Acuerdo de Tratamiento de Datos (DPA)

Versión draft · Última actualización: 2026-04-20.

Este DPA complementa los Términos de servicio y aplica cuando el Cliente (Responsable) contrata los servicios de Eleata (Encargado del tratamiento). Cumple art. 28 GDPR y equivalentes AR.

1. Objeto

Tratamiento de datos personales por cuenta del Cliente, estrictamente para la prestación de los servicios contratados.

2. Medidas técnicas y organizativas

• Cifrado en tránsito (TLS 1.2+) y en reposo (AES-256 en DB).
• Backups encriptados con rotación diaria.
• Control de acceso basado en roles (RBAC + SSO opcional).
• Logs de auditoría inmutables 365 días.
• Pen-test anual y security scanning continuo con Eleion.

3. Subencargados

Listado actualizado en /dpa#subprocessors. Principales: Hetzner (infra DE), Cloudflare (CDN/edge), Mailgun/Resend (email). Notificamos cambios con 30 días de anticipación.

4. Asistencia

Asistimos al Cliente para responder solicitudes de titulares (DSR) y para evaluaciones de impacto (DPIA). Respuesta en 5 días hábiles.

5. Brechas

Notificación al Cliente en un máximo de 48 horas desde la detección.

6. Devolución / supresión

Al terminar el contrato, devolvemos o suprimimos los datos a elección del Cliente en 30 días.

7. Firma

DPA firmado por el representante legal disponible a pedido. Escribinos a legal@eleata.io.