Acuerdo de Encargo de Tratamiento (DPA)
Este Acuerdo de Encargo de Tratamiento (el «DPA») regula el tratamiento de datos personales que Flora Group, S.L. («Evoflor», el «Encargado») realiza por cuenta del cliente que contrata el Servicio (la floristería, el «Responsable») al usar Evoflor. Se celebra conforme al artículo 28 del RGPD y forma parte de los Términos y Condiciones. En caso de conflicto sobre el tratamiento de los Datos de Clientes Finales, prevalece este DPA.
1. Objeto y duración
El Encargado tratará datos personales por cuenta del Responsable para prestar el Servicio durante toda la vigencia de la relación contractual y hasta la devolución o supresión de los datos conforme a la cláusula 9.
2. Naturaleza y finalidad del tratamiento
Almacenamiento, organización, consulta y demás operaciones necesarias para ofrecer las funcionalidades de gestión de la floristería: clientes, pedidos, entregas y rutas, facturación, eventos y comunicaciones con los clientes finales.
3. Tipos de datos y categorías de interesados
- Categorías de interesados: clientes, remitentes y destinatarios de los pedidos del Responsable.
- Tipos de datos: identificativos (nombre), de contacto (teléfono, correo, dirección de entrega), datos del pedido (productos, importes, dedicatorias o notas) e historial de compras. El Responsable se compromete a no introducir categorías especiales de datos salvo que sea imprescindible y cuente con base jurídica para ello.
4. Obligaciones del Encargado
Evoflor, como Encargado, se obliga a:
- tratar los datos solo según las instrucciones documentadas del Responsable (incluido el uso del Servicio), salvo obligación legal;
- garantizar la confidencialidad del personal autorizado;
- aplicar las medidas de seguridad de la cláusula 6 (art. 32 RGPD);
- asistir al Responsable para atender los derechos de los interesados y sus obligaciones (cláusulas 7 y 8);
- no recurrir a subencargados sin la autorización de la cláusula 5;
- devolver o suprimir los datos al finalizar (cláusula 9);
- poner a disposición del Responsable la información necesaria para demostrar el cumplimiento y permitir auditorías razonables.
5. Subencargados
El Responsable autoriza con carácter general que el Encargado recurra a los siguientes subencargados, con los que ha suscrito contratos de encargo con garantías adecuadas:
| Subencargado | Finalidad | Ubicación |
|---|---|---|
| Supabase, Inc. | Base de datos, autenticación y almacenamiento de archivos | Unión Europea (Irlanda) |
| Vercel, Inc. | Alojamiento y entrega de la aplicación web | EE. UU. (cláusulas contractuales tipo / Data Privacy Framework) |
| Google Ireland Ltd. (Maps Platform) | Geocodificación y autocompletado de direcciones de entrega | EE. UU. (cláusulas contractuales tipo / Data Privacy Framework) |
| Resend, Inc. (previsto) | Envío de correos transaccionales (avisos y notificaciones) | EE. UU. (cláusulas contractuales tipo / Data Privacy Framework) |
| Functional Software, Inc. (Sentry) (previsto) | Registro técnico de errores para diagnóstico | EE. UU. (cláusulas contractuales tipo / Data Privacy Framework) |
| PostHog, Inc. (previsto) | Analítica de uso del producto (datos agregados) | Unión Europea |
El Encargado informará de cualquier cambio previsto en la lista de subencargados, dando al Responsable la posibilidad de oponerse por motivos razonables relacionados con la protección de datos.
6. Medidas de seguridad
El Encargado aplica, entre otras, las siguientes medidas:
- cifrado de los datos en tránsito (TLS) y en reposo;
- aislamiento estricto de los datos de cada cliente (seguridad a nivel de fila en la base de datos);
- control de acceso basado en roles (dueño, florista, repartidor) con privilegio mínimo;
- registro de auditoría de operaciones sensibles;
- copias de seguridad periódicas y procedimientos de recuperación;
- alojamiento de los datos del Servicio en la Unión Europea.
7. Asistencia al Responsable
Teniendo en cuenta la naturaleza del tratamiento, el Encargado asistirá al Responsable, mediante las funciones del Servicio o el soporte, para atender las solicitudes de ejercicio de derechos de los interesados y para cumplir sus obligaciones de seguridad, notificación de brechas y evaluaciones de impacto cuando proceda.
8. Notificación de violaciones de seguridad
El Encargado notificará al Responsable, sin dilación indebida tras tener conocimiento de ella, cualquier violación de la seguridad de los datos personales tratados por su cuenta, con la información disponible para que el Responsable pueda cumplir, en su caso, sus obligaciones de notificación a la autoridad de control y a los interesados.
9. Finalización: devolución o supresión
A la finalización de la prestación, el Encargado, a elección del Responsable, le devolverá o suprimirá los datos personales y eliminará las copias existentes, salvo que deba conservarlos por obligación legal. Se habilitará un plazo razonable para que el Responsable exporte sus datos antes de la supresión.
10. Transferencias internacionales
Cuando algún subencargado trate datos fuera del Espacio Económico Europeo, dichas transferencias se ampararán en garantías adecuadas (cláusulas contractuales tipo de la Comisión Europea y/o Data Privacy Framework).
11. Responsabilidad y ley aplicable
La responsabilidad de las partes se rige por el RGPD y por los Términos y Condiciones. Este DPA se rige por la legislación española.
12. Contacto
Para cualquier cuestión relativa a este DPA: privacidad@evoflor.com.