T
Timeblu
Volver al inicio

Acuerdo de Tratamiento de Datos (DPA)

Última actualización: January 25, 2025

ACUERDO DE TRATAMIENTO DE DATOS (DATA PROCESSING AGREEMENT)

Versión: 1.0

PREÁMBULO

El presente Acuerdo de Tratamiento de Datos (en adelante, "DPA" o "Acuerdo") se celebra de conformidad con el artículo 28 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales (en adelante, "RGPD") y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, "LOPDGDD").

Este DPA complementa y forma parte integral de los Términos y Condiciones del Servicio de Timeblu.

1. PARTES

1.1 ENCARGADO DEL TRATAMIENTO

Denominación social: Codeblu, S.L.U.

NIF/CIF: B26896167

Domicilio social: Salvador Espriu 33, 2B - 08320 - El Masnou, España

Email de contacto: legal@timeblu.com

En adelante, el "Encargado" o "Timeblu".

1.2 RESPONSABLE DEL TRATAMIENTO

El Cliente que contrata el servicio Timeblu, cuyos datos de identificación constan en su cuenta de usuario y en las facturas emitidas.

En adelante, el "Responsable" o el "Cliente".

1.3 RELACIÓN ENTRE LAS PARTES

  • El Responsable (Cliente) determina los fines y medios del tratamiento de los datos personales de sus clientes finales
  • El Encargado (Timeblu) trata datos personales por cuenta del Responsable, siguiendo sus instrucciones documentadas
  • Este DPA regula las condiciones, derechos y obligaciones de ambas partes

2. OBJETO Y DURACIÓN DEL TRATAMIENTO

2.1 Objeto

El Encargado se compromete a tratar, por cuenta del Responsable, los datos personales necesarios para prestar el servicio de software de gestión de agenda y clientes descrito en los Términos y Condiciones del Servicio.

2.2 Duración

Este DPA entra en vigor en la fecha de aceptación de los Términos y Condiciones del Servicio y permanece vigente mientras dure la relación contractual entre las partes.

2.3 Finalización

El tratamiento de datos por cuenta del Responsable finalizará cuando:

  • El Cliente cancele su cuenta en Timeblu
  • Finalice el contrato de prestación de servicios por cualquier causa
  • El Responsable solicite la supresión de los datos

3. DESCRIPCIÓN DEL TRATAMIENTO

3.1 Naturaleza del tratamiento

El Encargado realizará las siguientes operaciones de tratamiento:

  • Almacenamiento de datos en bases de datos seguras
  • Consulta y visualización de datos por parte del Responsable
  • Modificación de datos según instrucciones del Responsable
  • Organización y estructuración de datos
  • Conservación mediante copias de seguridad
  • Supresión cuando el Responsable lo solicite o al finalizar el servicio
  • Exportación de datos en formatos estructurados (CSV, JSON)

3.2 Finalidad del tratamiento

Los datos se tratan únicamente para:

  • Permitir al Responsable gestionar su agenda profesional
  • Almacenar información de contacto de los clientes del Responsable
  • Organizar citas y eventos del Responsable
  • Proporcionar funcionalidades de búsqueda, filtrado y exportación

El Encargado NO puede utilizar los datos del Responsable para ninguna otra finalidad, incluyendo marketing propio, análisis agregados, entrenamiento de modelos de IA, etc.

3.3 Categorías de interesados

Los datos personales tratados corresponden a:

  • Clientes finales del Responsable: Personas físicas cuyos datos son introducidos por el Responsable en Timeblu (clientes de su negocio, pacientes, usuarios, etc.)

3.4 Tipos de datos personales

El Responsable puede introducir las siguientes categorías de datos:

  • Datos identificativos: Nombre, apellidos
  • Datos de contacto: Teléfono, correo electrónico, dirección postal
  • Datos de interacción comercial: Fechas de citas, historial de servicios prestados, notas sobre preferencias o interacciones (en campos de texto libre)

IMPORTANTE - Prohibición de datos de categorías especiales:

El Responsable se compromete a NO introducir datos de categorías especiales según el artículo 9 del RGPD:

  • Datos relativos a salud
  • Origen racial o étnico
  • Opiniones políticas
  • Convicciones religiosas o filosóficas
  • Afiliación sindical
  • Datos genéticos o biométricos destinados a identificar de manera unívoca a una persona física
  • Datos relativos a la vida sexual u orientación sexual

Si el Responsable introduce datos de categorías especiales en Timeblu (especialmente en campos de notas de texto libre), lo hace bajo su exclusiva responsabilidad, debiendo obtener el consentimiento explícito de los interesados y cumplir con los requisitos del artículo 9 RGPD.

El Encargado no puede controlar el contenido introducido en campos de texto libre, por lo que no asume responsabilidad por el tratamiento de categorías especiales de datos que el Responsable pueda incluir.

4. OBLIGACIONES DEL ENCARGADO DEL TRATAMIENTO

El Encargado se compromete a:

4.1 Tratamiento conforme a instrucciones

  • Tratar los datos personales únicamente siguiendo las instrucciones documentadas del Responsable, tal como se establecen en este DPA y en los Términos y Condiciones del Servicio
  • No utilizar los datos para ningún fin propio
  • Informar inmediatamente al Responsable si considera que una instrucción infringe el RGPD u otra normativa de protección de datos

4.2 Confidencialidad

  • Garantizar que las personas autorizadas para tratar los datos personales se comprometan a respetar la confidencialidad
  • Asegurar que el personal con acceso a datos personales ha recibido formación adecuada en protección de datos
  • Mantener la confidencialidad de los datos incluso después de la finalización del servicio

4.3 Medidas de seguridad

Implementar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo:

Medidas técnicas:

  • Cifrado: HTTPS para todas las comunicaciones, datos cifrados en base de datos (AES-256)
  • Pseudonimización: Separación de datos identificativos de metadatos cuando sea posible
  • Control de acceso: Autenticación robusta, autenticación de dos factores disponible
  • Segregación de datos: Arquitectura multi-tenant con Row Level Security (RLS), cada Responsable solo accede a sus datos
  • Copias de seguridad: Backups automáticos diarios, cifrados, con retención de 30 días
  • Pruebas de seguridad: Revisiones periódicas de vulnerabilidades
  • Logs de auditoría: Registro de accesos y operaciones críticas

Medidas organizativas:

  • Políticas internas de seguridad de la información
  • Procedimientos de gestión de incidentes de seguridad
  • Controles de acceso basados en el principio de mínimo privilegio
  • Revisión periódica de accesos de personal
  • Acuerdos de confidencialidad con empleados

4.4 Asistencia al Responsable

El Encargado asistirá al Responsable en:

a) Respuesta a ejercicio de derechos de los interesados:

Cuando un cliente final del Responsable ejerza sus derechos (acceso, rectificación, supresión, portabilidad, limitación, oposición), el Encargado:

  • Redirigirá al interesado al Responsable si el contacto se produce directamente con Timeblu
  • Proporcionará al Responsable herramientas para:
    • Acceso: Visualización de todos los datos del interesado
    • Rectificación: Edición de datos incorrectos
    • Supresión: Eliminación de registros individuales o masiva
    • Portabilidad: Exportación de datos en formato CSV/JSON
    • Limitación: Bloqueo temporal del tratamiento (mediante eliminación o marcado)
  • Responderá a las solicitudes del Responsable en un plazo máximo de 7 días laborables

b) Notificación de violaciones de seguridad:

En caso de violación de seguridad que afecte a datos personales tratados por cuenta del Responsable:

  • Notificación al Responsable en un plazo máximo de 36 horas desde que el Encargado tenga conocimiento de la violación
  • La notificación incluirá:
    • Descripción de la naturaleza de la violación
    • Categorías y número aproximado de interesados afectados
    • Categorías y número aproximado de registros de datos afectados
    • Posibles consecuencias de la violación
    • Medidas adoptadas o propuestas para poner remedio a la violación
    • Contacto del punto de comunicación del Encargado
  • Asistencia al Responsable en la comunicación a la autoridad de control (AEPD) y a los interesados, si procede

c) Evaluaciones de impacto y consultas previas:

Si el Responsable está obligado a realizar una Evaluación de Impacto en la Protección de Datos (EIPD) o consulta previa a la autoridad de control:

  • El Encargado proporcionará información sobre medidas de seguridad, subencargados, transferencias internacionales
  • Cooperará razonablemente en la realización de la evaluación

4.5 Supresión o devolución de datos

Al finalizar la prestación de servicios, el Encargado, según las instrucciones del Responsable:

Opción A - Supresión (por defecto):

  • Eliminará todos los datos personales tratados por cuenta del Responsable
  • Eliminará todas las copias de seguridad que contengan dichos datos (según calendario de retención, máximo 30 días)
  • Certificará por escrito la destrucción de los datos si el Responsable lo solicita

Opción B - Devolución:

  • Si el Responsable lo solicita antes de la cancelación, el Encargado:
    • Proporcionará exportación completa de todos los datos en formato CSV/JSON
    • Link de descarga válido durante 7 días
    • Tras confirmación de recepción por el Responsable, procederá a la supresión

Excepciones:

  • El Encargado puede conservar los datos si existe una obligación legal (facturas durante 4 años, registros de auditoría según normativa de seguridad)
  • Datos conservados por obligación legal estarán bloqueados para cualquier tratamiento salvo para cumplir con dicha obligación

4.6 Registro de actividades de tratamiento

El Encargado mantiene un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del Responsable, que incluye:

  • Nombre y datos de contacto del Encargado
  • Categorías de tratamientos realizados por cuenta de cada Responsable
  • Transferencias de datos a terceros países (si las hubiera)
  • Descripción general de las medidas de seguridad técnicas y organizativas

Este registro está disponible para inspección por parte de la autoridad de control.

4.7 Auditorías e inspecciones

El Encargado:

  • Pondrá a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones del artículo 28 del RGPD
  • Permitirá y contribuirá a la realización de auditorías, incluidas inspecciones, por parte del Responsable o un auditor autorizado por éste
  • Las auditorías se realizarán previa solicitud con al menos 15 días de antelación
  • No más de una vez al año salvo que exista indicio razonable de incumplimiento
  • El Responsable asumirá los costes de la auditoría
  • El Encargado puede proporcionar informes de auditoría de terceros (SOC 2, ISO 27001, etc.) como alternativa a auditorías directas

5. SUBENCARGADOS DEL TRATAMIENTO

5.1 Autorización general

El Responsable autoriza al Encargado a contratar subencargados para operaciones específicas de tratamiento.

5.2 Lista de subencargados

Los subencargados autorizados actualmente son:

SubencargadoServicio prestadoUbicaciónGarantías
Supabase Inc.Alojamiento de base de datos y backendFrankfurt, Alemania (UE)DPA conforme RGPD, Certificación ISO 27001
Stripe, Inc.Procesamiento de pagosServidores en UE + Cláusulas Contractuales TipoDPA conforme RGPD, Certificación PCI-DSS Level 1

Lista actualizada: Disponible en https://timeblu.com/subprocessors

5.3 Obligaciones de los subencargados

El Encargado garantiza que:

  • Cada subencargado está sometido a las mismas obligaciones de protección de datos que el Encargado
  • Existe un contrato por escrito con cada subencargado que incluye las cláusulas del artículo 28 RGPD
  • El Encargado es plenamente responsable ante el Responsable por el cumplimiento de las obligaciones del subencargado

5.4 Cambios en subencargados

Notificación:

  • El Encargado informará al Responsable de cualquier cambio previsto en subencargados (altas o bajas) con al menos 30 días de antelación
  • La notificación se realizará por email y mediante actualización de https://timeblu.com/subprocessors

Oposición:

  • El Responsable puede oponerse por causa razonada y justificada en un plazo de 14 días desde la notificación
  • Si el Encargado no puede reemplazar el subencargado objetado, el Responsable podrá:
    • Exportar sus datos
    • Cancelar el servicio sin penalización
    • Solicitar reembolso prorrateado del periodo no utilizado (si aplica)

6. TRANSFERENCIAS INTERNACIONALES DE DATOS

6.1 Ubicación de los datos

Los datos personales se almacenan en servidores ubicados en la Unión Europea (Frankfurt, Alemania).

6.2 Transferencias fuera del EEE

Actualmente NO se realizan transferencias de datos personales fuera del Espacio Económico Europeo (EEE).

Si en el futuro fuera necesario transferir datos fuera del EEE:

  • El Encargado notificará al Responsable con al menos 30 días de antelación
  • Se implementarán garantías adecuadas:
    • Cláusulas Contractuales Tipo aprobadas por la Comisión Europea, o
    • Decisiones de adecuación de la Comisión Europea, o
    • Certificaciones de privacidad reconocidas (EU-US Data Privacy Framework)
  • El Responsable podrá oponerse y cancelar el servicio según sección 5.4

6.3 Excepción - Stripe (pagos)

Stripe Inc. puede transferir datos de pago a servidores en EE.UU., pero:

  • Solo procesa datos estrictamente necesarios para el pago (nombre, email, última tarjeta)
  • Stripe está adherido al EU-US Data Privacy Framework
  • Tiene Cláusulas Contractuales Tipo con garantías adicionales
  • El Responsable consiente esta transferencia al contratar un plan de pago

7. OBLIGACIONES DEL RESPONSABLE DEL TRATAMIENTO

7.1 Legitimación del tratamiento

El Responsable garantiza que:

  • Tiene base legal válida para el tratamiento de datos de sus clientes finales (consentimiento, ejecución de contrato, interés legítimo, etc.)
  • Ha informado adecuadamente a los interesados sobre el tratamiento según artículos 13-14 RGPD
  • Ha obtenido los consentimientos necesarios cuando la base legal sea el consentimiento
  • Cumple con todos los principios del RGPD (licitud, lealtad, transparencia, minimización, exactitud, limitación de plazo, integridad, confidencialidad)

7.2 Instrucciones al Encargado

El Responsable:

  • Proporcionará instrucciones claras y documentadas al Encargado
  • No instruirá al Encargado para que realice tratamientos que infrinjan el RGPD
  • Es responsable de la legalidad de las instrucciones proporcionadas

7.3 Derechos de los interesados

El Responsable es responsable de:

  • Gestionar el ejercicio de derechos de sus clientes finales
  • Responder a solicitudes de acceso, rectificación, supresión, etc. dentro de los plazos legales
  • Utilizar las herramientas proporcionadas por Timeblu para dar cumplimiento a dichos derechos

7.4 Prohibición de datos sensibles

El Responsable se compromete a:

  • NO introducir datos de categorías especiales (artículo 9 RGPD) salvo que obtenga consentimiento explícito del interesado
  • Asumir plena responsabilidad si introduce datos sensibles en Timeblu
  • Exonerar al Encargado de cualquier responsabilidad derivada de la introducción no autorizada de datos de categorías especiales

8. RESPONSABILIDAD E INDEMNIZACIÓN

8.1 Responsabilidad solidaria

Según el artículo 82 RGPD:

  • El Encargado solo será responsable de los daños causados por el tratamiento cuando no haya cumplido las obligaciones del RGPD específicas para encargados o cuando haya actuado al margen o en contra de las instrucciones legales del Responsable
  • En los demás casos, el Responsable será el único responsable

8.2 Indemnización

Por el Responsable: El Responsable indemnizará y mantendrá indemne al Encargado frente a cualquier reclamación, multa, sanción o daño derivado de:

  • Instrucciones del Responsable que infrinjan el RGPD
  • Falta de base legal para el tratamiento por parte del Responsable
  • Incumplimiento por el Responsable de sus obligaciones de información a los interesados
  • Introducción de datos de categorías especiales sin consentimiento adecuado

Por el Encargado: El Encargado indemnizará al Responsable por:

  • Tratamiento de datos contrario a las instrucciones del Responsable
  • Falta de implementación de medidas de seguridad adecuadas
  • Incumplimiento de las obligaciones del artículo 28 RGPD
  • Violaciones de seguridad causadas por negligencia del Encargado

8.3 Limitación de responsabilidad

Sin perjuicio de lo anterior, la responsabilidad máxima del Encargado estará limitada según lo establecido en los Términos y Condiciones del Servicio.

9. COMUNICACIÓN ENTRE LAS PARTES

9.1 Canales de comunicación

Del Responsable al Encargado:

Del Encargado al Responsable:

  • Email registrado en la cuenta del Responsable
  • Notificaciones en la aplicación (para temas no urgentes)

9.2 Notificaciones críticas

Para asuntos críticos (violaciones de seguridad, cambios sustanciales en subencargados, instrucciones que infringen RGPD):

  • Comunicación inmediata por email
  • Confirmación de recepción requerida

10. VIGENCIA Y FINALIZACIÓN

10.1 Entrada en vigor

Este DPA entra en vigor en la fecha de aceptación de los Términos y Condiciones del Servicio.

10.2 Duración

El DPA permanece vigente mientras exista relación contractual entre las partes.

10.3 Efectos de la finalización

Al finalizar este DPA:

  • El Encargado devolverá o suprimirá los datos según instrucciones del Responsable (sección 4.5)
  • Las obligaciones de confidencialidad subsisten después de la finalización
  • Las cláusulas de responsabilidad, indemnización y ley aplicable sobreviven a la finalización

11. MODIFICACIONES DEL DPA

11.1 Actualizaciones

El Encargado puede modificar este DPA para:

  • Cumplir con cambios normativos
  • Reflejar cambios en las medidas de seguridad o subencargados
  • Mejorar las protecciones ofrecidas

11.2 Notificación

Cambios sustanciales se notificarán con 30 días de antelación por email y mediante actualización de la fecha de versión en https://timeblu.com/dpa

11.3 Aceptación

El uso continuado del servicio tras la entrada en vigor de las modificaciones implica la aceptación del DPA actualizado.

Si el Responsable no acepta las modificaciones, puede cancelar el servicio según los Términos y Condiciones.

12. DISPOSICIONES GENERALES

12.1 Integridad del acuerdo

Este DPA, junto con los Términos y Condiciones del Servicio y la Política de Privacidad, constituyen el acuerdo completo entre las partes en materia de tratamiento de datos personales.

12.2 Prevalencia

En caso de conflicto entre este DPA y los Términos y Condiciones del Servicio, este DPA prevalecerá en lo relativo a protección de datos personales.

12.3 Nulidad parcial

Si alguna disposición de este DPA es declarada nula o inaplicable, las demás disposiciones permanecerán en vigor.

12.4 Cesión

Ninguna de las partes puede ceder sus derechos u obligaciones bajo este DPA sin el consentimiento previo por escrito de la otra parte.

13. LEGISLACIÓN APLICABLE Y JURISDICCIÓN

13.1 Ley aplicable

Este DPA se rige por la legislación española en materia de protección de datos personales y por el Reglamento (UE) 2016/679 (RGPD).

13.2 Resolución de controversias

Las partes se comprometen a resolver amistosamente cualquier controversia derivada de este DPA.

En caso de no alcanzar acuerdo, las controversias se someterán a los Juzgados y Tribunales de Madrid, con renuncia a cualquier otro fuero que pudiera corresponder.

14. ACEPTACIÓN DEL DPA

El Responsable acepta este DPA al marcar la casilla correspondiente durante el registro en Timeblu y al aceptar los Términos y Condiciones del Servicio.

Una copia de este DPA está disponible en todo momento en: https://timeblu.com/dpa

15. CONTACTO

Para cualquier consulta sobre este DPA:

Encargado del Tratamiento (Timeblu):
Email: legal@timeblu.com
Web: https://timeblu.com

Normativa aplicable:

  • Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (RGPD)
  • Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD)
  • Directivas y recomendaciones del Comité Europeo de Protección de Datos (CEPD)
  • Guías y resoluciones de la Agencia Española de Protección de Datos (AEPD)