Saltar al contenido
Novedad: conecta Linkly con tu IA preferida y consulta resultados y leads de tus ferias
Documento legal · v1.0

Data Processing Agreement

Última actualización 24 de mayo de 2026
Fecha de efectos 24 de mayo de 2026
Versión 1.0
Traducción proporcionada por cortesía. La versión italiana prevalece en caso de conflicto.

El presente Data Processing Agreement («DPA») se redacta conforme al art. 28 del Reglamento (UE) 2016/679 («RGPD») y regula el tratamiento de los datos personales efectuado por SORAIA S.R.L. en calidad de Encargado del tratamiento por cuenta del Cliente en calidad de Responsable del tratamiento, en el ámbito de la prestación del servicio Linkly.

Versión modelo pública: el presente documento reproduce íntegramente el texto del DPA que SORAIA S.R.L. firma con cada cliente Linkly. El DPA firmado bilateralmente es parte integrante del contrato de suministro y constituye su anexo A. Las cláusulas a continuación expuestas son idénticas a las contractuales, salvo la inserción de los datos identificativos específicos del Responsable en el momento de la firma.

1. Partes

Entre:

  • [Cliente], con domicilio en [dirección], NIF [IT…], en calidad de Responsable del tratamiento conforme al art. 4(7) RGPD (en adelante «Responsable»)
  • y SORAIA S.R.L., con domicilio social en Via Losana 13, 13900 Biella (BI), Italia, NIF IT02820060024, en calidad de Encargado del tratamiento conforme al art. 28 RGPD (en adelante «Encargado»)

conjuntamente «Partes».

2. Objeto

El presente Acuerdo regula el tratamiento de los datos personales efectuado por el Encargado por cuenta del Responsable en el ámbito del uso de la plataforma Linkly.

3. Duración del tratamiento

El tratamiento tendrá una duración igual a la del contrato principal de suministro entre las Partes. A la cesación, se aplican las disposiciones previstas en la sección 12 del presente acuerdo.

4. Naturaleza y finalidades del tratamiento

El Encargado trata los datos personales exclusivamente para las siguientes finalidades:

  • adquisición y digitalización de contactos (ej. badges, tarjetas de visita, códigos QR) mediante reconocimiento óptico (OCR)
  • archivo, organización y gestión técnica de los datos
  • enriquecimiento de los datos mediante fuentes públicas y proveedores terceros
  • estructuración, normalización y clasificación de los datos mediante tecnologías de inteligencia artificial
  • generación de plantillas de seguimientos comerciales (según instrucciones del Responsable)
  • integración técnica con sistemas CRM, ERP y marketing del Responsable
  • elaboración de informes y analytics post-evento
  • soporte técnico y mantenimiento de la Plataforma

5. Categorías de datos tratados

5.1 Datos proporcionados directamente por el Responsable o sus usuarios

  • nombre y apellido
  • empresa
  • rol
  • email profesional
  • número de teléfono profesional
  • notas y valoraciones comerciales introducidas por el usuario

5.2 Datos adquiridos automáticamente

  • datos extraídos mediante OCR de tarjetas de visita y badges de evento
  • datos codificados en códigos QR
  • fuente de adquisición (evento, fecha, modalidad, usuario que ha efectuado el escaneo)

5.3 Datos enriquecidos

  • emails profesionales
  • números de teléfono
  • perfiles LinkedIn públicos
  • información empresarial pública (sector, tamaño, sede)

5.4 Datos técnicos

  • dirección IP
  • logs de acceso
  • identificadores del dispositivo
  • timestamps de las operaciones

5.5 Exclusiones

El Responsable se compromete a no cargar en la Plataforma categorías especiales de datos (art. 9 RGPD: datos que revelen origen racial o étnico, opiniones políticas, convicciones religiosas, datos biométricos, datos sobre la salud, datos sobre la vida o la orientación sexual) ni datos relativos a condenas penales e infracciones (art. 10 RGPD). Eventuales violaciones de este compromiso constituyen responsabilidad exclusiva del Responsable.

6. Categorías de interesados

  • contactos profesionales B2B recogidos en ferias y eventos (leads)
  • empleados y colaboradores del Responsable autorizados al uso de la Plataforma
  • referentes comerciales y administrativos del Responsable

7. Instrucciones del Responsable

El Encargado:

  • trata los datos exclusivamente conforme a instrucciones documentadas del Responsable (art. 28(3)(a) RGPD), incluido el presente Acuerdo, el contrato principal y las configuraciones operativas de la Plataforma
  • no utiliza los datos para finalidades propias o para servicios a terceros
  • no efectúa decisiones íntegramente automatizadas con efectos jurídicos o significativos sobre el interesado conforme al art. 22 RGPD
  • informa inmediatamente al Responsable si considera que una instrucción viola el RGPD u otra normativa aplicable (art. 28(3) último apartado RGPD)

8. Obligaciones del Encargado

El Encargado se compromete a:

  • garantizar la confidencialidad de los datos personales
  • autorizar al tratamiento sólo a personal formado y vinculado al secreto (art. 28(3)(b) RGPD; art. 29 RGPD)
  • implementar medidas técnicas y organizativas adecuadas conforme al art. 32 RGPD (ver sección 9)
  • asistir al Responsable en el cumplimiento de las obligaciones RGPD (arts. 32-36 RGPD), incluidas EIPD y consultas previas
  • notificar al Responsable cualquier violación de datos personales sin dilación indebida (ver sección 15)
  • poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones y permitir auditorías (ver sección 14)
  • suprimir o devolver al Responsable los datos a la cesación de la relación (ver sección 12)

9. Seguridad del tratamiento

SORAIA adopta medidas técnicas y organizativas proporcionadas al riesgo conforme al art. 32 RGPD, entre las cuales:

  • Cifrado de los datos en tránsito mediante TLS 1.2 o superior con cipher suites modernas
  • Cifrado de los datos en reposo en bases de datos (AES-256)
  • Controles de acceso basados en credenciales individuales, principio del menor privilegio, separación de roles
  • Autenticación multifactor obligatoria para las cuentas administrativas y de los desarrolladores
  • Hashing de las contraseñas con bcrypt (cost factor adecuado)
  • Logging y monitoreo de los accesos administrativos (retención 12 meses)
  • Separación lógica de los entornos (dev/staging/prod) y de los datos de los clientes (multi-tenant con aislamiento lógico)
  • Copias de seguridad automáticas diarias con procedimientos de disaster recovery testados periódicamente
  • Gestión formal de los incidentes de seguridad (incident response plan)
  • Revisión periódica de los accesos (revisión trimestral)
  • Patch management para los componentes sujetos a vulnerabilidades conocidas
  • Tests de intrusión periódicos sobre los componentes críticos
  • Formación del personal autorizado (anual)
  • Supresión o anonimización de los datos al cese del servicio
  • Infraestructura principalmente ubicada en la Unión Europea (ver sección 11 para detalles de subencargados)

10. Subencargados

El Responsable autoriza, con carácter general, al Encargado a recurrir a subencargados del tratamiento conforme al art. 28(2) RGPD.

El Encargado utiliza subencargados pertenecientes a las siguientes categorías:

  • infraestructura backend y base de datos
  • aplicación frontend
  • automatización y orquestación de workflows
  • proveedores IA para OCR, estructuración, generación de texto
  • proveedores de enriquecimiento de datos B2B
  • servicios de búsqueda en fuentes públicas

La lista específica y actualizada de los subencargados, con indicación de nombre, rol, localización del tratamiento e instrumento de transferencia fuera de la UE aplicado, se proporciona al Responsable en el momento de la firma del contrato y en cada actualización sucesiva.

El Encargado garantiza que:

  • cada subencargado está vinculado por obligaciones contractuales equivalentes a las del presente DPA, mediante Data Processing Agreement firmado
  • para los subencargados con sede fuera de la UE se adoptan las tutelas previstas por los arts. 44 y siguientes RGPD (Cláusulas Contractuales Tipo, decisiones de adecuación, EU-US Data Privacy Framework cuando proceda)
  • eventuales modificaciones de la lista (incorporaciones o sustituciones) se comunican por email al Responsable con un preaviso de 30 días, durante los cuales el Responsable puede plantear objeción motivada por escrito. En caso de objeción, las Partes negocian de buena fe una solución; en ausencia de acuerdo, cada Parte puede desistir del contrato sin penalizaciones

11. Transferencias fuera de la UE

En el caso de que los datos personales se transfieran fuera del Espacio Económico Europeo (EEE), el Encargado garantiza el respeto de los arts. 44 y siguientes del RGPD mediante los instrumentos previstos por la normativa:

  • Decisiones de adecuación conforme al art. 45 RGPD (ej. Reino Unido, Suiza, Japón)
  • EU-US Data Privacy Framework (DPF) para los subencargados estadounidenses adheridos
  • Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión UE mediante Decisión de ejecución 2021/914 (módulo 3 para las relaciones encargado→subencargado)
  • Medidas suplementarias técnicas y organizativas cuando necesarias a la luz de la jurisprudencia Schrems II y de las Recomendaciones 01/2020 EDPB (cifrado, seudonimización, controles contractuales sobre las solicitudes gubernamentales)

Para cada subencargado fuera de la UE, SORAIA conduce una Transfer Impact Assessment (TIA) documentada.

12. Devolución y supresión de los datos

A la cesación del contrato, el Encargado:

  • pone a disposición del Responsable los datos personales en formato estructurado y de uso común (CSV, JSON, o formato acordado) durante un periodo máximo de 30 días desde la fecha de cesación
  • transcurrido tal término, procede a la supresión segura o, a solicitud escrita del Responsable, a la anonimización de los datos
  • elimina los datos también de las copias de seguridad según los procedimientos ordinarios de rotación (como máximo en 90 días desde la cesación)
  • conserva exclusivamente los datos necesarios para cumplir con obligaciones legales (ej. facturación, contencioso, antiblanqueo), con acceso limitado y por el tiempo estrictamente necesario
  • a solicitud del Responsable, proporciona una certificación escrita de la supresión efectuada

13. Asistencia al Responsable

El Encargado asiste al Responsable, teniendo en cuenta la naturaleza del tratamiento y las informaciones a su disposición, para:

  • la gestión de las solicitudes de ejercicio de los derechos de los interesados (arts. 15-22 RGPD), en los plazos previstos por el RGPD
  • la conducción de evaluaciones de impacto en la protección de datos (EIPD) conforme al art. 35 RGPD, proporcionando las informaciones técnicas y organizativas pertinentes
  • las consultas previas con la autoridad de control conforme al art. 36 RGPD
  • la documentación necesaria para demostrar el respeto de las obligaciones RGPD (registro de actividades de tratamiento, medidas de seguridad, subencargados)

La asistencia se proporciona gratuitamente para las actividades ordinarias. Para solicitudes extraordinarias que requieran un esfuerzo técnico significativo, pueden acordarse contraprestaciones específicas, siempre dentro de los límites del coste efectivo soportado.

14. Auditorías

El Responsable tiene derecho, conforme al art. 28(3)(h) RGPD, a solicitar información y verificar el respeto de las obligaciones del Encargado. Las modalidades son las siguientes:

  • Auditoría documental anual: el Responsable puede solicitar copia de los documentos técnicos y organizativos pertinentes (políticas de seguridad, certificaciones si las hay, informes de penetration test sintéticos, lista de subencargados). SORAIA responde en un plazo de 30 días
  • Auditorías on-site o remotas: a solicitud motivada, las Partes acuerdan fecha y modalidades. La auditoría se limita a lo estrictamente necesario y no debe comprometer la seguridad de los demás clientes o la continuidad del servicio. Los costes eventuales soportados por SORAIA para la activación de personal dedicado son a cargo del Responsable salvo que la auditoría revele incumplimientos del Encargado
  • Auditorías activadas por la autoridad de control: SORAIA colabora plenamente, sin cargas adicionales para el Responsable

15. Notificación de violación (art. 33 RGPD)

El Encargado, conocida una violación de datos personales (data breach) que involucra datos tratados por cuenta del Responsable, está obligado a:

  • Notificar al Responsable sin dilación indebida tras haberlo conocido, y en todo caso en un plazo de 48 horas (margen operativo que permite al Responsable respetar el plazo de 72 horas previsto por el art. 33 RGPD hacia la autoridad)
  • proporcionar al Responsable al menos las siguientes informaciones:
    • naturaleza de la violación, categorías y número aproximado de interesados y registros involucrados
    • nombre y datos de contacto del punto de contacto SORAIA para la gestión del incidente
    • consecuencias probables de la violación
    • medidas adoptadas o propuestas para afrontar la violación y mitigar los efectos negativos
  • actualizar al Responsable progresivamente a medida que emergen nuevos elementos
  • colaborar en la notificación a la autoridad italiana y, cuando proceda, en la comunicación a los interesados (arts. 33-34 RGPD)
  • conservar documentación de la violación y de las acciones emprendidas (art. 33(5) RGPD)

El punto de contacto SORAIA para la notificación de violaciones y para cualquier cuestión de seguridad es: privacy@soraia.io.

16. Responsabilidad

El Encargado es responsable exclusivamente por violaciones del RGPD o del presente DPA imputables a su propia actuación (art. 82(2) RGPD).

Queda excluida cualquier responsabilidad del Encargado por:

  • tratamientos efectuados directamente por el Responsable
  • uso ilícito o no conforme de los datos por parte del Responsable
  • violaciones normativas imputables al Responsable (ej. falta de información a los interesados, base jurídica inadecuada, uso más allá de los límites de la información)
  • introducción de categorías de datos no admitidas (arts. 9, 10 RGPD) o de datos de menores
  • daños derivados de malfuncionamientos de sistemas terceros controlados por el Responsable

17. Disposiciones finales

El presente DPA constituye parte integrante del contrato principal de suministro. En caso de conflicto entre las disposiciones del presente DPA y las del contrato principal en materia de protección de datos personales, prevalecen las disposiciones del presente DPA.

Cualquier modificación del presente DPA debe ser acordada por escrito. SORAIA puede proponer actualizaciones para adecuación a modificaciones normativas, comunicándolas al Responsable con preaviso de 30 días; a falta de objeción escrita, las modificaciones se consideran aceptadas.

Por cuanto no esté expresamente previsto, se hace remisión a las disposiciones del RGPD, de la normativa nacional de adaptación (Decreto legislativo italiano 196/2003 y modificaciones sucesivas) y de las Directrices EDPB aplicables.


Contactos para la protección de datos

Para cualquier consulta relativa al tratamiento de datos personales, al ejercicio de los derechos del RGPD, o para recibir copia del Data Processing Agreement, contactar:

Delegado de Protección de Datos (DPO): no designado. SORAIA S.R.L. no está sujeta a la obligación de designar un DPO conforme al art. 37 RGPD (no se cumplen los requisitos del párr. 1 letras b y c). Las solicitudes de los interesados y de los DPO de los clientes se gestionan directamente por la función de privacidad de la empresa a través de los contactos indicados arriba.

Reclamaciones: sin perjuicio del derecho a dirigirse directamente al Responsable/Encargado del tratamiento, los interesados tienen derecho a presentar reclamación ante la Autoridad Garante italiana para la protección de datos personales (garanteprivacy.it) o ante otra autoridad de control competente en función de su lugar de residencia.

Modificaciones del documento

SORAIA S.R.L. se reserva el derecho de actualizar el presente documento por razones normativas o de evolución del servicio. Las modificaciones sustanciales se comunicarán a los clientes activos por correo electrónico y se publicarán en esta página con la fecha de última actualización refrescada.

Profundizar con IA

Las páginas de Linkly están optimizadas para ser leídas correctamente por los asistentes de IA. Abrid la conversación en vuestro favorito con el contexto ya listo, o copiad el prompt para usarlo donde queráis.