Acuerdo de Tratamiento de Datos

Documentos del paquete contractual

• Acuerdo de Tratamiento de Datos (DPA). Términos bilaterales del lado del encargado del tratamiento que regulan el manejo por parte de Syncanix de los datos personales del cliente conforme al artículo 28 del RGPD. Define las finalidades del tratamiento, las categorías de datos, los subencargados, las medidas de seguridad y los SLA de notificación de violaciones.
• Cláusulas Contractuales Tipo (SCCs) — Módulo Dos. Decisión de Ejecución 2021/914 de la Comisión Europea, Módulo Dos (de encargado a encargado). Regula las transferencias de datos personales fuera del EEE a subencargados que operan desde terceros países.
• Anexo de Transferencia Internacional de Datos (IDTA) de la ICO del Reino Unido. Anexo que amplía las SCCs Módulo Dos para cubrir las transferencias de datos personales del Reino Unido, conforme a la plantilla publicada por la ICO del Reino Unido.
• Complemento FADP suizo. Complemento puente que amplía las SCCs para cubrir las transferencias de datos personales sujetos a la Ley Federal de Protección de Datos suiza (FADP), según lo exige la guía del FDPIC.
• Anexos regionales. Anexos ligeros para la UAE PDPL, la KSA PDPL (Arabia Saudí), la Ley de Protección de la Privacidad de Israel + Enmienda 13, la Ley egipcia 151/2020 y otras jurisdicciones de MENA cuando el despliegue de un cliente los active.

Alcance del DPA (obligaciones del artículo 28)

El DPA recoge todas las obligaciones que el artículo 28(3) del RGPD impone a un encargado del tratamiento:

• Solo instrucciones (art. 28 § 3(a)). Syncanix trata los datos personales del cliente únicamente conforme a instrucciones documentadas del cliente, incluidas las transferencias a terceros países.
• Confidencialidad (art. 28 § 3(b)). Todo empleado o contratista de Syncanix con acceso a los datos personales del cliente está sujeto a una obligación de confidencialidad.
• Seguridad (art. 28 § 3(c) + art. 32). Cifrado en reposo mediante AWS KMS, cifrado en tránsito mediante TLS 1.3, IAM de mínimo privilegio y los controles documentados en la página de seguridad → documentados.
• Contratación de subencargados (art. 28 § 2 + § 4). Autorización previa del cliente para los cambios de subencargados; política de aviso de cambios de 30 días en la página de subencargados →; las mismas obligaciones del artículo 28 se trasladan a cada subencargado.
• Asistencia con las solicitudes de derechos (art. 28 § 3(e)). Syncanix asiste a los clientes con las DSAR (artículos 15–22, que abarcan acceso, rectificación, supresión, limitación, portabilidad y oposición) dentro del SLA de acuse de recibo de 24 horas / cumplimiento en 30 días.
• Notificación de violaciones (art. 33). Notificación al cliente en un plazo de 24 horas desde la confirmación de una violación de datos personales que afecte a sus datos. El cliente (responsable del tratamiento) conserva la obligación de notificar a las autoridades de control y a los interesados.
• Cooperación en auditorías (art. 28 § 3(h)). Ventana de auditoría anual y evidencias bajo demanda (informes SOC 2, certificado ISO 27001 cuando esté disponible) para acreditar las obligaciones del encargado del tratamiento.
• Supresión / devolución (art. 28 § 3(g)). A la terminación, los datos personales del cliente se devuelven o se suprimen según la instrucción del cliente en un plazo de 30 días, y todas las copias de seguridad se purgan en un plazo adicional de 90 días. Se conserva un breve margen de borrado lógico conforme al artículo 17 (Supresión) para poder recuperarse de solicitudes accidentales.

Cláusulas Contractuales Tipo (SCCs)

Las transferencias internacionales desde el EEE a un subencargado en un tercer país (Estados Unidos, Canadá, etc.) se rigen por las SCCs Módulo Dos: la plantilla de encargado a encargado de la Comisión Europea (Decisión de Ejecución 2021/914, en vigor desde el 27 June 2021). Los anexos que documentan las categorías de datos, las finalidades del tratamiento y las medidas de seguridad se cumplimentan por cada subencargado, según se enumera en la página de subencargados →. El cliente firma las SCCs como exportador de datos; Syncanix firma como importador de datos.

Anexo IDTA de la ICO del Reino Unido

Para las transferencias de datos personales del Reino Unido, las SCCs por sí solas no son suficientes tras el Brexit. El Anexo de Transferencia Internacional de Datos (IDTA) de la ICO del Reino Unido, publicado el 21 March 2022, amplía las SCCs hasta convertirlas en un instrumento compatible con la legislación de protección de datos del Reino Unido. El anexo de Syncanix es la plantilla publicada por la ICO cumplimentada con los mismos anexos que las SCCs.

Complemento FADP suizo

La Ley Federal de Protección de Datos (FADP, versión revisada en vigor desde el 1 September 2023) regula los datos personales suizos. El complemento suizo de Syncanix es un puente ligero: sustituye «Unión Europea» por «Suiza» en las secciones pertinentes de las SCCs, adopta al FDPIC (Comisario Federal de Protección de Datos e Información) como autoridad de control e incorpora los derechos de los interesados específicos de la legislación suiza.

Anexos regionales

Las jurisdicciones de MENA imponen sus propios requisitos contractuales del lado del encargado del tratamiento, abordados mediante anexos regionales ligeros activados por el despliegue del cliente:

• UAE PDPL (Decreto-Ley Federal 45/2021 + DIFC DP Law 5/2020 + ADGM). Centrado en el consentimiento; las transferencias internacionales requieren adecuación o contrato.
• Saudi PDPL. Plena aplicación desde el 14 Sep 2024. Aviso de violación de 72 horas a la SDAIA. Las transferencias internacionales requieren la aprobación de la SDAIA. Se exige representante local cuando se alcanzan los umbrales de ingresos.
• Ley de Protección de la Privacidad de Israel + Enmienda 13 (en vigor desde el 15 Aug 2025). Alineado con el RGPD; definición ampliada de «información personal»; responsable de protección de la privacidad obligatorio; multas de hasta el 5 % de la facturación.
• Ley egipcia 151/2020. Licencia de transferencia internacional + consentimiento por defecto.
• Ley de Catar 13/2016 PDPPL. Régimen de consentimiento + notificación.
• Bahrain PDPL 30/2018. Registro de los responsables del tratamiento; consentimiento.
• Decreto Real de Omán 6/2022 PDPL. Licencia de transferencia internacional.
• Jordan PDPL 24/2023. DPO condicional; derechos de los interesados.

Revisión por asesoría jurídica

La plantilla del DPA, las SCCs Módulo Dos, el anexo IDTA del Reino Unido, el complemento FADP suizo y los anexos regionales son revisados por el asesor jurídico de privacidad de la UE antes de cada lanzamiento comercial. La aprobación se registra en docs/legal/counsel-sign-off.md con el nombre del asesor jurídico, la fecha de revisión y el alcance. La revisión por asesoría jurídica es una puerta que bloquea el lanzamiento. Hasta que la asesoría jurídica no haya dado su aprobación, las copias de trabajo del paquete contractual se comparten bilateralmente bajo solicitud a través de admin@syncanix.com.

Cómo solicitar el paquete

1. Envíe un correo electrónico a admin@syncanix.com con el nombre de su entidad jurídica, la(s) jurisdicción(es) de despliegue y qué anexos necesita (Reino Unido, Suiza, KSA, UAE, Israel, etc.).
2. Syncanix devuelve la copia de trabajo en un plazo de 2 días hábiles, cumplimentada con los anexos de los subencargados que se aplican a su despliegue.
3. La negociación y la contrafirma se realizan por correo electrónico o mediante un flujo de DocuSign / Adobe-Sign, según prefiera el cliente.
4. Una vez que llegue la aprobación de la asesoría jurídica, esta página enlazará aquí directamente las plantillas publicadas firmadas como descargas .pdf .

Relacionado

• Lista de subencargados → — las entidades a las que hacen referencia los anexos de las SCCs.
• Resumen de seguridad → — las medidas del artículo 32 recogidas en el DPA.
• Aviso de privacidad → — alcance de la instrucción del responsable del tratamiento del artículo 28 § 3(a).
• Estado de cumplimiento → — evidencias SOC 2 / ISO 27001 que acreditan el artículo 32.