Legal · GDPR
Acuerdo de Procesamiento de Datos (DPA) conforme al GDPR
Última actualización: julio de 2026 · Codigo Origen 22 LLC
Este Acuerdo de Procesamiento de Datos ("DPA") se celebra entre el Facilitador (Responsable del Tratamiento) y Codigo Origen 22 LLC (Encargado del Tratamiento), y complementa los Términos de Servicio de la Plataforma.
§1Objeto y alcance
Este DPA se aplica al tratamiento de los datos personales que el Responsable (el Facilitador) decida incluir en el Contenido del Usuario: nombres de sesión, figuras, notas y etiquetas de los tableros. La Plataforma es una herramienta de propósito general: el Encargado no solicita, exige, revisa ni clasifica el contenido introducido, y no tiene la intención ni la necesidad de tratar categorías especiales de datos. El Responsable determina en exclusiva los fines y medios del tratamiento y se obliga, conforme a los Términos de Servicio, a seudonimizar toda referencia a personas físicas dentro de sus tableros.
El Encargado tratará el Contenido del Usuario exclusivamente siguiendo las instrucciones documentadas del Responsable —que se entienden dadas mediante el uso de las funciones de la Plataforma— y con el único fin de prestar el almacenamiento en la nube, la sincronización y la visualización del servicio.
§2Transferencia internacional de datos
El Responsable reconoce y consiente expresamente que los datos se almacenan en servidores gestionados por MongoDB Atlas y Firebase, físicamente ubicados en los Estados Unidos de América.
Para garantizar la legalidad de las transferencias internacionales, las partes suscriben las Cláusulas Contractuales Estándar aprobadas por la Decisión de Ejecución (UE) 2021/914 de la Comisión Europea, Módulo Dos (responsable → encargado), que se incorporan a este DPA y se completan con los Anexos I, II y III siguientes. En caso de conflicto entre este DPA y las SCC, prevalecen las SCC. Cuando los subencargados cuenten con certificación vigente bajo el Marco de Privacidad de Datos UE–EE. UU., dicha certificación opera como garantía adicional; las SCC constituyen en todo caso el mecanismo primario de transferencia.
§3Subencargados autorizados
El Responsable autoriza al Encargado a contratar a los siguientes subencargados técnicos:
| Proveedor | Servicio prestado | Ubicación |
|---|---|---|
| Vercel Inc. | Alojamiento y despliegue del framework web (Next.js) | Estados Unidos |
| Firebase (Google LLC) | Autenticación cifrada de usuarios y tokens de identidad | Estados Unidos |
| MongoDB Inc. (Atlas) | Almacenamiento seguro de la base de datos de eventos sistémicos | Estados Unidos |
Stripe, Inc. no es subencargado bajo este DPA: en su condición de Merchant of Record actúa como responsable independiente del tratamiento respecto de los datos de pago y facturación, conforme a su propia política de privacidad.
El Encargado mantendrá la lista de subencargados actualizada en esta página y notificará al Responsable por correo electrónico, con al menos 15 días de antelación, la incorporación o sustitución de subencargados. El Responsable podrá oponerse por motivos razonables y fundados relacionados con la protección de datos; si la objeción no puede resolverse, el Responsable podrá cancelar su suscripción como único remedio.
§4Medidas de seguridad
§5Derechos del interesado
El Encargado asistirá al Responsable en el cumplimiento de sus obligaciones respecto a los derechos de los interesados (acceso, rectificación, supresión, portabilidad, limitación y oposición) dentro de los plazos establecidos por el GDPR.
Para ejercer estos derechos, contacta en soporte@yosoysistemica.com.
§6Notificación de brechas de seguridad
El Encargado notificará al Responsable sin dilación indebida tras tener conocimiento de una violación de seguridad que afecte a datos personales tratados bajo este DPA y, en todo caso, en un plazo no superior a 48 horas, proporcionando la información razonablemente disponible sobre la naturaleza de la violación, las categorías afectadas y las medidas adoptadas, de modo que el Responsable pueda cumplir su propia obligación de notificación de 72 horas ante la autoridad de control.
§7Duración y resolución
Este DPA permanecerá en vigor mientras el Responsable mantenga una suscripción activa a Yo Soy Sistémica. Tras la terminación del contrato, el Encargado eliminará o devolverá los datos personales conforme a las instrucciones del Responsable y a las obligaciones legales aplicables.
A la terminación, el Responsable dispondrá de un plazo de 30 días para solicitar la devolución de sus datos en un formato estructurado de uso común; transcurrido dicho plazo, o antes si el Responsable lo solicita, el Encargado eliminará los datos personales de sus sistemas activos, sin perjuicio de las copias de seguridad cifradas que se eliminan conforme a los ciclos de rotación del proveedor y de las obligaciones legales de conservación.
§8Confidencialidad y personal autorizado
El Encargado garantiza que las personas autorizadas para tratar los datos están sujetas a compromisos de confidencialidad y que el acceso se limita a lo estrictamente necesario para operar, mantener y dar soporte al servicio.
§9Auditoría e informes
El Encargado pondrá a disposición del Responsable la información necesaria para demostrar el cumplimiento del artículo 28 del GDPR, incluidas las certificaciones y los informes de auditoría de sus subencargados (SOC 2 / ISO 27001 de Google, MongoDB y Vercel, según disponibilidad). Las auditorías directas se limitarán a una vez al año, con preaviso razonable de 30 días, sin acceso a datos de otros clientes, y a costa del Responsable.
§10Aceptación de este DPA
Este DPA se acepta y queda suscrito electrónicamente por el Responsable en el momento de crear su cuenta, junto con los Términos de Servicio, quedando registrada la fecha, hora y versión aceptadas. Los clientes del plan Escuela pueden solicitar una versión firmable en soporte@yosoysistemica.com.
Anexo IDescripción del tratamiento
Anexo IIMedidas técnicas y organizativas
Anexo IIISubencargados autorizados
| Proveedor | Servicio prestado | Ubicación | DPA del proveedor |
|---|---|---|---|
| Vercel Inc. | Alojamiento y despliegue del framework web (Next.js) | Estados Unidos | DPA de Vercel |
| Firebase (Google LLC) | Autenticación cifrada de usuarios y tokens de identidad | Estados Unidos | Data Processing Terms de Firebase |
| MongoDB Inc. (Atlas) | Almacenamiento seguro de la base de datos de eventos sistémicos | Estados Unidos | DPA de MongoDB |