Borrador legal — este documento es un borrador preparado por el equipo del producto y no constituye asesoramiento legal. Será reemplazado por una versión revisada profesionalmente por un abogado cualificado antes de salir de Beta. Consultas: hello@alma-ads.co.il.
Acuerdo de Tratamiento de Datos
Última actualización: 2026-04-21
Este documento es un Acuerdo de Tratamiento de Datos según el artículo 28 del Reglamento General de Protección de Datos (GDPR). Se aplica cuando tú, como propietario de un negocio, usas My Special Offer para tratar datos personales de tus clientes (por ejemplo, nombres, teléfonos y emails). En este escenario — tú eres el Responsable, y My Special Offer es el Encargado del tratamiento.
§1Partes
• Responsable (Controller) — tú, el propietario registrado en el sistema, o tu empresa
• Encargado (Processor) — My Special Offer, operado por Niv Einy
• Sub-encargados — los sub-procesadores listados en §4
El acuerdo se aplica al tratamiento de datos personales de tus clientes (no a tus propios datos como propietario — esos están cubiertos por la Política de Privacidad principal).
§2Definiciones
• "Datos Personales" — como los define GDPR Art. 4(1)
• "Tratamiento" — como lo define GDPR Art. 4(2)
• "Interesado" — tus clientes cuyos datos aparecen en las propuestas
• "Violación de Datos" — como la define GDPR Art. 4(12)
• "Autoridad de Control" — la autoridad de protección de datos competente
§3Alcance, duración, naturaleza y finalidad del tratamiento
• Alcance — datos personales de tus clientes incluidos en propuestas: nombre, teléfono, email, datos de negocio, datos de pago
• Duración — el período de uso del Servicio
• Naturaleza — almacenamiento, creación, modificación, intercambio por enlace público, firma digital
• Finalidad — prestación del Servicio contratado (creación de propuestas, envío a clientes, gestión de cuenta)
§4Sub-procesadores
La lista actualizada de sub-procesadores. Con la aceptación de este DPA autorizas su uso. Cualquier cambio o adición será notificado con 30 días de antelación, y tienes derecho a oponerte (la oposición podría derivar en terminación del Servicio).
| Proveedor | Función | Ubicación | DPA |
|---|---|---|---|
| Supabase | Almacenamiento, base de datos, autenticación | EU-West (Irlanda) | DPA |
| Vercel | Hosting, CDN, middleware | CDN global | DPA |
| Google Gemini | Transcripción y extracción por IA | Global (US-central) | DPA |
| Resend | Emails transaccionales | EE. UU. | DPA |
| PostHog | Analítica (con consentimiento) | EU-West (Frankfurt) | DPA |
| Paddle.com Market Limited | Procesamiento de pagos e impuestos (Merchant of Record). Datos transferidos: email de facturación, dirección (país + región + código postal), importe, moneda y UUID interno del tenant. Necesario para el cálculo de IVA y facturación bajo GDPR Art. 6(1)(b,c) y 13(1)(e). | Dublin, Ireland (EU) | DPA |
§5Asistencia en derechos del interesado
Asistiremos al Responsable en responder solicitudes de sus Interesados (tus clientes) según GDPR Art. 15-22.
Plazos:
• Acceso, rectificación o portabilidad — 30 días desde la recepción
• Supresión — 30 días, sujeto a deberes legales de retención para propuestas firmadas
• Coste — gratuito para solicitudes razonables. Solicitudes repetidas / masivas pueden tener coste de hasta 10 €
§6Medidas de seguridad
Implementamos medidas técnicas y organizativas:
• Row-Level Security (RLS) en la base de datos
• Cifrado en transporte (HTTPS / TLS 1.3)
• Cifrado en reposo (Supabase AES-256)
• Control de accesos — menos de 3 personas con acceso a service-role
• Copias diarias
• Monitoreo de anomalías
• Escaneos periódicos de vulnerabilidades
No garantizamos impenetrabilidad. En caso de incidente — ver §8.
§7Transferencias internacionales
Algunos sub-procesadores operan fuera de la Unión Europea. Estas transferencias se realizan bajo las Cláusulas Contractuales Tipo (SCC) de la Comisión Europea — Decisión 2021/914, módulo 2 (Responsable-a-Encargado).
No se transfieren datos a países sin Decisión de Adecuación o SCC apropiadas.
§8Notificación de brechas
En caso de una violación de datos personales que afecte a datos de tus clientes, te notificaremos sin demora indebida — y en cualquier caso no más tarde de 24 horas desde el conocimiento — para que puedas cumplir tu obligación bajo GDPR Art. 33 (72 horas a la autoridad de control).
La notificación incluirá: descripción del incidente, tipo y volumen aproximado de datos expuestos, consecuencias probables, medidas tomadas.
§9Auditorías
Puedes solicitar una auditoría anual de actividades de tratamiento, con 30 días de antelación. La auditoría se realizará en horario laboral y sin interferir con el Servicio.
Para auditorías in situ extensas podemos cobrar tarifa a coste. Auditorías por cuestionario / documentales son gratuitas.
Puedes basarte en certificaciones de terceros (SOC 2, ISO 27001) en lugar de auditoría independiente cuando estén disponibles.
§10Devolución o eliminación de datos
Al terminar el Acuerdo (cancelación o cierre de cuenta), realizaremos según tu elección:
• Devolución — exportación JSON + archivos HTML de propuestas publicadas
• Eliminación completa — en 30 días, salvo propuestas firmadas sujetas al deber de retención de 7 años
Decisión por defecto — eliminación si no se recibe instrucción en 30 días.
§11Responsabilidad
Nuestra responsabilidad como Encargado está limitada conforme a los Términos principales. Somos responsables únicamente de nuestras propias acciones — no por tus errores como Responsable.
Cada parte asume su responsabilidad según GDPR Art. 82 por su cuota en la brecha.
§12Ley aplicable
Este acuerdo se rige por las leyes del Estado de Israel. Jurisdicción — el tribunal competente de Tel-Aviv.
§13Firma
Este acuerdo entra en vigor automáticamente al usar el Servicio como empresa. No se requiere firma manual.
Si tu organización requiere un DPA firmado físicamente, contacta con hello@alma-ads.co.il y proporcionaremos una versión firmada en PDF por email en 5 días laborables.