Acuerdo de Tratamiento de Datos (DPA)

Artículo 1 – Objeto

Este acuerdo tiene como objetivo definir las condiciones en las que The Form Company actúa como encargado del tratamiento en nombre del responsable del tratamiento en relación con el procesamiento de datos personales de conformidad con el RGPD.

Este acuerdo constituye una enmienda obligatoria que rige el tratamiento de datos personales en el contexto de la ejecución del servicio, complementando las condiciones generales del servicio o cualquier otro contrato entre las partes.

Artículo 2 – Entrada en vigor y duración

Este acuerdo entra en vigor en la fecha de inicio del contrato de servicio. Permanece aplicable durante toda la relación contractual y continúa después de la terminación para las operaciones de eliminación, restitución o archivo de datos.

Artículo 3 – Descripción del tratamiento

Finalidades

Permitir a los responsables del tratamiento:

  • Recopilar datos a través de formularios
  • Gestionar expedientes digitales con documentos justificativos
  • Organizar flujos de trabajo de validación
  • Exportar la información recopilada

Operaciones realizadas por The Form Company

  • Provisión de infraestructura para la entrada, almacenamiento y consulta de datos
  • Alojamiento seguro
  • Activación de notificaciones
  • Procesamiento automatizado de documentos
  • Soporte técnico

Tipos de datos tratados

  • Datos de identificación: nombre, correo electrónico, teléfono
  • Documentos justificativos: copias de documentos de identidad, contratos
  • Datos técnicos: direcciones IP, registros de acceso

Personas afectadas

Clientes, participantes de formularios y potencialmente empleados o socios que utilizan la plataforma.

Duración del tratamiento

Los datos se procesan durante la relación contractual o según los parámetros definidos por el responsable del tratamiento. Se eliminan o devuelven al finalizar el contrato.

Artículo 4 – Compromisos del encargado del tratamiento

  • Procesar los datos únicamente según las instrucciones documentadas del responsable del tratamiento
  • Garantizar que el personal cumpla con las obligaciones de confidencialidad
  • Mantener un registro de las actividades de tratamiento
  • Implementar medidas de seguridad apropiadas
  • Alertar al responsable del tratamiento sobre instrucciones manifiestamente ilegales
  • Asistir al responsable del tratamiento en la demostración del cumplimiento del RGPD

Artículo 5 – Obligaciones del responsable del tratamiento

  • Determinar las finalidades y los medios del tratamiento
  • Proporcionar información clara a los interesados antes de la recopilación
  • Asegurar que existe una base legal válida
  • Configurar la plataforma respetando la privacidad desde el diseño
  • Permitir el ejercicio efectivo de los derechos de los interesados
  • Proporcionar las instrucciones necesarias al encargado del tratamiento

Artículo 6 – Subencargados

El encargado del tratamiento puede contratar subencargados. El responsable del tratamiento recibe un aviso por escrito con 15 días de antelación antes de cualquier nueva contratación.

El responsable del tratamiento dispone de 10 días hábiles para oponerse. El encargado del tratamiento sigue siendo plenamente responsable del cumplimiento del subencargado mediante obligaciones contractuales de conformidad con este acuerdo.

Artículo 7 – Transferencias fuera del EEE

Las transferencias solo están autorizadas con decisiones de adecuación, cláusulas contractuales tipo o excepciones previstas en el artículo 49 del RGPD.

El encargado del tratamiento informa al responsable del tratamiento sobre las transferencias, incluyendo el destino, la base legal y las garantías adicionales, y proporciona documentación previa solicitud.

Artículo 8 – Asistencia para los derechos de los interesados

El encargado del tratamiento asiste en el ejercicio de los derechos: acceso, rectificación, supresión, limitación del tratamiento, oposición y portabilidad de datos.

Las solicitudes directas dirigidas al encargado del tratamiento se transmiten al responsable del tratamiento sin respuesta autónoma, salvo instrucciones previas en contrario.

Artículo 9 – Notificación de violaciones de datos

El encargado del tratamiento notifica al responsable del tratamiento sin demora indebida, máximo 48 horas después de cualquier incidente de seguridad que afecte a datos personales, incluyendo:

  • Naturaleza del incidente
  • Fecha y hora
  • Volumen de datos afectados
  • Consecuencias
  • Medidas correctivas
  • Información de contacto

Artículo 10 – Medidas de seguridad

El encargado del tratamiento implementa:

  • Cifrado de datos
  • Cortafuegos
  • Controles de acceso basados en roles
  • Autenticación
  • Aislamiento lógico de entornos
  • Registro de accesos
  • Procedimientos de copia de seguridad
  • Detección de anomalías
  • Selección rigurosa de proveedores

Artículo 11 – Tratamiento de datos tras la finalización del contrato

Al finalizar el contrato, el encargado del tratamiento devuelve los datos en un formato estructurado o los elimina de forma segura en un plazo de 60 días naturales, salvo que exista una obligación legal de conservación.

Se proporciona un certificado de eliminación previa solicitud.

Artículo 12 – Auditorías y documentación

El responsable del tratamiento puede realizar auditorías de cumplimiento con un aviso razonable, no más de una vez al año, salvo que una emergencia justifique una verificación adicional.

El encargado del tratamiento coopera protegiendo los secretos comerciales y los datos de otros clientes.

Artículo 13 – Responsabilidades y límites

El encargado del tratamiento asume la responsabilidad del tratamiento definido contractualmente dentro de los límites de las instrucciones recibidas.

El encargado del tratamiento no es responsable de los incumplimientos del responsable del tratamiento, errores de configuración o instrucciones ilegales.

El responsable del tratamiento sigue siendo responsable de la licitud del tratamiento, la exactitud de los datos y las obligaciones de información.

Artículo 14 – Legislación aplicable

Este acuerdo se rige por la legislación francesa.

Las disputas se gestionan mediante resolución amistosa. Los conflictos no resueltos se someten a los tribunales de la jurisdicción del domicilio social del encargado del tratamiento.

Anexo – Lista de subencargados

De conformidad con el artículo 6 del presente acuerdo, la lista de subencargados autorizados es la siguiente:

Subencargado Localización de los datos Finalidad
Amazon Web Services (AWS) Francia (eu-west-3, París) Alojamiento, infraestructura, SMS, procesamiento IA
Stripe UE (Irlanda) Pagos en línea
Yousign Francia Firma electrónica
Mailjet UE Correos electrónicos transaccionales

Esta lista se actualiza periódicamente. De conformidad con el artículo 6, el responsable del tratamiento es informado por escrito con 15 días de antelación antes de cualquier nueva contratación de subencargado.

Última actualización : 10 de febrero de 2026