GDPR · Art. 28

Acuerdo de Tratamiento de Datos

Artículo 28 RGPD — para suscriptores institucionales

En vigor desde el 24 de junio de 2026

Datos alojados en la UERGPD Art. 28 conformeRespuesta en 48h

Solicitar copia firmada

Para obtener una copia contrafirmada de este acuerdo, contáctenos. Respondemos en 2 días hábiles con un PDF contrafirmado.

Solicitar DPA firmado →

1. Partes

Responsable del tratamiento: La organización suscriptora de los servicios de HealthWatch Global.

Encargado del tratamiento: HealthWatch Global, operado por David Deheunynck (autónomo, Francia). Este acuerdo forma parte de los Términos de Servicio.

2. Objeto y finalidad

El Encargado proporciona acceso a HealthWatch Global, un panel de vigilancia epidemiológica en tiempo real, a los usuarios autorizados del Responsable.

3. Categorías de datos personales

Categoría	Detalle	Interesados
Credenciales de cuenta	Dirección de email, contraseña hasheada	Usuarios autorizados
Datos de perfil	Nombre, organización, rol	Usuarios autorizados
Preferencias de alertas	Regiones, enfermedades vigiladas, idioma	Usuarios autorizados
Datos de uso	Marcas de tiempo de inicio de sesión, funciones consultadas	Usuarios autorizados
Datos de facturación	Email, nombre de organización (datos de tarjeta tratados por Stripe)	Contacto de facturación

4. Obligaciones del Encargado (Art. 28 RGPD)

a) Tratar los datos solo según instrucciones documentadas del Responsable;
b) Garantizar la confidencialidad de las personas autorizadas;
c) Implementar medidas de seguridad conforme al artículo 32 RGPD;
d) Respetar las condiciones para subcontratistas (Art. 28(2)-(4));
e) Asistir al Responsable en el ejercicio de los derechos de los interesados;
f) Notificar violaciones de datos en un plazo de 24 horas;
g) Eliminar o devolver los datos al finalizar el contrato;
h) Facilitar auditorías y proporcionar información de cumplimiento.

5. Subencargados

El Responsable autoriza el uso de los siguientes subencargados. Se informará de cualquier cambio previsto.

Subencargado	Finalidad	Ubicación	Garantías
Supabase Inc.	Database & authentication	UE — Frankfurt (Allemagne)	AWS eu-central-1 · DPA Supabase
Sendinblue SAS (Brevo)	Transactional email & alerts	UE — Paris (France)	Entreprise française · RGPD natif
Vercel Inc.	Hosting & CDN	CDN mondial (edge UE dispo)	SCCs · EU region configurable
Stripe Inc.	Payment processing	UE / États-Unis	DPA Stripe · SCCs transferts US

6. Medidas de seguridad (Art. 32 RGPD)

Cifrado en tránsito: HTTPS/TLS 1.2+
Cifrado en reposo: AES-256 (Supabase)
Control de acceso basado en roles, principio de mínimo privilegio
Autenticación segura: Supabase Auth
Monitoreo de disponibilidad y registro de errores
Copias de seguridad automáticas diarias
Objetivo de disponibilidad: 99,9%

7. Notificación de violaciones

En caso de violación de datos personales, el Encargado notificará al Responsable sin demora injustificada y, en la medida de lo posible, en un plazo de 24 horas.

8. Duración y eliminación

Este acuerdo es válido durante la duración de la suscripción. Al finalizar, el Encargado eliminará o devolverá todos los datos personales en un plazo de 30 días.

9. Ley aplicable

Este acuerdo se rige por la ley francesa y el Reglamento (UE) 2016/679 (RGPD). Cualquier litigio será competencia de los tribunales de París, Francia.

Solicitar copia firmada

Para obtener una copia contrafirmada de este acuerdo, contáctenos. Respondemos en 2 días hábiles con un PDF contrafirmado.

Solicitar DPA firmado →

3. Categorías de datos personales

Categoría	Detalle	Interesados
Credenciales de cuenta	Dirección de email, contraseña hasheada	Usuarios autorizados
Datos de perfil	Nombre, organización, rol	Usuarios autorizados
Preferencias de alertas	Regiones, enfermedades vigiladas, idioma	Usuarios autorizados
Datos de uso	Marcas de tiempo de inicio de sesión, funciones consultadas	Usuarios autorizados
Datos de facturación	Email, nombre de organización (datos de tarjeta tratados por Stripe)	Contacto de facturación

4. Obligaciones del Encargado (Art. 28 RGPD)

a) Tratar los datos solo según instrucciones documentadas del Responsable;

b) Garantizar la confidencialidad de las personas autorizadas;

c) Implementar medidas de seguridad conforme al artículo 32 RGPD;

d) Respetar las condiciones para subcontratistas (Art. 28(2)-(4));

e) Asistir al Responsable en el ejercicio de los derechos de los interesados;

f) Notificar violaciones de datos en un plazo de 24 horas;

g) Eliminar o devolver los datos al finalizar el contrato;

h) Facilitar auditorías y proporcionar información de cumplimiento.

5. Subencargados

El Responsable autoriza el uso de los siguientes subencargados. Se informará de cualquier cambio previsto.

Subencargado	Finalidad	Ubicación	Garantías
Supabase Inc.	Database & authentication	UE — Frankfurt (Allemagne)	AWS eu-central-1 · DPA Supabase
Sendinblue SAS (Brevo)	Transactional email & alerts	UE — Paris (France)	Entreprise française · RGPD natif
Vercel Inc.	Hosting & CDN	CDN mondial (edge UE dispo)	SCCs · EU region configurable
Stripe Inc.	Payment processing	UE / États-Unis	DPA Stripe · SCCs transferts US