Versión 1.0 — vigente desde el 26 de mayo de 2026
El presente Contrato de Encargo del Tratamiento („DPA") se celebra entre tú (Cliente, responsable) y VivaShelf [PERSONA JURÍDICA] („VivaShelf", encargado) y forma parte integrante de los Términos. Se concierta conforme al art. 28(3) RGPD, al UK GDPR (con UK IDTA incorporado por referencia), a la revFADP suiza y a la LGPD brasileña en lo aplicable.
Objeto: prestación de la plataforma SaaS VivaShelf. Duración: periodo de abono del Cliente más la retención del Anexo III. Naturaleza y finalidad: alojar, almacenar, organizar, recuperar, mostrar, transmitir y (al cesar) eliminar datos personales para prestar el servicio.
Interesados: empleados, contratistas y personas físicas cuyos datos el Cliente cargue. Categorías: nombre, email profesional, teléfono, función, credenciales, registro de auditoría y datos cargados voluntariamente. El Cliente no debe cargar categorías especiales (art. 9 RGPD) ni datos de condenas.
VivaShelf: (a) trata sólo según instrucciones documentadas (los Términos son instrucciones permanentes); (b) asegura la confidencialidad del personal autorizado; (c) implementa las medidas del Anexo II; (d) cumple las reglas de subencargados (cl. 5); (e) asiste al Cliente en las solicitudes de interesados (cl. 6); (f) ayuda con obligaciones de seguridad y arts. 32-36 RGPD; (g) devuelve o elimina al cesar (cl. 8); (h) permite auditorías (cl. 7).
VivaShelf trata sólo según instrucciones documentadas, incluso en transferencias, salvo obligación legal UE o nacional; en tal caso lo informaremos al Cliente, salvo prohibición. Informaremos sin demora si una instrucción, a nuestro juicio, infringe la normativa.
El Cliente concede autorización escrita general a los subencargados del Anexo I. VivaShelf: (a) notificará con al menos 30 días de antelación altas/sustituciones (in-app y/o email); (b) admitirá oposición por motivos razonables; (c) si la oposición no se resuelve, permitirá la resolución del servicio afectado con reembolso prorrateado; (d) impondrá contractualmente a los subencargados las mismas obligaciones; (e) responde plenamente de su actuación.
VivaShelf asiste al Cliente con medidas técnicas y organizativas en la atención de derechos del Capítulo III RGPD. El servicio incluye autoservicio para exportación, eliminación, rectificación y gestión de consentimientos.
VivaShelf aporta la información necesaria para acreditar el art. 28: (a) resumen anual de pentests; (b) atestaciones SOC 2 Type II de los principales subencargados de hosting; (c) derecho del Cliente o auditor independiente a auditar con preaviso escrito y no más de una vez al año (salvo brecha confirmada). En horario laboral, sin interrumpir el servicio, con confidencialidad; costes a cargo del Cliente.
A elección del Cliente, al cesar el servicio devolveremos o eliminaremos los datos, salvo conservación obligatoria (trazabilidad alimentaria Reg. (CE) nº 178/2002, normativa fiscal). Eliminación productiva en 30 días; backups cifrados en 35 días adicionales.
Las transferencias fuera de la UE/EEE, UK, Suiza o Brasil quedan sujetas a los arts. 44-49 RGPD, con CCT de la Decisión 2021/914 (Cliente como exportador, VivaShelf como importador, Módulo 2; Módulo 3 para ulteriores). UK IDTA y adendas suizas FDPIC incorporadas por referencia.
La responsabilidad en virtud del DPA queda sujeta a los límites de la sec. 10 de los Términos; nada limita la responsabilidad frente a los interesados ex art. 82 RGPD o norma imperativa.
Lista actualizada en /sub-processors. Resumen: (1) Supabase, Inc. — PostgreSQL gestionado, UE; (2) Vercel, Inc. — hosting, edge, CDN, UE; (3) Resend, Inc. — email transaccional; (4) Google LLC — OAuth (opcional); (5) Upstash, Inc. — Redis rate-limiting; (6) Functional Software, Inc. d/b/a Sentry — monitorización, sin session replay; (7) Google / Apple / Mozilla push — endpoints web push; (8) Cloudflare, Inc. — origin shield, anti-DDoS, anti-bot.
Cifrado en tránsito (TLS 1.2+) y en reposo (AES-256, proporcionado por el subencargado de BD). bcrypt para contraseñas. AES-256-GCM para secretos MFA con separación de claves. PostgreSQL Row-Level Security. RBAC. CSP con nonce. Origin shield y mitigación de bots Cloudflare. Rate-limiting (60/min API, 10/min health). Audit log. Escaneo de vulnerabilidades. Privilegio mínimo; MFA recomendada para el personal. Runbook de incidentes con notificación al responsable en 72 horas. Pentest externo no realizado actualmente a cadencia fija; se introducirá antes del GA comercial o si lo exigen acuerdos con Clientes.
Conforme a la sec. 11 de la Política. Ante instrucción de eliminación actuamos en los plazos de la cl. 8 con sujeción a las retenciones obligatorias del Reg. (CE) nº 178/2002 (mín. 2 años) y de la normativa fiscal (7 años).
Related: Privacy Policy, Sub-processors, Terms of Service.