Yo Soy Sistémica
TérminosPrivacidadDescargoCookiesInicio

Legal · GDPR

Acuerdo de Procesamiento de Datos (DPA) conforme al GDPR

Última actualización: julio de 2026 · Codigo Origen 22 LLC

Este Acuerdo de Procesamiento de Datos ("DPA") se celebra entre el Facilitador (Responsable del Tratamiento) y Codigo Origen 22 LLC (Encargado del Tratamiento), y complementa los Términos de Servicio de la Plataforma.

§1Objeto y alcance

Este DPA se aplica al tratamiento de los datos personales que el Responsable (el Facilitador) decida incluir en el Contenido del Usuario: nombres de sesión, figuras, notas y etiquetas de los tableros. La Plataforma es una herramienta de propósito general: el Encargado no solicita, exige, revisa ni clasifica el contenido introducido, y no tiene la intención ni la necesidad de tratar categorías especiales de datos. El Responsable determina en exclusiva los fines y medios del tratamiento y se obliga, conforme a los Términos de Servicio, a seudonimizar toda referencia a personas físicas dentro de sus tableros.

El Encargado tratará el Contenido del Usuario exclusivamente siguiendo las instrucciones documentadas del Responsable —que se entienden dadas mediante el uso de las funciones de la Plataforma— y con el único fin de prestar el almacenamiento en la nube, la sincronización y la visualización del servicio.

§2Transferencia internacional de datos

El Responsable reconoce y consiente expresamente que los datos se almacenan en servidores gestionados por MongoDB Atlas y Firebase, físicamente ubicados en los Estados Unidos de América.

Para garantizar la legalidad de las transferencias internacionales, las partes suscriben las Cláusulas Contractuales Estándar aprobadas por la Decisión de Ejecución (UE) 2021/914 de la Comisión Europea, Módulo Dos (responsable → encargado), que se incorporan a este DPA y se completan con los Anexos I, II y III siguientes. En caso de conflicto entre este DPA y las SCC, prevalecen las SCC. Cuando los subencargados cuenten con certificación vigente bajo el Marco de Privacidad de Datos UE–EE. UU., dicha certificación opera como garantía adicional; las SCC constituyen en todo caso el mecanismo primario de transferencia.

§3Subencargados autorizados

El Responsable autoriza al Encargado a contratar a los siguientes subencargados técnicos:

ProveedorServicio prestadoUbicación
Vercel Inc.Alojamiento y despliegue del framework web (Next.js)Estados Unidos
Firebase (Google LLC)Autenticación cifrada de usuarios y tokens de identidadEstados Unidos
MongoDB Inc. (Atlas)Almacenamiento seguro de la base de datos de eventos sistémicosEstados Unidos

Stripe, Inc. no es subencargado bajo este DPA: en su condición de Merchant of Record actúa como responsable independiente del tratamiento respecto de los datos de pago y facturación, conforme a su propia política de privacidad.

El Encargado mantendrá la lista de subencargados actualizada en esta página y notificará al Responsable por correo electrónico, con al menos 15 días de antelación, la incorporación o sustitución de subencargados. El Responsable podrá oponerse por motivos razonables y fundados relacionados con la protección de datos; si la objeción no puede resolverse, el Responsable podrá cancelar su suscripción como único remedio.

§4Medidas de seguridad

Cifrado en tránsito mediante TLS/HTTPS en todas las comunicaciones.
Cifrado en reposo de los datos almacenados en MongoDB Atlas.
Autenticación segura mediante Firebase Auth con tokens de identidad.
Acceso restringido a los datos de sesión por parte del personal de la Compañía.
Copias de seguridad periódicas gestionadas por MongoDB Atlas conforme a estándares PCI DSS.

§5Derechos del interesado

El Encargado asistirá al Responsable en el cumplimiento de sus obligaciones respecto a los derechos de los interesados (acceso, rectificación, supresión, portabilidad, limitación y oposición) dentro de los plazos establecidos por el GDPR.

Para ejercer estos derechos, contacta en soporte@yosoysistemica.com.

§6Notificación de brechas de seguridad

El Encargado notificará al Responsable sin dilación indebida tras tener conocimiento de una violación de seguridad que afecte a datos personales tratados bajo este DPA y, en todo caso, en un plazo no superior a 48 horas, proporcionando la información razonablemente disponible sobre la naturaleza de la violación, las categorías afectadas y las medidas adoptadas, de modo que el Responsable pueda cumplir su propia obligación de notificación de 72 horas ante la autoridad de control.

§7Duración y resolución

Este DPA permanecerá en vigor mientras el Responsable mantenga una suscripción activa a Yo Soy Sistémica. Tras la terminación del contrato, el Encargado eliminará o devolverá los datos personales conforme a las instrucciones del Responsable y a las obligaciones legales aplicables.

A la terminación, el Responsable dispondrá de un plazo de 30 días para solicitar la devolución de sus datos en un formato estructurado de uso común; transcurrido dicho plazo, o antes si el Responsable lo solicita, el Encargado eliminará los datos personales de sus sistemas activos, sin perjuicio de las copias de seguridad cifradas que se eliminan conforme a los ciclos de rotación del proveedor y de las obligaciones legales de conservación.

§8Confidencialidad y personal autorizado

El Encargado garantiza que las personas autorizadas para tratar los datos están sujetas a compromisos de confidencialidad y que el acceso se limita a lo estrictamente necesario para operar, mantener y dar soporte al servicio.

§9Auditoría e informes

El Encargado pondrá a disposición del Responsable la información necesaria para demostrar el cumplimiento del artículo 28 del GDPR, incluidas las certificaciones y los informes de auditoría de sus subencargados (SOC 2 / ISO 27001 de Google, MongoDB y Vercel, según disponibilidad). Las auditorías directas se limitarán a una vez al año, con preaviso razonable de 30 días, sin acceso a datos de otros clientes, y a costa del Responsable.

§10Aceptación de este DPA

Este DPA se acepta y queda suscrito electrónicamente por el Responsable en el momento de crear su cuenta, junto con los Términos de Servicio, quedando registrada la fecha, hora y versión aceptadas. Los clientes del plan Escuela pueden solicitar una versión firmable en soporte@yosoysistemica.com.

Anexo IDescripción del tratamiento

Categorías de interesados: el propio Responsable (Facilitador); personas a las que el Responsable se refiera dentro de su Contenido, que deben constar seudonimizadas conforme a los Términos.
Categorías de datos: correo electrónico del Responsable; Contenido del Usuario (nombres de sesión, figuras, notas, etiquetas); registros técnicos de eventos y conexión.
Operaciones de tratamiento: almacenamiento, sincronización, visualización, copia de seguridad y supresión.
Duración: la vigencia de la cuenta, conforme a la sección de conservación de la Política de Privacidad.
Naturaleza y finalidad: prestación técnica del servicio SaaS de representación visual.

Anexo IIMedidas técnicas y organizativas

Cifrado en tránsito mediante TLS/HTTPS en todas las comunicaciones.
Cifrado en reposo de los datos almacenados en MongoDB Atlas.
Autenticación segura mediante Firebase Auth con tokens de identidad.
Acceso restringido a los datos de sesión por parte del personal de la Compañía.
Copias de seguridad periódicas gestionadas por MongoDB Atlas conforme a estándares PCI DSS.
Separación de entornos de desarrollo y producción.
Tokens de sesión de corta duración (JWT firmados) para la comunicación entre el cliente 3D y la API.
Principio de mínimo privilegio en el acceso del personal a los sistemas de producción.

Anexo IIISubencargados autorizados

ProveedorServicio prestadoUbicaciónDPA del proveedor
Vercel Inc.Alojamiento y despliegue del framework web (Next.js)Estados UnidosDPA de Vercel
Firebase (Google LLC)Autenticación cifrada de usuarios y tokens de identidadEstados UnidosData Processing Terms de Firebase
MongoDB Inc. (Atlas)Almacenamiento seguro de la base de datos de eventos sistémicosEstados UnidosDPA de MongoDB
© 2026 Codigo Origen 22 LLC · Todos los derechos reservados
TérminosPrivacidadDescargoCookiesLicenciasInicio