Acuerdo de Encargado de Tratamiento (DPA)

Este acuerdo regula el tratamiento de datos personales que MiRuta (titular: Mario González Suero, NIF 48884075J), como encargado del tratamiento, realiza por cuenta del usuario (el comercial que contrata el servicio), que actúa como responsable del tratamiento respecto a los datos de sus propios clientes.

• Naturaleza y finalidad: almacenar y procesar los datos para prestar el servicio de CRM (gestión de clientes, visitas, mapa, recordatorios).
• Duración: mientras la cuenta del usuario esté activa.
• Tipo de datos: nombre, empresa, teléfono, email, dirección, ubicación, visitas y notas de los clientes del usuario.
• Categorías de interesados: los clientes (y contactos) del usuario.

• Tratar los datos solo según las instrucciones documentadas del usuario, e informarle si una instrucción infringe la normativa.
• Garantizar la confidencialidad de las personas autorizadas a tratar los datos.
• Aplicar medidas de seguridad adecuadas: aislamiento de los datos por cuenta (RLS multi-tenant), cifrado en tránsito (HTTPS) y control de acceso por credenciales.
• No recurrir a otros encargados (subencargados) sin autorización. Se autorizan: Supabase (base de datos y autenticación), Cloudflare (alojamiento), OpenStreetMap/Nominatim (geocoding) y Groq (procesado por IA de las órdenes de voz, únicamente si se usa el asistente de voz; se solicita la modalidad de no retención de datos), sujetos a las mismas obligaciones.
• Asistir al usuario en la atención de los derechos de los interesados (la exportación a CSV facilita la portabilidad; la edición y el borrado están disponibles en la app).
• Asistir en materia de seguridad y notificar sin dilación las violaciones de seguridad de las que tenga conocimiento.
• Suprimir o devolver los datos al finalizar la prestación, salvo obligación legal de conservarlos.
• Poner a disposición del usuario la información necesaria para demostrar el cumplimiento y permitir auditorías.

El usuario garantiza que dispone de una base legal para tratar los datos de sus clientes y que cumple su deber de informarles conforme al RGPD. El usuario es responsable de la exactitud y licitud de los datos que introduce.

Los subencargados que traten datos fuera del EEE lo harán con las garantías adecuadas (Cláusulas Contractuales Tipo o decisión de adecuación), según se detalla en la Política de privacidad.