Documento legal · Versión 1.0 — pública

DPA — Acuerdo de Tratamiento de Datos (RGPD Art. 28)

Última actualización: 14 de junio de 2026

Esta es la versión pública (sin datos contractuales rellenados) del acuerdo de tratamiento de datos que firmamos con cada cliente antes de iniciar cualquier auditoría. Si necesitas la versión firmable personalizada, escríbenos a soporte@nexoseguridad.com.

Nota. Este documento NO sustituye al DPA contractual firmado entre Nexo Seguridad y el cliente; sirve para que el cliente conozca de antemano las cláusulas estándar que aplicamos.

1. Partes

Responsable del tratamiento: el cliente que contrata el servicio (sociedad cliente, identificada en el contrato principal).

Encargado del tratamiento: Nexo Seguridad, SLU, marca comercial Nexo Seguridad, con domicilio en el Principat d'Andorra.

2. Objeto y duración

El presente acuerdo regula el tratamiento de datos personales que Nexo Seguridad realice en nombre del cliente durante la prestación de servicios de auditoría de ciberseguridad, vigente mientras dure el contrato principal y por los plazos legales aplicables tras su finalización.

3. Naturaleza, finalidad y tipo de datos

Categoría	Detalle
Naturaleza del tratamiento	Pruebas de seguridad sobre sistemas e infraestructura del cliente
Finalidad	Detectar vulnerabilidades y proponer medidas de mitigación
Categorías de interesados	Empleados, usuarios, clientes finales del cliente (en la medida en que sus datos aparezcan accidentalmente en logs o ficheros auditados)
Categorías de datos	Identificativos (nombre, email, teléfono), datos profesionales, credenciales (acceso temporal y auditado), metadatos técnicos
Categorías especiales	No se solicitan ni se procesan deliberadamente. Si aparecen accidentalmente en evidencias, se redactan antes de cualquier almacenamiento

4. Obligaciones del Encargado (Nexo Seguridad)

Tratar los datos personales únicamente conforme a las instrucciones documentadas del Responsable.
Garantizar que el personal autorizado se compromete a confidencialidad o está sujeto a obligación legal de confidencialidad.
Adoptar las medidas de seguridad técnicas y organizativas apropiadas (Art. 32 RGPD), detalladas en el Anexo II.
No recurrir a otro encargado sin la autorización previa por escrito del Responsable.
Asistir al Responsable en la atención de derechos de los interesados, mediante medidas técnicas y organizativas apropiadas.
Asistir al Responsable en la realización de evaluaciones de impacto y consultas previas a la autoridad de control.
Notificar al Responsable cualquier brecha de seguridad sin dilación indebida y en un plazo máximo de 24 horas desde la detección.
A elección del Responsable, suprimir o devolver todos los datos personales una vez finalice la prestación de servicios.
Poner a disposición del Responsable la información necesaria para demostrar el cumplimiento de las obligaciones del Art. 28 RGPD y permitir auditorías.

5. Subencargados

Nexo Seguridad utiliza los siguientes subencargados, todos ubicados en la Unión Europea o en países con decisión de adecuación:

Subencargado	Servicio	Ubicación
Proveedor de email transaccional	Envío de notificaciones a clientes	UE
Proveedor cloud (almacenamiento)	Hosting del CRM y portal seguro	UE
Proveedor de agenda online	Reserva de llamadas (datos mínimos)	UE / país con decisión de adecuación

El listado actualizado se entrega al cliente en formato detallado dentro del DPA contractual firmado, incluyendo la identidad del proveedor, finalidad exacta y medidas de garantía aplicadas.

6. Transferencias internacionales

No realizamos transferencias internacionales fuera del Espacio Económico Europeo salvo a países con decisión de adecuación de la Comisión Europea, o, en su defecto, bajo las salvaguardas previstas en el Capítulo V del RGPD (cláusulas contractuales tipo, normas corporativas vinculantes).

7. Anexo I — Categorías de datos resumidas

Datos identificativos de empleados con acceso a sistemas auditados.
Direcciones IP, logs de tráfico, metadatos de aplicaciones auditadas.
Credenciales temporales facilitadas para realizar pruebas (rotadas al finalizar).
Evidencias técnicas (capturas, ficheros) redactadas antes del archivado.

8. Anexo II — Medidas técnicas y organizativas

Cifrado — TLS 1.3 en tránsito; AES-256 en reposo para evidencias y bases de datos.
Control de acceso — autenticación con MFA obligatoria, principio de mínimo privilegio, segregación por tenant.
Bóveda de evidencias — almacenamiento cifrado y auditado, retención configurable por cliente.
Registro de auditoría — inmutable, append-only, retención mínima 12 meses.
Gestión de incidentes — procedimiento formal con notificación al cliente en <24h.
Continuidad — copias de seguridad cifradas diarias, pruebas de restauración trimestrales.
Personal — verificación previa, formación anual en privacidad y seguridad, NDA individual.
Subcontratación — cláusulas RGPD obligatorias, ubicación EU/adecuación.

9. Solicitud de la versión firmable

Esta página es informativa. Para recibir la versión firmable y personalizada (con la denominación social del cliente, fechas y referencias contractuales), escribe a soporte@nexoseguridad.com indicando los datos de tu sociedad. Te respondemos en menos de 48 horas laborables.