Contrato de Encargado de Tratamiento (DPA)
Última actualización: 6 de julio de 2026
Este Contrato de Encargado de Tratamiento (en adelante, el «DPA») regula, conforme al artículo 28 del Reglamento (UE) 2016/679 (RGPD), el tratamiento que ClientLabs realiza por cuenta del usuario sobre los datos personales de terceros que este introduce en la plataforma. Forma parte integrante de los Términos y Condiciones y se acepta junto con ellos al registrarse en el servicio.
1. Partes y objeto
- Responsable del tratamiento: tú, el usuario de ClientLabs, respecto de los datos de tus clientes, proveedores, leads y contactos.
- Encargado del tratamiento: Iyán Rimada Serrano (empresario individual / autónomo), NIF 53514356A, Lugar Ceñal 40A, La Collada, 33519 Siero, Asturias, España — titular de ClientLabs.
El objeto de este DPA es el tratamiento de datos personales necesario para prestarte el servicio ClientLabs descrito en los Términos y Condiciones.
2. Naturaleza, finalidad y duración del tratamiento
El tratamiento consiste en la recogida, registro, estructuración, conservación, consulta, comunicación (a los subencargados de la sección 5) y supresión de los datos que introduces en la plataforma, con la única finalidad de prestarte las funcionalidades del servicio (CRM, facturación, presupuestos, gestión de leads y demás herramientas). La duración del tratamiento coincide con la vigencia de tu cuenta, sin perjuicio de la conservación posterior descrita en la sección 10.
3. Tipos de datos y categorías de interesados
Categorías de interesados: clientes, proveedores, leads y contactos profesionales del usuario, y destinatarios de sus comunicaciones.
Tipos de datos: datos identificativos y de contacto (nombre, email, teléfono, dirección), datos fiscales (NIF, domicilio fiscal), datos comerciales y de facturación (historial, importes, documentos) y datos de actividad (interacciones, aperturas de email, comportamiento web capturado por el SDK).
Categorías especiales de datos: ClientLabs no está diseñada para tratar categorías especiales de datos (artículo 9 RGPD: salud, ideología, afiliación sindical, religión, orientación sexual, datos biométricos o genéticos, entre otros). No debes introducir este tipo de datos en la plataforma y, al aceptar este DPA, te comprometes a no hacerlo.
4. Obligaciones del Encargado
ClientLabs, como encargado, se obliga a:
- Tratar los datos únicamente siguiendo tus instrucciones documentadas, que se materializan en el uso que hagas de las funcionalidades de la plataforma, y no utilizarlos para fines propios. Si estuviéramos obligados a tratarlos por el Derecho de la Unión o de un Estado miembro, te informaremos de esa exigencia legal antes del tratamiento, salvo que la propia ley lo prohíba por razones de interés público.
- Informarte inmediatamente si, en nuestra opinión, una instrucción tuya infringe el RGPD u otras disposiciones de protección de datos aplicables.
- Garantizar que las personas autorizadas para tratar los datos se han comprometido a la confidencialidad.
- Aplicar las medidas técnicas y organizativas apropiadas conforme al artículo 32 del RGPD (ver sección 7).
- Respetar las condiciones de las secciones 5 y 6 para recurrir a subencargados y realizar transferencias internacionales.
- Asistirte, teniendo en cuenta la naturaleza del tratamiento, en la atención de las solicitudes de ejercicio de derechos de los interesados (la propia plataforma te permite acceder, rectificar, exportar y suprimir los datos).
- Asistirte en el cumplimiento de tus obligaciones de seguridad, notificación de violaciones de seguridad y, en su caso, evaluaciones de impacto (artículos 32 a 36 del RGPD).
- A tu elección, suprimir o devolver los datos al finalizar la prestación del servicio, y suprimir las copias existentes, conforme a la sección 10.
- Poner a tu disposición la información necesaria para demostrar el cumplimiento de estas obligaciones (sección 11).
5. Subencargados
Nos autorizas de forma general a recurrir a los siguientes subencargados, necesarios para prestar el servicio. Te informaremos de cualquier cambio previsto (adición o sustitución) publicando la lista actualizada, dándote la posibilidad de oponerte:
| Subencargado | Finalidad | Ubicación |
|---|---|---|
| Stripe | Procesamiento de pagos | UE / EEUU |
| Verifacti | Remisión de registros de facturación a la AEAT (Veri*Factu) | UE (España) |
| Neon | Base de datos | EEUU |
| Vercel | Alojamiento de la aplicación | UE / EEUU |
| Upstash | Caché y almacenamiento temporal | EEUU |
| Cloudinary | Almacenamiento de imágenes y archivos | UE / EEUU |
| Resend | Envío de correos transaccionales | UE / EEUU |
| SendPulse | Envío de correos (facturación y avisos) | UE / EEUU |
Imponemos a cada subencargado, mediante contrato, obligaciones de protección de datos equivalentes a las de este DPA.
6. Transferencias internacionales
Cuando un subencargado trate datos fuera del Espacio Económico Europeo, la transferencia se ampara en las garantías del capítulo V del RGPD: Cláusulas Contractuales Tipo aprobadas por la Comisión Europea o mecanismos equivalentes (como el marco de adecuación UE-EEUU cuando resulte aplicable).
7. Medidas de seguridad
Aplicamos, entre otras: cifrado de las comunicaciones (TLS), cifrado en reposo en la base de datos, control de accesos por usuario y espacio de trabajo, almacenamiento seguro de credenciales (hash), autenticación de dos factores opcional, aislamiento de los datos de cada cuenta y registro de actividad. Revisamos estas medidas periódicamente conforme al artículo 32 del RGPD.
8. Violaciones de seguridad
Si se produce una violación de la seguridad que afecte a los datos que tratamos por tu cuenta, te la notificaremos sin dilación indebida desde que tengamos constancia, facilitándote la información disponible para que puedas cumplir, como responsable, con tus obligaciones de notificación ante la autoridad de control y los interesados.
9. Obligaciones del Responsable
Como responsable, garantizas que dispones de base de legitimación para tratar los datos que introduces, que cumples el deber de información frente a los interesados, que los datos son adecuados y pertinentes, y que atenderás los ejercicios de derechos que te dirijan. Si un interesado se dirige a nosotros directamente, te lo comunicaremos sin atender la solicitud por nuestra cuenta, salvo obligación legal.
10. Destino de los datos al finalizar el servicio
Al finalizar la prestación del servicio, y a tu elección, devolveremos o suprimiremos los datos personales tratados por tu cuenta, así como las copias existentes:
- Devolución: puedes exportar todos tus datos desde la propia plataforma, en un formato estructurado y de uso común, en cualquier momento y antes de eliminar tu cuenta.
- Supresión: al eliminar tu cuenta se suprimen los datos conforme a la sección 9 de la Política de Privacidad.
Como única excepción, las facturas emitidas y los datos mínimos que las sostienen se conservan bloqueados durante el plazo legal de conservación fiscal, en cumplimiento de una obligación legal (art. 28.3.g RGPD).
11. Información y auditoría
Pondremos a tu disposición la información necesaria para demostrar el cumplimiento de este DPA. Puedes solicitarla escribiendo a soporte@clientlabs.io. Las auditorías o inspecciones se realizarán con preaviso razonable, sin comprometer la seguridad ni la confidencialidad de los datos de otros usuarios.
12. Responsabilidad
Cada parte responderá de los daños que cause como consecuencia del incumplimiento de sus obligaciones bajo el RGPD y este DPA, en los términos previstos por la normativa aplicable. La responsabilidad de ClientLabs se ajustará, además, a los límites previstos en los Términos y Condiciones.
13. Vigencia
Este DPA entra en vigor con tu aceptación de los Términos y Condiciones y permanece vigente mientras tratemos datos personales por tu cuenta. Podemos actualizarlo para reflejar cambios legales o del servicio, publicando la versión vigente en esta página.
14. Contacto
Para cualquier cuestión relacionada con este DPA, puedes escribir a soporte@clientlabs.io.