Acuerdo de tratamiento de datos

Última actualización: 11 de abril de 2026

La versión de 30 segundos

Tú eres el responsable del tratamiento, nosotros somos el encargado del tratamiento, los datos residen en Fráncfort y te avisaremos en un plazo de 48 horas si algo se tuerce. Los subencargados del tratamiento figuran por su nombre. Las secciones numeradas son el artículo 28 del RGPD en lenguaje jurídico.

1. Definiciones

«Responsable del tratamiento» designa a la entidad que determina los fines y los medios del tratamiento de datos personales (tú, el cliente). «Encargado del tratamiento» designa a CarbonTrace (operado por Simplinity, Países Bajos), que trata datos personales por cuenta del Responsable del tratamiento. «Subencargado del tratamiento» designa a un tercero contratado por el Encargado del tratamiento para tratar datos personales. Los términos «Datos personales» y «Tratamiento» tienen el significado que se les atribuye en el artículo 4 del RGPD.

2. Ámbito de aplicación y finalidad

El presente acuerdo de tratamiento se aplica a todo tratamiento de datos personales realizado por CarbonTrace por cuenta del Responsable del tratamiento en relación con el servicio de CarbonTrace de cálculo y elaboración de informes de la huella de carbono. Las categorías de datos tratados incluyen: información de la cuenta (nombre, correo electrónico), datos de la organización, datos de activos de TI, resultados de cálculo y metadatos de uso. Entre los interesados se encuentran los empleados y usuarios autorizados del Responsable del tratamiento.

3. Obligaciones del encargado del tratamiento

CarbonTrace se compromete a: tratar los datos personales únicamente siguiendo instrucciones documentadas del Responsable del tratamiento (incluidas las Condiciones del servicio y el presente acuerdo); garantizar que las personas autorizadas a tratar datos personales estén sujetas a obligaciones de confidencialidad; aplicar las medidas de seguridad técnicas y organizativas adecuadas (véase la Sección 7); asistir al Responsable del tratamiento en la respuesta a las solicitudes de los interesados; suprimir o devolver todos los datos personales a la finalización del servicio, a elección del Responsable del tratamiento; y poner a disposición toda la información necesaria para demostrar el cumplimiento.

4. Obligaciones del responsable del tratamiento

El Responsable del tratamiento se compromete a: asegurarse de que dispone de una base jurídica para el tratamiento de los datos personales remitidos a CarbonTrace; proporcionar instrucciones que cumplan la legislación aplicable en materia de protección de datos; e informar sin demora a CarbonTrace de cualquier cambio que afecte a los requisitos del tratamiento de datos.

5. Subencargados del tratamiento

CarbonTrace utiliza los siguientes subencargados del tratamiento: Supabase Inc. (base de datos y autenticación, región de la UE eu-west-1), Vercel Inc. (alojamiento de la aplicación y red edge), Mollie B.V. (procesamiento de pagos, Países Bajos) y Resend Inc. (entrega de correo electrónico transaccional). CarbonTrace informará al Responsable del tratamiento con al menos 30 días de antelación antes de añadir o sustituir a un subencargado del tratamiento. El Responsable del tratamiento puede oponerse a un nuevo subencargado del tratamiento escribiendo a privacy@carbontrace.cloud en un plazo de 14 días. Cada subencargado del tratamiento está vinculado por un acuerdo de tratamiento de datos con obligaciones que ofrecen un nivel de protección no inferior al del presente acuerdo.

6. Transferencias internacionales

El almacenamiento principal de los datos se encuentra en la Unión Europea (Fráncfort, eu-west-1). Cuando se transfieran datos personales fuera de la UE/EEE (por ejemplo, Vercel edge functions en regiones fuera de la UE), CarbonTrace garantiza la adopción de garantías adecuadas, incluidas las cláusulas contractuales tipo (Standard Contractual Clauses, SCCs) adoptadas por la Comisión Europea. Las evaluaciones de impacto de las transferencias (Transfer Impact Assessments) están disponibles previa solicitud.

7. Medidas de seguridad

CarbonTrace aplica: cifrado en tránsito (TLS 1.3) y en reposo (AES-256); seguridad a nivel de fila (row-level security) en todas las tablas de la base de datos; registro de auditoría encadenado por hash, de solo anexión, con conservación durante 7 años; controles de acceso con permisos basados en roles; revisiones de seguridad periódicas; y análisis automatizado de vulnerabilidades. Hay disponible una descripción detallada de seguridad previa solicitud en security@carbontrace.cloud.

8. Derechos de los interesados

CarbonTrace proporciona medidas técnicas para ayudar al Responsable del tratamiento a atender las solicitudes de los interesados en virtud de los artículos 15 a 22 del RGPD: exportación de datos de autoservicio (art. 20, portabilidad), eliminación de cuenta de autoservicio (art. 17, supresión), edición del perfil (art. 16, rectificación) y acceso al registro de auditoría a efectos de responsabilidad proactiva. Los usuarios pueden ejercer estos derechos directamente desde Ajustes → Privacidad y datos.

9. Notificación de violaciones de datos

CarbonTrace notificará al Responsable del tratamiento toda violación de la seguridad de los datos personales sin dilación indebida y, en cualquier caso, en un plazo de 48 horas desde que tenga conocimiento de ella. La notificación incluirá: la naturaleza de la violación, las categorías y el número aproximado de interesados afectados, las consecuencias probables y las medidas adoptadas o propuestas para mitigar la violación. Todas las violaciones quedan registradas en el registro de auditoría.

10. Auditorías e inspecciones

CarbonTrace pondrá a disposición del Responsable del tratamiento toda la información necesaria para demostrar el cumplimiento del presente acuerdo. El Responsable del tratamiento podrá realizar auditorías, incluidas inspecciones, con sujeción a un preaviso razonable (al menos 30 días) y durante el horario laboral normal. Como alternativa, CarbonTrace podrá ofrecer un informe de auditoría independiente elaborado por un tercero. Los costes de la auditoría correrán a cargo del Responsable del tratamiento, salvo que la auditoría revele un incumplimiento por parte de CarbonTrace.

11. Duración y resolución

El presente acuerdo de tratamiento tendrá vigencia durante la duración del contrato de servicio de CarbonTrace. A la resolución, CarbonTrace suprimirá todos los datos personales en un plazo de 30 días, salvo que la legislación aplicable exija su conservación (por ejemplo, los registros de auditoría conservados durante 7 años en virtud de la normativa contable neerlandesa). El Responsable del tratamiento podrá solicitar una exportación de sus datos antes de la resolución.

12. Legislación aplicable

El presente acuerdo de tratamiento se rige por la legislación de los Países Bajos. Cualquier controversia se resolverá ante los tribunales de los Países Bajos, sin perjuicio del derecho del interesado a presentar una reclamación ante la autoridad neerlandesa de protección de datos (Autoriteit Persoonsgegevens).

13. Contacto

Para cualquier pregunta sobre el presente acuerdo o para ejercer tus derechos: privacy@carbontrace.cloud. Contacto de protección de datos: Simplinity, Países Bajos.

¿Necesitas una copia firmada? Contáctanos o escribe a privacy@carbontrace.cloud