Precio early adopter — fijo de por vida. Solo 4 plazas disponibles. Consigue el tuyo antes de que se agoten →
DataKubo logoDataKubo
Abrir Dashboard

Legal

Acuerdo de Procesamiento de Datos

Última actualización: marzo de 2026

Este DPA forma parte de los Términos de Servicio entre DataKubo y el revendedor (“Responsable del Tratamiento”).

1. Definiciones

  • “Responsable del Tratamiento” — el revendedor que determina los fines y medios del tratamiento de datos personales de sus usuarios finales.
  • “Encargado del Tratamiento” — DataKubo, que trata datos personales por cuenta del Responsable.
  • “Interesado” — cualquier persona física identificada o identificable cuyos datos personales se traten (p. ej., usuarios finales, residentes, inquilinos).
  • “Datos Personales” — cualquier información relativa a una persona física identificada o identificable.
  • “Tratamiento” — cualquier operación realizada sobre datos personales (recogida, almacenamiento, consulta, uso, comunicación, supresión).
  • “RGPD” — Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo.
  • “Subencargado” — cualquier tercero contratado por DataKubo para tratar datos personales.

2. Ámbito y Finalidad

Este DPA se aplica a todos los datos personales tratados por DataKubo en nombre del Responsable a través de la plataforma DataKubo. El objeto, la naturaleza y la finalidad del tratamiento son:

  • Objeto: Datos de dispositivos IoT e información de cuentas de usuarios finales
  • Naturaleza: Recogida, almacenamiento, consulta y supresión de datos personales
  • Finalidad: Prestación de los servicios de la plataforma DataKubo según los Términos de Servicio
  • Duración: Durante la vigencia de la suscripción del revendedor más 30 días
  • Categorías de datos: Nombres, direcciones de correo electrónico, identificadores de dispositivo, lecturas de consumo, marcas de tiempo
  • Categorías de interesados: Usuarios finales (residentes, inquilinos, miembros) de los clientes del Responsable

3. Obligaciones del Responsable

El Responsable se compromete a:

  • Garantizar que existe una base jurídica para el tratamiento de datos personales antes de enviarlos a DataKubo
  • Proporcionar a los interesados información adecuada sobre el tratamiento
  • Garantizar que los datos personales enviados son exactos y se limitan a lo necesario
  • Cumplir con todas las leyes de protección de datos aplicables en su jurisdicción
  • Notificar a DataKubo de forma inmediata cualquier solicitud de interesado que requiera la actuación del Encargado

4. Obligaciones del Encargado

DataKubo se compromete a:

  • Tratar los datos personales únicamente siguiendo las instrucciones documentadas del Responsable (es decir, para prestar los servicios de la plataforma)
  • Garantizar que las personas autorizadas a tratar datos personales están sujetas a obligaciones de confidencialidad
  • Implementar medidas de seguridad técnicas y organizativas adecuadas (véase la Sección 6)
  • Asistir al Responsable en la respuesta a solicitudes de derechos de los interesados
  • Suprimir o devolver todos los datos personales al finalizar el acuerdo
  • Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de este DPA
  • Notificar al Responsable sin demora indebida (en un plazo de 72 horas) tras tener conocimiento de una violación de datos personales

5. Subencargados

El Responsable otorga a DataKubo autorización general para contratar a los siguientes subencargados. DataKubo notificará al Responsable cualquier cambio previsto con al menos 30 días de antelación.

SubencargadoFinalidadUbicación
Proveedor de base de datos en la nubeAlojamiento de base de datos y autenticaciónUE
Proveedores de infraestructura en la nubeFrontend y backendUE
Stripe Inc.Procesamiento de pagos (solo datos de facturación)UE

DataKubo garantiza que cada subencargado está sujeto a obligaciones de protección de datos equivalentes a las de este DPA.

6. Medidas de Seguridad

DataKubo implementa las siguientes medidas técnicas y organizativas:

Medidas técnicas:

  • Cifrado TLS 1.2+ para todos los datos en tránsito
  • Cifrado AES-256 para datos en reposo
  • Row Level Security (RLS) que garantiza el aislamiento de datos multi-tenant a nivel de base de datos
  • API keys con hash bcrypt (nunca almacenadas en texto plano)
  • Autenticación basada en JWT con tokens de corta duración
  • Copias de seguridad automatizadas periódicas con recuperación en un punto en el tiempo

Medidas organizativas:

  • Acceso a sistemas de producción limitado al personal autorizado
  • Obligaciones de confidencialidad para todo el personal con acceso a datos
  • Procedimiento de respuesta a incidentes con notificación de brechas en 72 horas
  • Revisión periódica de controles de acceso y prácticas de seguridad

7. Derechos de los Interesados

El Responsable es responsable de gestionar las solicitudes de los interesados (acceso, rectificación, supresión, portabilidad, oposición). DataKubo asistirá al Responsable mediante:

  • Funcionalidad de exportación de datos en el panel de control de la plataforma
  • Eliminación de datos específicos de usuarios finales previa solicitud escrita del Responsable
  • Respuesta a las solicitudes del Responsable en un plazo de 5 días hábiles

8. Notificación de Brechas de Datos

En caso de violación de datos personales, DataKubo notificará al Responsable sin demora indebida y en un plazo de 72 horas desde que tenga conocimiento de la misma. La notificación incluirá, en la medida de lo conocido: la naturaleza de la brecha, las categorías y el número aproximado de interesados afectados, las consecuencias probables y las medidas adoptadas o propuestas para hacer frente a la brecha.

9. Transferencias Internacionales

DataKubo almacena los datos dentro de la UE por defecto. Cuando los subencargados estén ubicados fuera de la UE/EEE, DataKubo garantiza que existen salvaguardias adecuadas (Cláusulas Contractuales Tipo o decisiones de adecuación) de conformidad con el Capítulo V del RGPD.

10. Derechos de Auditoría

El Responsable podrá solicitar una auditoría de las actividades de tratamiento de datos de DataKubo no más de una vez al año, con 30 días de aviso por escrito. DataKubo podrá satisfacer las solicitudes de auditoría proporcionando certificaciones relevantes, informes de auditoría de terceros o respuestas escritas a cuestionarios razonables.

11. Supresión y Devolución de Datos

El revendedor es responsable de exportar sus datos antes de eliminar su cuenta. DataKubo proporciona una exportación completa de datos en formato legible por máquina (CSV/JSON) desde el panel de control de la plataforma para este fin. Tras la eliminación de la cuenta, DataKubo suprimirá permanentemente todos los datos personales asociados en un plazo de 30 días. Las copias de seguridad se eliminan en un plazo de 90 días tras la eliminación de la cuenta.

12. Ley Aplicable

Este DPA se rige por la legislación española y el RGPD. Cualquier disputa derivada de este DPA estará sujeta a la jurisdicción exclusiva de los tribunales de España.

13. Contacto

Para consultas relacionadas con el DPA o para ejercer derechos en virtud de este acuerdo, contacta con nuestro equipo de protección de datos en info@datakubo.com.