NX ConnectNX Connectby Optidat NX
Acceder
Documento legal

Acuerdo de tratamiento de datos (DPA)

Este DPA se aplica automáticamente a todos los Clientes de NX Connect que actúen como responsables del tratamiento respecto a los datos personales que tratan a través de la plataforma. Si necesitas una versión firmada o adaptada, contáctanos en legal@optidatnx.com.

Última actualización: 14 de abril de 2026Vigente

1.Preámbulo

El presente Acuerdo de Tratamiento de Datos ("DPA") regula las obligaciones de Optidat NX, S.L. ("Encargado") cuando trata datos personales por cuenta del Cliente ("Responsable") en el marco de la prestación del servicio NX Connect. Forma parte integrante de los Términos de servicio y prevalece sobre éstos en lo relativo a protección de datos.

2.Objeto, naturaleza y finalidad

  • Objeto: tratamiento de datos personales necesarios para que el Cliente opere la plataforma NX Connect y se comunique con sus usuarios finales por WhatsApp Business Cloud API.
  • Duración: mientras esté vigente la relación contractual, más los plazos legales y de exportación de datos.
  • Naturaleza: almacenamiento, transmisión, enrutamiento, presentación y borrado de datos personales.
  • Finalidad: prestar el servicio contratado.
  • Tipo de datos: datos identificativos y de contacto, metadatos y contenido de los mensajes intercambiados.
  • Categorías de interesados: usuarios del Cliente y contactos de WhatsApp del Cliente.

3.Obligaciones del Encargado

  • Tratar los datos siguiendo únicamente las instrucciones documentadas del Responsable, incluida la transferencia internacional cuando sea necesaria, salvo obligación legal en contrario.
  • Garantizar que las personas autorizadas se comprometen a respetar la confidencialidad o están sujetas a deber de secreto.
  • Implementar las medidas técnicas y organizativas del art. 32 RGPD descritas en el Anexo II.
  • Ayudar al Responsable a responder a las solicitudes de ejercicio de derechos de los interesados.
  • Asistir al Responsable en el cumplimiento de los arts. 32 a 36 (seguridad, notificación de brechas, evaluaciones de impacto).
  • Suprimir o devolver los datos al final de la prestación, conforme al plazo de exportación pactado.
  • Poner a disposición del Responsable la información necesaria para demostrar el cumplimiento del art. 28 y permitir auditorías.

4.Subencargados

El Responsable autoriza con carácter general al Encargado a contratar a los subencargados listados en Subprocesadores. El Encargado notificará cualquier alta o sustitución con al menos 30 días de antelación, periodo durante el cual el Responsable podrá oponerse motivadamente. Los subencargados quedan sujetos a las mismas obligaciones de protección de datos.

5.Transferencias internacionales

Cuando un subencargado esté ubicado fuera del EEE o de un país con decisión de adecuación, las transferencias se ampararán en las Cláusulas Contractuales Tipo de la Comisión Europea (Decisión 2021/914), sin perjuicio de medidas suplementarias cuando proceda.

6.Brechas de seguridad

El Encargado notificará al Responsable cualquier brecha de seguridad de datos personales sin dilación indebida y, en todo caso, en un plazo máximo de 48 horas desde su conocimiento, proporcionando la información necesaria para que el Responsable pueda cumplir con sus obligaciones de notificación a la autoridad de control y, en su caso, a los interesados.

7.Auditorías

El Responsable podrá auditar el cumplimiento del presente DPA con un preaviso razonable y durante horario laboral. El Encargado podrá sustituir auditorías presenciales por la entrega de informes de auditorías independientes (SOC 2, ISO 27001) o cuestionarios de seguridad.

8.Fin del tratamiento

Al finalizar la prestación del servicio, el Encargado, a elección del Responsable, devolverá los datos personales o procederá a su supresión segura, salvo obligación legal de conservación. La supresión se realizará en un plazo máximo de 90 días desde la finalización.

9.Anexo II — Medidas técnicas y organizativas

  • Cifrado TLS 1.2+ en tránsito y AES-256 en reposo.
  • Aislamiento multi-tenant a nivel de base de datos mediante Row Level Security (Postgres).
  • Control de acceso basado en roles con principio de mínimo privilegio y autenticación multifactor para personal interno.
  • Gestión centralizada de secretos en bóveda (Supabase Vault) con rotación periódica.
  • Auditoría de accesos y acciones sensibles con conservación de logs de 24 meses.
  • Backups cifrados diarios y procedimientos de recuperación probados.
  • Segregación lógica de entornos productivo, staging y desarrollo.
  • Plan de respuesta a incidentes y notificación de brechas en menos de 48h.
  • Revisiones periódicas de seguridad, pentesting anual y formación continua del personal.

¿Tienes preguntas sobre este documento?

Nuestro equipo legal responde en 48 horas hábiles.

legal@optidatnx.com