1. Partes y alcance
Este DPA se celebra entre Polooma (Encargado) y el Cliente (Responsable) identificado en la cuenta Polooma. Aplica siempre que el Encargado trate Datos Personales en nombre del Responsable en relación con el servicio Polooma.
2. Objeto y duración
Objeto: prestación de la plataforma Polooma — reserva de citas, gestión de clientes, comunicaciones e informes. Duración: mientras la suscripción a Polooma esté activa, más el período de eliminación establecido en la sección 8.
3. Categorías de datos y de interesados
Interesados: clientes finales del salón del Cliente (y su personal). Categorías de datos personales: datos de contacto (nombre, email, teléfono), datos demográficos (edad, género si se recogen), historial de servicios, fotos subidas con consentimiento, metadatos de pago (sin números de tarjeta — gestionados por Stripe/Adyen), notas introducidas voluntariamente por el personal del salón. Las categorías especiales (Art. 9 RGPD), como notas relativas a la salud, solo pueden tratarse cuando el Responsable haya obtenido el consentimiento explícito.
4. Obligaciones del Encargado
El Encargado: (a) tratará los Datos Personales solo conforme a instrucciones documentadas del Responsable; (b) garantizará que las personas autorizadas a tratar los datos están sujetas a deber de confidencialidad; (c) implementará las medidas técnicas y organizativas adecuadas (Art. 32 RGPD) — ver Anexo A; (d) ayudará al Responsable a responder a solicitudes de los interesados; (e) ayudará con la notificación de brechas, EIPD y consultas con las autoridades de control; (f) eliminará o devolverá los Datos Personales al final del acuerdo (a elección del Responsable).
5. Sub-encargados
El Responsable autoriza al Encargado a contratar sub-encargados. La lista actual se publica y mantiene en polooma.com/legal/sub-processors (se añadirá tras el lanzamiento de producción). El Responsable será notificado al menos 30 días antes de añadir un nuevo sub-encargado y podrá oponerse por motivos razonables.
6. Transferencias internacionales
Todo el tratamiento ocurre dentro de la UE/EEE. Si la transferencia fuera de la UE/EEE se hace necesaria, el Encargado se basará en Cláusulas Contractuales Tipo (CCT) e informará al Responsable con antelación.
7. Medidas de seguridad
Ver Anexo A. Incluye cifrado en reposo y en tránsito, RBAC, registro de auditoría, MFA, escaneo regular de vulnerabilidades, tests de penetración anuales, residencia de datos solo en la UE y retención de copias de 30 días.
8. Devolución y eliminación
A la finalización de la suscripción Polooma, el Encargado, a elección del Responsable: (a) devolverá todos los Datos Personales en formato legible por máquina (JSON o CSV); o (b) los eliminará. La eliminación se completa en 30 días desde la finalización, salvo que la retención sea exigida por la ley aplicable (en cuyo caso se notifica al Responsable). Las copias que contengan Datos Personales se eliminan en los 30 días siguientes a la siguiente rotación de copias.
9. Derechos de auditoría
El Responsable puede auditar el cumplimiento del DPA por parte del Encargado — una vez al año, con 30 días de aviso, en horario laboral, y de forma que no perturbe las operaciones del Encargado. El Encargado puede satisfacer esta obligación facilitando al Responsable el último informe SOC 2 / ISO 27001.
10. Responsabilidad
La responsabilidad bajo este DPA se rige por los Términos del Servicio. El Encargado responde por daños causados por el tratamiento solo cuando no haya cumplido con las obligaciones del RGPD dirigidas específicamente a los encargados, o haya actuado fuera de o en contra de las instrucciones lícitas del Responsable.
11. Ley aplicable
Este DPA se rige por las leyes del estado miembro de la UE en el que esté establecido el Encargado. Las disputas siguen la cláusula de resolución de disputas de los Términos del Servicio.
Anexo A — Medidas técnicas y organizativas
Cifrado: TLS 1.3 en tránsito, AES-256 en reposo. Control de acceso: RBAC con 2FA obligatoria para administradores. Registro: registro de auditoría append-only retenido 7 años. Copias: cada 6 horas, retención 30 días. Tests de penetración: anuales por una firma independiente. Personal: formado en RGPD, con acuerdos de confidencialidad firmados, acceso por necesidad. Respuesta a incidentes: procedimiento documentado con notificación de 72 horas al Responsable.