Acuerdo de tratamiento de datos
Este DPA establece cómo ZORC AB trata datos personales en tu nombre cuando usas sSystm. Refleja la arquitectura BYOC: para tus datos empresariales, tú eres el responsable y permanecen en tu propia nube.
Última actualización:
01Roles y modelo BYOC
Este acuerdo de tratamiento de datos ("DPA") forma parte de los Términos de uso entre tú (el "Responsable") y ZORC AB, n.º org. 559481-8857, Suecia (el "Encargado"), y se aplica en la medida en que el Encargado trate datos personales por cuenta del Responsable según el artículo 28 del RGPD.
A diferencia de un DPA SaaS típico, sSystm no almacena tus datos empresariales en una base central. Tus datos de workspace residen en una base dedicada en tu propia cuenta Cloudflare. Eres responsable y titular de la infraestructura; sSystm solo trata esos datos mediante acceso limitado, revocable y delimitado por OAuth. Cloudflare es subencargado / proveedor de infraestructura.
02Objeto, naturaleza y finalidad
- Objeto: prestación de la plataforma sSystm y los módulos que habilitas.
- Duración: mientras sSystm tenga acceso a tu cuenta Cloudflare, hasta que revoques OAuth o rescindas.
- Naturaleza y finalidad: alojamiento, estructuración, recuperación y operación de datos de workspace según tus instrucciones, incluidas acciones asistidas por IA que inicies o apruebes.
- Tipos de datos: lo que elijas almacenar — normalmente datos de contacto empresarial, proyectos y documentos, información de calendario.
- Interesados: tus clientes, contactos, personal y otros cuyos datos introduces.
03Tratamiento por instrucción
El Encargado trata datos personales solo según las instrucciones documentadas del Responsable — incluidas las incorporadas en las funciones de la plataforma y tus acciones — salvo obligación legal, en cuyo caso te informará salvo prohibición legal. El personal autorizado está sujeto a confidencialidad.
04BYOC como minimización
La arquitectura BYOC es en sí un control de protección de datos. Como tus datos empresariales residen físicamente en tu propia cuenta Cloudflare y no en un almacén central de sSystm, la exposición del Encargado a tus datos se minimiza por diseño, y conservas control directo e independiente de la infraestructura subyacente y la capacidad de cortar el acceso en cualquier momento.
05Medidas de seguridad
El Encargado implementa medidas técnicas y organizativas apropiadas, incluyendo:
- Mínimo privilegio — acceso mediante scopes OAuth Cloudflare granulares, cada uno etiquetado por riesgo.
- Credenciales cifradas — tokens Cloudflare cifrados en reposo con AES-256-GCM e IV aleatorio por token.
- Aislamiento de inquilinos — cada organización tiene su propia base en su propia cuenta; consultas y espacios de nombres aislados por organización.
- Autenticación sin contraseña — inicio de sesión solo vía OAuth Cloudflare.
- Opción jurisdicción UE — puedes fijar tu base a jurisdicción UE mediante la garantía D1 de Cloudflare.
- Control humano — operaciones de infraestructura propuestas por IA no demostradamente de solo lectura quedan pendientes hasta aprobación humana.
06Subencargados
El Responsable autoriza al Encargado a contratar los subencargados listados en nuestra página de subencargados — actualmente Cloudflare (infraestructura/alojamiento/IA), Resend (correo) y Anthropic (modelos Claude vía AI Gateway de Cloudflare). El Encargado impone obligaciones de protección de datos al menos tan protectoras como este DPA, con aviso razonable ante adición o sustitución.
07Transferencias internacionales
Cuando los datos se transfieren fuera del EEE, las partes se apoyan en las garantías del capítulo V del RGPD, incluidas las cláusulas contractuales tipo (CCT) de la Comisión Europea. Elegir jurisdicción UE al iniciar sesión mantiene tu base en infraestructura UE.
08Notificación de brechas
El Encargado notificará al Responsable sin dilación indebida tras tener conocimiento de una brecha que afecte datos que trata por cuenta del Responsable, con la información razonablemente necesaria para las obligaciones de los artículos 33–34 del RGPD. Por el aislamiento de inquilinos, un incidente queda contenido en un solo inquilino por construcción.
09Asistencia y auditoría
Teniendo en cuenta la naturaleza del tratamiento, el Encargado asiste al Responsable con solicitudes de interesados y obligaciones de los artículos 32–36 del RGPD. Proporciona información razonablemente necesaria para demostrar cumplimiento del artículo 28 y permite auditorías con aviso razonable y confidencialidad.
10Devolución y eliminación
Como tus datos empresariales están en tu propia cuenta Cloudflare, finalizar la relación no requiere «devolver» tus datos — nunca salieron de tu cuenta. Revocar OAuth excluye al Encargado; tu base permanece contigo.
Al rescindir, el Encargado elimina o devuelve los datos centrales limitados que conserva (identidad, membresía, metadatos) según la política de privacidad, salvo retención legal obligatoria.
11Duración y prevalencia
Este DPA está vigente mientras lo estén los Términos y el Encargado tenga acceso a tu cuenta. En conflicto sobre protección de datos, este DPA prevalece sobre los Términos. Para un DPA contrafirmado o CCT como instrumento separado, contacta support@ssystm.com.