Volver al inicio
Contrato de Encargo del Tratamiento

Versión 1.1 — vigente desde el 30 de junio de 2026 (sustituye la versión 1.0 del 26 de mayo de 2026)

El presente Contrato de Encargo del Tratamiento („DPA") se celebra entre tú (Cliente, responsable) y VivaShelf — actualmente los fundadores de VivaShelf a la espera de la constitución de VivaShelf sp. z o.o. en Polonia — („VivaShelf", encargado) y forma parte integrante de los Términos. Se concierta conforme al art. 28(3) RGPD y, para los datos brasileños, a la LGPD en lo aplicable.

1. Objeto, duración, naturaleza y finalidad

Objeto: prestación de la plataforma SaaS VivaShelf. Duración: periodo de abono del Cliente más la retención del Anexo III. Naturaleza y finalidad: alojar, almacenar, organizar, recuperar, mostrar, transmitir y (al cesar) eliminar datos personales para prestar el servicio.

2. Categorías de interesados y datos

Interesados: empleados, contratistas y personas físicas cuyos datos el Cliente cargue. Categorías: nombre, email profesional, teléfono, función, credenciales, registro de auditoría y datos cargados voluntariamente. El Cliente no debe cargar categorías especiales (art. 9 RGPD) ni datos de condenas.

3. Obligaciones del encargado

VivaShelf: (a) trata sólo según instrucciones documentadas (los Términos son instrucciones permanentes); (b) asegura la confidencialidad del personal autorizado; (c) implementa las medidas del Anexo II; (d) cumple las reglas de subencargados (cl. 5); (e) asiste al Cliente en las solicitudes de interesados (cl. 6); (f) ayuda con obligaciones de seguridad y arts. 32-36 RGPD; (g) devuelve o elimina al cesar (cl. 8); (h) permite auditorías (cl. 7).

4. Instrucciones del Cliente

VivaShelf trata sólo según instrucciones documentadas, incluso en transferencias, salvo obligación legal UE o nacional; en tal caso lo informaremos al Cliente, salvo prohibición. Informaremos sin demora si una instrucción, a nuestro juicio, infringe la normativa.

5. Subencargados

El Cliente concede autorización escrita general a los subencargados del Anexo I. VivaShelf: (a) notificará con al menos 30 días de antelación altas/sustituciones (in-app y/o email); (b) admitirá oposición por motivos razonables; (c) si la oposición no se resuelve, permitirá la resolución del servicio afectado con reembolso prorrateado; (d) impondrá contractualmente a los subencargados las mismas obligaciones; (e) responde plenamente de su actuación.

6. Asistencia a derechos de interesados

VivaShelf asiste al Cliente con medidas técnicas y organizativas en la atención de derechos del Capítulo III RGPD. El servicio incluye autoservicio para exportación, eliminación, rectificación y gestión de consentimientos.

7. Auditorías

VivaShelf aporta la información necesaria para acreditar el art. 28: (a) resumen anual de pentests; (b) atestaciones SOC 2 Type II de los principales subencargados de hosting; (c) derecho del Cliente o auditor independiente a auditar con preaviso escrito y no más de una vez al año (salvo brecha confirmada). En horario laboral, sin interrumpir el servicio, con confidencialidad; costes a cargo del Cliente.

8. Devolución o eliminación

A elección del Cliente, al cesar el servicio devolveremos o eliminaremos los datos, salvo conservación obligatoria (trazabilidad alimentaria Reg. (CE) nº 178/2002, normativa fiscal). Eliminación productiva en 30 días; backups cifrados en 35 días adicionales.

9. Transferencias internacionales

Las transferencias fuera de la UE/EEE quedan sujetas a los arts. 44-49 RGPD, con CCT de la Decisión 2021/914 (Cliente como exportador, VivaShelf como importador, Módulo 2; Módulo 3 para ulteriores). Para las transferencias fuera de Brasil se aplican, cuando proceda, los mecanismos del art. 33 LGPD y las cláusulas contractuales tipo adoptadas por la ANPD (Resolución CD/ANPD n.º 19/2024).

10. Responsabilidad

La responsabilidad en virtud del DPA queda sujeta a los límites de la sec. 10 de los Términos; nada limita la responsabilidad frente a los interesados ex art. 82 RGPD o norma imperativa.

Anexo I — Subencargados autorizados

Lista actualizada en /sub-processors. Resumen: (1) Supabase, Inc. — PostgreSQL gestionado, UE; (2) Vercel, Inc. — hosting, edge, CDN, UE; (3) Resend, Inc. — email transaccional; (4) Google LLC — OAuth (opcional); (5) Upstash, Inc. — Redis rate-limiting; (6) Functional Software, Inc. d/b/a Sentry — monitorización, sin session replay; (7) Google / Apple / Mozilla push — endpoints web push; (8) Cloudflare, Inc. — origin shield, anti-DDoS, anti-bot; (9) Stripe Payments Europe, Ltd. — procesamiento de pagos y facturación de suscripciones (activo al lanzarse los planes de pago).

Anexo II — Medidas técnicas y organizativas

Cifrado en tránsito (TLS 1.2+) y en reposo (AES-256, proporcionado por el subencargado de BD). bcrypt para contraseñas. AES-256-GCM para secretos MFA con separación de claves. PostgreSQL Row-Level Security. RBAC. CSP con nonce. Origin shield y mitigación de bots Cloudflare. Rate-limiting (60/min API, 10/min health). Audit log. Escaneo de vulnerabilidades. Privilegio mínimo; MFA recomendada para el personal. Runbook de incidentes con notificación al responsable en 72 horas. Pentest externo no realizado actualmente a cadencia fija; se introducirá antes del GA comercial o si lo exigen acuerdos con Clientes.

Anexo III — Retención

Conforme a la sec. 11 de la Política. Ante instrucción de eliminación actuamos en los plazos de la cl. 8 con sujeción a las retenciones obligatorias del Reg. (CE) nº 178/2002 (mín. 2 años) y de la normativa fiscal (7 años).

Related: Privacy Policy, Sub-processors, Terms of Service.