Acuerdo de Encargo de Tratamiento (DPA) — Plataforma InAI
Versión 1.0 — en vigor desde el 9 de junio de 2026
Este documento se mantiene en español; la versión española es el texto legalmente vinculante.
1. Objeto y roles
Este Acuerdo de Encargo de Tratamiento (el "DPA") regula, conforme al art. 28 del Reglamento (UE) 2016/679 ("RGPD") y a la LOPDGDD 3/2018, el tratamiento de datos personales que InAI (el "Encargado") realiza por cuenta del cliente comerciante (el "Responsable") en la prestación de la Plataforma.
2. Naturaleza y finalidad del tratamiento
Alojamiento y procesamiento de los datos de la tienda del Responsable: compradores (identificación, contacto, direcciones, historial de pedidos), personal autorizado del Responsable y registros técnicos, con la única finalidad de prestar el servicio contratado.
3. Instrucciones documentadas
El Encargado tratará los datos únicamente siguiendo instrucciones documentadas del Responsable, incluidas las impartidas a través de la configuración del panel de administración, salvo obligación legal en contrario, en cuyo caso informará previamente al Responsable salvo prohibición legal.
4. Confidencialidad y seguridad
4.1. El personal del Encargado con acceso a datos está sujeto a deber de confidencialidad.
4.2. Medidas técnicas y organizativas aplicadas: aislamiento por tenant con base de datos dedicada por tienda, cifrado en tránsito (TLS) y en reposo, cifrado adicional AES-GCM de credenciales y secretos almacenados, control de acceso basado en roles (RBAC), registro de auditoría de operaciones de escritura, copias de seguridad periódicas y residencia de datos configurable por zonas (incluida la opción de residencia en la UE).
5. Subencargados
5.1. El Responsable autoriza de forma general la contratación de los siguientes subencargados: Cloudflare, Inc. (infraestructura edge y almacenamiento), Turso/ChiselStrike (bases de datos), Stripe, Inc. (pagos) y Resend (correo transaccional).
5.2. El Encargado informará de cualquier adición o sustitución con al menos treinta (30) días de antelación, pudiendo el Responsable oponerse por motivos razonables. Las transferencias internacionales se amparan en Cláusulas Contractuales Tipo de la Comisión Europea o mecanismo equivalente válido.
6. Derechos de los interesados
El Encargado asistirá al Responsable, mediante las funcionalidades de la Plataforma (exportación, rectificación, supresión y portabilidad de datos de clientes), en la atención de los derechos de acceso, rectificación, supresión, oposición, limitación y portabilidad.
7. Notificación de violaciones de seguridad
El Encargado notificará al Responsable sin dilación indebida, y en todo caso en un plazo máximo de setenta y dos (72) horas desde que tenga constancia, cualquier violación de la seguridad de los datos personales, facilitando la información disponible para que el Responsable pueda cumplir sus obligaciones ante la Agencia Española de Protección de Datos (AEPD) u otra autoridad competente.
8. Auditoría
El Encargado pondrá a disposición del Responsable la información necesaria para demostrar el cumplimiento de este DPA y permitirá auditorías razonables, con preaviso mínimo de treinta (30) días, máximo una vez al año salvo incidente, y sin acceso a datos de otros tenants.
9. Devolución y supresión
A la terminación del servicio, el Responsable podrá exportar sus datos durante treinta (30) días. Transcurrido el plazo, el Encargado suprimirá de forma segura los datos personales, salvo conservación exigida por ley.
10. Duración
Este DPA permanece vigente mientras el Encargado trate datos personales por cuenta del Responsable.