CONFIANZA · DPA

Acuerdo de Tratamiento
de Datos (DPA).

Como cliente de Itamite, tú eres responsable del tratamiento (controller) y nosotros somos encargados del tratamiento (processor) según RGPD Art. 28. Aquí explicamos el contrato DPA estándar de Itrion: roles, obligaciones mutuas, derechos del cliente, sub-procesadores y transferencias internacionales. Listo para firma sin negociación previa.

Ver precios Solicitar DPA

Por qué tienes un DPA con nosotros

Cuando usas Itamite, nos compartes datos personales: nombres, emails, IPs, identificadores de empleados, registros de actividad TIC, audit logs, contenido potencial de sesiones remotas. RGPD Art. 28 exige un contrato vinculante con los responsables que establezca: el objeto y duración del tratamiento, su naturaleza y finalidad, el tipo de datos personales y categorías de interesados, las obligaciones y derechos del responsable.

Nuestro DPA estándar está pre-firmado por Itrion y disponible para tu firma electrónica al darte de alta como cliente Business o Professional. Para Enterprise: DPA con cláusulas adicionales negociables (cláusula de auditoría in-situ, derecho de inspección extraordinaria, cláusulas específicas de tu sector regulado, retención extendida, BYOK obligatorio). Tiempo de revisión legal Enterprise: 1-3 semanas.

Para Estados Unidos, Reino Unido y otros países sin decisión de adecuación: añadimos automáticamente Standard Contractual Clauses (SCC) Module 2 controller-to-processor + Annex con detalles de la transferencia + Transfer Impact Assessment (TIA) si lo solicitas. Sin sobrecoste por SCC. UK Addendum disponible para clientes UK.

CONTENIDO DEL DPA

Lo que el DPA cubre

Roles y responsabilidades

Tú = responsable del tratamiento (controller) determinas finalidades y medios. Itrion = encargado del tratamiento (processor) tratas datos solo según tus instrucciones documentadas. Itrion no usará tus datos para otros fines (no entrenamiento de IA, no marketing cruzado, no agregados anónimos vendibles).

Tipo de datos y categorías

Datos personales tratados: nombres, emails, IPs, identificadores únicos de empleados, datos técnicos de endpoints (versión OS, software instalado, hash de archivos críticos), audit logs (acciones técnicas con timestamp). Categorías especiales (Art. 9): solo si tu organización las introduce en notas/comentarios — Itamite no las solicita.

Sub-procesadores

Lista pública en /sub-procesadores. Notificación 30 días antes de cualquier alta/cambio/baja. Itrion responde de los actos de sus sub-procesadores como si fueran propios. Contrato Art. 28 firmado con cada uno.

Transferencias internacionales

Por defecto: 100% UE (Madrid + Frankfurt + Roubaix). Si activas sub-procesadores opcionales fuera UE (BYOK con AWS US, datacenter US): SCC Module 2 + TIA + medidas técnicas suplementarias (cifrado en reposo + tránsito + BYOK). UK Addendum para clientes UK. Decisión adecuación NZ aplica para SMTP2GO.

Derechos del cliente

Derecho a auditoría documental anual sin coste. Derecho a auditoría on-site para Enterprise (gastos según contrato). Derecho a recibir copia de evaluaciones de impacto y certificaciones. Derecho a terminación anticipada sin penalización si añadimos sub-procesador que no aceptas.

Plazos y terminación

DPA vigente mientras tengas tenant activo. Tras terminación: 90 días gracia para descarga datos. Después: borrado seguro NIST 800-88 con certificado verificable. Audit logs retenidos según política de tu tenant (por defecto 12 meses, hasta 10 años Enterprise).

Cláusulas adicionales Enterprise

Para clientes Enterprise: cláusula de auditoría in-situ con preaviso 30 días y coste según contrato. Cláusula de inspección extraordinaria sin preaviso ante incidente de seguridad confirmado. Cláusula de retención extendida hasta 10 años para sectores regulados (banca, sanidad, AAPP). BYOK obligatorio (Itrion no tiene acceso a claves de cifrado). Cláusula de localización geográfica restringida (datacenter en país específico). Cláusula de exit plan con plazo extendido y formato de exportación auditable. Adicional para sectores regulados: BAA HIPAA si tratas PHI estadounidense. Cláusulas DORA Art. 30 si eres entidad financiera bajo DORA. Cláusulas ENS Categoría Alta para AAPP españolas. Anexo CCN-STIC 105 para AAPP con datos clasificados.

DPA estándar pre-firmado, listo para firma electrónica
SCC Module 2 + TIA automático para transferencias fuera UE
UK Addendum para clientes UK, sin coste
BAA HIPAA disponible para entidades sanitarias US
Cláusulas DORA Art. 30 + ENS Alto + CCN-STIC 105 para sectores regulados

PREGUNTAS FRECUENTES

Dudas sobre el DPA

¿Tengo que firmar el DPA?

Sí, es obligatorio para todos los clientes (Business, Professional, Enterprise) por exigencia RGPD. Sin DPA firmado no podemos prestarte el servicio. Para Business y Professional: DPA estándar firmado electrónicamente al onboarding. Para Enterprise: DPA negociable con cláusulas adicionales.

¿Puedo modificar el DPA estándar?

Para Business/Professional: no. El DPA estándar tiene cláusulas necesarias y suficientes para RGPD. Modificaciones implican negociación legal que solo es viable para Enterprise. Para Enterprise: sí, cláusulas adicionales negociables con tu equipo legal.

¿Itrion es controlador o procesador?

Para datos de TUS empleados/endpoints: Itrion es procesador (tú eres el controlador). Para datos de TU empresa como cliente Itamite (datos de facturación, contactos comerciales): Itrion es controlador junto contigo (joint controllers según GDPR Art. 26 para algunos casos). El DPA cubre los dos roles.

¿Qué pasa con los datos al terminar el contrato?

90 días de gracia tras terminación para descarga vía API. Después de 90 días: borrado seguro NIST 800-88 Purge con certificado verificable. Audit logs retenidos según política configurada de tu tenant (por defecto 12 meses, hasta 10 años Enterprise). Backups eliminados de todos los datacenters tras 90 días gracia.

Solicita el DPA estándar

Te enviamos el DPA Itamite-Itrion v2.1 en 24h. Disponible en castellano + inglés.