Última actualización · 2026-05-04 · Pre-lanzamiento alpha (Rev. 1.0)
Acuerdo de Encargado del Tratamiento.
Este Acuerdo de Encargado del Tratamiento («DPA») forma parte de los términos y condiciones de Conforme entre el operador («Responsable del Tratamiento») y Conforme («Encargado del Tratamiento») y rige todas las actividades en las que Conforme trate datos personales en su nombre conforme al artículo 28 del Reglamento General de Protección de Datos (Reglamento (UE) 2016/679, «RGPD»).
En caso de conflicto entre el presente DPA y los términos del servicio, prevalecerá el DPA en lo relativo al tratamiento de datos personales. Los términos en mayúsculas no definidos aquí tienen el significado dado en el aviso de privacidad y en los términos del servicio.
1. Funciones y ámbito
A efectos de los artículos 4(7) y 4(8) del RGPD:
- El operador (cliente identificado en la cuenta de Conforme) actúa como Responsable del Tratamiento de todos los datos personales subidos, generados o transmitidos a través del servicio Conforme en relación con su actividad de alquiler de corta estancia — incluyendo, sin limitación, nombres de huéspedes, documentos de identificación, fechas de estancia y datos de contacto.
- Conforme actúa como Encargado del Tratamiento siguiendo las instrucciones documentadas del operador. Dichas instrucciones se constituyen mediante los términos del servicio, este DPA, la configuración del operador en el producto (por ejemplo, las autoridades a las que nos indica que presentemos las declaraciones) y cualquier otra instrucción escrita que el operador nos dé.
Conforme tratará los datos personales únicamente en la medida necesaria para prestar el servicio. No tratará los datos personales para fines propios, no los venderá ni compartirá con terceros para sus propios fines, ni combinará datos personales entre operadores para ningún fin distinto de estadísticas agregadas y no identificables.
2. Objeto y detalles del tratamiento
- Objeto
- Prestación del servicio regulatorio y de inteligencia operativa de Conforme al operador, incluyendo presentaciones a autoridades, gestión del ciclo de vida de la inscripción VUT y, en plan Pro, monitorización de listings e inteligencia de mercado.
- Duración
- Vigencia del contrato entre el operador y Conforme, más cualquier período post-contractual exigido por ley (véase la sección 8).
- Naturaleza y finalidad
- Recepción, almacenamiento, transformación y transmisión de datos de huéspedes y del operador a las autoridades indicadas por el operador; operaciones auxiliares de soporte y seguridad; generación del registro de auditoría.
- Categorías de interesados
- Usuarios autorizados del operador; huéspedes del operador; e información pública sobre listings de competidores cuando el operador lo haya autorizado.
- Categorías de datos personales
- Datos de cuenta del operador (nombre, correo, rol); datos de identificación del huésped (nombre completo, tipo y número de documento, escaneo del documento, fecha de nacimiento, nacionalidad, dirección, fechas de estancia, medio de pago); y metadatos limitados de listings públicos (títulos, descripciones, precios — nunca datos de huéspedes).
- Categorías especiales
- Ninguna de forma sistemática. Los escaneos de documentos pueden incluir incidentalmente plantillas biométricas codificadas en el documento. Conforme minimiza la exposición mediante cifrado en reposo, restricción de acceso a la duración de la presentación y aplicación de la regla de retención de la sección 8.
3. Subencargados del tratamiento
El operador autoriza a Conforme a contratar a los subencargados que se indican a continuación. Cada subencargado está vinculado por un contrato escrito que le impone obligaciones de protección de datos sustancialmente equivalentes a las que el presente DPA impone a Conforme.
| Subencargado | Finalidad | Región | Privacidad / DPA |
|---|---|---|---|
| Stripe Payments Europe Ltd. | Facturación de la suscripción y procesamiento de tarjetas. | IE (parte del tratamiento en EE. UU.) | Privacidad · DPA |
| Resend (y AWS SES, eu-west-1) | Entrega de correos transaccionales y de producto. AWS SES es subencargado de Resend, configurado en eu-west-1. | EE. UU. (panel) / UE (entrega) | Privacidad · DPA |
| Cloudflare, Inc. | DNS, CDN, WAF, mitigación DDoS. Los nodos de red para tráfico europeo están en la UE. | EE. UU. (edge UE) | Privacidad · DPA |
| Hetzner Online GmbH | Alojamiento principal de la aplicación, base de datos y copias de seguridad. | DE (Falkenstein) | Privacidad · DPA |
| Sentry (Functional Software, Inc.) | Monitorización de errores con depuración de PII. Alojado en la región UE de Sentry. | DE (Frankfurt) | Privacidad · DPA |
| ScrapingBee | Páginas públicas de listings OTA para listing-health y market-intel del plan Pro. | FR (París) | Privacidad |
| Apify Technologies s.r.o. | Páginas públicas de listings OTA y perfiles de host para comp-set Pro. | CZ (Praga) | Privacidad · DPA |
| Migadu | Hospedaje de buzones de correo del personal (p. ej. [email protected]). |
CH (Suiza — adecuación UE) | Privacidad |
| Inside Airbnb | Conjunto público de datos trimestrales para benchmarks de mercado. No se envía PII de operadores ni huéspedes a Inside Airbnb — consumimos su dataset público. | EE. UU. (dataset público) | Acerca de |
3.1 Adición o sustitución de subencargados
Conforme dará al operador un preaviso por escrito de al menos 30 días (por correo a la dirección de facturación o mediante banner en producto) antes de añadir un nuevo subencargado o sustituir uno existente. Si el operador se opone por motivos razonables de protección de datos dentro del periodo de preaviso, podrá rescindir el servicio afectado sin penalización.
4. Transferencias internacionales
La infraestructura principal de Conforme se encuentra en la Unión Europea. Cuando un subencargado provoque una transferencia de datos personales fuera del Espacio Económico Europeo, Conforme se basará en una de las siguientes salvaguardas:
- Las Cláusulas Contractuales Tipo de la Comisión Europea (Módulo Dos: Responsable a Encargado) de 4 de junio de 2021 entre Conforme y el subencargado.
- Una decisión de adecuación aplicable de la Comisión Europea — concretamente la decisión EU–US Data Privacy Framework de 10 de julio de 2023 para destinatarios estadounidenses certificados (Stripe, Cloudflare); y la decisión de adecuación para Suiza (Migadu).
5. Medidas de seguridad
Conforme aplica medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad apropiado al riesgo (art. 32 RGPD). Las medidas actuales incluyen:
- Cifrado en tránsito (TLS 1.2+) en todos los endpoints públicos y enlaces con subencargados.
- Cifrado en reposo de los datos de identificación de huéspedes con clave por inquilino, descifrada solo durante la presentación a la autoridad.
- Control de acceso basado en roles con privilegios mínimos por defecto; acceso por usuario nominal; SSH mediante clave ed25519.
- Snapshots diarios de la VM y volcados horarios de la base de datos; procedimiento de restauración probado.
- Logs estructurados centralizados con depuración de PII en el límite de Sentry.
- Escaneo automatizado de vulnerabilidades de dependencias en cada CI; SLA de parcheo en la sección 5.2.
- Cadena de auditoría criptográfica por organización (cadena hash SHA-256) para detectar manipulaciones a posteriori.
5.1 Personal
El personal de Conforme con acceso a datos personales está sujeto a obligaciones contractuales de confidencialidad y ha recibido formación documentada sobre el RGPD y las políticas de seguridad de la información de Conforme.
5.2 SLA de parcheo
- Crítico (CVSS ≥ 9.0) — 72 horas.
- Alto (CVSS 7.0–8.9) — 7 días.
- Medio / bajo — siguiente ciclo de release.
6. Notificación de brechas de datos personales
Conforme notificará al operador sin demora indebida y, en todo caso, en el plazo de 72 horas tras tener conocimiento de una brecha de datos personales que afecte a los datos del operador. La notificación incluirá, en la medida en que se conozca:
- La naturaleza de la brecha, incluyendo (cuando sea posible) las categorías y número aproximado de interesados y registros afectados.
- Las consecuencias probables.
- Las medidas tomadas o propuestas para hacer frente a la brecha y mitigar sus efectos adversos.
- Un punto de contacto para más información.
7. Derechos del interesado
Conforme asistirá al operador, en la medida de lo posible y teniendo en cuenta la naturaleza del tratamiento, a cumplir su obligación de responder a las solicitudes de los interesados para ejercer sus derechos en virtud del Capítulo III del RGPD (artículos 15–22). Conforme responderá a las solicitudes derivadas del operador en el plazo de 30 días desde su recepción.
8. Supresión y devolución de datos
Al finalizar el contrato, el operador podrá instruir a Conforme — mediante el flujo «Cancelar + Eliminar» del panel o por correo a [email protected] — ya sea para devolver todos los datos personales o para eliminarlos, salvo en la medida en que la ley de la UE o de un Estado miembro exija conservar registros concretos (obligaciones tributarias y registrales en Portugal y España, que pueden requerir hasta 7 años).
En ausencia de instrucción explícita, Conforme eliminará los datos personales en un plazo máximo de 60 días tras la finalización del contrato, conservando únicamente los registros sujetos a las obligaciones legales referidas.
9. Derecho de auditoría
El operador podrá auditar el cumplimiento de Conforme con este DPA una vez al año natural con un preaviso por escrito de al menos 30 días (más frecuentemente en caso de brecha que afecte materialmente al operador). La auditoría podrá realizarse por el operador o por un tercero independiente sujeto a obligaciones de confidencialidad. Una certificación reconocida (ISO 27001, SOC 2 Type II) puede satisfacer la obligación de auditoría para el área de control que cubra.
10. Responsabilidad
La responsabilidad de cada parte bajo este DPA se rige por la cláusula de limitación de responsabilidad de los términos del servicio de Conforme, salvo que ninguna disposición del DPA limita la responsabilidad de una parte por su propia infracción del RGPD cuando dicha responsabilidad no pueda limitarse conforme al derecho aplicable.
11. Vigencia y terminación
Este DPA entra en vigor el día anterior entre (i) la aceptación por el operador de los términos del servicio o (ii) el primer tratamiento de datos personales por Conforme en nombre del operador, y permanece vigente hasta la terminación del contrato y el cumplimiento por Conforme de sus obligaciones de eliminación / devolución bajo la sección 8.
12. Ley aplicable
Este DPA se rige por la ley de la República Portuguesa, sin perjuicio del derecho del interesado a ejercitar acciones ante los tribunales del Estado miembro de la UE en el que resida habitualmente, o a presentar una reclamación ante su autoridad de control local (en España, la Agencia Española de Protección de Datos — AEPD).
Consultas sobre este DPA o solicitud de copia firmada en papel con membrete del operador: [email protected].