Volver al Inicio

Acuerdo de Procesamiento de Datos

Última actualización: 3 de marzo de 2026

Versión 1.0

Este Acuerdo de Procesamiento de Datos ("APD") forma parte de los Términos de Servicio entre RetroTagr ("Encargado del tratamiento", "nosotros") y el cliente ("Responsable del tratamiento", "usted") para la prestación de servicios de geoetiquetado de fotos. Este APD se aplica donde y solo en la medida en que RetroTagr procese Datos Personales en nombre del Responsable en el curso de la prestación de los Servicios.

1. Definiciones

Las siguientes definiciones se aplican a este APD:

  • "Datos Personales" significa cualquier información relativa a una persona física identificada o identificable según se define en el Artículo 4 del RGPD
  • "Tratamiento" significa cualquier operación realizada sobre Datos Personales, ya sea por medios automatizados o no
  • "Interesado" significa la persona física cuyos Datos Personales están siendo procesados
  • "Subencargado" significa cualquier tercero contratado por el Encargado para procesar Datos Personales en nombre del Responsable
  • "RGPD" significa el Reglamento General de Protección de Datos (UE) 2016/679
  • "Servicios" significa los servicios de geoetiquetado de fotos proporcionados por RetroTagr

2. Alcance y Roles

2.1 Responsabilidades del Responsable del Tratamiento

Como Responsable, usted determina los fines y medios del tratamiento de Datos Personales. Usted es responsable de:

  • Asegurar la base legal para el tratamiento (p. ej., consentimiento de las personas en las fotos)
  • Responder a las solicitudes de los Interesados (acceso, eliminación, portabilidad)
  • Notificar a los Interesados sobre cualquier violación de datos según sea necesario
  • Asegurar que el contenido subido cumple con las leyes aplicables

2.2 Responsabilidades del Encargado del Tratamiento

Como Encargado, RetroTagr procesa Datos Personales solo según sus instrucciones documentadas. Somos responsables de:

  • Procesar datos solo según las instrucciones del Responsable
  • Implementar medidas de seguridad técnicas y organizativas apropiadas
  • Asistir al Responsable en la respuesta a solicitudes de los Interesados
  • Notificar al Responsable sobre cualquier violación de datos sin demora indebida
  • Asegurar que el personal que maneja datos está vinculado por obligaciones de confidencialidad

3. Datos Personales Procesados

3.1 Categorías de Datos

Las siguientes categorías de Datos Personales pueden ser procesadas:

  • Datos de cuenta: dirección de correo electrónico, nombre, foto de perfil
  • Archivos de fotos que contienen individuos (rostros, características identificativas)
  • Metadatos de fotos: coordenadas GPS, marcas de tiempo, descripciones
  • Datos de uso: direcciones IP, información del dispositivo, registros de acceso

3.2 Interesados

Los Interesados pueden incluir:

  • Titulares de cuentas (empleados del Responsable o individuos)
  • Individuos que aparecen en las fotos subidas
  • Cualquier persona cuya información esté contenida en los metadatos de las fotos

3.3 Duración del Tratamiento

El tratamiento continúa durante la vigencia del acuerdo de servicio. Tras la terminación, los datos se eliminan en un plazo de 30 días, a menos que la ley requiera una retención más prolongada.

4. Subencargados

El Responsable autoriza el uso de los siguientes subencargados:

ProveedorPropósitoUbicación
Supabase Inc.Alojamiento de base de datos y almacenamiento de archivosEstados Unidos (infraestructura AWS)
Stripe, Inc.Procesamiento de pagos y gestión de suscripcionesEstados Unidos
Google LLCAutenticación OAuthEstados Unidos
Mapbox, Inc.Servicios de mapas interactivos para selección de ubicaciónEstados Unidos
Anthropic PBCSugerencias de ubicación potenciadas por IA (función opcional)Estados Unidos
Vercel Inc.Alojamiento de aplicaciones y entrega de contenidoEstados Unidos (red edge global)
Resend Inc.Entrega de correo electrónico transaccionalEstados Unidos

Le notificaremos sobre cualquier cambio previsto en los subencargados, dándole la oportunidad de oponerse a dichos cambios en un plazo de 30 días.

5. Medidas de Seguridad

RetroTagr implementa las siguientes medidas técnicas y organizativas para proteger los Datos Personales:

5.1 Medidas Técnicas

  • Cifrado TLS 1.3 para todos los datos en tránsito
  • Cifrado AES-256 para datos en reposo
  • Autenticación segura mediante OAuth 2.0 y tokens de sesión
  • Actualizaciones de seguridad regulares y parches de vulnerabilidades
  • Sistemas de respaldo automatizados con cifrado
  • Limitación de tasa y protección DDoS

5.2 Medidas Organizativas

  • Controles de acceso basados en el principio de mínimo privilegio
  • Acuerdos de confidencialidad con todo el personal
  • Formación regular en seguridad para el personal
  • Procedimientos de respuesta a incidentes
  • Revisión regular de las políticas de seguridad

6. Notificación de Violación de Datos

En caso de una violación de Datos Personales, RetroTagr:

  • Notificará al Responsable sin demora indebida (dentro de 72 horas cuando sea factible) después de tener conocimiento de la violación
  • Proporcionará detalles de la violación incluyendo: naturaleza de la violación, categorías y número aproximado de Interesados afectados, consecuencias probables y medidas tomadas o propuestas para abordar la violación
  • Cooperará con el Responsable en la investigación y mitigación de la violación
  • Documentará todas las violaciones incluyendo hechos, efectos y acciones correctivas tomadas

7. Derechos de los Interesados

RetroTagr asistirá al Responsable en el cumplimiento de las solicitudes de los Interesados. Si recibimos una solicitud directamente de un Interesado, la remitiremos rápidamente al Responsable a menos que la ley nos obligue a responder directamente.

Los derechos incluyen: acceso, rectificación, supresión, limitación del tratamiento, portabilidad de datos y oposición al tratamiento.

8. Auditorías e Inspecciones

Previa solicitud razonable y sujeto a obligaciones de confidencialidad, RetroTagr:

  • Pondrá a disposición la información necesaria para demostrar el cumplimiento de este APD
  • Permitirá y contribuirá a auditorías, incluyendo inspecciones, realizadas por el Responsable o un auditor designado por el Responsable
  • Proporcionará cuestionarios de auditoría y certificaciones de seguridad bajo solicitud

9. Transferencias Internacionales de Datos

Los Datos Personales pueden ser transferidos a países fuera del Espacio Económico Europeo (EEE). Para tales transferencias, RetroTagr asegura que se implementen las salvaguardas apropiadas:

  • Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea
  • Evaluaciones de impacto de transferencias cuando sea necesario
  • Medidas técnicas adicionales cuando sea necesario
  • Adendas de Procesamiento de Datos con subencargados

A solicitud, RetroTagr celebrará las Cláusulas Contractuales Tipo de la UE con el Responsable para transferencias de Datos Personales a terceros países.

10. Terminación y Devolución de Datos

Tras la terminación de los Servicios:

  • Todos los Datos Personales serán eliminados en un plazo de 30 días
  • A solicitud previa a la eliminación, proporcionaremos una copia de sus datos en un formato de uso común
  • Confirmaremos la eliminación por escrito bajo solicitud
  • Los datos que deban conservarse por ley se almacenarán de forma segura y aislada

11. Responsabilidad e Indemnización

Cada parte es responsable de los daños causados por el tratamiento que infrinja el RGPD. El Encargado solo será responsable de los daños causados por el tratamiento cuando no haya cumplido con las obligaciones específicamente dirigidas a los encargados en virtud del RGPD o cuando haya actuado fuera de las instrucciones legales del Responsable o en contra de ellas.

12. Información de Contacto

Para preguntas sobre este APD o para ejercer cualquier derecho, por favor contacte:

Para clientes empresariales que requieran un contacto dedicado del Delegado de Protección de Datos, por favor contacte a legal@retrotagr.com.

Documentos Relacionados

Acuerdo de Procesamiento de Datos | RetroTagr