Este Acuerdo de Tratamiento de Datos (Data Processing Addendum, "DPA") forma parte de los Términos de Servicio de GUNDO y se aplica cuando GUNDO trata datos personales por cuenta de un Cliente B2B ("Responsable") como Encargado del tratamiento, en el sentido del artículo 28 del Reglamento (UE) 2016/679 (RGPD).

1. Roles de las partes

El Cliente actúa como Responsable del tratamiento (Data Controller) respecto de los datos personales que aporta a la plataforma o que se generan a partir del uso del servicio por parte de los usuarios finales del Cliente.

GUNDO actúa como Encargado del tratamiento (Data Processor) y trata esos datos personales únicamente conforme a las instrucciones documentadas del Cliente, salvo cuando el Derecho de la Unión o de un Estado miembro le obligue a otra cosa.

Cuando el Cliente conecta cuentas de redes sociales (Meta/Instagram, LinkedIn, X, TikTok, YouTube) para que GUNDO publique en su nombre vía Marketing Hub, GUNDO sigue actuando como Encargado por cuenta del Cliente respecto de los tokens y métricas asociados.

2. Objeto, duración y categorías

Objeto: prestación de los servicios SaaS de GUNDO descritos en los Términos.

Duración: mientras dure la suscripción del Cliente y hasta su finalización + el plazo de eliminación pactado abajo.

Categorías de interesados: empleados, miembros, clientes finales o usuarios del Cliente que utilizan la plataforma; profesionales que reciben campañas via Marketing Hub.

Categorías de datos: identificación (nombre, email), datos de uso, datos de salud auto-reportados (categoría especial RGPD art. 9, sólo cuando el usuario final los aporta voluntariamente), tokens OAuth de redes sociales, métricas agregadas de campaña.

3. Subencargados (subprocessors)

El Cliente autoriza de forma general a GUNDO a subcontratar el tratamiento con los proveedores listados a continuación. GUNDO mantiene la responsabilidad frente al Cliente por las actuaciones de sus subencargados y suscribe con cada uno de ellos contratos con cláusulas de protección de datos equivalentes.

Subencargados actuales:

• Google Cloud EMEA Limited (Google Cloud Platform) — infraestructura cloud principal — UE (Frankfurt, Bélgica) + EE. UU. con SCCs y EU-US DPF.

• Firebase (Google) — autenticación, Firestore, Hosting — UE/EE. UU. con SCCs.

• Resend, Inc. — envío de emails transaccionales — EE. UU. con SCCs.

• Cloudflare, Inc. — CDN, DNS, WAF — global con SCCs.

• Sentry (Functional Software, Inc.) — observabilidad de errores — EE. UU. con SCCs.

• Stripe Payments Europe Ltd. y MercadoPago — pasarelas de pago — actúan como Responsables independientes para sus propias finalidades.

• Meta Platforms Ireland Ltd., LinkedIn Ireland, X Corp., TikTok Ireland, Google Ireland Ltd. — sólo para los Clientes que conecten esas redes a Marketing Hub; cada una conforme a sus términos públicos.

GUNDO publicará la lista actualizada en este DPA y notificará al Cliente con al menos 30 días de antelación cualquier cambio sustancial. El Cliente puede oponerse motivadamente; si las partes no llegan a un acuerdo, el Cliente puede resolver la suscripción.

4. Medidas técnicas y organizativas

GUNDO implementa medidas técnicas y organizativas adecuadas al riesgo (RGPD art. 32), incluyendo:

• Cifrado en tránsito (TLS 1.3) y en reposo (AES-256).

• Gestión de secretos en GCP Secret Manager con rotación automatizada.

• Control de accesos basado en roles (RBAC) y MFA obligatorio para personal con acceso a producción.

• Trazabilidad: logs de acceso y de cambios con retención mínima de 12 meses.

• Gestión de vulnerabilidades: escaneo continuo (Trivy + dependency scanning) y SLAs de remediación.

• Pruebas de recuperación: backups automáticos diarios con retención de 30 días y point-in-time recovery.

• Separación lógica: el dato del Cliente está aislado por tenant y nunca se comparte con otros Clientes.

5. Notificación de brechas

GUNDO notificará al Cliente sin dilación indebida y, en cualquier caso, dentro de las 72 horas desde que tenga conocimiento de una violación de la seguridad de los datos personales. La notificación incluirá: naturaleza de la brecha, categorías y volumen aproximado de interesados afectados, consecuencias probables y medidas adoptadas o propuestas para mitigarlas. El Cliente, como Responsable, decide si notificar a la AEPD y a los interesados; GUNDO le proporcionará la información técnica necesaria.

6. Retención y devolución/eliminación al término

Durante la vigencia del contrato, GUNDO conserva los datos del Cliente conforme a lo necesario para la prestación del servicio y a las instrucciones del propio Cliente.

A la finalización del contrato, GUNDO ofrece al Cliente una ventana de 30 días para exportar sus datos. Transcurrido ese plazo, los datos se eliminan o anonimizan en menos de 60 días, salvo obligación legal de conservación.

Las copias de backup que contengan datos del Cliente se rotan dentro del ciclo natural de 30 días, tras lo cual desaparecen.

Solicitudes formales relacionadas con este DPA y derechos de los interesados: dpo@gundo.life. Otras consultas legales: legal@gundo.life.

1. Roles de las partes

2. Objeto, duración y categorías

Objeto: prestación de los servicios SaaS de GUNDO descritos en los Términos.

Duración: mientras dure la suscripción del Cliente y hasta su finalización + el plazo de eliminación pactado abajo.

Categorías de interesados: empleados, miembros, clientes finales o usuarios del Cliente que utilizan la plataforma; profesionales que reciben campañas via Marketing Hub.

3. Subencargados (subprocessors)

Subencargados actuales:

• Google Cloud EMEA Limited (Google Cloud Platform) — infraestructura cloud principal — UE (Frankfurt, Bélgica) + EE. UU. con SCCs y EU-US DPF.

• Firebase (Google) — autenticación, Firestore, Hosting — UE/EE. UU. con SCCs.

• Resend, Inc. — envío de emails transaccionales — EE. UU. con SCCs.

• Cloudflare, Inc. — CDN, DNS, WAF — global con SCCs.

• Sentry (Functional Software, Inc.) — observabilidad de errores — EE. UU. con SCCs.

• Stripe Payments Europe Ltd. y MercadoPago — pasarelas de pago — actúan como Responsables independientes para sus propias finalidades.

4. Medidas técnicas y organizativas

GUNDO implementa medidas técnicas y organizativas adecuadas al riesgo (RGPD art. 32), incluyendo:

• Cifrado en tránsito (TLS 1.3) y en reposo (AES-256).

• Gestión de secretos en GCP Secret Manager con rotación automatizada.

• Control de accesos basado en roles (RBAC) y MFA obligatorio para personal con acceso a producción.

• Trazabilidad: logs de acceso y de cambios con retención mínima de 12 meses.

• Gestión de vulnerabilidades: escaneo continuo (Trivy + dependency scanning) y SLAs de remediación.

• Pruebas de recuperación: backups automáticos diarios con retención de 30 días y point-in-time recovery.

• Separación lógica: el dato del Cliente está aislado por tenant y nunca se comparte con otros Clientes.

5. Notificación de brechas

6. Retención y devolución/eliminación al término

Durante la vigencia del contrato, GUNDO conserva los datos del Cliente conforme a lo necesario para la prestación del servicio y a las instrucciones del propio Cliente.

Las copias de backup que contengan datos del Cliente se rotan dentro del ciclo natural de 30 días, tras lo cual desaparecen.

Acuerdo de Tratamiento de Datos (DPA)

1. Roles de las partes

2. Objeto, duración y categorías

3. Subencargados (subprocessors)

4. Medidas técnicas y organizativas

5. Notificación de brechas

6. Retención y devolución/eliminación al término

Tu privacidad importa

Acuerdo de Tratamiento de Datos (DPA)

1. Roles de las partes

2. Objeto, duración y categorías

3. Subencargados (subprocessors)

4. Medidas técnicas y organizativas

5. Notificación de brechas

6. Retención y devolución/eliminación al término

Tu privacidad importa