Acuerdo de Encargo de Tratamiento
Última actualización: mayo 2026
Este Acuerdo de Encargo de Tratamiento («DPA») forma parte de los Términos de Servicio entre getzita.app y el cliente empresarial («el Responsable»). Regula el tratamiento de datos personales realizado por getzita.app por cuenta del Responsable, conforme al artículo 28 del Reglamento General de Protección de Datos (Reglamento (UE) 2016/679, «RGPD»).
1. Partes
Encargado del tratamiento: Daniel Olivier Barrachina, operando como getzita.app, NIF 45126503-C, domicilio en c/ Parellades 51, Sitges 08870, Barcelona, España. Contacto: support@getzita.app.
<bold>Responsable del tratamiento:</bold> la entidad empresarial que ha contratado una cuenta en getzita.app y aceptado estos términos.
2. Definiciones
Los términos en mayúscula tienen el significado dado en el RGPD. Para conveniencia:
- «Encargado» significa getzita.app, que trata datos personales por cuenta del Responsable.
- «Responsable» significa el cliente empresarial que determina los fines y medios del tratamiento.
- «Subencargado» significa cualquier tercero contratado por el Encargado para tratar datos personales por su cuenta.
- «Datos Personales» significa cualquier información relativa a una persona física identificada o identificable.
- «Interesado» significa la persona física cuyos datos personales son tratados — típicamente los clientes finales del Responsable, miembros del equipo o visitantes.
3. Objeto, naturaleza y duración
El Encargado trata Datos Personales por cuenta del Responsable únicamente para prestar los servicios de reserva de citas, chatbot de WhatsApp, facturación, comunicaciones y analítica cubiertos por los Términos de Servicio. Las categorías de Interesados incluyen:
- Clientes finales que reservan citas vía WhatsApp u otros canales.
- Trabajadores, empleados y administradores añadidos por el Responsable a la plataforma.
- Visitantes a la página pública de reservas operada por el Responsable.
Las categorías de Datos Personales tratados incluyen:
- Números de teléfono de clientes finales, nombres, historial de conversación, historial de citas.
- Nombres, emails, roles y horarios de trabajadores / miembros del equipo.
- Datos de facturación gestionados por Stripe — getzita.app no almacena números de tarjeta ni CVV.
- Direcciones de email, contenido de mensajes y telemetría de entrega para emails transaccionales.
4. Instrucciones del Responsable
El Encargado trata los Datos Personales únicamente siguiendo instrucciones documentadas del Responsable, incluso en lo relativo a transferencias internacionales. Los Términos de Servicio junto con este DPA constituyen las instrucciones completas y definitivas del Responsable. Instrucciones adicionales fuera de este alcance requieren acuerdo escrito y pueden conllevar costes adicionales.
Si el Encargado está obligado por la legislación de la UE o española a tratar Datos Personales fuera de estas instrucciones (por ejemplo, en respuesta a una orden judicial), informará al Responsable antes del tratamiento, salvo que dicha legislación lo prohíba.
5. Medidas de seguridad
El Encargado implementa medidas técnicas y organizativas apropiadas conforme al Art. 32 RGPD, que incluyen:
- Cifrado en tránsito (TLS 1.2+) y cifrado en reposo para datos sensibles (tokens de Meta, secretos, copias de seguridad) usando AES-256.
- Control de acceso basado en roles dentro de la aplicación, principio de mínimo privilegio para acceso del personal a datos de producción, MFA en todas las cuentas administrativas.
- Registros de auditoría para operaciones sensibles (cambios de miembros, facturación, eliminación de cuenta) con retención de 90 días.
- Copias de seguridad cifradas diarias con retención de 30 días, almacenadas en Supabase Storage.
- Aislamiento entre tenants impuesto a nivel de aplicación — cada consulta está limitada al negocio / organización activa.
- Credenciales y claves API gestionadas vía variables de entorno, rotadas al desvincular personal.
6. Subencargados
El Responsable otorga al Encargado autorización general por escrito para contratar subencargados, sujeto a las condiciones del Art. 28(2) y 28(4) RGPD. El Encargado impondrá a cada subencargado obligaciones de protección de datos no menos protectoras que las de este DPA, y permanece plenamente responsable ante el Responsable por la actuación del subencargado.
La lista actual de subencargados se establece a continuación. El Encargado informará al Responsable de cualquier incorporación o sustitución prevista de subencargados con al menos 30 días de antelación, dando al Responsable la oportunidad de oponerse por motivos razonables de protección de datos.
| Subencargado | Finalidad | Ubicación | DPA / Cláusulas |
|---|---|---|---|
| Vercel Inc. | Hosting de la aplicación y CDN | USA / EU | Ver |
| Supabase Inc. | Base de datos, autenticación y almacenamiento de archivos | EU (Frankfurt) | Ver |
| Stripe Payments Europe Ltd. | Procesamiento de pagos y facturación de suscripciones | EU (Ireland) | Ver |
| Resend Inc. | Envío y telemetría de emails transaccionales | USA / EU | Ver |
| Meta Platforms Ireland Ltd. | API de WhatsApp Business para conversaciones del chatbot | EU (Ireland) | Ver |
| Amplitude Inc. | Analítica de producto identificada por un UUID interno y propiedades de negocio (sin correo ni identificador directo) | EU (Frankfurt) | Ver |
| Functional Software Inc. (Sentry) | Monitorización de errores y trazas de rendimiento | USA | Ver |
| Sanity Inc. | CMS para artículos de ayuda y contenido del blog | EU | Ver |
| Mapbox Inc. | Autocompletado de direcciones en la página pública de reservas | USA | Ver |
7. Transferencias internacionales
Cuando se transfieren Datos Personales fuera del Espacio Económico Europeo, el Encargado se ampara en las Cláusulas Contractuales Tipo de la Comisión Europea (Decisión de Ejecución 2021/914), complementadas con las medidas técnicas y organizativas descritas en la sección 5. El Responsable puede solicitar al Encargado copias de las CCT relevantes en cualquier momento.
Se invocan decisiones de adecuación cuando son aplicables (p. ej. la decisión de adecuación con Reino Unido).
8. Derechos de los interesados
El Encargado proporciona herramientas dentro de la aplicación para que el Responsable pueda responder directamente a las solicitudes de los interesados (exportación de citas y conversaciones, eliminación de contactos, eliminación de cuenta). Cuando un interesado contacte directamente al Encargado con una solicitud, éste la trasladará rápidamente al Responsable y prestará asistencia razonable. El soporte operativo de estas solicitudes está incluido; asistencia compleja o de gran volumen puede facturarse al coste. Contacto: support@getzita.app.
9. Conservación y eliminación
Los Datos Personales se conservan según lo siguiente, salvo que la ley exija una conservación más prolongada (p. ej. obligaciones fiscales / contables):
- Registros de auditoría: 90 días desde su creación.
- Datos de citas y números de teléfono de clientes finales: 90 días desde la fecha de la cita, salvo instrucción del Responsable u obligación legal aplicable.
- Sesiones de conversación de WhatsApp: eliminadas automáticamente al expirar la sesión (2 horas de inactividad).
- Al terminar la cuenta, todos los Datos Personales se eliminan o anonimizan en un plazo de 90 días, con la excepción de los datos de facturación conservados durante 5 años conforme al Código de Comercio español.
10. Brechas de datos personales
El Encargado notificará al Responsable sin dilación indebida (y en cualquier caso dentro de las 72 horas desde que tenga conocimiento) cualquier brecha de Datos Personales que afecte a los datos del Responsable, conforme al Art. 33(2) RGPD. La notificación incluye la naturaleza de la brecha, las categorías y número aproximado de Interesados afectados, las consecuencias probables y las medidas adoptadas o propuestas. Las notificaciones se envían a support@getzita.app y al email registrado en la cuenta del Responsable.
11. Auditorías
El Encargado pone a disposición toda la información necesaria para demostrar el cumplimiento del Art. 28 RGPD, incluidas las obligaciones establecidas en este DPA. Cuando el Responsable requiera auditorías adicionales, éstas pueden ser realizadas por el Responsable o por un auditor tercero autorizado (sujeto a acuerdo de confidencialidad) una vez al año, con al menos 30 días de notificación escrita, en horario laboral, y a expensas del Responsable.
El Encargado puede satisfacer esta obligación proporcionando certificaciones o informes de auditoría existentes de terceros o de sus subencargados (p. ej. SOC 2 de Vercel, PCI-DSS de Stripe, SOC 2 de Supabase) cuando corresponda.
12. Vigencia y contacto
Este DPA entra en vigor con la aceptación de los Términos de Servicio y permanece en vigor durante la duración de la relación contractual. Las secciones 5 (seguridad), 9 (conservación) y 10 (brechas) sobreviven a la terminación en la medida necesaria para cumplir las obligaciones residuales del Encargado. Para cualquier asunto relacionado con este DPA: support@getzita.app.