar auditorías o inspecciones, directamente o a través de un auditor designado, para verificar el cumplimiento de este DPA. Las auditorías se realizarán con previo aviso de al menos 30 días, en horario laboral, con un máximo de una auditoría al año, salvo causa justificada. Clouback podrá, en su lugar, proporcionar un informe de auditoría independiente actualizado.

10. Contacto DPA

Para cualquier cuestión relativa a este DPA o para solicitar la versión firmada del acuerdo: